Podmiot przetwarzający

Definicja art. 4 pkt 8 RODO

 

Podmiot przetwarzający” oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który przetwarza dane osobowe w imieniu administratora.

Kim właściwie jest podmiot przetwarzający?

Podmiot przetwarzający to uczestnik procesu przetwarzania.

Na temat pojęcia przetwarzania możesz poczytać tutaj.

Krąg podmiotów, które mogą być uznane za podmiot przetwarzający jest bardzo szeroki. Może to być zarówno osoba fizyczna, osoba prawna, organ publiczny czy inna jednostka organizacyjna.  Podmiot prywatny, jak i podmiot publiczny.

Ważne!

Status podmiotu przetwarzającego nie jest uzależniony od formy prawnej. Bez znaczenia pozostaje w jakiej formie podmiot przetwarzający świadczy/prowadzi swoje usługi czy swoją działalność.

Udział podmiotu przetwarzającego w procesie przetwarzania co do zasady jest uzależniony od administratora, albowiem podmiot przetwarzający przetwarza dane osobowe w imieniu administratora, który decyduje o celach i sposobach przetwarzania. Inaczej rzecz ujmując, podmiot przetwarzający nie będzie decydował o celu i sposobach w jakim dane osobowe są przetwarzane.

Kiedy mamy do czynienia z podmiotem przetwarzającym?

Aby można było mówić, że mamy do czynienia z podmiotem przetwarzającym muszą zostać spełnione dwa warunki.

Po pierwsze, podmiot musi być odrębnym bytem prawnym od administratora. To tzw. podmiot „na zlecenie”. Nie można mówić o podmiocie przetwarzającym, który znajduje się w strukturze organizacji administratora. Nie będzie więc podmiotem przetwarzającym, pracownik, stażysta, praktykant, wolontariusz.   

Po drugie, podmiot musi wykonywać określone operacje przetwarzania danych osobowych w imieniu administratora, czyli inaczej w jego interesie i w ustalonym przed administratora celu. To administrator decyduje o tym czy przekazać dane osobowe podmiotowi przetwarzającemu do przetwarzania ich w swoim imieniu, a ponadto formułuje określone polecenia dla podmiotu przetwarzającego.

Podmiot przetwarzający pełni rolę służebną. Jest podwykonawcą administratora. Co do zasady działa na udokumentowane polecenie administratora. Oznacza to, że podmiot przetwarzający nie ma swobody w podejmowanych działaniach (operacjach) przetwarzania.

Czy podmiot przetwarzający może decydować o sposobach przetwarzania?

Administrator decyduje o celach i sposobach przetwarzania.

Administrator decyduje o tym z usług jakiego podmiotu przetwarzającego skorzystać.

Podmiot przetwarzający w ramach swojej specjalizacji czy doświadczenia zawodowego może sugerować czy przedstawić ofertę swoich usług. Z taką sytuacją mamy najczęściej do czynienia, kiedy mała organizacja chce skorzystać z usług dużego podmiotu.

Przykład:

Osoba fizyczna prowadzi bloga i korzysta z narzędzi Google, MailerLite, WordPress.

Powyższe prowadzić do iluzorycznego przekonania, że to podmiot przetwarzający decyduje o sposobach przetwarzania, gdyż bloger nie ma wpływu na to w jaki sposób te duże organizacje będą przetwarzać dane osobowe.

Musimy jednak pamiętać, że bloger (administrator) odpowiedzialny za cele i sposoby przetwarzania dokonując wyboru – tego a nie innego podmiotu przetwarzającego – tej a nie innej firmy – w istocie podejmuje decyzje o wyborze sposobów przetwarzania. Dlatego tak ważne jest czytanie umów/regulaminów. 

Przykładowe relacje biznesowe, w których dochodzi do powierzenia danych osobowych:

  • usługi hostingowe
  • zewnętrzne usługi kadrowo-płacowe
  • zewnętrzne usługi podatkowe
  • zewnętrzne usługi informatyczne
  • zewnętrzne usługi marketingowe
  • zewnętrzne usługi archiwizacji dokumentów
 

Relacja administrator – podmiot przetwarzający

Art. 28 ust. 3 RODO

Przetwarzanie przez podmiot przetwarzający odbywa się na podstawie umowy lub innego instrumentu prawnego, które podlegają prawu Unii lub prawu państwa członkowskiego i wiążą podmiot przetwarzający i administratora, określają przedmiot i czas trwania przetwarzania, charakter i cel przetwarzania, rodzaj danych osobowych oraz kategorie osób, których dane dotyczą, obowiązki i prawa administratora.

Istnieją dwa sposoby powierzenia przetwarzania danych osobowych przez administratora na rzecz podmiotu przetwarzającego:

  • umowa
  • inny instrument prawny (podlegających prawu Unii lub innego państwa członkowskiego).

Samo zawarcie umowy i formalne określenie, że podmiot świadczy na naszą rzecz usługi powierzenia przetwarzania nie świadczy o tym, że mamy do czynienia z powierzeniem. Zawsze musimy pamiętać o dwóch warunkach, kiedy mamy do czynienia z podmiotem przetwarzającym (patrz na samej górze wpisu). Wyłącznie rzeczywista relacja, a nie formalnie ułożona relacja ujęta na papierze, będzie decydować, czy mamy do czynienia z powierzeniem przetwarzania danych, a zatem z podmiotem przetwarzającym czy nie.

 

Na temat umowy powierzenia przetwarzania danych osobowych zob. tutaj.

 

Źródła:

 

  1. Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. U. UE z 2016 r., L 119/1 ze zm.), Lex.
  2. Figielski, Komentarz do art. 4 rozporządzenia nr 2016/679 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/We (ogólne rozporządzenie o ochronie danych [w:] Ogólne rozporządzenie o ochronie danych. Ustawa o ochronie danych osobowych. Komentarz, pod red. P. Figielski, Wydawnictwo Wolters Kluwer, Warszawa 2018, Lex.
  3. Komentarz do art. 4 [w:] RODO. Ogólne rozporządzenie o ochronie danych. Komentarz, pod red. E. Bielak-Jomaa, D. Lubasz, Wydawnictwo Wolters Kluwer, Warszawa 2018, Lex