Administrator i podmiot przetwarzający – oznaczenie stron w relacjach między podmiotami

Z dniem 28 maja 2018 r. weszło w życie Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE tzw. ogólne rozporządzenie o ochronie danych (dalej jako: RODO). W toku przeprowadzania przez naszą kancelarię audytów w przedmiocie spełniania przez naszych klientów wymogów przewidzianych w RODO, wielokrotnie spotkaliśmy się z pytaniami dotyczącymi oznaczania stron zarówno w relacjach między naszymi klientami i ich kontrahentami, jak również w umowach o powierzenie przetwarzania danych osobowych. Umowa powierzenia przetwarzania danych została uregulowana w art. 28 ust. 3 RODO, który wskazuje, że stronami takiej umowy jest administrator i podmiot przetwarzający (procesor). W celu poprawnego odróżnienia tych dwóch podmiotów niezbędne jest przybliżenie ich definicji, zawartych w art. 4 pkt 7 i 8 RODO:

  • administrator – oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych; jeżeli cele i sposoby takiego przetwarzania są określone w prawie Unii lub w prawie państwa członkowskiego, to również w prawie Unii lub w prawie państwa członkowskiego może zostać wyznaczony administrator lub mogą zostać określone konkretne kryteria jego wyznaczania;”

Powyższa definicja wskazuje na dwa przymioty, które posiada administrator: : ustalanie celów i sposobów przetwarzania danych osobowych. Należy przy tym zwrócić uwagę, że administrator nie musi dokonywać czynności przetwarzania danych osobowych, lecz może ograniczyć się do sprawowania pieczy nad takimi czynnościami, a tym samym do sprawowania ochrony nad danymi osobowymi. Istotna kwestią jest również dokonanie rozróżnienia pomiędzy celami, a sposobami przetwarzania danych. „Cele będą to więc pewne wartości, dla urzeczywistnienia których dochodzić będzie do przetwarzania danych osobowych. Natomiast pojęcie sposobów przetwarzania danych (na gruncie OchrDanychU w tym kontekście używano pojęcia środków przetwarzania) w aspekcie decydowania o tych sposobach oznacza dokonywanie wyboru technicznych sposobów przetwarzania danych”[1]

  • podmiot przetwarzający – oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który przetwarza dane osobowe w imieniu administratora.”

Powyższa definicja wskazuje, że zarówno podmiotem przetwarzającym, jak i administratorem mogą być te same kategorie podmiotów – osoba fizyczna, osoba prawnej, organowi publicznemu, jednostce lub innemu podmiotowi. Głównym czynnikiem, za sprawą którego dokonuje się rozróżnienia tych dwóch podmiotów jest fakt, iż podmiot przetwarzający dokonuje czynności w imieniu administratora. W komentarzu do powyższego przepisów wskazano, że: „Dla przyznania określonemu podmiotowi statusu administratora danych nie ma również znaczenia treść ewentualnych zobowiązań umownych, gdyż przyznanie takiego statusu w procesie przetwarzania danych osobowych jest wyłącznie następstwem spełnienia przesłanek wskazanych w komentowanym przepisie, a nie postanowień umownych – ustaleń dokonywanych pomiędzy podmiotami biorącymi udział w przetwarzaniu danych.”[2]

 

Znajomość powyższych definicji nie zawsze jednak pomaga przy prawidłowym określeniu stron danej umowy. W zależności od sytuacji podmiot może być administratorem lub podmiotem przetwarzającym. Posłużmy się przykładem spółki „ABC” oraz spółki „XYZ”.

  1. Spółka „ABC” pragnie rozesłać do swoich stałych klientów próbki nowego produktu i w tym celu zawarła umowę powierzenia przetwarzania danych ze spółką „XYZ”, której zadaniem będzie dostarczenie ww. próbek do klientów spółki „ABC”.

W tej sytuacji administratorem danych będzie spółka „ABC”, która to ustala cele przetwarzania danych – kontakt z klientem i przesyłanie próbek nowych towarów, natomiast spółka „XYZ” będzie podmiotem przetwarzającym bowiem dokonuje czynności przetwarzania w imieniu administratora.

  1. Spółka „XYZ” zajmująca się przewozem rzeczy, otrzymuje od klienta będącego osobą fizyczną polecenie dostarczenia mebli pod wskazany adres.

W tym przypadku administratorem danych będzie spółka „XYZ” bowiem to ona będzie ustalać cele i sposoby przetwarzania danych – przetwarzanie danych klienta w celu wykonania umowy.

  • Spółka „ABC” pragnie poszerzyć krąg swoich klientów. W tym celu dokonuje zakupu bazy danych osobowych od spółki „XYZ”.

W powyższej sytuacji administratorem danych będzie zarówno spółka „ABC”, jak i „XYZ”. Spółka „XYZ” będzie administratorem danych do momentu sprzedaży posiadanej bazy danych, natomiast z momentem jej zakupu, spółka „ABC” stanie się ich administratorem, bowiem będzie ustalać nowe cele i sposoby przetwarzania zakupionych danych.

  1. Spółka „ABC” nawiązała stałą współpracę ze spółką „XYZ” i wspólnie korzystają z posiadanych baz danych klientów.

Powyższy przykład obrazuje sytuację, w której mamy styczność ze współadministratorami, czyli dwoma lub więcej podmiotami, które ustalają wspólne cele i sposoby przetwarzania danych, zgodnie z art. 26 RODO:

„1. Jeżeli co najmniej dwóch administratorów wspólnie ustala cele i sposoby przetwarzania, są oni współadministratorami. W drodze wspólnych uzgodnień współadministratorzy w przejrzysty sposób określają odpowiednie zakresy swojej odpowiedzialności dotyczącej wypełniania obowiązków wynikających z niniejszego rozporządzenia, w szczególności w odniesieniu do wykonywania przez osobę, której dane dotyczą, przysługujących jej praw, oraz ich obowiązków w odniesieniu do podawania informacji, o których mowa w art. 13 i 14, chyba że przypadające im obowiązki i ich zakres określa prawo Unii lub prawo państwa członkowskiego, któremu administratorzy ci podlegają. W uzgodnieniach można wskazać punkt kontaktowy dla osób, których dane dotyczą.

  1. Uzgodnienia, o których mowa w ust. 1, należycie odzwierciedlają odpowiednie zakresy obowiązków współadministratorów oraz relacje pomiędzy nimi a podmiotami, których dane dotyczą. Zasadnicza treść uzgodnień jest udostępniana podmiotom, których dane dotyczą.
  2. Niezależnie od uzgodnień, o których mowa w ust. 1, osoba, której dane dotyczą, może wykonywać przysługujące jej prawa wynikające z niniejszego rozporządzenia wobec każdego z administratorów.”

Powyżej podano zaledwie niewielką część stanów faktycznych jakie mogą zaistnieć, a które mogą przysporzyć wielu problemów w ustaleniu kto w danej sytuacji pełni rolę administratora, a kto podmiotu przetwarzającego.

 

Adam Tchórzewski
Aplikant Radcowski
Smaga Jaroszyński Spółka Adwokacka S.KA.


[1] Litwiński 2018, wyd. 1/Litwiński/Barta/Kawecki – Rozporządzenie UE w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i swobodnym przepływem takich danych. Komentarz. Artykuł 4 RODO

[2] Litwiński 2018, wyd. 1/Litwiński/Barta/Kawecki – Rozporządzenie UE w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i swobodnym przepływem takich danych. Komentarz. Artykuł 4 RODO


Icon made by Freepik from www.flaticon.com

Komentarze ( 0 )

    Napisz komentarz

    Twój adres email nie zostanie opublikowany. Wymagane pola oznaczone są *

    Autorzy Bloga

    Krzysztof Smaga

    Zawodowo – adwokat, syndyk, członek rad nadzorczych, na każdej z tych funkcji z wieloletnim doświadczeniem. Absolwent Wydziału Prawa i Administracji Uniwersytetu Marii Curie-Skłodowskiej w Lublinie. Stypendysta na Uniwersytetach Alberta Ludwika we Fryburgu i Karola Franciszka w Grazu. Współzałożyciel Kancelarii i współautor jej charakteru. Pozazawodowo - aktywny sympatyk sportu w każdej popularnej postaci (bieganie, jazda na rowerze, narty, żeglarstwo) i wielki miłośnik gór.

    Jacek Jaroszyński

    Adwokat i doradca podatkowy. Absolwent Wydziału Prawa, Prawa Kanonicznego i Administracji Katolickiego Uniwersytetu Lubelskiego Jana Pawła II, gdzie obronił doktorat. Ukończył również studia doktorskie oraz zdał minimum doktorskie na Wydziale Ekonomii Uniwersytetu Warszawskiego. Posiada doświadczenie w biznesie międzynarodowym, które zdobył jako dyrektor spółki rosyjsko-polskiej w Nowogrodzie. Wraz z Krzysztofem Smagą - współzałożyciel Kancelarii i współautor jej charakteru. Pasjonat koni - zarówno tych naturalnych, jak i mechanicznych.

    Tomasz Czapla

    Żeromszczak z Kielc, absolwent Wydziału Prawa Uniwersytetu Marii Curie Skłodowskiej w Lublinie. Studiował na Uniwersytetach w Monachium, w Utrechcie i Edinboro University of Pennsylvania. Ukończył również z wynikiem bardzo dobrym aplikację sądową. Radca prawny od 2008 roku. Zajmuje się zamówieniami publicznymi, niszowymi zagadnieniami gospodarczymi (prawo lotnicze, bezpieczeństwo żywności) i co ciekawszymi procesami cywilnymi. Regularny uczestnik zawodów narciarskich i maratonów MTB na dystansie giga. Zdarza mu się wziąć kilka dni wolnego, po czym okazuje się że pokonał Albrechts Route albo trasę Świeradów Zdrój – Ustrzyki.

    Michał Połaniecki

    Radca prawny. Absolwent Wydziału Praca, Prawa Kanonicznego i Administracji Katolickiego Uniwersytetu Lubelskiego Jana Pawła II. Pełnił funkcję koordynatora lubelskiego oddziału Fundacji Acedamia Iuris. Zajmuje się obsługą prawną podmiotów gospodarczych z sektora lotniczego oraz reprezentuje klientów w toku postępowań w sprawach gospodarczych. Zawodowo stara się łączyć przeciwstawne wyzwania: wszechstronności prawniczej oraz specjalizacje w zakresie prawa gospodarczego. Uwielbia aktywny tryb życia. Odreagowuje codzienność na torze kartingowym.

    Krzysztof Józefaciuk

    Doradca podatkowy. Ukończył studia prawnicze na Wydziale Prawa i Administracji Uniwersytetu Marii Curie-Skłodowskiej w Lublinie. Absolwent studiów podyplomowych w zakresie rachunkowości i finansów Akademii Leona Koźmińskiego w Warszawie. Pasjonat optymalizacji podatkowej oraz przekształceń podmiotów gospodarczych. Prywatnie lubi rajdy terenowe i inne sportowe okazje, żeby się pobrudzić.

    Karol Kajka

    Absolwent Wydziału Prawa i Administracji Uniwersytetu Marii Curie-Skłodowskiej w Lublinie. Ukończył również podyplomowe Studium Zamówień Publicznych na Uniwersytecie Warszawskim. Z wyróżnieniem zdał egzamin wstępny na aplikację radcowską. Pracując wzoruje się na rywalizacji sportowej, gdzie cel osiąga się przede wszystkim systematycznym i mądrym przygotowaniem. Prywatnie, entuzjasta biegów długodystansowych (10 km, półmaraton).
    ↓