Kontroler i podmiot przetwarzający - podstawy GDPR

Terminy "administrator danych" i "podmiot przetwarzający" są centralnym elementem GDPR. Ktokolwiek jest administratorem danych lub podmiotem przetwarzającym, podlega odpowiednim obowiązkom wynikającym z GDPR.

Ale kiedy dokładnie jesteś kontrolerem lub procesorem i jakie są tego konsekwencje?

Odpowiedzialny

Definicję administratora danych można znaleźć w art. 4 nr 7 RODO. W związku z tym administratorem jest każda osoba fizyczna lub prawna, organ publiczny, agencja lub inny organ, który samodzielnie lub wspólnie z innymi określa cele i sposoby przetwarzania danych osobowych. Przetwarzanie danych osobowych decyduje. Aby być administratorem danych, nie musisz sam ich gromadzić ani przetwarzać, ale wystarczy, że określisz cele i środki.

O tym, kto jest odpowiedzialny, może decydować prawo, ale poza tym należy to rozumieć funkcjonalnie: Należy brać pod uwagę zakres faktycznych działań podejmowanych przez dany podmiot. 

Jeśli jednak w firmie podejmowane są decyzje dotyczące celów i środków przetwarzania danych, to administratorem danych nie jest pojedynczy pracownik, ale firma jako całość. Jeśli działa pojedyncza osoba fizyczna (np. pracownik), należy zatem zawsze zbadać, czy działanie to można przypisać samej osobie, czy też organizacji, dla której pracuje (np. firmie).

Osoba będąca administratorem danych jest odpowiedzialna na mocy art. 5 II GDPR. Jest ona zatem odpowiedzialna za zapewnienie, że zasady ochrony danych zawarte w art. 5 I GDPR są ewidentnie przestrzegane.

Szczególna cecha pojawia się w przypadku wspólnej odpowiedzialności. Zgodnie z art. 26 GDPR współadministratorzy mogą istnieć, jeżeli dwóch lub więcej administratorów określa cele i sposoby przetwarzania. W tym przypadku kluczowe jest, aby przetwarzanie było faktycznie realizowane wspólnie. Dzieje się tak, jeśli realizowane są wspólne cele, a przetwarzanie jest możliwe tylko dlatego, że współpracują w nim wszyscy kontrolerzy. W odniesieniu do integracji przycisku Facebook Like na stronie internetowej ETS potwierdził wspólną odpowiedzialność operatora strony internetowej i Facebooka. W ten sam sposób jednak kilku administratorów może być wspólnie zaangażowanych w operację przetwarzania, nie ponosząc przy tym wspólnej odpowiedzialności. Dzieje się tak w przypadku zwykłej wymiany danych bez wspólnych celów i środków.

W praktyce współodpowiedzialność może występować zwłaszcza wtedy, gdy przetwarzanie jednego podmiotu nie jest możliwe lub użyteczne bez przetwarzania drugiego podmiotu.

W przypadku wspólnej odpowiedzialności zaangażowani administratorzy muszą określić w umowie zgodnie z art. 26 I GDPR, który z nich przyjmuje na siebie jakie obowiązki wynikające z prawa ochrony danych, takie jak obowiązki informacyjne. Umowa ta musi być przejrzysta, tj. pokazywać rzeczywiste relacje i funkcje wobec podmiotów danych. Zgodnie z art. 26 III GDPR osoba, której dane dotyczą, może nadal zwracać się do każdego z administratorów w celu dochodzenia swoich praw.

Prawnie niezależne spółki należy zawsze traktować jako odrębnych administratorów danych, co jest szczególnie ważne w ramach grupy spółek. Osoby odpowiedzialne za poszczególne części grupy spółek nie są jednak chronione przez motyw 48 RODO. DSGVO ma uzasadniony interes w wymianie danych osobowych w ramach Grupy.

Procesor

Podmiot przetwarzający jest zdefiniowany w art. 4 nr 8 RODO jako każda osoba fizyczna lub prawna, organ publiczny, agencja lub inny organ, który dane osobowe w imieniu administratora przetwarzane. Musi to być zatem osoba inna niż administrator danych i osoba ta musi działać w imieniu administratora danych.

Procesor sam w sobie nie jest kontrolerem. Działa wyłącznie na podstawie instrukcji administratora. W celu zapewnienia zgodności z przepisy dotyczące ochrony danych administrator jest nadal odpowiedzialny. Jeżeli jednak podmiot przetwarzający zignoruje swoje upoważnienie i samodzielnie określi cele i sposoby przetwarzania, uznaje się go za administratora w tym zakresie (art. 28 X RODO).

Należy mierzyć w poszczególnych przypadkach, ile swobody może mieć jeszcze procesor w przetwarzaniu, mimo że jest związany instrukcjami. Jeśli mają zbyt dużą odpowiedzialność osobistą, stają się ostatecznie administratorem danych.

W praktyce zlecone przetwarzanie istnieje wtedy, gdy czynności wsparcia technicznego i procesy przetwarzania danych są zlecane zewnętrznym dostawcom usług. Typowe przypadki zleconego przetwarzania to np. niszczenie plików, przechowywanie danych przez usługi w chmurze lub przetwarzanie danych w call center.

Jeśli procesor ma wykonywać dane osobowe jest również odbiorcą zgodnie z art. 4 nr 9 RODO.