Administrator czy podmiot przetwarzający?

Damian Dziuba

Prawidłowe określenie ról w procesie przetwarzania danych osobowych jest fundamentem zgodności z ogólnym rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 roku – dalej RODO, determinującym zakres odpowiedzialności i obowiązków dla każdej ze stron.

Pojęcia administratora i podmiotu przetwarzającego są koncepcjami funkcjonalnymi, co oznacza, że ich celem jest podział obowiązków zgodnie z rzeczywistymi rolami, jakie strony pełnią w konkretnym procesie przetwarzania danych. To nie treść umowy zawartej między stronami decyduje o statusie  podmiotu, ale analiza stanu faktycznego i stopień wpływu (decyzyjności) na przetwarzanie danych.

Zgodnie z zasadą rozliczalności, na administratorze spoczywa obowiązek wykazania, że przestrzega zasad ochrony danych określonych w art. 5 ust. 1 RODO. Dlatego istotnym jest precyzyjne ustalenie, kto wywiera decydujący wpływ na cele i sposoby przetwarzania danych osobowych w konkretnym procesie.

Kim jest administrator i jak ustalić jego wpływ na cele i sposoby przetwarzania?

Administratorem jest podmiot, który samodzielnie lub wspólnie z innymi „ustala cele i sposoby przetwarzania danych osobowych”. W praktyce administratorem jest organizacja jako całość (np. spółka, organ publiczny), a nie konkretna osoba fizyczna wewnątrz jej struktur. Przy identyfikacji administratora należy zwrócić uwagę na dwa kluczowe moduły decyzyjne:

  1. Cele („dlaczego”), Administrator decyduje, po co dane są przetwarzane (np. w celu realizacji kampanii marketingowej lub naliczania wynagrodzeń, itp.).
  2. Sposoby („jak”), Administrator określa środki prowadzące do osiągnięcia celu. Kluczowy jest tu podział na sposoby istotne i inne niż istotne:
    • Istotne sposoby przetwarzania, to sposoby zastrzeżone dla administratora. Obejmują one decyzje o tym, jakie dane będą przetwarzane, jak długo będą przechowywane, czyje dane będą przetwarzane oraz kto będzie ich odbiorcą.
    • Sposoby inne niż istotne, które to mogą zostać pozostawione w gestii podmiotu przetwarzającego. Dotyczą one aspektów technicznych i operacyjnych, takich jak wybór konkretnego typu sprzętu, oprogramowania czy szczegółowych środków bezpieczeństwa, zgodnie z art. 32 RODO.

Warto pamiętać, że administrator nie musi mieć faktycznego dostępu do danych, aby zachować swój status – wystarczy, że posiada decydujący wpływ na parametry usługi, która takie przetwarzanie generuje.

Podmiot przetwarzający (zwany często procesorem) – definicja i granice swobody

Podmiot przetwarzający to odrębna jednostka, która przetwarza dane osobowe wyłącznie w imieniu administratora i zgodnie z jego instrukcjami. Aby podmiot mógł zostać uznany za procesora, muszą zostać spełnione dwa warunki:

  • musi być odrębnym podmiotem w stosunku do administratora (np. zewnętrzna firma IT, biuro rachunkowe).
  • musi działać wyłącznie na rzecz administratora, nie realizując przy tym własnych celów związanych z tym konkretnym procesem, aczkolwiek możliwe są sytuacje graniczne zgodnie z którymi ten sam podmiot pełni rolę procesora, jak i administratora.

Jeśli podmiot przetwarzający wykroczy poza instrukcje administratora i zacznie samodzielnie określać własne cele lub istotne sposoby przetwarzania, zostanie on uznany za administratora w odniesieniu do tego przetwarzania. Może to skutkować nałożeniem sankcji administracyjnych za działanie bez odpowiedniej podstawy prawnej lub naruszenie przepisów RODO.

Jak przygotować umowę powierzenia przetwarzania danych (Art. 28 RODO)?

Relacja między administratorem a podmiotem przetwarzającym musi być uregulowana umową lub innym aktem prawnym w formie pisemnej (w tym elektronicznej). Umowa ta nie powinna być jedynie powtórzeniem przepisów RODO, lecz zawierać szczegółowe informacje dostosowane do specyfiki danej usługi.

Obowiązkowe elementy umowy powierzenia

  • Przedmiot i czas trwania przetwarzania, jasne określenie, czego dotyczy usługa i jak długo będzie świadczona.
  • Natura i cel przetwarzania, opis operacji wykonywanych na danych (np. przechowywanie, archiwizacja).
  • Rodzaj danych osobowych i kategorie osób, szczegółowe wskazanie, jakie dane są przedmiotem umowy (np. obrazy wideo pracowników).
  • Obowiązki podmiotu przetwarzającego:
    • Przetwarzanie wyłącznie na udokumentowane polecenie administratora.
    • Zapewnienie poufności przez osoby upoważnione do przetwarzania danych.
    • Wdrożenie środków bezpieczeństwa zgodnie z art. 32 RODO. W tym przypadku obowiązkiem administratora jest posiadanie pełnej wiedzy o stosowanych środkach ochrony danych przez podmiot przetwarzający, które powinny być weryfikowane nie rzadziej, niż raz do roku w ramach zarządzania ciągłością działania i ryzykiem danych osobowych. 
    • Przestrzeganie warunków korzystania z usług podwykonawców (Subprocesorów).
    • Pomoc administratorowi w wywiązywaniu się z realizacji praw osób, których dane dotyczą, oraz obowiązków z art. 32–36 RODO.
    • Usunięcie lub zwrot danych po zakończeniu świadczenia usług.
    • Udostępnianie informacji niezbędnych do wykazania zgodności i umożliwienie audytów.

Wybór procesora i kontrola nad podwykonawcami

Administrator ma obowiązek korzystać wyłącznie z usług takich podmiotów przetwarzających, które zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, pozwalających utrzymać ryzyko naruszenia bezpieczeństwa danych na wymaganym przez administratora poziomie. Przy ocenie procesora należy wziąć pod uwagę jego wiedzę fachową, wiarygodność oraz zasoby jakimi dysponuje.

Z praktycznego punktu widzenia w tym zakresie warto zastosować ankietę oceny stosowanych zabezpieczeń, wraz z dowodami w postaci funkcjonujących procedur u procesora. Analiza tych zabezpeiczeń musi być powtarzana podczas trwania umowy, nie tylko ze względu na możliwość wykazania przez administratora rozliczalności i nadzoru procesu powierzenia danych, ale przede wszystkim kontroli ryzyka dla bezpieczeństwa danych.

Kontrola możliwej realizacji praw podmiotów danych oraz stosowania systemów AI

RODO w swojej istocie opiera się na realnej realizacji praw osób fizycznych, których dane dotyczą, dlatego zawierając umowę powierzenia, nie możemy poprzestać jedynie na sprawdzeniu technicznych zabezpieczeń stosowanych przez procesora, któremu dane powierzamy. Musimy upewnić się, czy podmiot ten jest w stanie np. usunąć dane, co pozwoli nam sprawnie spełnić obowiązki wynikające z przepisów (np. prawo do przenoszenia danych, prawo do sprostowania danych, czy ograniczenia ich przetwarzania).

Sprawa staje się jeszcze ważniejsza, gdy procesor wykorzystuje systemy AI wysokiego ryzyka, na przykład w rekrutacji lub ocenie kredytowej. W takich przypadkach koniecznie trzeba zweryfikować, czy w razie potrzeby otrzymamy od niego pomoc przy realizacji prawa do wyjaśnień z art. 86 AI Act, rozumianego jako żądania skierowanego do Administratora w związku z zautomatyzowaną decyzją podjętą przez system AI.

Zasady dotyczące korzystania z podwykonawców do przetwarzania danych (sub-processing):

  1. Zgoda administratora, co oznacza, że procesor nie może zaangażować innego podmiotu bez uprzedniej szczegółowej lub ogólnej pisemnej zgody administratora.
  2. Prawo sprzeciwu Administratora(w  przypadku zgody ogólnej), procesor musi informować o planowanych zmianach w liście podwykonawców, dając administratorowi możliwość wyrażenia sprzeciwu.
  3. Łańcuch odpowiedzialności, działaniem procesora na podwykonawcę muszą zostać nałożone te same obowiązki w zakresie ochrony danych, jakie wynikają z umowy głównej między administratorem a procesorem. Procesor pozostaje w pełni odpowiedzialny przed administratorem za niewywiązanie się podwykonawcy z jego obowiązków.

Podsumowanie

Prawidłowe przypisanie ról administratora i procesora wymaga dogłębnej analizy faktycznego wpływu na cele i sposoby przetwarzania, a nie tylko polegania na formalnych zapisach umownych. Administratorzy muszą starannie dobierać partnerów biznesowych, zapewniać precyzyjne umowy powierzenia oraz dbać o bezpieczeństwo powierzonych danych, koncertując się na możliwym wykorzystywaniu przez tych partnerów (procesorów) nowych technologii, takich jak systemy AI. Pamiętajmy, że każda zmiana w procesie operacyjnym może wpłynąć na zmianę roli podmiotu, co wymaga regularnej weryfikacji dokumentacji i stosowanych środków bezpieczeństwa oraz wpływu na prawa podmiotów danych, czyli osób fizycznych, których powierzone dane dotyczą.

Najczęściej zadawane pytania

Nie. Podmiot może zostać uznany za administratora, jeśli ma decydujący wpływ na cele i istotne sposoby przetwarzania (np. zleca badanie rynku według swojej metodologii), nawet jeśli otrzymuje od procesora jedynie wyniki statystyczne bez dostępu do danych osobowych, nadal będzie uznany za administratora.

Jeśli podmiot przetwarzający wykroczy poza instrukcje administratora i zacznie np. profilować klientów na własne potrzeby marketingowe, automatycznie staje się administratorem tych danych w zakresie nowych celów. Wiąże się to z pełną odpowiedzialnością prawną i ryzykiem sankcji za naruszenie RODO.

RODO wymaga formy pisemnej, przy czym forma elektroniczna jest z nią równoważna. Ważne jest, aby instrukcje i umowa były udokumentowane w sposób trwały, umożliwiający wykazanie zgodności podczas audytu lub kontroli organu nadzorczego.

Tak, sytuacja, w której dostawca usług (np. chmury obliczeniowej) oferuje znormalizowaną umowę, jest dopuszczalna. Jednak to administrator musi ocenić, czy te warunki zapewniają wystarczające gwarancje bezpieczeństwa. Akceptując je, administrator przyjmuje pełną odpowiedzialność za zgodność wybranej usługi z RODO.

Administrator jest odpowiedzialny za  powierzone dane i to on może otrzymać karę za naruszenie tych danych, nawet jeżeli do naruszenia doszło w strukturze procesora. Decyzje Prezesa UODO jednoznacznie potwierdzają, że administrator ponosi pełną odpowiedzialność za brak rzetelnej weryfikacji zabezpieczeń u swoich kontrahentów – podmiotów przetwarzających, co najdobitniej ilustruje rekordowa kara nałożona na McDonald’s Polska w wysokości blisko 17 milionów złotych. W tym przypadku organ uznał za rażące zaniedbanie powierzenia danych zewnętrznemu dostawcy systemu bez wcześniejszego audytu jego kompetencji IT oraz przy jednoczesnym braku uprawnień administratora do nadzorowania operacji w tym systemie. Z kolei w sprawie DPD Polska kara wyniosła ponad 11 milionów złotych i wynikała z systemowego braku umów powierzenia z podwykonawcami, co w praktyce uniemożliwiło administratorowi jakąkolwiek analizę stosowanych przez nich środków ochrony danych na etapie doręczeń. Wszystkie te decyzje, dostępne na portalu uodo.gov.pl, wskazują, że każda forma „ślepego zaufania” do procesora i rezygnacja z realnej kontroli jest traktowana jako bezpośrednie naruszenie zasady rozliczalności, skutkujące wielomilionowymi stratami dla administratora.

W konstruowaniu umów powierzenia przetwarzania danych osobowych, w reżimie których podmiot przetwarzający wykorzystuje systemy sztucznej inteligencji, kluczowe znaczenie ma precyzyjne sformułowanie obowiązków procesora w obszarze realizacji praw podmiotów danych. W sytuacji wdrożenia systemów wysokiego ryzyka, chociażby w procesach rekrutacyjnych lub przy ocenie zdolności kredytowej, obligatoryjne staje się zastrzeżenie mechanizmów pomocy technicznej ze strony procesora, niezbędnych do realizacji uprawnienia do wyjaśnień przewidzianego w art. 86 Aktu o AI. Ponadto kontraktowa alokacja ryzyk wymaga nałożenia na podmiot przetwarzający obowiązku ciągłego dokumentowania oraz raportowania działań weryfikacyjnych nakierowanych na wykrywanie i mitygację zjawiska stronniczości algorytmicznej (bias), wraz z zapewnieniem administratorowi ekwiwalentnych uprawnień audytowych, nadto bezwzględnego nadzoru człowieka, co wynika wprost z przepisów.

Autor artykułu

Damian Dziuba

Damian Dziuba

Ekspert RODO i AI, niezależny konsultant oraz Inspektor Ochrony Danych. Członek GRAI przy Ministerstwie Cyfryzacji. Audytor i znawca norm ISO (SZBI – bezpieczeństwo informacji, BCMS – ciągłości działania oraz AIMS: systemy AI). Autor publikacji branżowych i praktyk biznesowy łączący aspekty prawne z nowoczesnymi technologiami.