Administratorem danych osobowych jest… – kto jest kim w RODO?

Temat RODO przewija się w naszym serwisie od pewnego już czasu. Na tym etapie przedsiębiorcy mogli przede wszystkim dowiedzieć się jak rozpocząć pracę nad wdrożeniem nowych przepisów w swojej firmie, o czym informowałam w poniższym wpisie. Natomiast dzisiejszy temat związany jest z prawidłowym oznaczeniem podmiotów na gruncie RODO.

Wdrożenie RODO w firmie – od czego zacząć?

Kto jest kim w RODO?

Specjaliści do spraw ochrony danych osobowych często dla ułatwienia swojej pracy posługują się pewnymi skrótami albo sformułowaniami, które nie zawsze są oczywiste dla przedsiębiorcy. Niektóre z tych uproszczeń wynikają wprost z RODO. Weźmy pod uwagę chociażby takie pojęcia jak ADO, Procesor czy Odbiorca. W jaki sposób odróżnić od siebie te podmioty?

Administrator Danych Osobowych – ADO

RODO stanowi, że Administratorem Danych Osobowych jest osoba fizyczna lub prawna, organ publiczny, jednostka nieposiadająca osobowości prawnej lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych.

Przykład: firma spedycyjna jest administratorem danych kierowców, placówka medyczna jest administratorem danych pacjentów.

Administratora danych charakteryzują następujące cechy:

  • przetwarza dane osobowe we własnym celu,

  • ustala sposoby przetwarzania danych,

  • podejmuje w tym zakresie samodzielne decyzje.

Zapis w klauzuli informacyjnej (pkt 1): Administratorem Państwa danych osobowych jest ___ z siedzibą w ___, ul. ___, wpisana do rejestru przedsiębiorców prowadzonego przez Sąd Rejonowy w ___ ___ Wydział Gospodarczy Krajowego Rejestru Sądowego pod numerem ___, z kapitałem zakładowym w wysokości ___ zł NIP: ___ REGON: ___.

Albo krócej: Administratorem Państwa danych osobowych jest ___ z siedzibą w ___, ul. ___.

Podmiot przetwarzający – Procesor

Definicja podmiotu przetwarzającego jest następująca – jest to osoba fizyczna lub prawna, organ publiczny, jednostka nieposiadająca osobowości prawnej lub inny podmiot, który przetwarza dane osobowe w imieniu administratora.

Przykład: zewnętrzna obsługa prawna, kadrowa, informatyczna, hosting poczty elektronicznej, firma ochroniarska.

Podmiot przetwarzający charakteryzują następujące cechy:

  • przetwarza dane osobowe w imieniu Administratora Danych,

  • sposoby przetwarzania danych ustala w porozumieniu z Administratorem Danych,

  • nie podejmuje w tym zakresie samodzielnych decyzji, działa na polecenie Administratora Danych.

Zapis w klauzuli informacyjnej (pkt 4): Państwa dane osobowe mogą zostać przekazane następującym odbiorcom – i tu dla przykładu – naszym podwykonawcom, w tym firmom księgowym, informatycznym oraz prawniczym.

Odbiorca danych

Czasem trudno jest ustalić czy dany podmiot jest procesorem czy odbiorcą. Czym więc różnią się te podmioty?

Odbiorca to osoba fizyczna lub prawna, organ publiczny, jednostka nieposiadająca osobowości prawnej lub inny podmiot, któremu ujawnia się dane osobowe.

Przykład: obsługa informatyczna, która ma hipotetycznie dostęp do danych, ale na nich nie pracuje.

Odbiorca:

  • ma dostęp do danych osobowych,

  • nie wykonuje żadnych zadań na danych osobowych,

  • może ale nie musi przeglądać danych.

Zapis w klauzuli informacyjnej – patrz pkt 4.

Aby rozróżnić Administratora Danych od Procesora, a Procesora od Odbiorcy należy zastanowić się w jakim celu konkretny podmiot będzie przetwarzał dane (swoim, czy czyimś), czy będzie podejmował w tym zakresie samodzielne decyzje, czy może działał na czyjeś polecenie oraz czy będzie wykonywał działania na danych. Taka analiza umożliwi stworzenie hierarchii podmiotów zgodnej z RODO. Więcej o obowiązku informacyjnym możesz przeczytać tutaj.

Obowiązek informacyjny RODO

Oliwia Radlak
Podobne artykuły