Podmiot przetwarzający dane

Podmiot przetwarzający dane to podmiot, który przetwarza dane osobowe w imieniu i zgodnie z instrukcjami administratora danych. W kontekście reklamy politycznej podmioty przetwarzające obsługują dane osobowe w celach targetowania lub dostarczania reklam, ale nie decydują o tym, jak i dlaczego dane są wykorzystywane. Administrator pozostaje ostatecznie odpowiedzialny za zgodne z prawem przetwarzanie.

Podstawa prawna

„Podmiot przetwarzający" oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który przetwarza dane osobowe w imieniu administratora."

— Artykuł 4(8), rozporządzenie (UE) 2016/679 (RODO)

Chociaż rozporządzenie (UE) 2024/900 nie definiuje podmiotu przetwarzającego dane, odwołuje się do prawa ochrony danych i przypisuje określone obowiązki administratorom i podmiotom przetwarzającym, gdy dane osobowe są wykorzystywane do targetowania reklamy politycznej w Internecie.

Dlaczego to ma znaczenie

Zrozumienie roli podmiotów przetwarzających dane ma kluczowe znaczenie dla zgodności zarówno z RODO, jak i z rozporządzeniem w sprawie reklamy politycznej. Gdy partia polityczna, kampania lub sponsor korzysta z platformy internetowej, dostawcy technologii reklamowych lub firmy analitycznej w celu dostarczania targetowanych reklam politycznych, taki dostawca zazwyczaj działa jako podmiot przetwarzający. Sponsor lub podmiot polityczny pozostaje administratorem i musi zapewnić, że podmiot przetwarzający spełnia wszystkie wymogi prawne.

Podmioty przetwarzające muszą wdrażać odpowiednie środki techniczne i organizacyjne, wspierać administratorów w wypełnianiu ich obowiązków (takich jak odpowiadanie na żądania osób, których dane dotyczą) oraz przetwarzać dane wyłącznie na udokumentowane polecenia. Nie mogą wykorzystywać danych osobowych do własnych celów. Jeśli podmiot przetwarzający określa własne cele przetwarzania, staje się administratorem i przyjmuje pełną odpowiedzialność wynikającą z prawa ochrony danych.

W przypadku reklamy politycznej to rozróżnienie ma znaczenie, ponieważ targetowanie z wykorzystaniem danych osobowych jest poważnie ograniczone na mocy rozdziału III rozporządzenia (UE) 2024/900. Administratorzy muszą zapewnić, aby ich podmioty przetwarzające przestrzegały ograniczeń w zakresie targetowania, wymogów dotyczących zgody oraz zakazów wykorzystywania niektórych szczególnych kategorii danych.

Kluczowe kwestie

Działa zgodnie z instrukcjami: Podmioty przetwarzające obsługują dane osobowe wyłącznie zgodnie z poleceniami administratora; nie mogą decydować o tym, jak i dlaczego dane są przetwarzane.
Pozostaje odpowiedzialny: Administratorzy są ostatecznie odpowiedzialni za zapewnienie, że podmioty przetwarzające przestrzegają przepisów RODO i zasad dotyczących reklamy politycznej.
Wymagane umowy pisemne: Administratorzy muszą zawrzeć z podmiotami przetwarzającymi umowę lub akt prawny określający warunki przetwarzania, środki bezpieczeństwa i obowiązki.
Wspiera zgodność z przepisami: Podmioty przetwarzające muszą pomagać administratorom w odpowiadaniu na żądania dotyczące praw osób, których dane dotyczą, przeprowadzaniu ocen skutków oraz zgłaszaniu naruszeń ochrony danych.
Może stać się administratorem: Jeśli podmiot przetwarzający określa cele i sposoby przetwarzania, zostaje przeklasyfikowany na administratora z pełną odpowiedzialnością prawną.
Szczególne zasady dotyczące targetowania: Gdy podmioty przetwarzające dostarczają targetowane reklamy polityczne w Internecie, muszą przestrzegać ograniczeń określonych w rozdziale III i nie mogą wykorzystywać danych szczególnych kategorii do celów targetowania.

Podmiot przetwarzający dane a administrator danych

Administrator danych określa cele i sposoby przetwarzania danych osobowych — decyduje, jakie dane zbierać, jak je wykorzystywać i dlaczego. Podmiot przetwarzający dane działa wyłącznie zgodnie z instrukcjami administratora i nie podejmuje tych decyzji.

W reklamie politycznej partia polityczna podejmująca decyzję o prowadzeniu targetowanej kampanii reklamowej jest administratorem. Platforma mediów społecznościowych lub usługa technologii reklamowych dostarczająca te reklamy zgodnie z instrukcjami partii jest podmiotem przetwarzającym. Jeśli platforma wykorzystuje również dane do własnych celów (np. ulepszania swojego algorytmu rekomendacji), działa jako administrator w odniesieniu do tego odrębnego celu.

Rozróżnienie to ma kluczowe znaczenie, ponieważ administratorzy i podmioty przetwarzające mają różne obowiązki wynikające z RODO, a odpowiedzialność za niezgodność z przepisami spoczywa ostatecznie na administratorze.

Powiązane terminy

Tak. Jako rozporządzenie UE, TTPA ma bezpośrednie zastosowanie we wszystkich państwach członkowskich bez konieczności krajowej transpozycji. Państwa członkowskie muszą jedynie wyznaczyć organy i ustalić sankcje.

Wymogi dotyczące przejrzystości zapewniają, że wszyscy aktorzy polityczni działają zgodnie z tymi samymi zasadami. Wyborcy mogą zobaczyć, kto dysponuje zasobami i jak są one wykorzystywane, co wspiera uczciwą konkurencję.

Przejrzystość buduje zaufanie, pokazując wyborcom, że podmioty polityczne działają otwarcie. Ukryte finansowanie lub targetowanie podważa zaufanie do procesów demokratycznych.

Wymagając wyraźnego oznaczenia i dostępnych informacji o przejrzystości, TTPA pomaga ludziom rozpoznać reklamę polityczną i zrozumieć, kto próbuje na nich wpływać.

Młode osoby nie mogą jeszcze głosować, ale mogą być celem działań mających na celu wpłynięcie na ich przyszłe zachowanie lub manipulację członkami rodziny. Zakaz chroni małoletnich przed politycznym wykorzystaniem.

Reklama polityczna obejmuje każdy płatny przekaz, który promuje podmiot polityczny, wpływa na zachowania wyborcze, oddziałuje na wynik wyborów lub referendów albo wpływa na procesy legislacyjne lub regulacyjne. Obejmuje również wszelką reklamę prowadzoną przez podmiot polityczny lub w jego imieniu.

Nie. TTPA nie wpływa na krajowe przepisy dotyczące treści reklam politycznych, finansowania kampanii, okresów wyborczych ani ogólnych zakazów reklam politycznych. Dodaje wymogi dotyczące przejrzystości do istniejących przepisów krajowych.

Oficjalna nazwa to rozporządzenie Parlamentu Europejskiego i Rady (UE) 2024/900 w sprawie przejrzystości i targetowania reklamy politycznej. Zostało opublikowane 20 marca 2024 r.