Administrator czy Podmiot przetwarzający-jaką rolę pełnię

BySylwia Ostrowska

administrator podmiot przetwarzający

Administrator danych osobowych i podmiot przetwarzający wydawałoby się, że mają to same znaczenie, lecz inaczej zapisane. W gruncie rzeczy są to określenia ról wskazanych w przepisach RODO, które mają różny zakres obowiązków. Zagadnienie to jest wbrew pozorom ważne, gdyż niektóre organizacje mogą mieć trudność w określeniu swojej roli. Prawidłowe wskazanie obowiązków będzie trudnością, jeżeli nie wiemy jaka rolę pełnimy-Administratora czy podmiotu przetwarzającego.

Zadania Administratora

Administrator wyznacza samodzielnie lub wspólnie z innym podmiotem role i sposoby przetwarzania danych. Musi on postępować zgodnie z zasadami przetwarzania takimi jak:

  • rzetelność;
  • minimalizacja danych;
  • zgodność z prawem;
  • ograniczenia przechowywania;
  • rozliczalność;
  • przejrzystość;
  • poufność;
  • ograniczenia celu oraz
  • integralność.

Opracowując systemy przetwarzania Administrator jest zobowiązany do przestrzegania ochrony danych osobowych, a także dawania gwarancji poufności. Odpowiedzialny jest również za to komu udostępnia dane, a w szczególności komu powierza je do przetwarzania. Powierzając dane do przetwarzania powinien najpierw zweryfikować dany podmiot na podstawie art. 28 RODO, zwracając uwagę na zabezpieczenia i wdrożenie stosownych środków organizacyjnych i technicznych. Weryfikując jednocześnie czy zastosowane środki pozostają dostosowane do ryzyka, które wiąże się z przetwarzaniem danych.

Zadania podmiotu przetwarzającego

To osoba fizyczna lub prawna, jednostka lub inny podmiot. Przetwarza dane osobowe w imieniu administratora zgodnie z jego wytycznymi. Nie podejmuje samodzielnych decyzji o sposobach i celach przetwarzania danych. Obszar przetwarzania danych przez podmiot przetwarzający wynika zazwyczaj z umowy dotyczącej powierzenia przetwarzania danych. Podmioty przetwarzające są również zobowiązane do wdrożenia odpowiednich zabezpieczeń do przetwarzania danych. Mają obowiązek wspierać administratorów w wykonywaniu ich obowiązków wynikających z RODO. Odpowiedzialność w kwestii osób, których dane dotyczą i tak spoczywa na administratorze.

Administrator jest bowiem zobowiązany do stałej kontroli, czy podmiot przetwarzający przetwarza dane zgodnie z prawem. Kontrole te mogą być przeprowadzane również doraźnie np. w przypadku wystąpienia naruszenia ochrony powierzonych danych osobowych.

Zatem kim jestem?

Proste zrozumienie, przykładowo Administratorem będziesz zawsze przetwarzając dane swoich pracowników, klientów itp. Jednakże decydując się na nawiązanie współpracy np. przy obsłudze kadrowo-płacowej pracowników podpiszesz umowę z zewnętrznym biurem to to biuro stanie się podmiotem przetwarzającym. Krótko mówiąc jak to ty decydujesz co robisz z danymi to jesteś administratorem, a jak Tobie ktoś mówi co możesz robić z tymi danymi i jak to możesz robić jesteś podmiotem przetwarzającym.