08 kwi

Jak wyznaczyć administratora danych?

Temat wyznaczania administratora danych wraca do mnie jak bumerang. Często w kontekście zlecania usług jakiemuś podmiotowi i wyznaczenia go w związku z tym na administratora tych danych. Takie podejście świadczy o zupełnym niezrozumieniu funkcji administratora danych. Zgodnie z definicją (art. 4 RODO), administratorem jest ten kto decyduje o celach i sposobach przetwarzania. Czasami nazywa się go właścicielem danych – formalnie do niego należą. Wychodząc od samej definicji można zauważyć, że administrator może w ogóle nie mieć dostępu do danych. Może być tak, że zleca innemu podmiotowi ich zgromadzenie oraz wykonywanie różnych działań na danych. Mimo, że fizycznie w ogóle nie ma kontaktu z tymi danymi, w praktyce nic nie dzieje się bez jego wiedzy i zgody. Wykonawca nie zebrałby tych danych i nie pracowałby na nich, gdyby nie umowa z administratorem. Status administratora oznacza, że może zlecający zażądać zaprzestania przetwarzania, usunięcia danych lub przekazania do innego (nowego podwykonawcy). Nie można wykonawcy wyznaczyć na administratora tych danych, bo w praktyce działa na polecenie administratora.

Jednak zdarza się, że na etapie planowania procesu, można tak ustalić warunki brzegowe tego procesu przetwarzania, aby określony (wybrany) podmiot był administratorem danych. Przy okazji przeprowadzania konkursów lub akcji promocyjnych, często kilka podmiotów ustala swoje role w procesie. Czasami sprowadza się to do samego zlecenia jakiegoś konkursu, a czasami do decydowania o przebiegu oraz wyborze zwycięzców. Samo ustalenie roli poszczególnych podmiotów w procesie może wpłynąć na to, że będą miały lub nie, status administratora danych. Jednak jeśli mówimy o wyznaczeniu administratora danych dla danego procesu przetwarzania, tzn. ma być nim konkretny podmiot, to rozumiem przez to takie zaplanowanie tego procesu przed jego rozpoczęciem, aby faktycznie ten podmiot decydował o celach i sposobach przetwarzania danych. Zresztą EROD w swoich wytycznych dotyczących ustalania (a nie wyznaczania ;-)) administratora danych, zwróciła uwagę, że o tym kto jest administratorem decyduje jego faktyczna rola w tym procesie.

Wielokrotnie miałam do czynienia z planowaniem procesu przetwarzania, gdzie ustalenie że dwa lub więcej podmiotów będą pełnić rolę współadministratorów lub podmiotów przetwarzających dane, miało wpływ na zmianę procesu, w szczególności rezygnują z wymiany danych osobowych lub możliwości dostępu do danych. Rozmawianie o roli poszczególnych podmiotów w procesie przetwarzania oraz ich odpowiedzialności za dane, przekłada się wprost na minimalizację ryzyk dla ochrony danych osobowych. Dla mnie najważniejsze jest to, że pilnowanie kwestii formalnych i zawieranie stosowanych umów powierzenia, ogranicza chęć wymiany danych lub wykorzystania tych danych w celach innych niż pierwotne. Często też kończy się tym, że dwa podmioty, które pierwotnie miały wymieniać się danymi, wolą te dane pozyskać odrębnie (zwłaszcza, że ten, który byłby podmiotem przetwarzającym, nie mógłby tych danych wykorzystać do własnych celów przetwarzania).

Reasumując: nie można wyznaczyć administratora danych, ale można przed rozpoczęciem procesu przetwarzania ustalić takie zasady przetwarzania, aby określony podmiot faktycznie decydował o celach i sposobach przetwarzania danych i był administratorem tych danych. W wielu przypadkach sam proces przetwarzania jest tak skonstruowany, że ustanawia poszczególne podmioty biorące udział w procesie w roli administratora, współadministratora lub podmiotu przetwarzającego.


Nazywam się Sylwia Czub-Kiełczewska, jestem ekspertką ds. ochrony danych osobowych oraz certyfikowaną audytorką wewnętrzną ISO 27001 /TISAX. Pomagam organizacjom wdrożyć skuteczne systemy bezpieczeństwa informacji, przeprowadzam audyty zgodności z RODO / ISO27001. Jestem skuteczna, bo stosuję indywidualne podejście, oparte na zrozumieniu klienta oraz jego działalności. Potrzebujesz wsparcia? Napisz do mnie



Zapraszam na moje (bardzo praktyczne i konkretne) szkolenia!

We wpisie wykorzystano zdjęcie z serwisu Pixabay.com.


Data aktualizacji: 8 kwietnia 2022