LexDigital

Podmiot przetwarzający dane a administrator. Sprawdź, kto jest kim w systemie ochrony danych osobowych

Zawiłość przepisów związanych z ochroną danych osobowych sprawia, że przedsiębiorcy wciąż są niepewni relacji w systemie ochrony danych, a przede wszystkim tego, kto jest administratorem danych, a kto podmiotem przetwarzającym. Zdefiniowanie tych pojęć i określenie stosunków między nimi jest kluczowe do ustalenia zakresu odpowiedzialności za chronione prawem dane.

Podmiot przetwarzający dane a administrator. Sprawdź, kto jest kim w systemie ochrony danych osobowych

Administrator a podmiot przetwarzający. Podstawowe role w systemie ODO

Administratorem danych mogą być podmioty publiczne i prawne, czyli zarówno urzędy państwowe, jak i przedsiębiorstwa. To pojęcie dotyczy zawsze podmiotu prawnego, a nie organu wchodzącego w jego skład. Przykładowo, spółka może być administratorem danych, ale jej prezes - już nie.

Administrator ustala cele i sposoby przetwarzania danych. Jeśli Twoja firma lub organizacja decyduje o tym, "po co" i "w jaki sposób" powinno się przetwarzać dane, to znaczy, że jest administratorem. Twoja firma jest współadministratorem, jeśli wspólnie z co najmniej jedną organizacją ustala cele i sposoby przetwarzania danych osobowych. W takim wypadku należy dokonać między sobą uzgodnień na piśmie i określić zakresy odpowiedzialności za przetwarzanie przepisów RODO, a następnie przekazać ustalenia osobom, których dane są przetwarzane. Podmiot przetwarzający dane (nazywany też czasem "procesorem) dokonuje przetwarzania danych osobowych wyłącznie w imieniu administratora. Podmiot przetwarzający dane jest zazwyczaj stroną trzecią, czyli podmiotem zewnętrznym wobec firmy.

Obowiązki podmiotu przetwarzającego względem administratora muszą koniecznie zostać określone za pomocą umowy powierzenia przetwarzania danych osobowych, która m.in wskaże, co stanie się z danymi po rozwiązaniu umowy. Nie obędzie się też bez wdrożenia odpowiednich środków technicznych i organizacyjnych, służących ochronie danych.

Podmiot przetwarzający dane może zlecić podwykonawstwo swoich obowiązków. Jednak przepisy jasno określają, że podmiot przetwarzający nie korzysta z usług innego podmiotu przetwarzającego bez uprzedniej szczegółowej lub ogólnej pisemnej zgody administratora. W przypadku ogólnej pisemnej zgody podmiot przetwarzający informuje administratora o wszelkich zamierzonych zmianach dotyczących dodania lub zastąpienia innych podmiotów przetwarzających, dając tym samym administratorowi możliwość wyrażenia sprzeciwu wobec takich zmian.

Od podmiotów przetwarzających należy odróżnić osobę, która przetwarza dane osobowe z upoważnienia administratora. Są to osoby fizyczne, a nie firmy czy organizacje - pracownicy, praktykanci, stażyści, wolontariusze, lub wykonawcy i zleceniodawcy przetwarzający dane na podstawie umów cywilnoprawnych.

Administrator i podmiot przetwarzający. Komisja Europejska wyjaśnia relacje w systemie ODO.

Firmy przetwarzające dane podlegają prawu Unii Europejskiej. Wiele tłumaczy plastyczny przykład, który znajdziemy na oficjalnej stronie Komisji Europejskiej:

Browar zatrudnia wielu pracowników. Podpisuje umowę ze spółką świadczącą usługi płacowe w celu wypłaty pracownikom wynagrodzeń. Browar informuje spółkę o terminach wypłacania wynagrodzeń, urlopach i podwyżkach pensji, a ponadto przekazuje wszystkie inne szczegóły dotyczące wynagrodzeń i płatności. Spółka świadczącą usługi płacowe zapewnia system IT i przechowuje dane pracowników.

Browar jest w tym przypadku administratorem, a spółka obsługująca płace jest podmiotem przetwarzającym dane - wyjaśniają urzędnicy z Brukseli.

komisja europejska


Kolejny przykład dotyczy współadministracji danymi.

Twoja firma/organizacja oferuje poprzez platformę internetową usługi opieki nad dziećmi. Jednocześnie Twoja firma/organizacja podpisała umowę z innym przedsiębiorstwem, co umożliwia Ci oferowanie usług o wartości dodanej. Usługi te dają rodzicom możliwość nie tylko wyboru opiekunki do dziecka, ale także wypożyczenia gier i filmów na DVD, które opiekunka ze sobą przyniesie. Obie firmy zajmują się technicznymi ustawieniami strony internetowej. W tym przypadku obie firmy postanowiły wykorzystać platformę do realizacji obu celów (opieka nad dziećmi i wypożyczalnia gier/DVD), w związku z czym będą bardzo często dzieliły się nazwiskami klientów. Zatem firmy te stają się współadministratorami, ponieważ nie tylko zgodziły się na świadczenie „usług połączonych”, ale także tworzą i wykorzystują wspólną platformę.

Czytamy na stronie Komisji Europejskiej.

Przepisy o ochronie danych. Odpowiedzialność administratora

Przepisy określają przedmiot i zakres odpowiedzialności administratora. Jego kluczowym obowiązkiem jest poinformowanie osoby, której dane dotyczą, o fakcie przetwarzania jej danych osobowych i związanych z tym następstwach. Poza tym w ramach RODO administrator jest zobligowany do:

  1. stosowanie odpowiednich środków technicznych i organizacyjnych w celu ochrony osób, których dane dotyczą;
  2. zapewnienie, aby przetwarzanie danych osobowych odbywało się w oparciu o co najmniej jedną z przesłanek legalizujących takie działanie;
  3. przeprowadzenie oceny skutków dla ochrony danych (z ang. Data Protection Impact Assessment – DPIA);
  4. prowadzenie Rejestru Czynności Przetwarzania;
  5. współpraca z organem nadzorczym, np. poprzez zgłaszanie naruszenia ochrony danych osobowych organowi nadzorczemu;
  6. zawiadamianie osoby, której dane dotyczą, o naruszeniu ochrony danych osobowych;
  7. zadbanie o privacy by design i privacy by default;
  8. wykazania spełnienia obowiązków określonych w ustawie.

To jedynie część obowiązków administratora. Jak widać spoczywa na nim duża odpowiedzialność, a UODO skrupulatnie śledzi nadużycia. Boleśnie przekonało się o tym Fortum Marketing and Sales Polska S.A. , na które w 2022 r. nałożono karę w wysokości niemal 5 mln zł za niewdrożenie odpowiednich środków technicznych i organizacyjnych zapewniających bezpieczeństwo danych osobowych i brak weryfikacji podmiotu przetwarzającego.

kary rodo


Jak widać, prawodawca poważnie podchodzi do powierzenia danych osobowych i bezwzględnie pilnuje, aby firmy przedstawiły wystarczające gwarancje bezpieczeństwa.

Jakie prawa przysługują podmiotowi przetwarzającemu?

Według unijnego Rozporządzenia Ogólnego o ochronie danych osobowych z 2016 r. administrator decydując się na powierzenie przetwarzania danych powinien korzystać „wyłącznie z usług takich podmiotów przetwarzających, które zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi niniejszego rozporządzenia i chroniło prawa osób, których dane dotyczą”.

Rozporządzenie, któremu podlega podmiot przetwarzający precyzuje, że przetwarzanie przez podmiot przetwarzający odbywa się na podstawie umowy lub innego instrumentu prawnego, które podlegają prawu Unii lub prawu państwa członkowskiego i wiążą podmiot przetwarzający  i administratora, określają przedmiot i czas trwania przetwarzania, charakter i cel przetwarzania, rodzaj danych osobowych, obowiązki i prawa administratora. Ta umowa lub inny instrument prawny stanowią w szczególności, że podmiot przetwarzający:

  1. przetwarza dane osobowe wyłącznie na udokumentowane polecenie administratora - co dotyczy też przekazywania danych osobowych do państwa trzeciego lub organizacji międzynarodowej  - chyba że obowiązek taki nakłada na niego prawo Unii lub prawo państwa członkowskiego, któremu podlega podmiot przetwarzający; w takim przypadku przed rozpoczęciem przetwarzania podmiot przetwarzający informuje administratora o tym obowiązku prawnym, o ile prawo to nie zabrania udzielania takiej informacji z uwagi na ważny interes publiczny;
  2. zapewnia, by osoby upoważnione do przetwarzania danych osobowych zobowiązały się do zachowania tajemnicy lub by podlegały odpowiedniemu ustawowemu obowiązkowi zachowania tajemnicy;
  3. podejmuje wszelkie środki wymagane na mocy art. 32;
  4. przestrzega warunków korzystania z usług innego podmiotu przetwarzającego, o których mowa  w ust. 2 i 4;
  5. biorąc pod uwagę charakter przetwarzania, w miarę możliwości pomaga administratorowi poprzez odpowiednie środki techniczne i organizacyjne wywiązać się z obowiązku odpowiadania na żądania osoby, której dane dotyczą, w zakresie wykonywania jej praw określonych w rozdziale III;
  6. uwzględniając charakter przetwarzania oraz dostępne mu informacje, pomaga administratorowi wywiązać się z obowiązków określonych w art. 32-36;
  7. po zakończeniu świadczenia usług związanych z przetwarzaniem zależnie od decyzji administratora usuwa lub zwraca mu wszelkie dane osobowe oraz usuwa wszelkie ich istniejące kopie, chyba że prawo Unii lub prawo państwa członkowskiego nakazują przechowywanie danych osobowych;
  8. udostępnia administratorowi wszelkie informacje niezbędne do wykazania spełnienia obowiązków określonych w niniejszym artykule oraz umożliwia administratorowi lub audytorowi upoważnionemu przez administratora przeprowadzanie audytów, w tym inspekcji, i przyczynia się do nich.

Ponadto w umowach zawieranych pomiędzy administratorem a podmiotem przetwarzającym należy uregulować m. in. obowiązki i prawa administratora, przedmiot i czas, w jakim przetwarza dane osobowe, charakter i cel przetwarzania, rodzaj danych osobowych oraz kategorie osób, których dane dotyczą.

obowiazki i prawa podmiotu przetwarzającego


Jeżeli do wykonania w imieniu administratora konkretnych czynności przetwarzania podmiot przetwarzający korzysta z usług innego podmiotu przetwarzającego, spoczywa na nim te ten sam obowiązek ochrony danych jak w umowie lub innym akcie prawnym między administratorem a podmiotem przetwarzającym. Jeżeli inny podmiot przetwarzający nie wywiąże się ze spoczywających na nim obowiązków ochrony danych, pełna odpowiedzialność wobec administratora za wypełnienie obowiązków tego innego podmiotu przetwarzającego spoczywa na pierwotnym podmiocie przetwarzającym, a nie na jego podwykonawcach.


Polecane

Anonimizacja danych osobowych i anonimizacja dokumentów

Anonimizacja danych osobowych i anonimizacja dokumentów

Poza oczywistymi korzyściami wynikającymi z anonimizacji danych polegającymi na uzyskiwaniu zgodności z przepisami prawa, istnieje jeszcze wiele innych. Anonimizacja umożliwia organizacjom przetwarzanie informacji wrażliwych w sposób bezpieczny, minimalizując ryzyko naruszenia prywatności użytkowników czy ujawnienia tajemnicy przedsiębiorstwa. Umożliwia korzystanie z informacji w celach badawczych i statystycznych bez naruszania prywatności jednostek.

Test weryfikujący wiedzę o RODO jako element systemu ochrony danych osobowych

Test weryfikujący wiedzę o RODO jako element systemu ochrony danych osobowych

Jednym z podstawowych obowiązków Inspektora ochrony danych, wynikającym z art. 39 RODO jest podejmowanie działań, zwiększających świadomość w zakresie ochrony danych osobowych i szkolenie personelu, uczestniczącego w operacjach przetwarzania (każda osoba zatrudniona u administratora, bez względu na podstawę prawną tego zatrudnienia, która przetwarza dane osobowe).

Profilowanie - jak je legalnie i odpowiedzialnie stosować?

Profilowanie - jak je legalnie i odpowiedzialnie stosować?

Profilowanie to potężne narzędzie, które może pomóc firmom lepiej zrozumieć swoich klientów i dostosować swoje usługi do ich potrzeb. Jednak w dobie coraz większej troski o prywatność danych, legalne i odpowiedzialne profilowanie staje się niezwykle istotne. W naszym artykule przeanalizujemy, czym dokładnie jest profilowanie, jakie są jego korzyści, a przede wszystkim jak można je stosować w zgodzie z przepisami prawa i z poszanowaniem prywatności użytkowników.

Popularne

Chcesz skorzystać z naszej oferty?Nie czekaj!

Wspieramy przedsiębiorców

Skontaktuj się osobiście z doradcą LexDigital - odpowiemy na nurtujące Cię pytania, zaplanujemy spotkanie, przygotujemy spersonalizowaną ofertę dopasowaną do potrzeb Twojej organizacji.

Zapraszamy do kontaktu

Informujemy, że Państwa zgoda może zostać cofnięta w dowolnym momencie przez wysłanie wiadomości e-mail na adres naszego Inspektora Ochrony Danych iod@lexdigital.pl spod adresu, którego zgoda dotyczy.

Administratorem Państwa danych osobowych jest LexDigital Sp. z o.o. z siedzibą w Poznaniu (60-363), przy ul. Grodziska 8. Wszystkie pytania i wątpliwości prosimy kierować do naszego Inspektora Ochrony Danych na adres iod@lexdigital.pl

Państwa dane przetwarzane są w celu odpowiedzi na wiadomość wysłaną za pomocą formularza kontaktowego, podjęcia na Państwa wniosek określonych działań przed zawarciem umowy lub wysłania Państwu treści marketingowych. Przysługuje Państwu prawo dostępu do danych, ich sprostowania, usunięcia, ograniczenia przetwarzania, wniesienia sprzeciwu i cofnięcia w każdym momencie udzielonej zgody bez wpływu na zgodność z prawem przetwarzania danych, którego dokonano na podstawie zgody przed jej wycofaniem. Masz również prawo wniesienia skargi do Prezesa Urzędu Ochrony Danych Osobowych.

Więcej informacji na temat przetwarzania danych osobowych znajdziecie Państwo w naszej Polityce prywatności.

komputronik biofarm lpp apart wykop volkswagen tpay netguru novol pearson impel phyto-pharm veolia cuf-podatki talex gethero tesgas uep fibaro akademia-kozminskiego bilety24 bims cichy-zasada currency > <img src= kir ministerstwo cyfryzacji pierre-fabre polomarket porr przelewy24 swiss-krono vox wielkopolska-izba-lekarska wsb wtk