Jeszcze tylko przez około miesiąc można zgłaszać uwagi do wytycznych związanych z zagadnieniami administratora, współadministratora i podmiotu przetwarzającego. Co warto wiedzieć na temat tych definicji?
Z artykułu dowiesz się m.in.:
- Jak definiuje się pojęcie administratora danych osobowych, podmiotu przetwarzającego oraz współadministratora.
- W jakich przypadkach mamy do czynienia z administrowaniem danymi osobowymi, współadministrowaniem lub powierzeniem danych podmiotowi przetwarzającemu.
- Na jakie sytuacje być wyczulonym oraz jak sobie z nimi radzić w przypadku wątpliwości dotyczących relacji na linii współpracy powyższych podmiotów.
Europejska Rada Ochrony Danych (EROD) do 19 października 2020 r. przyjmuje uwagi do Wytycznych 7/2020 w sprawie pojęć administratora i podmiotu przetwarzającego na gruncie Ogólnego rozporządzenia o ochronie danych z 27 kwietnia 2016 r. (tj. RODO). Choć wydaje się, że po dwóch latach od rozpoczęcia stosowania przepisów RODO zagadnienia te nie powinny budzić jakichkolwiek wątpliwości, to w dalszym ciągu są to kwestie sporne, które nasilają się m.in. przy zawieraniu umów powierzenia danych osobowych do przetwarzania. Dla porządku zatem, i uniknięcia nieporozumień, zacznijmy od kluczowych definicji.
Kim jest administrator danych osobowych
To osoba fizyczna lub prawna (także organ publiczny, jednostka lub inny podmiot), który samodzielnie lub wspólnie z innymi ustala cel i sposoby przetwarzania (cel i sposób przetwarzania może wynikać także z prawa Unii lub prawa państwa członkowskiego).
Przykładem może tu być spółka ABC, która realizując swoją działalność statutową przetwarza dane osobowe swoich pracowników oraz klientów, którym sprzedaje towary. Spółka ABC jest administratorem danych pracowników (cel to m.in. obsługa kadrowo-płacowa, a sposób przetwarzania to choćby wybór oprogramowania, czy też powierzenie tych działań na zewnątrz) i klientów (cel to m.in. przetwarzanie danych dla potrzeb sprzedaży i związanych z tym obowiązków, a sposób przetwarzania to np. decyzja o sprzedaży towarów za pomocą platformy internetowej). Kluczowe jest zadem postawienie pytań: dlaczego i jak będziemy przetwarzać dane osobowe.
Nasz ekspert Kacper Rączkowiak jest do Twojej dyspozycji.
Współadministrator danych osobowych
Ze współadministrowaniem danymi osobowymi mamy do czynienia w sytuacji, kiedy istnieje zależność polegająca na tym, że co najmniej dwóch administratorów wspólnie ustala cele i sposoby przetwarzania. Zatem o tym dlaczego i jak będziemy przetwarzać dane osobowe decydują w tym przypadku co najmniej dwa podmioty. Decyzja musi być wspólna. Przetwarzanie nie jest możliwe bez udziału jednego ze współadministratorów.
Idąc za treścią Wytycznych 7/2020 przykładem współadministrowania może być współpraca biura podróży, linii lotniczych i hotelu, jeżeli podmioty te podjęłyby decyzję o stworzeniu jednej platformy interaktywnej ze wspólną bazą danych klientów dla potrzeb wspólnej usługi. Istnienie usługi jest uzależnione w takim przypadku od stałej współpracy tych trzech podmiotów. Ponadto całość współpracy wiąże się także ze wspólnymi działaniami sprzedażowo-marketingowymi. W pozostałych relacjach, tj. poza wspólną platformą, podmioty te pozostają odrębnymi administratorami danych.
Podmiot przetwarzający (procesor)
To osoba fizyczną lub prawna, organ publiczny, jednostka lub inny podmiot, który przetwarza dane osobowe w imieniu administratora i zgodnie z jego zaleceniami. Procesor jest podmiotem odrębnym organizacyjnie od administratora i przetwarza dane osobowe wyłącznie zgodnie z instrukcjami administratora. Co ważne, procesor w wielu przypadkach ma wpływ na sposoby przetwarzania (np. wybór oprogramowania), ale nie wyklucza to jego przypisania do roli podmiotu przetwarzającego.
Na przykład wspomniana wyżej spółka ABC podczas realizacji swoich statutowych działań może korzystać z usług zewnętrznego podmiotu zapewniającego obsługę kadrowo-płacową, wsparcia IT (w tym usług hostingu), a także ze wsparcia agencji marketingowej, która zajmuje się wysyłką newslettera do klientów spółki ABC. Każdy z tych podmiotów, w odniesieniu do danych klientów lub pracowników spółki ABC, działa tylko i wyłącznie zgodnie z instrukcjami spółki ABC. Podmioty te nie mają własnego celu przetwarzania.
Zapisz się do newslettera „Alerty RODO” – nie daj się zaskoczyć!
Skąd biorą się problemy
W początkowym okresie stosowania przepisów RODO źródłem problemów zwykle było pomijanie lub brak jasnego opisu relacji między dwoma odrębnymi administratorami danych osobowych. Mamy tutaj do czynienia z sytuacją, w której specyficzna rola podmiotu zewnętrznego, jak i regulacje prawne wg których wykonuje on swoje czynności, uniemożliwiają działanie zgodne ze wskazówkami administratora danych.
Przykładem tego typu sytuacji jest badanie sprawozdań finansowych przez biegłego rewidenta. Do końca ubiegłego roku samorząd zawodowy biegłych rewidentów wskazywał na konieczność stosowania umowy powierzenia danych osobowych przy badaniu sprawozdania finansowego. Biegły rewident nie będzie mógł wykonać wskazówek administratora, bo spoczywają na nim obowiązki ustawowe, jak i standardy wykonywania zawodu, które określają jego niezależność. Podobna sytuacja dotyczy np. adwokatów, czy radców prawnych, którym udostępnimy m.in. dane osobowe naszych pracowników dla potrzeb konkretnego postępowania.
Zatem przy zastanawianiu się nad zasadnością zawarcia umowy powierzenia danych osobowych do przetwarzania, administrator powinien także odpowiedzieć sobie na pytanie: czy istnieją regulacje, które wykluczają działania podmiotu zewnętrznego zgodnie z instrukcjami administratora i w celu przez niego określonym.
Na co uważać przy wyznaczaniu współadministratora?
Jest to relacja marginalna w stosunku do relacji administrator – administrator, czy też procesor – administrator. Pojawia się niezwykle rzadko, ponieważ nieczęsto pojawiają się procesy przetwarzania, w których wspólna decyzja rzeczywiście będzie niezbędna.
Przykładowe nadużycia stosowania tej relacji, to współpraca w ramach grup przedsiębiorstw. Spółki matki często określają, że współadministrują danymi osobowymi spółek podległych – np. w przypadku potrzeby analizy wynagrodzeń. W rzeczywistości relacja taka jest zwykle narzucana podmiotom powiązanym i nie ma mowy o jakiejkolwiek wspólnej decyzji. Często są to procesy własne odrębnych administratorów, co zresztą ustawodawca przewidział m.in. w Motywie 48 RODO. Ponadto w ramach niektórych grup przedsiębiorców z reguły pojawia się relacja administrator – procesor, tj. wspólne IT, czy też działanie SSC.
Uwaga na relacje administrator – procesor
W przypadku relacji administrator – procesor nadal mogą się pojawić problemy związane przede wszystkim z utarciem się pewnych schematów, które są powodem tworzenia zbędnych umów powierzenia. Przykładem może być narzucenie umowy powierzenia danych osobowych do przetwarzania np. przy realizacji praktyk studenckich i zawodowych. Właśnie w tych przypadkach nagminne były i są sytuacje narzucania pracodawcom roli procesora. Odpowiedzi na to wyzwanie można doszukać się w stanowisku dostępnym na witrynie Urzędu Ochrony Danych Osobowych (UODO) z 5 marca 2020 r., tj.
Już wstępna analiza powyższego stanowiska powinna być punktem wyjścia do zastanowienia się, czy opisana relacja nie byłaby zasadna także w przypadku staży czy np. pracowników tymczasowych).
***
Niniejszy artykuł jest jedynie wstępem do szerszej analizy zarysowanego problemu. W kolejnych artykułach zastanowimy się nad pojęciem odbiorcy danych i strony trzeciej, a także nad kolejnym ważnym zagadnieniem, tj. zleceniem przetwarzania danych, ponieważ pojęcie to może okazać się istotne przy określeniu zasadności sporządzenia umowy powierzenia danych osobowych do przetwarzania. Pojęcie odbiorcy i strony trzeciej sprawia wiele trudności interpretacyjnych, a w Wytycznych 7/2020 aspekt ten został dosyć szczegółowo opisany.
Wytyczne 7/2020 są dostępne na stronie UODO: https://uodo.gov.pl/pl/138/1712.
AUTOR: Kacper Rączkowiak