Kim jest Podmiot Przetwarzający?
Share
Kim jest Podmiot Przetwarzający?
Jeśli myślałeś, że tylko firma, której podajesz swoje dane, odpowiada za ich przetwarzanie, to… masz rację, ale to nie cała prawda! W grze o ochronę danych osobowych jest jeszcze jedna kluczowa postać, czyli Podmiot Przetwarzający, znany też jako Procesor - oryginalny angielski termin jest krótszy i prostszy w wymowie i lepiej się przyjął na rynku niż polskie tłumaczenie.
Ale kim właściwie jest ten procesor i co robi? Nie martw się, już wyjaśniam – będzie jasno i z humorem! 😎
Administrator danych i Podmiot Przetwarzający – duet idealny?
Zanim wytłumaczymy, kim jest podmiot przetwarzający, warto szybko przypomnieć, kim jest administrator danych - to ten który wydaje decyzję jakie dane i po co będą używane. Teraz wkracza nasz bohater – Podmiot Przetwarzający.
Podmiot Przetwarzający to firma lub organizacja, która przetwarza dane osobowe na zlecenie administratora danych - w skrócie robi to co jej się każe.
Przykład z życia – firma hostingowa
Załóżmy, że masz sklep internetowy i przechowujesz dane klientów na serwerze firmy hostingowej. W tym przypadku to Ty jesteś administratorem danych, bo to Ty decydujesz, co zrobić z danymi klientów. Ale firma hostingowa, która przechowuje te dane na swoich serwerach, jest Podmiotem Przetwarzającym (Procesorem). Ona nie potrzebuje danych twoich klientów, ona chce tylko żebyś płacił za usługę. To nie ona decyduje jakie dane będziesz wrzucał na serwer i to na tym polega różnica.
Teraz wyobraź sobie, że prowadzisz małą firmę i współpracujesz z biurem księgowym, które zajmuje się Twoją dokumentacją. Biuro księgowe ma dostęp do danych Twoich pracowników, np. ich imion, nazwisk i numerów PESEL. W tym przypadku to Ty, jako właściciel firmy, jesteś administratorem danych, a biuro księgowe jest Podmiotem Przetwarzającym, bo na Twoje zlecenie obsługuje te dane.
W skrócie: Podmiot Przetwarzający pomaga administratorowi w realizacji zadań związanych z danymi, ale robi to zgodnie z jego wytycznymi. Procesor nie może sobie ot tak decydować, co zrobić z danymi – wszystko musi być zgodne z poleceniami administratora i oczywiście zgodne z RODO!
Podmiot Przetwarzający – co robi, a czego nie?
Podmiot Przetwarzający może wykonywać wiele różnych zadań, np.:
- Przechowywać dane na serwerach (jak firma hostingowa),
- Zarządzać płatnościami online (jak systemy płatności internetowych),
- Prowadzić księgowość (jak biuro rachunkowe),
- Obsługiwać kampanie marketingowe (np. firmy zajmujące się e-mail marketingiem).
Jest coś czego procesor nie może robić: samodzielnie decydować, co się stanie z danymi. Podkreślam to, bo ma to istotne znaczenie na kształtowanie całego modelu biznesowego spółki. Nie można sobie go od tak potem zmienić. Procesor musi usunąć wszelkie dane osobowe które został mu powierzone po rozwiązaniu współpracy! Jedynym wyjątkiem będzie nagłe pojawienie się obowiązku prawnego ale to rzadkość. Każdy krok, który podejmuje, musi być zgodny z tym, co nakazuje administrator danych. Jeśli administrator powie: „Przechowaj te dane przez rok, a potem je usuń”, to procesor musi to zrobić – bez dyskusji!.
Co zrobić, by wybrać dobrego procesora?
Jeśli jesteś administratorem danych (czyli właścicielem firmy), musisz pamiętać, że wybierając procesora, ponosisz za niego odpowiedzialność. Polski urząd ma praktykę ze wszelkimi problemami i wyciekami kierować się od razu do administratora i widać to po wydanych karach. Dlatego warto upewnić się, że współpracujesz z kimś, kto przestrzega przepisów RODO i ma odpowiednie zabezpieczenia techniczne i organizacyjne.
Kilka prostych kroków:
- Stwórz i wyślij do procesora prostą ankietę bezpieczeńśtwa aby udowodnić że chociaż trochę go sprawdziłeś,
- Upewnij się że zawarłeś umowę powierzenia - RODO wymaga zawarcia pisemnej umowy powierzenia która ma ściśle określone elementy! nie ominiesz tego.
- Monitoruj działania procesora – jak jesteś dużą firmą i masz personel, to warto co kilka lat robić audyt.
Podsumowanie
Podmiot Przetwarzający (lub jak wolisz, Procesor) to firma, która pomaga administratorowi w przetwarzaniu danych osobowych. To ważny gracz w ochronie danych, ale jego działania są ograniczone przez wytyczne administratora i przepisy RODO.
Jeśli masz firmę i współpracujesz z zewnętrznymi usługodawcami, upewnij się, że rozumiesz, jakie obowiązki ma Twój procesor. A jeśli masz pytania, jestem tu, by pomóc!
Typ od RODO – nie tylko dla administratorów, ale też dla procesorów!