Logowanie

Administratorzy danych, procesorzy danych i umowa o powierzeniu przetwarzania danych osobowych

Autor

Zanim będziesz w stanie zrozumieć jakie sa Twoje obowiązki wynikające z RODO, ważne jest abyś zrozumiał czy jesteś administratorem czy procesorem danych.

 

Wynika to z faktu, że  administratorzy mają o wiele więcej do zrobienia, jeśli chodzi o zgodność z RODO. W przypadku procesorów RODO mają oni wiele bezpośrednich zobowiązań, ale jest ich znacznie mniej niż dla administratorów. Obecnie, administratorzy  również muszą pisemnie zobowiązać procesorów do przetwarzania danych w określony sposób, ale teraz RODO wyraźnie precyzuje, co ta umowa powinna zawierać.

 Kim jest administrator danych a kim procesor danych?

W jaki sposób masz się dowiedzieć czy jesteś administratorem czy procesorem?

Wszystko sprowadza się do podjęcia decyzji. Będziesz administratorem, jeśli określisz:

  • dlaczego dane powinny być przetwarzane
  • Jak należy je przetwarzać, aby osiągnąć zamierzony cel, lub jedno i drugie.

Procesorzy danych, z drugiej strony, nigdy nie decydują dlaczego przetwarzają dane, zostawiają to administratorom, od których otrzymali polecenie przetwarzania danych. Procesorzy mogą podjąć ograniczone decyzje dotyczące przetwarzania danych w celach określonych przez administratora, ale mogą to być decyzję "nieistotne". 

To ozncza, że istotne decyzje zawsze powinny być pozostawione administratorowi, włączając w to decyzje dotyczące tego, jakie dane przetwarzać aby osiągnąć cel adminitratora lub model ekonomiczny do jakiego dąży.

Najważniejsze jest aby mieć na uwadze, że te role są przypisywane na podstawie faktów. 

Nie można zawrzeć umowy, która mówi na przykład: „X będzie adminitratorem, Y będzie procesorem” i koniec. Jeśli faktycznie, Y podejmuje decyzje o tym, jakie dane przetwarzać na potrzeby X, Y zostanie współadminitratorem razem z X. Jeśli Y zdecyduje się na procesowanie danych dla swoich własnych celów, będzie jedynym administratorem dla tego celu.

Kto jest kim w marketingu afiliacyjnym?

W marketingu afiliacyjnym, reklamodawca jest zawsze administratorem ponieważ tylko reklamodawca może zadecydować „dlaczego” przetwarzać dane, tylko reklamodawca może zadecydować, na przykład „Zróbmy jakąś kampanię online i rozliczmy ją w modelu CPA”.

A co z sieciami i wydawcami? Czy są one procesorami czy współadminitratorami razem z reklamodawcą?

Stanowisko Awin uznaje, że Awin jest współadminitratorem razem z reklamodawcą i wydawcami. W rzeczywistości istnieje tutaj zatem trójstronna relacja. Wynika to z faktu, że Awin zdecydował się na model ekonomiczny i zarówno Awin jak i wydawcy decydują, jakie dane przetwarzają aby zrealizować kampanię afiliacyjną dla reklamodawcy. 

Wynika to ze sposobu w jaki transakcje są śledzone i raportowane. 

W jaki sposób doszliśmy do takich wniosków?

Uważamy, że jest to jedyny wniosek, który dobrze odzwierciedla nasze działania w praktyce. 

Jeśli powiedzmy, Awin lub wydawca chcieliby działać w ramach procesora danych, musieliby za każdym razem przetwarzając nowe dane prosić o pozwolenie odpowiedniego reklamodawcę. Nie mogliby podejmować takiej decyzji samodzielnie. 

Z punktu widzenia wydawcy pojawia się również pytanie, kiedy rozpocząć przetwarzanie danych w imieniu reklamodawcy. Wydawcy są już administratorami danych, które przetwarzają w celu pozyskania własnych użuytkowników, ale przyświeca temu inny cel: „Zdobądźmy jakiś ruch, aby mogli zobaczyć reaklamy , które publikujemy”.

Jeśli wydawcy mieliby być administratorami dla reklamodawców, to w którym momencie podróży konsumenta (przejście na witrynę, poruszanie się po witrynie, czy wyjście z witryny) ich rola by się zmieniła? Różniłoby się to w zależności  od reklamy, a znacznie mniej  w zależności od wydawcy czy modelu wydawcy. 

Co to oznacza dla wydawców?

Zaletą tego jest fakt, że Awin nie wymaga od wydawców zawierania umów dotyczących przetwarzania danych. 

Dodajemy jednak nowe warunki do naszej standardowej umowy dla wydawców, tak aby było jasne który współadministrator jest odpowiedzialny za co. Te warunki dotyczą tego, na przykład, w jaki sposób Awin i wydawcy będą odpowiadać na zapytania użytkowników dotyczące danych lub tego jak będą sobie radzić z naruszeniami danych, jeśli coś takiego będzie miało miejsce. 

Uczynienie tych obowiązków jasnymi, pomaga zapobiegać naruszeniom RODO, za które wydawcy i Awin są odpowiedzialni.

Oznacza to również, że jako administrator wydawcy będą musieli przestrzegać więcej obowiązków wynikających z RODO. Wydawcy muszą jednak to zrobić i tak, przetwarzając dane do własnych celów. Konsekwencją jest to, że będą oni musieli teraz zastosować te zobowiązania do danych przetwarzanych w celu skierowania konsumentów na witrynę  reklamodawcy.

Główną zaletą jest to, że w sieci Awin, o ile odbywa się to zgodnie z RODO i warunkami współpracy, wydawcy mogą sami decydować o tym, jak przetwarzać dane podczas kierowania ruchu do reklamodawców.