Nowe wytyczne EROD (07/2020) pomogą ustalić, kto w danym procesie przetwarzania danych osobowych pełni rolę administratora, współadministratora lub procesora. Wytyczne są obecnie konsultowanie publicznie, a uwagi do nich można zgłaszać do 19 października 2020 roku.
Prawidłowe ustalenie ról w procesie przetwarzania danych osobowych stanowi wyzwanie szczególnie dla podmiotów funkcjonujących w ramach dużych grup kapitałowych oraz współpracujących z wieloma podwykonawcami. Celem wytycznych jest przekazanie wskazówek, które mają ułatwić stosowanie w praktyce przepisów RODO.
Dla przypomnienia - administratorem danych jest podmiot (w tym osoba fizyczna, spółka, organizacja), która decyduje o celu i sposobach przetwarzania danych np. pracodawca w stosunku do zatrudnianych przez siebie pracowników. Procesorem jest zaś podmiot, który przetwarza dane osobowe w imieniu administratora np. firma obsługująca payroll w imieniu pracodawcy.
O czym należy pamiętać, ustalając role w procesie przetwarzania danych osobowych?
- umowa nie decyduje o tym, kto jest administratorem danych
O tym, czy dany podmiot jest administratorem czy procesorem decydują okoliczności faktyczne lub przepisy prawa, a nie treść umowy. Przedsiębiorca nie może skutecznie uwolnić się od odpowiedzialności za przetwarzanie danych osobowych poprzez takie skonstruowanie umowy, które nie przypisze mu tej roli. Podmiot, który decyduje dlaczego i jak dochodzi do przetwarzania danych zawsze będzie administratorem, nawet jeżeli w umowie strony nadadzą mu rolę procesora.
- procesor również może mieć wpływ na sposób przetwarzania danych, ale tylko w ograniczonym zakresie
Administratorem w procesie przetwarzania danych jest ten podmiot, który decyduje zarówno o celach jak i sposobach przetwarzania danych osobowych. Procesor nigdy nie będzie decydować o celu przetwarzania danych, do pewnego stopnia może jednak wpływać na sposób przetwarzania danych.
Wpływ ten powinien jednak ograniczać się do innych niż istotne aspektów przetwarzania, o charakterze głównie technicznym np. wyborze oprogramowania. Kluczowe aspekty przetwarzania danych osobowych tj. zakres danych, okres przetwarzania czy odbiorcy danych określane są zawsze przez administratora lub współadministratorów danych.
- administrator nie zawsze musi mieć dostęp do danych osobowych, które przetwarza
Dostęp do danych osobowych nie jest warunkiem koniecznym do bycia administratorem danych. Przykładowo, spółka zlecająca firmie zewnętrznej wykonanie badania rynku dotyczące profilu jej potencjalnych klientów będzie pełniła rolę administratora ich danych, nawet jeżeli otrzyma raport zawierający wyłącznie dane statystyczne - o ile będzie decydowała o celu i sposobie przetwarzania (np.spółka przekaże listę pytań do kwestionariusza).
W celu prawidłowego przypisania ról w procesie przetwarzania, warto posłużyć się pytaniami pomocniczymi np.: Dlaczego dochodzi do przetwarzania danych? Kto decyduje o tym, że dla realizacji konkretnego celu dochodzi do przetwarzania danych? Ile swobody ma dany podmiot w przetwarzaniu danych, czy musi stosować się do czyiś wytycznych?
Błędne ustalenie ról w przetwarzaniu danych osobowych może narazić obie strony umowy na poważne konsekwencje, ponieważ do każdej roli przypisany jest inny zakres obowiązków, których nie wykonywanie naraża podmiot na odpowiedzialność na gruncie RODO. Przede wszystkim, to administrator musi wykazać zgodność przetwarzania danych z zasadami wskazanymi w art. 5 RODO (np. zasadą legalizmu, ograniczonego celu, minimalizacji danych).
