W kontekście ochrony danych osobowych jednym z najważniejszych zagadnień jest właściwe rozróżnienie ról: administratora danych i procesora (podmiotu przetwarzającego). To właśnie od tej podstawy zaczyna się stosowanie art. 28 RODO, który określa zasady współpracy między nimi.
Choć wydaje się to proste, w praktyce wiele organizacji ma z tym problem. Kiedy firma jest administratorem, a kiedy procesorem? Jakie są konsekwencje błędnego przypisania ról?
Kim jest administrator danych osobowych?
Administrator danych osobowych to podmiot (np. firma, instytucja, organ publiczny), który określa cele i sposoby przetwarzania danych osobowych. Innymi słowy: to on decyduje, po co dane są zbierane i jak będą wykorzystywane.
Przykłady administratora:
- pracodawca, który gromadzi dane pracowników do celów kadrowych,
- sklep internetowy, który zbiera dane klientów w celu realizacji zamówień,
- uczelnia, która przetwarza dane studentów w związku z procesem dydaktycznym.
Administrator ponosi pełną odpowiedzialność za zgodność przetwarzania danych z RODO.
Kim jest procesor (podmiot przetwarzający)?
Procesor to podmiot, który przetwarza dane osobowe w imieniu administratora – zawsze na jego udokumentowane polecenie.
Procesor nie decyduje o celach przetwarzania, a jedynie wykonuje określone czynności techniczne lub organizacyjne.
Przykłady procesora:
- firma IT, która utrzymuje serwer z danymi klientów administratora,
- biuro rachunkowe prowadzące księgowość w imieniu przedsiębiorcy,
- call center obsługujące infolinię klienta,
- dostawca chmury, w której przechowywane są dokumenty.
Administrator a procesor – kluczowe różnice
| Cecha | Administrator danych | Procesor (podmiot przetwarzający) |
|---|---|---|
| Cel przetwarzania | Samodzielnie określa cele | Nie decyduje o celach, działa na zlecenie |
| Sposób przetwarzania | Samodzielnie określa | Wykonuje zgodnie z instrukcjami administratora |
| Odpowiedzialność wobec RODO | Pełna odpowiedzialność | Odpowiedzialność ograniczona do zakresu zadań |
| Przykład | Sklep online zbierający dane klientów | Firma IT obsługująca serwer sklepu |
Dlaczego właściwe rozróżnienie ról jest tak ważne?
- Obowiązki prawne – administrator i procesor mają różne obowiązki wynikające z RODO. Pomieszanie tych ról może prowadzić do błędnych decyzji i poważnych naruszeń.
- Umowa powierzenia przetwarzania danych – art. 28 RODO wymaga zawarcia umowy między administratorem a procesorem. Bez prawidłowego określenia ról nie wiadomo, kto z kim powinien ją podpisać.
- Odpowiedzialność za dane – administrator odpowiada za zgodność przetwarzania z RODO, ale procesor również może ponieść odpowiedzialność, jeśli naruszy przepisy.
- Kontrola i audyt – administrator ma prawo i obowiązek kontrolować procesora. Jasne role pozwalają zachować przejrzystość tej relacji.
Najczęstsze błędy w praktyce
- Mylenie ról – np. uznawanie dostawcy chmury za administratora, choć w rzeczywistości pełni funkcję procesora.
- Brak umowy powierzenia – organizacje zapominają, że nawet drobne usługi (np. hosting poczty) mogą wymagać zawarcia umowy z procesorem.
- Formalizm bez praktyki – podpisanie umowy powierzenia bez faktycznego nadzoru nad procesorem.
Podsumowanie
Rozróżnienie administratora i procesora to punkt wyjścia do prawidłowego stosowania art. 28 RODO. Administrator decyduje o celach i sposobach przetwarzania, procesor działa wyłącznie na jego zlecenie. Jasne określenie tych ról chroni organizację przed ryzykiem prawnym, ułatwia kontrolę i buduje zaufanie do bezpieczeństwa danych.
👉 W kolejnym wpisie z serii „Art. 28 RODO w praktyce” przyjrzymy się obowiązkom administratora danych i sprawdzimy, jakie kryteria musi spełnić, wybierając procesora.
Twoje bezpieczeństwo to nasza pasja! 🌐 Jeśli interesuje Cię ochrona danych osobowych, bezpieczeństwo informacji czy cyberbezpieczeństwo, zajrzyj na stronę CAB oraz Platformę Cyberbezpieczeństwa. Szukasz informacji o ochronie sygnalistów? 📢 Sprawdź stronę Kanału Zgłoszeniowego. Czekają tam praktyczne porady i ekspercka wiedza!