Administrator, procesor, odbiorca… – kto jest kim w systemie ochrony danych osobowych?

Niebawem upłyną cztery lata, odkąd zaczęły być stosowane przepisy RODO. Z oczywistych powodów zainteresowanie Rozporządzeniem Ogólnym aktualnie jest już nieco mniejsze niż w pierwszej połowie 2018 r. Nie wzbudza ono przy tym już tak dużych obaw związanych z jego stosowaniem. Jednak nadal wielu przedsiębiorców nie jest do tego aktu prawnego nastawiona pozytywnie i ma wątpliwości co do prawidłowości realizacji elementarnych obowiązków w tym obszarze. Niewątpliwie jednym z powodów takiego stanu rzeczy jest niezrozumienie funkcji, jakie w konkretnych sytuacjach pełnią poszczególne podmioty w systemie ochrony danych osobowych ustanowionym przez RODO. Trzeba przy tym stwierdzić, że w dużej mierze nie jest to wina samych przedsiębiorców. Nie sposób bowiem nie zauważyć, że ochrona danych osobowych jest zagadnieniem złożonym i wielowątkowym, a także, a może przede wszystkim, czasochłonnym. Wielu ekspertów podkreśla także jego kontekstowość. To wszystko sprawia, że rzeczy na pierwszy rzut oka oczywiste, wcale takimi być nie muszą, jeżeli przeanalizujemy zagadnienie nieco dokładniej. Spróbujmy zatem bliżej przyjrzeć się najważniejszym podmiotom w systemie ochrony danych osobowych.

Administrator

Nie ulega wątpliwości, że kluczowym w tym obszarze „graczem” jest administrator. Dla osób nie zajmujących się na co dzień ochroną danych osobowych jest to określenie, które nie do końca oddaje swoją istotę i specyfikę. Przynajmniej część z nas intuicyjnie kojarzy taką rolę z kimś, kto odpowiada za prawidłowe działanie np. systemu informatycznego czy nadzoruje właściwe funkcjonowanie obiektu lub osiedla we wspólnocie mieszkaniowej. Najczęściej jednak nie kojarzymy tej funkcji z osobą decyzyjną, a raczej z wykonywaniem zleconego zadania. Tymczasem zgodnie z art. 4 pkt 7) RODO „administrator oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych”. Jest to zatem podmiot, który odgrywa największą rolę w procesach przetwarzania danych, gdyż – co należy podkreślić – to on decyduje o celu i sposobach przetwarzania danych. 

Przykład:

Pracodawca jest administratorem danych osobowych kandydatów do pracy i pracowników. Internetowa księgarnia jest administratorem danych osobowych klientów księgarni. Biuro podróży jest administratorem danych klientów biura. 

Administratorem mogą być zatem zarówno podmioty publiczne, czyli organy państwa, jednostki samorządu terytorialnego oraz państwowe i samorządowe jednostki organizacyjne, jak również podmioty prywatne, czyli przedsiębiorstwa takie jak:

• spółki jawne,
• spółki partnerskie,
• spółki komandytowe,
• spółki komandytowo-akcyjne,
• spółki z ograniczoną odpowiedzialnością,
• spółki akcyjne,
• osoby fizyczne prowadzące jednoosobową działalność,
• federacje branżowe, klastry i inne stowarzyszenia przedsiębiorców.

W ostatnim przypadku istotnym będzie fakt, że zarówno przedsiębiorcy zrzeszeni w klastrze, federacji czy stowarzyszeniu będą administratorami w zakresie danych przetwarzanych na potrzeby własnego przedsiębiorstwa, jak również będą nimi wskazane federacje itd. w zakresie, w jakim zbierają dane osobowe osób fizycznych.

Administratorami danych nie będą natomiast organy wskazanych podmiotów, czyli np.:

• prezes zarządu i poszczególni członkowie zarządu,
• rada nadzorcza i jej członkowie,
• dyrektorzy departamentów,
• wspólnicy,
• partnerzy,
• komandytariusze
• komplementariusze, itd.

Trzeba jednak zauważyć, że chociaż to spółki są administratorami, to poszczególne działania z obszaru ochrony dany osobowych podejmują organy uprawnione do reprezentowania spółek (np. prezes, zarząd).

Przykład: Powołanie nowego prezesa, odwołanie zarządu, poszerzenie składu rady nadzorczej nie powoduje zmiany administratora.

Z faktu bycia administratorem wynika wiele obowiązków, m. in. takich jak:

• zapewnienie, aby przetwarzanie danych osobowych odbywało się w oparciu o co najmniej jedną z przesłanek legalizujących takie działanie (art. 6 ust. 1 lub art. 9 ust. 2 RODO);
• zapewnienie, aby przetwarzanie danych odbywało się w zgodzie z zasadami przetwarzania (art. 5 ust. 1 RODO) oraz żeby administrator był w stanie wykazać (rozliczyć się), że faktycznie ma to miejsce (art. 5 ust. 2);
• poinformowanie osoby, której dane dotyczą, o fakcie przetwarzania jej danych osobowych i związanych z tym następstwach (art. 13 lub 14 RODO);
• oszacowanie, czy z operacjami przetwarzania danych wiąże się ryzyko lub wysokie ryzyko naruszenia (art. 32 RODO);
• zapewnienie bezpieczeństwa przetwarzania danych osobowych poprzez stosowanie środków technicznych i organizacyjnych (art. 32 RODO);
• przeprowadzenie oceny skutków dla ochrony danych (z ang. Data Protection Impact Assessment – DPIA), jeżeli zachodzi duże prawdopodobieństwo naruszenia praw i wolności osób, których dane przetwarza (art. 35 RODO);
• prowadzenie Rejestru Czynności Przetwarzania (RCP), jeśli zajdzie przesłanka wskazana w RODO (art. 30 RODO);
• współpraca z organem nadzorczym, np. poprzez zgłaszanie naruszenia ochrony danych osobowych organowi nadzorczemu, o ile zachodzą do tego przesłanki (art. 33 RODO);
• zawiadamianie osoby, której dane dotyczą, o naruszeniu ochrony danych osobowych, o ile zachodzą do tego przesłanki (art. 34 RODO);
• zapewnienie obsługi praw jednostki (art. 15-22 RODO);
• zadbanie o privacy by design i privacy by default;
• zawarcie umowy o współadministrowanie, jeżeli przetwarza dane osobowe z innym administratorem;
• zawarcie umowy z odpowiednim podmiotem przetwarzającym (procesorem), jeżeli chce skorzystać z takich usług;
• nadanie i odebranie upoważnień do przetwarzania danych od pracowników biorących udział w operacjach na danych osobowych;
• powołanie inspektora ochrony danych (IOD), o ile uzna to za niezbędne lub gdy wynika to z przepisów prawa;
• zastosowanie specjalnych środków bezpieczeństwa w przypadku transferu danych osobowych do państw spoza Europejskiego Obszaru Gospodarczego (EOG).

Zaznaczmy – powyższa lista nie wyczerpuje zadań i obowiązków administratora. Dla każdego powinno jednak być jasne to, że jest on kluczowym podmiotem w systemie ochrony danych osobowych.

Podmiot przetwarzający (procesor)

Kolejnym podmiotem, który odgrywa istotną rolę w procesach przetwarzania danych, jest zdefiniowany w art. 4 pkt 8) RODO „podmiot przetwarzający”, który niekiedy jest zwany także procesorem. Zgodnie z treścią przywołanego przepisu jest nim osoba fizyczna lub prawna, organ publiczny, jednostka lub inny podmiot, który przetwarza dane osobowe w imieniu administratora. Można stwierdzić, że najistotniejszą cechą podmiotu przetwarzającego jest właśnie to, że operacje przetwarzania danych wykonuje on na rzecz administratora (na jego zlecenie), czyli sam nie decyduje o celu i sposobach przetwarzania. Procesor realizuje cele wyznaczone mu przez administratora, który określa także sposoby przetwarzania danych.

Specjaliści z obszaru ochrony danych osobowych podkreślają niekiedy, że określenie „podmiot przetwarzający” nie najlepiej oddaje zarówno istotę tej funkcji oraz relacji istniejącej między nim a administratorem. Eksperci podkreślają, że „znacznie lepszym sformułowaniem wydaje się być nazwa „podmiot przetwarzający na zlecenie”, która bardziej precyzyjnie oddaje istotę tego pojęcia (ang. processor, niem. Auftragsverarbeiter). Określenie „podmiot przetwarzający” w powiązaniu z przetwarzaniem przez osobę fizyczną danych w imieniu administratora może prowadzić do błędnego uznawania, że w przypadku niektórych osób (np. pracownika) mamy do czynienia z „podmiotem przetwarzającym”[i]. Tymczasem istotą tego pojęcia jest nie tylko dokonywanie operacji na danych osobowych w imieniu administratora oraz na jego zlecenie, ale też to, że jest to wykonywane przez zewnętrzny podmiot nieznajdujący się w strukturze organizacyjnej administratora.

Przykład: Zewnętrzna spółka specjalizująca się w zarządzaniu płacami lub prowadząca obsługę księgową jest podmiotem przetwarzającym, gdyż przetwarza dane osobowe pracowników lub kontrahentów na zlecenie i w imieniu innego podmiotu, czyli administratora, który decyduje o sposobach i celach przetwarzania danych osobowych. Uwaga! Inaczej będzie w przypadku udostępnienie danych osobowych klientów biura podróży hotelowi, w którym będą zakwaterowani klienci biura. W tym drugim przypadku mamy do czynienia z dwoma odrębnymi i niezależnymi administratorami danych. Każdy z nich przetwarza dane we własnych celach i sam decyduje o sposobach przetwarzania danych.

Od podmiotu przetwarzającego należy odróżnić osoby, które przetwarzają dane z upoważnienia administratora. Mogą to być pracownicy zatrudnieni przy przetwarzaniu danych, osoby wykonujące czynności przetwarzania danych na podstawie umów cywilnoprawnych (wykonawca, zleceniobiorca) albo inne osoby, które administrator dopuścił do przetwarzania danych (np. praktykanci, stażyści, wolontariusze) w ramach swojej struktury organizacyjnej.

Prawodawca unijny zobowiązuje administratora do dokonania właściwego wyboru podmiotu przetwarzającego. Zgodnie z treścią art. 28 ust. 1) RODO administrator decydując się na powierzenie przetwarzania danych powinien korzystać „wyłącznie z usług takich podmiotów przetwarzających, które zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi niniejszego rozporządzenia i chroniło prawa osób, których dane dotyczą”. Zdaniem części ekspertów oznacza to, iż podmiotem przetwarzającym może być jedynie profesjonalista, czyli przedsiębiorca bądź podmiot nieprowadzący działalności gospodarczej (np. organizacja trzeciego sektora), natomiast nie może nim być osoba fizyczna nieprowadząca działalności gospodarczej. Nie wszyscy jednak podzielają takki pogląd.

Podmiot przetwarzający wykonuje operacje na danych osobowych na podstawie umowy zawartej z administratorem lub innego instrumentu prawnego, który podlega prawu Unii Europejskiej lub prawu krajowemu, a także na podstawie przepisów RODO. Zgodnie z treścią Rozporządzenia Ogólnego procesor jest zobowiązany m.in. do:

1) przetwarzania danych osobowych wyłącznie na udokumentowane polecenie administratora;

2) zapewnia, by osoby upoważnione do przetwarzania danych osobowych zobowiązały się do zachowania tajemnicy lub by podlegały odpowiedniemu ustawowemu obowiązkowi zachowania tajemnicy;

3) podejmowania odpowiednich środków technicznych i organizacyjnych, aby zapewnić stopień bezpieczeństwa odpowiadający ryzyku związanemu z przetwarzaniem danych;

4) przestrzegania warunków korzystania z usług innego podmiotu przetwarzającego (subprocesora);

5) świadczenia pomocy administratorowi w wywiązywaniu się z obowiązku odpowiadania na żądania osoby, której dane dotyczą, w zakresie wykonywania jej praw określonych w art. 15-22 RODO oraz 32-36 RODO;

6) usuwania lub zwracania administratorowi dane osobowe oraz usuwania ich istniejących kopii, chyba że prawo Unii lub prawo państwa członkowskiego nakazują przechowywanie danych osobowych;

7) udzielania pomocy w obsłudze audytów i inspekcji;

8) prowadzenia Rejestru Kategorii Czynności Przetwarzania (RKCP).

Ponadto w umowach zawieranych pomiędzy administratorem a podmiotem przetwarzającym należy uregulować m. in. takie zagadnienia jak:

1) przedmiot i czas trwania przetwarzania;

2) charakter i cel przetwarzania;

3) rodzaj danych osobowych oraz kategorie osób, których dane dotyczą;

4) obowiązki i prawa administratora.

Warto pamiętać, że o tym, czy w danej sytuacji zachodzi relacja administrator-podmiot przetwarzający, decydują okoliczności faktyczne, jakie zachodzą pomiędzy podmiotami. Nie może to zostać ustalone w treści umowy pomiędzy nimi, ani być arbitralna decyzją jednego z nich.

Inny podmiot przetwarzający (subprocesor)

W Rozporządzeniu Ogólnym nie znajdziemy definicji podmiotu podprzetwarzającego, podpowierzenia przetwarzania danych czy subprocesora. W art. 28 ust. 2 RODO jest mowa o „innym podmiocie przetwarzającym”. Pojawia się on w kontekście zobowiązania podmiotu przetwarzającego do korzystania z usług innego podmiotu przetwarzającego jedynie wtedy, kiedy administrator wyraził na to szczegółową lub ogólną pisemną zgodę.  Można jednak stwierdzić, że określenie subprocesor oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który przetwarza dane osobowe w imieniu podmiotu przetwarzającego (procesora).

Przykład: Korzystanie przez podmiot przetwarzający z usług chmurowych, które zakładają przechowywanie danych (hosting) w ramach zewnętrznej infrastruktury informatycznej, należy uznać za podpowierzenie przetwarzania danych.

W Rozporządzeniu Ogólnym są wskazane dwie formy podpowierzenia. W umowie zawartej pomiędzy administratorem a procesorem może znaleźć się szczegółowa zgoda administratora na konkretnego podprzetwarzającego albo ogólna zgoda administratora np. na podmioty z danej grupy kapitałowej. Umowa powinna też zawierać postanowienia dotyczące sposobów informowania o zmianach tj. dodawania lub zastępowania subprocesorów.

W przypadku niewywiązania się przez subprocesora z ciążących na nim obowiązków w zakresie ochrony danych, cała odpowiedzialność wobec administratora spoczywa na procesorze.

Odbiorca

Oprócz opisanych wcześniej podmiotów, w systemie ochrony danych osobowych występuje też pojęcie odbiorcy. Zgodnie z treścią art. 4 pkt 9) RODO jest on osobą fizyczną lub prawną, organem publicznym, jednostką lub innym podmiotem, któremu ujawnia się dane osobowe, niezależnie od tego, czy jest stroną trzecią. W dalszej części definicji wskazano także, że odbiorcami danych nie są organy publiczne, które mogą otrzymywać dane osobowe w ramach konkretnego postępowania zgodnie z prawem Unii lub prawem państwa członkowskiego. Chodzić może zatem o tj. organy podatkowe, organy celne, organy ścigania itd.

Definicja odbiorcy jest szeroka i, podobnie jak w przypadku administratora i podmiotu przetwarzającego, może nim być dużo różnych podmiotów niezależnie od ich formy prawnej. Zaliczymy do nich zatem równoległych administratorów, którym zostały udostępnione dane, procesorów, subprocesorów, przedstawicieli osoby, której dane są przetwarzane a także inne podmioty, którym ujawniono dane osobowe. Odbiorcą danych może być np. zewnętrzny inspektor ochrony danych.

Przykład: Ujawnienie danych lub nawet umożliwienie dostępu do nich może mieć miejsce wtedy, kiedy przekazanie danych innemu podmiotowi nie sprawi, że ten ostatni będzie je przetwarzał. Czyli np. jedynie zapozna się z nimi i nie będzie wykonywał na nich żadnych operacji. Wtedy ten, któremu ujawniono dane będzie właśnie odbiorcą, ale nie podmiotem przetwarzającym lub administratorem.

Strona trzecia

Zgodnie z art. 4 pkt 10 RODO strona trzecia oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub podmiot inny niż osoba, której dane dotyczą, administrator, podmiot przetwarzający czy osoby, które – z upoważnienia administratora lub podmiotu przetwarzającego – mogą przetwarzać dane osobowe. Innymi słowy jest to podmiot zewnętrzny w stosunku do administratora, który nie jest zaangażowany w przetwarzanie danych osobowych. Rolę strony trzeciej będzie utrzymywał tak długo, jak nie zaangażuje się w wykonywanie operacji przetwarzania danych – wtedy , w zależności od sytuacji, zacznie być administratorem albo podmiotem przetwarzającym. Jeżeli zatem klient sklepu internetowego otrzyma przypadkowo prywatny adres e-mailowy pracownika zatrudnionego w sklepie, klienta będzie należało potraktować jako stronę trzecią.  Gdyby natomiast jako osoba prowadząca działalność gospodarczą przesłał ofertę swojej firmy, stanie się administratorem, gdyż swoim działaniem zaczął przetwarzać dane osobowe w swoich celach i przy użyciu własnych środków.

Podsumowanie

W niniejszym artykule jedynie zasygnalizowaliśmy najważniejsze zagadnienia dotyczące podmiotów uczestniczących w przetwarzaniu danych osobowych. Wiele z poruszonych kwestii samo w sobie może być tematem osobnego artykułu. Niektórych zagadnień nie poruszyliśmy w ogóle. Celowo pominęliśmy np. temat współadministrowania – został on bowiem opisany w osobnym artykule.

W codziennej praktyce często występują problemy przy kwalifikowaniu konkretnej współpracy jako relacji administrator-podmiot przetwarzający czy też stwierdzeniu, że wszystkie uczestniczące podmioty samodzielnie decydują o celach i sposobach przetwarzania danych, a zetem każdy z nich jest osobnym i niezależnym administratorem. Nie zawsze też jest jasne, czy w danej sytuacji należy zawierać umowę powierzenia przetwarzania danych czy upoważnić do przetwarzania danych. Takie rzeczy można stwierdzić jedynie po dokonaniu szczegółowej analizy indywidualnego przypadku.

Dlatego jeżeli prowadzisz firmę lub zastanawiasz się nad rozpoczęciem działalności gospodarczej i masz pytania lub wątpliwości dotyczące ochrony danych osobowych, to już dziś skontaktuj się z ośrodkiem sieci Enterprise Europe Network (EEN) przy Polskiej Agencji Rozwoju Przedsiębiorczości (PARP). Postaramy się rozwiać wszystkie wątpliwości.

Zapraszamy do kontaktu.

[i] P. Fajgielski, Komentarz do rozporządzenia nr 2016/679 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) [w:] Ogólne rozporządzenie o ochronie danych. Ustawa o ochronie danych osobowych. Komentarz, wyd. II, Warszawa 2022