Czym zajmuje się administrator danych i podmiot przetwarzający dane?

Odpowiedź

Administrator danych ustala cele, w jakich dane osobowe są przetwarzane, oraz sposoby, jakimi się je przetwarza. Zatem, jeśli Twoja firma/organizacja decyduje o tym „po co” i „w jaki sposób” powinno się przetwarzać dane, jest ona administratorem danych. Pracownicy przetwarzający dane w ramach Twojej organizacji wykonują w ten sposób Twoje zadania jako administratora danych.
Twoja firma jest współadministratorem, jeśli wspólnie z co najmniej jedną organizacją ustala cele i sposoby przetwarzania danych osobowych. Współadministratorzy muszą dokonać uzgodnień, określając odpowiednie zakresy swojej odpowiedzialności w zakresie przestrzegania przepisów RODO. Główne aspekty ich uzgodnień muszą być przekazane osobom, których dane są przetwarzane.
Podmiot przetwarzający dane dokonuje przetwarzania danych osobowych wyłącznie w imieniu administratora. Podmiot przetwarzający dane jest zazwyczaj stroną trzecią, czyli podmiotem zewnętrznym wobec firmy. Niemniej w przypadku grup przedsiębiorstw jedno przedsiębiorstwo może działać jako podmiot przetwarzający na rzecz innego przedsiębiorstwa.
Obowiązki podmiotu przetwarzającego względem administratora muszą być określone w umowie lub innym akcie prawnym. Umowa musi na przykład wskazywać, co się stanie z danymi osobowymi po rozwiązaniu umowy. Typową działalnością podmiotu przetwarzającego jest dostarczanie rozwiązań IT, w tym usług przechowywania danych w chmurze. Podmiot przetwarzający dane może zlecić innemu podmiotowi przetwarzającemu podwykonawstwo części swoich obowiązków albo wyznaczyć podmiot współprzetwarzający dane wyłącznie po otrzymaniu uprzedniej pisemnej zgody administratora danych.
Istnieją przypadki, w których podmiot może być administratorem albo podmiotem przetwarzającym dane, albo prowadzi obie te działalności.

Przykłady

Administrator i podmiot przetwarzający

Browar zatrudnia wielu pracowników. Podpisuje umowę ze spółką świadczącą usługi płacowe w celu wypłaty pracownikom wynagrodzeń. Browar informuje spółkę o terminach wypłacania wynagrodzeń, urlopach i podwyżkach pensji, a ponadto przekazuje wszystkie inne szczegóły dotyczące wynagrodzeń i płatności. Spółka świadczącą usługi płacowe zapewnia system IT i przechowuje dane pracowników. Browar jest w tym przypadku administratorem, a spółka obsługująca płace jest podmiotem przetwarzającym dane.

Współadministratorzy

Twoja firma/organizacja oferuje poprzez platformę internetową usługi opieki nad dziećmi. Jednocześnie Twoja firma/organizacja podpisała umowę z innym przedsiębiorstwem, co umożliwia Ci oferowanie usług o wartości dodanej. Usługi te dają rodzicom możliwość nie tylko wyboru opiekunki do dziecka, ale także wypożyczenia gier i filmów na DVD, które opiekunka ze sobą przyniesie. Obie firmy zajmują się technicznymi ustawieniami strony internetowej. W tym przypadku obie firmy postanowiły wykorzystać platformę do realizacji obu celów (opieka nad dziećmi i wypożyczalnia gier/DVD), w związku z czym będą bardzo często dzieliły się nazwiskami klientów. Zatem firmy te stają się współadministratorami, ponieważ nie tylko zgodziły się na świadczenie „usług połączonych”, ale także tworzą i wykorzystują wspólną platformę.

Odnośniki

• art. 4 pkt 7 i 8, art. 24, art. 26, art. 28 i art. 29 oraz motywy 74, 79 i 81 RODO
• Grupa Robocza Art. 29: Opinia 1/2010 w sprawie pojęć „administrator danych” i „przetwarzający” (WP 169)

Controller and processor

A brewery has many employees. It signs a contract with a payroll company to pay the wages. The brewery tells the payroll company when the wages should be paid, when an employee leaves or has a pay rise, and provides all other details for the salary slip and payment. The payroll company provides the IT system and stores the employees’ data. The brewery is the data controller and the payroll company is the data processor.

Joint controllers

Your company/organisation offers babysitting services via an online platform. At the same time your company/organisation has a contract with another company allowing you to offer value-added services. Those services include the possibility for parents not only to choose the babysitter but also to rent games and DVDs that the babysitter can bring. Both companies are involved in the technical set-up of the website. In that case, the two companies have decided to use the platform for both purposes (babysitting services and DVD/games rental) and will very often share clients’ names. Therefore, the two companies are joint controllers because not only do they agree to offer the possibility of ‘combined services’ but they also design and use a common platform.

• References: Article 4(7) and (8), Articles 24, 26, 28 and 29 and Recitals (74), (79) and (81) of the GDPR
• Article 29 Working Party Opinion 1/2010 on the concepts of 'controller' and 'processor' (WP 169)