Administrator, współadministrator, procesor – kto jest kim?

W Rozporządzeniu Parlamentu Europejskiego i Rady (UE) 2016/679, znanym również jako „RODO” ustawodawca europejski wprowadził definicję kilku podmiotów, które biorą czynny udział w przetwarzaniu danych osobowych. Poniżej doprecyzujemy, kiedy przedsiębiorca uznany będzie za administratora danych osobowych, kiedy będzie współadministratorem, a kiedy przysługiwać mu będzie przymiot procesora.

Administrator

Zgodnie z definicją zawartą w RODO za administratora uznaje się podmiot, który ustala cele oraz sposoby przetwarzania danych osobowych przez siebie posiadanych.

Administratorem może być:

  1. osoba fizyczna;
  2. osoba prawna (np. spółka z ograniczoną odpowiedzialnością, spółka akcyjna);
  3. organ publiczny (np. urząd gminy, urząd skarbowy);
  4. jednostka lub inny podmiot (np. spółka jawna, spółka partnerska).

Zatem to sam podmiot, np. osoba fizyczna prowadząca działalność gospodarczą czy spółka prawa handlowego jest administratorem danych osobowych, a nie organy go reprezentujące (np. zarząd spółki, pełnomocnicy osoby fizycznej).

Ani w RODO ani w innymi akcie prawnym nie zostało doprecyzowane, co należy rozumieć poprzez ustalanie celów oraz sposobów przetwarzania danych osobowych. To, czy dany podmiot jest administratorem będzie zatem uzależnione od konkretnej sytuacji. Jedynie w dużym uproszczeniu wskazać można, iż za administratora będzie uważana osoba (lub inny podmiot), która decyduje o celach i środkach przetwarzania danych osobowych.

I tak za administratora można uznać m. in.:

  1. przedsiębiorcę dysponującego danymi osobowymi swoich klientów;
  2. spółkę prawa handlowego dysponującą danymi osobowymi swoich pracowników;
  3. stowarzyszenie dysponujące danymi osobowymi swoich członków itp.

Podstawowe obowiązki administratora danych osobowych

Do podstawowych obowiązków administratora danych osobowych należą m. in.:

  1. wdrażanie odpowiednich środków technicznych i organizacyjnych celem przetwarzania danych osobowych przez siebie posiadanych zgodnie z przepisami RODO;
  2. wdrażanie odpowiednich środków technicznych i organizacyjnych celem wprowadzenia niezbędnych zabezpieczeń ochrony danych osobowych;
  3. powołanie inspektora ochrony danych osobowych;
  4. wykonywanie praw osób, których dane dotyczą – na ich żądanie;
  5. prowadzenie rejestru czynności przetwarzania danych osobowych;
  6. przeprowadzenie analizy ryzyka naruszenia danych osobowych;
  7. współdziałanie z organem nadzorczym – Prezesem Urzędu Ochrony Danych Osobowych, w tym informowanie o naruszeniu ochrony danych osobowych.

Współadministrator

Za współadministratora uznaje się podmiot, który ustala cele i sposoby przetwarzania danych osobowych wspólnie z innym podmiotem (lub innymi podmiotami) – np. wspólnicy spółek cywilnych, działający wspólnie w ramach założonej przez nich spółki.

Współadministratorzy określają zakres swojej odpowiedzialności dotyczącej wypełniania obowiązków wynikających z przepisów RODO (patrz powyżej).

Procesor

Za procesora uznaje się osobę fizyczną lub prawną, organ publiczny lub inny podmiot, który przetwarza dane osobowe w imieniu administratora (np. usługi w zakresie księgowości świadczone przez podmiot zewnętrzny na rzecz przedsiębiorcy).

Przepisy RODO wymagają, aby administrator korzystał wyłącznie z usług takich procesorów, którzy zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych celem ochrony danych osobowych osób, których dane są przetwarzane.

Przetwarzanie przez procesora danych osobowych odbywa się na podstawie umowy zawartej pomiędzy nim a administratorem bądź na podstawie innego instrumentu prawnego, przewidzianego przez przepisy prawa Unii Europejskiej bądź przepisy państwa członkowskiego. Warto wskazać, iż aktualnie  przepisy obowiązujące w Rzeczpospolitej Polskiej nie przewidują takiego instrumentu prawnego.

Podstawowe obowiązki procesora

 Podstawowymi obowiązkami procesora są w szczególności:

  1. przetwarzanie danych osobowych wyłącznie na udokumentowane polecenie administratora;
  2. dbanie o to, aby osoby upoważnione przez niego do przetwarzania danych osobowych zobowiązały się do zachowania tajemnicy;
  3. udzielanie pomocy administratorowi w wywiązaniu się z obowiązków wynikających z przepisów RODO;
  4. prowadzenie rejestru kategorii czynności przetwarzania dokonywanych w imieniu administratora.

Podsumowanie

Podsumowując, wskazać należy, iż administrator oraz współadministrator są głównymi podmiotami, które przetwarzają dane osobowe przez siebie posiadanymi w ramach ustalonych celów i sposobów ich przetwarzania. Są to również podmioty, które ponoszą pełną odpowiedzialność za dane przez siebie zbierane, posiadane oraz w jakikolwiek inny sposób przetwarzane w ramach prowadzonej działalności gospodarczej czy zawodowej.

Inaczej jest z procesorami, którzy nie są podmiotami samodzielnymi w zakresie przetwarzania danych osobowych im powierzonych. Odpowiadają oni bowiem przed administratorami za każdą czynność dokonywaną na danych osobowych, co czyni podmioty te zależnymi od poleceń administratora.

Powrót do specjalizacji „Audyt RODO”.

Masz pytania lub wątpliwości?

Zadzwoń

801 50 10 50