Kto oprócz administratora przetwarza dane osobowe?

Znając główne zasady i podstawowe przepisy RODO wiemy już, że podstawowym podmiotem przetwarzającym dane osobowe, jest administrator danych osobowych. To właśnie na niego regulacja nakłada największą ilość obowiązków i najwyższą odpowiedzialność. RODO wprowadza jednak kilka dalszych pojęć określających podmioty biorące udział w przetwarzaniu danych. W dzisiejszym wpisie przyjrzymy się dwóm z nich: współadministratorowi i przedstawicielowi.

Współadministrator według RODO

„Współadministrator danych osobowych” – to pojęcie do tej pory nie było znane ustawie o ochronie danych osobowych. Ma ono zastosowanie do tych administratorów, którzy wspólnie ustalają cele i sposoby przetwarzania. Jest to więc relacja odmienna niż stosunek administratora danych osobowych i procesora, który stanowi pewnego rodzaju podwykonawcę tego pierwszego. Ponadto, jest związany wyznaczonym przez niego przedmiotem, celem, czasem, czy charakterem przetwarzania danych.

Skoro współadministratorzy decydują wspólnie, to pojawia się pytanie, jak dzieli się między nimi odpowiedzialność za wykonywanie obowiązków administratora danych osobowych nakładanych przez RODO. Przepisy odpowiadają wprost, że administratorzy powinni tą kwestię między sobą uzgodnić. Co istotne, osoba, której dane dotyczą może wykonać swoje uprawnienia wynikające z RODO wobec każdego ze współadministratorów, bez względu na treść tych ustaleń.

Jako przykład stosunku „wpóładministrowania”, Grupa Robocza art. 29 podaje współpracę biura podróży, linii lotniczych i sieci hoteli, które utworzyły wspólną platformę internetową. Służy ona do zarządzania rezerwacjami, w ramach której wspomniane podmioty razem decydują np. o tym, jakie dane i w jaki sposób będą przetwarzane w ramach platformy. Współadministratorami mogą być też np. wspólnicy spółki cywilnej, wspólnie decydujący o przetwarzaniu danych swoich klientów czy pracowników w ramach działalności gospodarczej prowadzonej w formie spółki cywilnej. Mogą to być także dwaj organizatorzy konkursu, którzy wspólnie ustalili jego zasady, przebieg, warunki uczestnictwa, sposób komunikacji z uczestnikami. Wszystko to wpływa na zakres zbieranych i przetwarzanych w związku z organizacją konkursu danych osobowych.

Kim jest przedstawiciel?

Kolejnym podmiotem, którego zadania i obowiązki reguluje RODO, jest przedstawiciel administratora danych osobowych. Wyznaczenie takiej osoby jest (zasadniczo) obowiązkiem takiego administratora, który co prawda nie ma swojej jednostki organizacyjnej na terenie UE, ale obejmuje go regulacja RODO (w jakich przypadkach ma to miejsce pisaliśmy już tutaj).

Przedstawiciel może być osobą fizyczną lub prawną, powinien być wyznaczony przez administratora na piśmie. Jego funkcją jest bycie pewnego rodzaju punktem kontaktowym dla organu nadzorczego i osób, których dane są przez administratora przetwarzane, ułatwiającym im kontakt z administratorem. Wykonuje on też w pewnym zakresie obowiązki administratora, ale, co istotne, jego wyznaczenie nie wpływa na odpowiedzialność prawną administratora danych osobowych.

Nowe podmioty to dodatkowe obowiązki

Warto zapamiętać, że zaistnienie stosunku współadministrowania, jak i powołanie przedstawiciela, wpływa na zakres obowiązków informacyjnych administratora danych osobowych. Administrator ma przede wszystkim obowiązek poinformować o tożsamości i danych kontaktowych przedstawiciela. W przypadku, gdy jest współadministratorem, musi także przekazać osobom, których dane dotyczą zasadniczą część ustaleń o podziale pomiędzy współadministratorów obowiązków administratora danych. W przypadku wątpliwości, jak prawidłowo wykonać te obowiązki, pomocny może być nasz wpis dotyczący wykonywania obowiązku informacyjnego, dostępny tutaj.

Kto jeszcze przetwarza dane?

Pojęcia administratora, współadministratora i przedstawiciela nie wyczerpują niestety katalogu podmiotów zdefiniowanych w RODO. Bardzo istotne w praktyce stosowania RODO jest pojęcie podmiotu przetwarzającego (inaczej: procesora), który przetwarza dane osobowe w imieniu administratora, przede wszystkim na podstawie umowy powierzenia. Podmiotowi temu poświęcimy osobny wpis.

Spośród pozostałych pojęć warto wymienić jeszcze:

  • odbiorcę danych osobowych, którym jest każdy podmiot, któremu dane zostają ujawnione (a więc m.in. inny administrator czy procesor)
  • osobę przetwarzającą dane osobowe z upoważnienia administratora (którym może być np. pracownik administratora)
  • stronę trzecią, która jest, w skrócie, podmiotem niebiorącym udziału w przetwarzaniu danych.

Autor: Ada Zięba