Dla określenia zakresu odpowiedzialność administratora i podmiotu przetwarzającego niezbędne jest zdefiniowanie ról jakie te dwa podmioty pełnią w procesie ochrony danych osobowych oraz ukazanie wzajemnych relacji między nimi. Ustalenie „kto jest kim” jest kluczowym elementem działań w obszarze ochrony danych osobowych. W praktyce sprawia wiele trudności. Warto więc przybliżyć te pojęcia, bo bez ich rozróżnienia nie da się stworzyć prawidłowo funkcjonującego systemu ochrony danych.
Zgodnie z definicją zawartą w art. 4 pkt 7 RODO „administratorem” jest podmiot, który określa cele i sposoby przetwarzania danych osobowych. Cele przetwarzania danych osobowych bardzo często określone są przepisami prawa regulującymi zadania określonego podmiotu. Zakres podmiotowy definicji administratora został określony szeroko – jest nim osoba fizyczna lub prawna, organ publiczny, jednostka lub inny podmiot. Administratorem (ADO) mogą być zatem zarówno podmioty publiczne, czyli organy państwa, jednostki samorządu terytorialnego oraz państwowe i samorządowe jednostki organizacyjne, jak również podmioty prywatne, czyli przedsiębiorstwa. Dla przykładu: biuro podróży jest administratorem danych klientów biura, pracodawca jest administratorem danych osobowych kandydatów do pracy i pracowników. Jednak zawsze należy sprawdzić przepisy szczególne np. w przypadku pracodawcy zgodnie z kodeksem pracy – pracodawcą jest jednostka organizacyjna, czyli np. urząd, szkoła, czy spółka.
W myśl art. 4 pkt 8 RODO “podmiot przetwarzający” oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który przetwarza dane osobowe w imieniu administratora; Podmiot przetwarzający dane, nazywany też czasem “procesorem”, dokonuje przetwarzania danych osobowych, wyłącznie w imieniu administratora. Procesor realizuje cele wyznaczone mu przez administratora, który określa także sposoby przetwarzania danych. Co istotne, procesor z powierzonymi mu danymi nie może zrobić nic, czego nie zlecił mu administrator. Przykładowo, ochroniarz zatrudniony do pilnowania budynku nie może wykorzystać nagrania z monitoringu do własnych celów (np. w mediach społecznościowych). Podmiot przetwarzający zazwyczaj jest stroną trzecią, czyli podmiotem zewnętrznym wobec administratora. Klasycznymi przykładami podmiotów przetwarzających są np. agencje marketingowe, zewnętrzne biura rachunkowe, firmy ochroniarskie, firmy IT – wszystkie podmioty zewnętrzne mające dostęp do danych osobowych, których inna firma jest właścicielem. To właściciel (administrator) decyduje o tym, co będzie się działo z danymi osobowymi.
Ze stosunkiem powierzenia przetwarzania (między administratorem a procesorem) związany jest obowiązek zawarcia umowy powierzenia przetwarzania lub innego instrumentu prawnego. Przepisy RODO stanowią bowiem, że „przetwarzanie przez podmiot przetwarzający odbywa się na podstawie umowy lub innego instrumentu prawnego, które podlegają prawu Unii lub prawu państwa członkowskiego i wiążą podmiot przetwarzający i administratora, określają przedmiot i czas trwania przetwarzania, charakter i cel przetwarzania, rodzaj danych osobowych, obowiązki i prawa administratora.” (art. 28.ust.3 RODO).
Podnosi się, że ww. umowa winna być dostosowana do konkretnych okoliczności przetwarzania, określać wzajemne prawa i obowiązki administratora i podmiotu przetwarzającego, szczegółowo regulować zasady współpracy pomiędzy administratorem i procesorem oraz określać, w jaki sposób ten drugi powinien pomagać pierwszemu, by wypełniać wynikające z RODO obowiązki w zakresie przetwarzaniem danych osobowych. Brak zawarcia ww. umowy stanowi naruszenie przepisów RODO i skutkuje nałożeniem kar pieniężnych.
Przepisy unijne nakładają zarówno na administratorów danych, jak i podmioty przetwarzające wiele obowiązków w zakresie zapewnienia bezpieczeństwo przetwarzania danych, co jednocześnie determinują zakres odpowiedzialności tych podmiotów.
Kluczowym obowiązkiem ADO jest poinformowanie osoby, której dane dotyczą, o fakcie przetwarzania jej danych osobowych i związanych z tym następstwach. ADO musi zadbać o to, aby przetwarzanie danych osobowych było zgodne z prawem, rzetelne i przejrzyste. To na nim spoczywa główna odpowiedzialność za wdrożenie odpowiednich środków technicznych i organizacyjnych w celu ochrony danych. Ponadto przepisy unijne nakładają na niego odpowiedzialność za wybór podmiotu przetwarzającego oraz jego działania. Zgodnie z treścią art. 28 ust. 1 RODO, administrator decydując się na powierzenie przetwarzania danych powinien korzystać „wyłącznie z usług takich podmiotów przetwarzających, które zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi niniejszego rozporządzenia i chroniło prawa osób, których dane dotyczą”.
Obowiązek wdrożenie środków technicznych i organizacyjnych, gwarantujących bezpieczne przetwarzanie danych osobowych spoczywa więc nie tylko na administratorze danych, ale dotyczy również podmiotu przetwarzającego, który mimo, że działa na zlecenie, musi również stosować się do zasad ochrony danych i wdrażać odpowiednie zabezpieczenia.
Zasadnicza różnica pomiędzy omawianymi podmiotami sprowadza się do tego, że administrator decyduje o celach i sposobach przetwarzania danych osobowych, natomiast podmiot przetwarzający z reguły o środkach przetwarzania, tj. rodzaju systemów zabezpieczających powierzone dane osobowe czy oprogramowania stosowanego do przetwarzania tych danych.
Zaznaczyć należy, że podmiot przetwarzający winien przetwarzać dane osobowe tylko i wyłącznie na udokumentowane polecenie administratora. To administrator ponosi odpowiedzialność za bezpieczeństwo danych osobowych powierzonych do przetwarzania i w zasadzie nic nie powinno się wydarzyć bez jego zgody i wiedzy.
Podmiot przetwarzający odpowiada za przetwarzanie danych zgodnie z instrukcjami administratora i przepisami RODO. Te zaś wymagają od niego ścisłego i konsekwentnego przestrzegania przepisów, gdyż naruszenie ich może skutkować odpowiedzialnością administracyjnoprawną i wysokimi karami pieniężnymi, a także odpowiedzialnością cywilnoprawną wiążącą się z obowiązkiem odszkodowawczym. Dodać należy, że podmiot przetwarzający ma obowiązek informowania administratora o ewentualnych naruszeniach przepisów RODO.
RODO przewiduje odpowiedzialność odszkodowawczą wobec osób, które poniosły szkodę majątkową lub niemajątkową w wyniku naruszenia przepisów dot. ochrony. Co do zasady, odpowiedzialność odszkodowawczą związaną z naruszeniem przepisów ponosi administrator danych osobowych w pełnym zakresie, natomiast odpowiedzialność podmiotu przetwarzającego jest ograniczona – jest proporcjonalna do zakresu uprawnień i obowiązków nałożonych przez administratora. Z art. 82 pkt 2 RODO wynika, że podmiot przetwarzający odpowiada za szkody spowodowane przetwarzaniem wyłącznie, gdy nie dopełnił obowiązków nałożonych na niego przez rozporządzenie lub gdy działał poza zgodnymi z prawem instrukcjami administratora lub wbrew tym instrukcjom.
W myśl nr 146 Preambuły RODO: „Za szkodę, którą dana osoba poniosła wskutek przetwarzania w sposób naruszający niniejsze rozporządzenie, powinno przysługiwać odszkodowanie od administratora lub podmiotu przetwarzającego. Administrator lub podmiot przetwarzający powinni jednak zostać zwolnieni z odpowiedzialności prawnej, jeżeli udowodnią, że szkoda w żadnym razie nie powstała z ich winy”. Z powyższego należy wnioskować więc, że zarówno administrator danych, jak i podmiot przetwarzający odpowiadają za naruszenia na zasadzie winy, czyli wówczas, gdy zostanie im udowodnione, że szkoda powstała wskutek świadomego działania lub niezachowania wymaganej w danych warunkach ostrożności.
W przypadku niedochowania obowiązku bezpiecznego przetwarzania danych osobowych, poza odpowiedzialności cywilnoprawną wobec poszkodowanego, administrator danych oraz podmiot przetwarzając mogą ponieść również odpowiedzialność administracyjnoprawną. Organ nadzoru może bowiem w przypadku stwierdzenia naruszenia przepisów RODO przez odpowiedzialny podmiot, nałożyć na niego administracyjną karę lub środek naprawczy, taki jak: ostrzeżenie, upomnienie, nakazanie sprostowania, usunięcia danych osobowych czy nawet nałożenie zakazu przetwarzania.
Reasumując: zarówno administrator, jak i podmiot przetwarzający mają określone obowiązki w zakresie ochrony danych osobowych. Administrator odpowiada za ogólne zasady i nadzór, a podmiot przetwarzający za faktyczne przetwarzanie danych w sposób bezpieczny i zgodny z prawem. W przypadku naruszenia ochrony danych, zarówno administrator, jak i podmiot przetwarzający mogą ponieść konsekwencje, w tym kary finansowe, szczególnie jeśli naruszenie wynikało z ich zaniedbań lub braku odpowiednich zabezpieczeń. Zaznaczyć jednak należy, że większość wymogów RODO odnosi się do ADO, co w praktyce powoduje także wiele niejasności w związku ze współpracą z podmiotem przetwarzającym. Dalego też ADO powinien wdrożyć odpowiednie środki techniczne, organizacyjne m.in. w związku z powierzeniem danych procesorowi i jego weryfikacją związaną z zapewnieniem odpowiednich środków w celu zabezpieczenia powierzonych danych osobowych.
To on decyduje o kształcie wewnętrznego systemu ochrony danych osobowych. W rezultacie więc ewentualne kary są nakładane przede wszystkim na ADO, bardzo rzadko zaś na podmioty przetwarzające.
Podstawa prawna:
Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. U. UE. L. z 2016 r. Nr 119, str. 1 z późn. zm.).