Administrator, współadministrator czy podmiot przetwarzający? Jak ustalić właściwą rolę w relacji pomiędzy spółkami (Y/X) w ramach jednej grupy firm?

0

minut

579

wyświetleń

25 lut 2021

Aby wyznaczyć administratora, bądź administratorów, należy ustalić kto decyduje o celach i sposobach przetwarzania danych osobowych. Jeżeli firma Y/X ustala cele i sposoby przetwarzania danych to ona powinna spełnić obowiązek informacyjny, że jest administratorem danych osobowych.
Jeżeli ma natomiast miejsce wspólne podejmowanie decyzji dotyczących celowości i sposobów przetwarzania danych osobowych, to powinno się wyznaczyć dwóch administratorów, którzy będą pełnić swoje obowiązki na zasadzie współadministrowania.

Należy również podkreślić, że określenie właściwego ADO jest podyktowane koniecznością wykonania analizy przez pryzmat danego procesu przetwarzania danych, ponieważ pomiędzy procesami może być istotna różnica, która będzie wpływać na kwalifikację.

Przykłady:

Marketing – może być prowadzony przez dwóch ADO jako współadministratorów w celu określonym przez dwóch ADO na korzyść grupy przedsiębiorstw. Może być też tak, że Firma Y będzie zlecała marketing Firmie X, czyli będzie to klasyczne powierzenie.

Kadry – co do zasady w większości przypadków (z doświadczenia wyjątkiem są duże grupy kapitałowe o skomplikowanych powiązaniach) nie da się tutaj zastosować współadministrowania.

Księgowość – w większości przypadków taka relacja pomiędzy X a Y będzie oparta o powierzenie przetwarzania danych.

Podsumowując – aby określić stosunek i rolę każdego z podmiotów należy przeprowadzić analizę poszczególnych procesów i powiązań pomiędzy X a Y i to powinna dać odpowiedź na pytanie, sugeruję nawet rozrysowanie tych relacji w oparciu o schemat.

Uzasadnienie

Zgodnie z art. 4 pkt 7 rozporządzenia RODO pojęcie administrator (danych osobowych) oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych.

Art. 26 RODO mówi o tym, że:
1. Jeżeli co najmniej dwóch administratorów wspólnie ustala cele i sposoby przetwarzania, są oni współadministratorami. W drodze wspólnych uzgodnień współadministratorzy w przejrzysty sposób określają odpowiednie zakresy swojej odpowiedzialności dotyczącej wypełniania obowiązków wynikających z niniejszego rozporządzenia, w szczególności w odniesieniu do wykonywania przez osobę, której dane dotyczą, przysługujących jej praw, oraz ich obowiązków w odniesieniu do podawania informacji, o których mowa w art. 13 i 14, chyba że przypadające im obowiązki i ich zakres określa prawo Unii lub prawo państwa członkowskiego, któremu administratorzy ci podlegają. W uzgodnieniach można wskazać punkt kontaktowy dla osób, których dane dotyczą.

2. Uzgodnienia, o których mowa w ust. 1, należycie odzwierciedlają odpowiednie zakresy obowiązków współadministratorów oraz relacje pomiędzy nimi a podmiotami, których dane dotyczą. Zasadnicza treść uzgodnień jest udostępniana podmiotom, których dane dotyczą.

3. Niezależnie od uzgodnień, o których mowa w ust. 1, osoba, której dane dotyczą, może wykonywać przysługujące jej prawa wynikające z niniejszego rozporządzenia wobec każdego z administratorów.

 

Tagi

Odpowiedzi udziela

author
Piotr Kawczyński - Forsafe

Zajmuje się szeroko pojętym bezpieczeństwem informacji od 2004 roku. Posiada uprawnienia audytora wiodącego oraz audytora wewnętrznego w zakresie Systemów Zarządzania Bezpieczeństwem Informacji na zgodność z normą 27001. Pełni rolę Inspektora Ochrony Danych oraz  jest Członkiem Grupy Roboczej ds. Ochrony Danych Osobowych w Ministerstwie Cyfryzacji.

www.forsafe.pl
zadaj pytanie