AUTOR: RADCA PRAWNY KRZYSZTOF ŻABIŃSKI
W poprzednim artykule omówione zostały prawa przysługujące na gruncie RODO[1] osobom, których dane są przetwarzane oraz skorelowane z tymi prawami obowiązki administratora. Kim jednak jest ów administrator i jaką pełni rolę w procesie przetwarzania danych osobowych? Czy w ogóle musi brać w nim udział? Między innymi na to pytanie odpowiem Państwu w niniejszym artykule. Oprócz tego wyjaśnię, kim jest podmiot przetwarzający i co odróżnia go od administratora. Zgłębienie tego zagadnienia jest niezwykle istotne, jako że bez tej wiedzy trudno należycie wykonywać swoje prawa przyznane przez rozporządzenie. Jest to ważne również z punktu widzenia administratorów, albowiem jednym z obowiązków nakładanych na nich przez RODO jest podanie osobie, której dane dotyczą, swojej tożsamości i danych kontaktowych.
Administrator
Zgodnie z definicją zawartą w art. 4 pkt 7 zdanie pierwsze RODO „administrator” oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych.
Cechą, która pozwala na przypisanie danemu podmiotowi statusu administratora jest samodzielność i swoboda w określaniu „dlaczego” i „jak” prowadzić czynności przetwarzania danych osobowych. Dodatkowo decyzje muszą być podejmowane przez niego faktycznie; nie mogą być to czynności pozorne. Nie oznacza to, że administrator nie może posługiwać się innymi podmiotami w procesie przetwarzania danych osobowych. Najważniejsze jest, żeby proces decyzyjny co do celów i sposobów odbywał się po stronie administratora danych osobowych. Zazwyczaj będą to zatem podmioty kierujące określoną działalnością, w ramach której dochodzi do przetwarzania danych osobowych[2].
Administrator jest nie tylko adresatem szeregu obowiązków względem osób, których dane są przetwarzane[3], ale też ponosi odpowiedzialność za naruszenie przepisów RODO. Może być to odpowiedzialność administracyjna polegająca na wydawaniu mu przez organ nadzorczy ostrzeżeń, udzielaniu upomnień, nakładaniu nakazów i ograniczeń oraz administracyjnych kar pieniężnych, jak też odpowiedzialność cywilna względem osoby, która poniosła szkodę majątkową lub niemajątkową[4] w wyniku naruszenia przez administratora przepisów rozporządzenia.
Współadministratorzy
Zgodnie z art. 26 ust. 1 zdanie pierwsze RODO, jeżeli co najmniej dwóch administratorów wspólnie ustala cele i sposoby przetwarzania, są oni współadministratorami. W sytuacji takiej znajdują się np. wspólnicy spółki cywilnej. Może ona również wystąpić w przypadku grup kapitałowych, w których kilka spółek wspólnie ustala cele i sposoby przetwarzania danych osobowych.
Najważniejszą rzeczą, o jakiej muszą pamiętać współadminstratorzy jest to, że RODO nakłada na nich obowiązek dokonania wspólnych uzgodnień, w których w przejrzysty sposób określą odpowiednie zakresy swojej odpowiedzialności dotyczącej wypełniania obowiązków wynikających z omawianego rozporządzenia. Dodatkowo zasadnicza treść tych uzgodnień musi zostać udostępniona podmiotom, których dane dotyczą. Zaniedbanie tych obowiązków stanowi naruszenie przepisów RODO i w konsekwencji może skutkować nawet nałożeniem na administratorów administracyjnej kary pieniężnej. Może ona być nader dotkliwa, ponieważ jak przewiduje art. 83 ust. 4 RODO naruszenie wyżej wskazanych obowiązków ciążących na współadministratorach podlega karze pieniężnej w wysokości do 10 milionów euro.
Bez względu jednak na poczynione pomiędzy współadministratorami uzgodnienia, osoba, której dane dotyczą, może wykonywać przysługujące jej prawa (czyli np. żądać dostępu do danych, wnieść sprzeciw wobec przetwarzania jej danych osobowych czy domagać się ich usunięcia) wobec każdego z administratorów.
Podmiot przetwarzający
Stosownie do art. 4 pkt 8 RODO „podmiot przetwarzający” oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który przetwarza dane osobowe w imieniu administratora.
Podmiot przetwarzający jest zatem podmiotem odrębnym od administratora, który przetwarza dane osobowe w jego imieniu. W relacji administrator – podmiot przetwarzający cele i sposoby przetwarzania danych osobowych ustala administrator. Podmiot przetwarzający jest swego rodzaju „narzędziem”, którym posługuje się administrator. To od działania i polecenia administratora zależy, czy w danej relacji podmiot przetwarzający będzie przetwarzał dane osobowe. Jego działania w zakresie przetwarzania danych mogą ograniczać się do ściśle określonego zadania lub kontekstu, lub mieć bardziej ogólny charakter i szerszy zakres.
Do typowych sytuacji, w których może dochodzić do powierzenia przetwarzania danych osobowych, zaliczają się:
- korzystanie z usług hostingu;
- wynajmowanie przestrzeni magazynowej dla przechowywania dokumentów z danymi osobowymi;
- korzystanie z zewnętrznych usług księgowo-rachunkowych.
Podmiot przetwarzający tak samo jak administrator musi dysponować podstawą prawną przetwarzania danych osobowych. Podstawą tą nie będzie jednak – jak w przypadku administratora – art. 6, art. 9 czy art. 10 RODO[5], tylko umowa zawarta z administratorem. Jest to obowiązek, o którym należy bezwzględnie pamiętać, ponieważ jego zaniedbanie prowadzi do powierzenia przetwarzania danych osobowych bez podstawy prawnej i może skutkować nałożeniem na administratora kary pieniężnej. Sytuacja taka miała już miejsce np. w odniesieniu do burmistrza Aleksandrowa Kujawskiego – pierwszego podmiotu publicznego, który został w Polsce ukarany administracyjną karą pieniężną w wysokości 40.000,00 złotych[6].
Dodatkowo podmiot przetwarzający nie jest adresatem obowiązków względem osób, których dane są przetwarzane, omówionych w poprzednim artykule[7]. Nie musi on między innymi przekazywać tym osobom informacji o przetwarzaniu danych osobowych, o których mowa w art. 13 i art. 14 RODO.
Nie oznacza to jednak, że nie ciążą na nim żadne obowiązki. Tak samo jak administrator musi on zabezpieczyć przetwarzane dane osobowe, dbać o bezpieczeństwo w procesie przetwarzania czy współpracować z organem nadzorczym w ramach wykonywania przez niego swoich zadań. Również i on może być adresatem wydawanych przez organ nadzorczy ostrzeżeń, udzielanych upomnień, nakładanych nakazów i ograniczeń oraz administracyjnych kar pieniężnych. Ponadto może on być pozwany w procesie o odszkodowanie za szkodę powstałą w wyniku naruszenia RODO.
Należy też pamiętać, że ta sama osoba, organ czy jednostka może działać jednocześnie jako administrator danych w przypadku niektórych operacji przetwarzania oraz jako podmiot przetwarzający w przypadku innych tego rodzaju operacji.
PRZYKŁAD: Dostawca usług internetowych typu hosting jest zasadniczo podmiotem przetwarzającym w przypadku danych osobowych publikowanych online przez jego klientów, na rzecz których świadczy usługi w zakresie hostingu i prowadzenia strony internetowej. Jeżeli jednak dostawca usług nadal przetwarza do własnych celów dane zawarte na stronach internetowych, jest administratorem danych w odniesieniu do tego określonego działania[8].
Reasumując
Pojęcia administratora, współadministratora i podmiotu przetwarzającego odgrywają kluczową rolę w stosowaniu RODO. Określają one bowiem, kto jest odpowiedzialny za zgodność przetwarzania danych osobowych z prawem oraz w jaki sposób osoby, których dane dotyczą mogą wykonywać swoje prawa w praktyce. Ma to znaczenie również dla osób, które występują w roli administratora lub podmiotu przetwarzającego, ponieważ determinuje zakres ich obowiązków względem osób, których dane dotyczą. Dlatego tak ważnym jest zarówno zrozumienie tych pojęć, jak i ich prawidłowa interpretacja.
[1] Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 roku w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. U. L 119 z 4.5.2016)
[2] Niekiedy administrator jest wprost wskazany w przepisach i nie trzeba go poszukiwać poprzez sprawdzanie, kto faktycznie podejmuje decyzje co do celów i sposobów przetwarzania danych osobowych. Przeważnie sytuacja taka będzie miała miejsce w odniesieniu do organów administracji publicznej. Tytułem przykładu można wskazać art. 25b ustawy z dnia 26 października 1982 r. o wychowaniu w trzeźwości i przeciwdziałaniu alkoholizmowi (t.j. Dz. U. z 2021 r. poz. 1119), który stanowi, że wójt (burmistrz, prezydent miasta) jest administratorem danych, o których mowa w art. 25a ust. 1 i 2, przetwarzanych przez powołaną przez niego gminną komisję rozwiązywania problemów alkoholowych, czy art. 4 ust. 2 ustawy z dnia 24 maja 2000 r. o Krajowym Rejestrze Karnym (t.j. Dz. U. z 2021 r. poz. 1709), który stanowi, że Minister Sprawiedliwości jest administratorem danych zgromadzonych w Rejestrze.
[3] Patrz artykuł „PRAWDZIWE OBLICZE RODO: Poznaj swoje prawa”: http://www.defensoriuris.pl/blog-strefa/tematy/prawdziwe-oblicze-rodo-poznaj-swoje-prawa/
[4] RODO nie posługuje się pojęciem „krzywda” czy „szkoda na osobie”, tylko „szkoda majątkowa” oraz „szkoda niemajątkowa”. Zagadnienie to zostanie dokładniej omówione w artykule dotyczącym cywilnoprawnej odpowiedzialności administratora i podmiotu przetwarzającego.
[5] Patrz: http://www.defensoriuris.pl/blog-strefa/tematy/zgoda/ oraz http://www.defensoriuris.pl/aktualnosci/prawdziwe-oblicze-rodo-dane-wrazliwe-a-wizerunek/.
[6] Brak zawarcia umowy powierzenia przetwarzania danych osobowych był jednym z kilku naruszeń, których dopatrzył się Prezes Urzędu Ochrony Danych Osobowych, a który wpłynął na ostateczną wysokość nałożonej na administratora kary. Problem związany był z prowadzeniem Biuletynu Informacji Publicznej. Znajdywał się on bowiem na serwerach podmiotu, z którym nie zawarto umowy powierzenia przetwarzania danych osobowych. Umowy takiej nie zawarto również z podmiotem, który dostarczał oprogramowanie do stworzenia BIP i zajmował się obsługą serwisową w tym zakresie. W obu przypadkach dochodziło zatem do przetwarzania danych osobowych w imieniu administratora, ale bez podstawy prawnej. Więcej patrz: https://uodo.gov.pl/decyzje/ZSPU.421.3.2019 oraz https://uodo.gov.pl/pl/138/1240. Burmistrz wniósł skargę na decyzję PUODO, jednak została ona oddalona: https://uodo.gov.pl/pl/138/1644.
[7] Patrz: http://www.defensoriuris.pl/blog-strefa/tematy/prawdziwe-oblicze-rodo-poznaj-swoje-prawa/.
[8] Więcej na temat rozróżnienia pojęć „administrator” i „podmiot przetwarzający” patrz przede wszystkim: Opinia 1/2010 w sprawie pojęć „administrator danych” i „przetwarzający” (WP 169) (https://archiwum.giodo.gov.pl/pl/1520057/3595) oraz Wytyczne EROD 7/2020 w sprawie pojęć administratora i podmiotu przetwarzającego na gruncie RODO (https://edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-072020-concepts-controller-and-processor-gdpr_pl) – wersja angielska.
RADCA PRAWNY KRZYSZTOF ŻABIŃSKI
ukończył studia prawnicze na Uniwersytecie Szczecińskim. Następnie odbył aplikację radcowską w Okręgowej Izbie Radców Prawnych w Koszalinie, a w 2017 r. uzyskał uprawnienia do wykonywania zawodu.
Przed wpisem na listę radców prawnych i otwarciem własnej kancelarii pracował w kancelarii notarialnej, w sądzie jako asystent sędziego, a później w kancelarii innego radcy prawnego. W roku akademickim 2018/2019 ukończył studia podyplomowe z ochrony danych osobowych na Uniwersytecie Gdańskim.
Obecnie specjalizuje się w sprawach z zakresu ochrony danych osobowych, kredytów walutowych, odszkodowania i zadośćuczynienia wskutek wypadków komunikacyjnych, sporów gospodarczych miedzy przedsiębiorcami, sporów dotyczących współwłasności, a także prawa rodzinnego. Posługuje się również językiem angielskim na poziomie C1.
Więcej: klik.