Pojęcia administratora danych oraz podmiotu przetwarzającego są jednymi z podstawowych w RODO, bowiem podjęcie jakichkolwiek działań w obszarze ochrony danych osobowych rozpoczyna się od określenia obowiązków danych podmiotów. W RODO został zdefiniowany zarówno administrator danych, jak i podmiot przetwarzający. Odróżnienie pojęcia administratora danych osobowych oraz podmiotu przetwarzającego jest niezwykle istotne, różny bowiem jest ich zakres obowiązków, jak i odpowiedzialności. Kim jest administrator danych? Kim jest podmiot przetwarzający? Jaka jest różnica między tymi podmiotami?
Administrator danych
Administrator danych to osoba fizyczna lub prawna, organ publiczny, jednostka lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych. Definicja legalna administratora danych została zawarta w art. 4 pkt 7 RODO.
Wytyczne Europejskiej Rady Ochrony Danych dotyczące pojęcia administratora i podmiotu przetwarzającego wskazują na cztery elementy, które są decydujące dla określenia że dany podmiot jest administratorem danych – jest nim ten podmiot, który decyduje o tym:
- Jakie dane będą przetwarzanie?
- Jak długo dane będą przetwarzane?
- Jakich osób dane będą przetwarzane?
- Kto będzie miał dostęp do danych (komu będą ujawniane)?
Cechą wyróżniającą administratora danych jest właśnie zakres decyzyjny, czyli faktyczne podejmowanie we własnym imieniu i na własną rzecz decyzji o tym, w jakim celu i w jaki sposób przetwarzane są dane osobowe.
Może zdarzyć się też taka sytuacja, gdy ustalanie celów i sposobów przetwarzania następuje w porozumieniu z innym podmiotem, gdzie nie możemy rozdzielić wzajemnych zakresów odpowiedzialności za dane. W takim wypadku mówimy o współadministrowaniu danymi. Współadministratorem, jest podmiot, który wspólnie z co najmniej jedną organizacją ustala cele i sposoby przetwarzania danych osobowych. Współadministratorzy mają obowiązek dokonać uzgodnień, określając odpowiednie zakresy swojej odpowiedzialności w zakresie przestrzegania przepisów RODO.
W przypadku osób prawnych status administratora danych przysługuje całej spółce. Administratorem zatem nie jest konkretna osoba sprawująca stanowisko kierownicze czy pracownik, któremu powierzono zadania związane z przetwarzaniem danych. Zarząd jest odpowiedzialny za działania administratora, ale jedynie jako organ spółki – nie jest administratorem W przypadku osób fizycznych samodzielnie prowadzących działalność gospodarczą, to oni jako przedsiębiorcy posiadają status administratora danych.
Podmiot przetwarzający dane osobowe
Podmiot przetwarzający to osoba fizyczną lub prawna, organ publiczny, jednostka lub inny podmiot, który przetwarza dane osobowe w imieniu i na zlecenie administratora. Jeśli chodzi o podmiot przetwarzający to definicja legalna podmiotu przetwarzającego została zawarta w art. 4 pkt 8 RODO.
Podmiot przetwarzający dane osobowe wykonuje czynności na rzecz administratora danych, na podstawie umowy powierzenia danych osobowych. Brak zawarcia umowy powierzenia między administratorem danych a podmiotem przetwarzającym jest naruszeniem RODO – ujawnieniem danych – i może skutkować nałożeniem kary pieniężnej. Cel i sposób przetwarzania danych ustala administrator, który ponosi również odpowiedzialność za swój wybór, z kolei zadaniem podmiotu przetwarzającego jest wykonywanie obowiązków administratora na jego zlecenie i w jego imieniu.
Podkreślić należy, że podmiotami przetwarzającymi dane osobowe nie są pracownicy administratora / podmiotu przetwarzającego, osoby przetwarzające dane na podstawie umów cywilnoprawnych, lecz w ramach struktury organizacyjnej administratora / podmiotu przetwarzającego, bądź też inne osoby, które zostały dopuszczone przez administratora / podmiot przetwarzający do czynności przetwarzania danych – np. praktykanci, stażyści czy wolontariusze.
Ustalenie statusu danego podmiotu w praktyce
W celu ustalenia czy dana osoba fizyczna, prawna lub instytucja jest administratorem danych czy podmiotem przetwarzającym należy każdy przypadek przeanalizować oddzielnie i odpowiedzieć na pytanie kto faktycznie ustala sposoby i cele przetwarzania danych oraz który podmiot podejmuje decyzję dotyczącą określonego celu. Podstawową różnicą między administratorem danych a podmiotem przetwarzającym jest fakt, że administrator przetwarza dane osobowe we własnym imieniu i dla własnych celów, natomiast podmiot przetwarzający przetwarza dane osobowe w imieniu administratora. W określonych sytuacjach status administratora może także wynikać z przepisu prawa, bądź bezpośrednio, bądź pośrednio jeżeli przepis prawa nakłada obowiązki których spełnienie będzie wymagało przetwarzania danych jako administrator (np w przypadku obowiązku przechowywania dokumentacji pracowniczej).