Będąc przedsiębiorcą, na pewno spotkałeś się z pojęciem administratora, współadministratora i podmiotu przetwarzającego, które odgrywają kluczową rolę w stosowaniu ogólnego rozporządzenia o ochronie danych, szerzej znanego jako RODO. Od czasu jego wejścia w życie, a także w obliczu orzeczeń TSUE, coraz liczniej pojawiały się pytania o to, jak należy je właściwie interpretować. W odpowiedzi na te wątpliwości Europejska Rada Ochrony Danych (EROD) przyjęła wytyczne dotyczące rozumienia terminów, które zawarte są w unijnym rozporządzeniu.
Dlaczego są one tak ważne? Określenie administratora, współadministratora i podmiotu przetwarzającego wskazuje, kto jest odpowiedzialny za zgodność z poszczególnymi zasadami ochrony oraz to, w jaki sposób skarżący mogą egzekwować swoje prawa w praktyce. By były one wystarczająco jasne i spójne w całym Europejskim Obszarze Gospodarczym, ich interpretacja powinna być przede wszystkim zgodna z prawem unijnym.
Zasadniczo nie ma żadnych ograniczeń co do rodzaju podmiotu, który może pełnić rolę administratora danych – określa on cele i środki przetwarzania, tj. powód i szczegółowy sposób działania. By zostać wskazanym jako administrator, nie jest konieczny bezpośredni dostęp do informacji, które są przetwarzane. Status ten determinuje faktyczne działanie, które możemy wywieść z okoliczności i wpływu na cały proces, a także w niektórych przypadkach konkretny przepis prawny.
Natomiast zakwalifikowanie do kategorii współadministratorów powstaje, gdy dwa lub więcej podmiotów współdziałają w określaniu celów i środków przetwarzania. Może się to odbywać w formie zgodnej decyzji lub wynikać z oddzielnych, choć zbieżnych i uzupełniających się wzajemnie, postanowień. Działania współadministratorów są ze sobą nierozerwalne związane, a przepływ danych nie może odbyć się bez udziału obu stron.
Oprócz tych podstawowych wymagań, podział zadań między współadministratorów powinien obejmować inne obowiązki tj. środki bezpieczeństwa, obowiązki zawiadamiania o naruszeniu ochrony danych, kontakty z organami nadzorczymi czy korzystanie z usług podmiotów przetwarzających. Jednak forma prawna takiego porozumienia nie jest wprost określona przez przepisy RODO, co zostało poruszone przez Europejską Radę Ochrony Danych.
Ze względu na cel, jakim jest pewność prawna, a także, by zapewnić przejrzystość i możliwość prawidłowego rozliczenia, EROD zaleciła, aby takie porozumienie zostało zawarte w formie wiążącego dokumentu. Może to być umowa lub inny akt prawny zgodny z obowiązującym regulacjami, który określi relacje między współadministratorami oraz podmiotami, które udostępniają swoje dane osobowe.
Kim w takim razie jest podmiot przetwarzający? Przetwarzającym może być osoba fizyczna lub prawna, organ władzy publicznej, agencja lub inny organ, który przetwarza dane osobowe w imieniu administratora danych. Nie może on wykorzystywać danych inaczej niż zgodnie instrukcjami administratora ani określać własnych celów i środków. Dodatkowo każde takie działanie musi być uregulowane w umowie lub w innym akcie prawnym, sporządzonym na piśmie/ w formie elektronicznej. Administrator danych i podmiot przetwarzający mogą zdecydować się na
negocjowanie własnych warunków umowy lub oprzeć się, w całości lub w części, na standardowych klauzulach umownych.