Wbrew pozorom RODO nie jest takie trudne  do przeczytania i zrozumienia.

Co innego RODO w praktyce.

Rozporządzenie zawiera  definicje administratora danych i podmiotu przetwarzającego, zgodnie z którymi administrator oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych. Podmiotem przetwarzającym czyli procesorem według rozporządzenia jest podmiot, który  przetwarza dane osobowe w imieniu administratora.

Pomimo prostych definicji prawidłowa kwalifikacja podmiotowa nie jest zawsze łatwa.

Określenie, czy dany podmiot jest administratorem danych czy nie, jest niezwykle istotne z punktu widzenia obowiązków, które na nim ciążą  oraz  dla ustalenia głównego podmiotu odpowiedzialnego za przetwarzanie. Administrator odpowiada za zgodność przetwarzania z zasadami, za realizację żądań osób, których dane dotyczą, a także w pełni  odpowiada za  przetwarzanie danych przez niego samego lub w jego imieniu.

Przetwarzanie danych osobowych przez określony podmiot nie oznacza automatycznie, że podmiot ten jest administratorem danych osobowych.

W świetle definicji zawartej w RODO czynnikiem decydującym o zakwalifikowaniu danego podmiotu jako administratora jest stwierdzenie, kto ustala  cele i sposoby przetwarzania danych osobowych. Innymi słowy administratorem danych osobowych jest podmiot, który przetwarza dane osobowe, a ponadto który decyduje o celach i środkach przetwarzania danych osobowych.

Decydowanie o celach i środkach przetwarzania powinno być rozumiane jako faktyczne podejmowanie we własnym imieniu i na własną rzecz decyzji o tym, jakie dane są zbierane, w jakich konfiguracjach, w jakim celu i jak długo będą przetwarzane, czy samodzielnie czy  za pomocą podmiotów zewnętrznych.

Oczywiste jest, że nie zawsze administrator będzie zachowywał pełną decyzyjność co do każdego aspektu przetwarzania. Kluczowe jest jednak, by administrator we własnym imieniu  podejmował decyzje  o zasadniczym znaczeniu dla danego przetwarzania. Przy ustalaniu, któremu podmiotowi przypisany jest status administratora, konieczne jest określenie, który podmiot podejmuje pierwotną, inicjalną decyzję o zastosowaniu określonego mechanizmu przetwarzania.

Przykład:  Administratorem jest pracodawca w odniesieniu do danych osobowych pracownika; stowarzyszenie, partia polityczna wobec danych osobowych swoich członków; podmiot prowadzący sklep internetowy  wobec danych swoich klientów.

Niezwykle istotną kwestią jest również prawidłowe odróżnienie podmiotu przetwarzającego (procesora) od administratora danych osobowych.  Zasadniczą cechą procesora jest to, że dokonuje on czynności przetwarzania „w imieniu administratora”, a więc sam nie decyduje o celu i sposobach przetwarzania, lecz realizuje cele określone mu przez  administratora.  

Należy jednak mieć na uwadze że  procesor ma pewien wpływ na określanie sposobów przetwarzania w tym znaczeniu, że w ramach swojej specjalizacji procesor sugeruje administratorowi stosowanie określonych narzędzi czy ustandaryzowanych rozwiązań np. oprogramowanie wykorzystywane do przetwarzania danych osobowych. Nadal jednak administrator  choćby w sposób ogólny określa sposoby przetwarzania danych.

Przykłady czynności związane z powierzeniem: przekazywanie dokumentów do niszczenia, korzystanie z usług outsourcingu księgowego, kadrowego, usługi hostingu, usługi agencji marketingowych, usługi przechowywania dokumentów itp.

Administrator i podmiot przetwarzający są uczestnikami procesu przetwarzania podejmowanego w określonym celu i zakresie. Każdemu z tych podmiotów przysługuje szereg praw i obowiązków. Pamiętajmy, że  za przetwarzanie danych niezgodnie z przepisami prawa osoba, która uważa że jej prawa zastały naruszone,  może żądać odszkodowania  zarówno od administratora danych jak również procesora.

Natomiast jak będą wyglądały wzajemne rozliczenia administratora  z procesorem określają odpowiednie przepisy unijne o obowiązkach administratora i podmiotu odpowiedzialnego oraz  może określać  to umowa o powierzenie przetwarzania danych osobowych, o ile jej postanowienia nie są sprzeczne z RODO.

Olga Sklyarova, audytor JDS Consulting