AI Act biometria Cyberbezpieczeństwo dane osobowe e-privacy odciski palców Sztuczna Inteligencja Umowa powierzenia UOKiK

Administrator czy podmiot przetwarzający? Jak rozróżnić i rozdzielić funkcje?

Administrator

Prawna definicja Administratora wskazuje, że jest to podmiot, który ustala cele i sposoby przetwarzania danych osobowych. Jest to więc podmiot, który przetwarza (tj. wykorzystuje) dane osobowe dla wykonania swoich własnych celów (zadań), oraz samodzielnie decyduje o tym w jaki sposób to robi. Przepisy prawne w konkretnych przypadkach mogą wpływać na cele bądź sposoby przetwarzania, co ogranicza swobodę administratora w tym zakresie, nie pozbawia go to jednak statusu administratora danych.

Administrator (ang. „Data Controller”) jest więc podmiotem, który sprawuje władztwo organizacyjne (kontrolę) nad danymi osobowymi, nawet gdy fizycznie ich nie posiada (gdyż np. powierzył ich przetwarzanie podmiotowi przetwarzającemu). Administrator musi zawsze posiadać podstawę prawną przetwarzania danych, których wyczerpujący katalog dla danych zwykłych zawiera art. 6 pkt 1 RODO.

Podmiot przetwarzający

Podmiot przetwarzający (ang. „Data Processor”) przetwarzając dane osobowe jest związany w tym zakresie poleceniem administratora. Oznacza to, że podmiot przetwarzający zajmuje się danymi w imieniu i na rzecz administratora, wykonując jego cele przetwarzania. Podstawą prawną do przetwarzania danych przez podmiot przetwarzający jest polecenie administratora.

Skąd pochodzą dane?

Administrator może otrzymać dane albo bezpośrednio od osoby, której dane dotyczą (np. gdy pracodawca otrzymuje dane od kandydata do pracy), albo od innego administratora danych (np. dane dot. wynagrodzenia i wymiaru czasu pracy danego pracownika, które pracodawca jako administrator przekazuje do ZUS, będącego odrębnym administratorem danych).

Z kolei podmiot przetwarzający zazwyczaj uzyska dane osobowe bezpośrednio od administratora. Strony mogą jednak swoją współpracę ułożyć inaczej, powierzając podmiotowi przetwarzającemu również zadanie pozyskiwania danych osobowych od osób, których dane dotyczą, lub od podmiotów trzecich.

Różnice

Co do zasady rozróżnienie pomiędzy administratorem danych a podmiotem przetwarzającym powinno być oparte na okolicznościach natury czysto faktycznej, mianowicie na elemencie sprawowania faktycznego władztwa nad przetwarzanymi danymi. Status administratora danych osobowych jest więc wynikiem podejmowania przez ten podmiot decyzji w zakresie określania celów i sposobów przetwarzania danych osobowych.

, ,
,

Prawne aspekty przyszłości

http://www.prawoprzyszlosci.pl

https://www.karandyszowski.eu

o mnie
r.pr. Aleksander karandyszowski

Jestem partnerem w kancelarii CMW Legal oraz radcą prawnym zajmującym się prawną obsługą przedsiębiorców, z naciskiem na prawo ochrony danych i prawo nowych technologii.

Blog ten początkowo był o danych osobowych. Ale ich ochrona w dobie cyfryzacji życia społecznego musi uwzględniać szerszy kontekst, toteż ten blog również będzie starał się to robić.