Kontroler i podmiot przetwarzający - podstawy GDPR

Terminy "administrator danych" i "podmiot przetwarzający" są centralnym elementem GDPR. Ktokolwiek jest administratorem danych lub podmiotem przetwarzającym, podlega odpowiednim obowiązkom wynikającym z GDPR.

Ale kiedy dokładnie jesteś kontrolerem lub procesorem i jakie są tego konsekwencje?

Odpowiedzialny

Definicja administratora danych znajduje się w art. 4 nr 7 GDPR. Zgodnie z nią, administratorem danych jest każda osoba fizyczna lub prawna, organ publiczny, agencja lub inny podmiot, który samodzielnie lub wspólnie z innymi określa cele i środki przetwarzania danych osobowych. Aby być administratorem danych, nie jest konieczne samodzielne gromadzenie lub przetwarzanie danych, ale wystarczy określenie celów i środków.

O tym, kto jest odpowiedzialny, może decydować prawo, ale poza tym należy to rozumieć funkcjonalnie: Należy brać pod uwagę zakres faktycznych działań podejmowanych przez dany podmiot. 

Jeśli jednak w firmie podejmowane są decyzje dotyczące celów i środków przetwarzania danych, to administratorem danych nie jest pojedynczy pracownik, ale firma jako całość. Jeśli działa pojedyncza osoba fizyczna (np. pracownik), należy zatem zawsze zbadać, czy działanie to można przypisać samej osobie, czy też organizacji, dla której pracuje (np. firmie).

Osoba będąca administratorem danych jest odpowiedzialna na mocy art. 5 II GDPR. Jest ona zatem odpowiedzialna za zapewnienie, że zasady ochrony danych zawarte w art. 5 I GDPR są ewidentnie przestrzegane.

Szczególna cecha pojawia się w przypadku wspólnej odpowiedzialności. Zgodnie z art. 26 GDPR współadministratorzy mogą istnieć, jeżeli dwóch lub więcej administratorów określa cele i sposoby przetwarzania. W tym przypadku kluczowe jest, aby przetwarzanie było faktycznie realizowane wspólnie. Dzieje się tak, jeśli realizowane są wspólne cele, a przetwarzanie jest możliwe tylko dlatego, że współpracują w nim wszyscy kontrolerzy. W odniesieniu do integracji przycisku Facebook Like na stronie internetowej ETS potwierdził wspólną odpowiedzialność operatora strony internetowej i Facebooka. W ten sam sposób jednak kilku administratorów może być wspólnie zaangażowanych w operację przetwarzania, nie ponosząc przy tym wspólnej odpowiedzialności. Dzieje się tak w przypadku zwykłej wymiany danych bez wspólnych celów i środków.

W praktyce współodpowiedzialność może występować zwłaszcza wtedy, gdy przetwarzanie jednego podmiotu nie jest możliwe lub użyteczne bez przetwarzania drugiego podmiotu.

W przypadku wspólnej odpowiedzialności zaangażowani administratorzy muszą określić w umowie zgodnie z art. 26 I GDPR, który z nich przyjmuje na siebie jakie obowiązki wynikające z prawa ochrony danych, takie jak obowiązki informacyjne. Umowa ta musi być przejrzysta, tj. pokazywać rzeczywiste relacje i funkcje wobec podmiotów danych. Zgodnie z art. 26 III GDPR osoba, której dane dotyczą, może nadal zwracać się do każdego z administratorów w celu dochodzenia swoich praw.

Prawnie niezależne przedsiębiorstwa należy zawsze traktować jako odrębnych administratorów danych, co jest szczególnie ważne w ramach grupy przedsiębiorstw. Administratorom poszczególnych części grupy przedsiębiorstw przyznaje się jednak uzasadniony interes w wymianie danych osobowych w ramach grupy przedsiębiorstw na mocy motywu 48 GDPR.

Procesor

Procesor jest zdefiniowany w art. 4 nr 8 GDPR jako każda osoba fizyczna lub prawna, organ publiczny, agencja lub inny organ, który przetwarza dane osobowe w imieniu administratora. Musi to być zatem ktoś inny niż administrator danych i osoba ta musi działać w imieniu administratora danych.

Procesor nie jest osobą odpowiedzialną. Działa on wyłącznie na polecenie administratora danych. Administrator nadal odpowiada za przestrzeganie przepisów o ochronie danych osobowych. Jeśli jednak procesor zlekceważy jego instrukcje i sam określi cele i środki przetwarzania, jest uważany za administratora danych (art. 28 X GDPR).

Należy mierzyć w poszczególnych przypadkach, ile swobody może mieć jeszcze procesor w przetwarzaniu, mimo że jest związany instrukcjami. Jeśli mają zbyt dużą odpowiedzialność osobistą, stają się ostatecznie administratorem danych.

W praktyce zlecone przetwarzanie istnieje wtedy, gdy czynności wsparcia technicznego i procesy przetwarzania danych są zlecane zewnętrznym dostawcom usług. Typowe przypadki zleconego przetwarzania to np. niszczenie plików, przechowywanie danych przez usługi w chmurze lub przetwarzanie danych w call center.

Jeśli dane osobowe są ujawniane podmiotowi przetwarzającemu w ramach jego zlecenia, jest on jednocześnie odbiorcą zgodnie z art. 4 nr 9 DSGVO.