Poradnik Przedsiębiorcy

Kim jest administrator danych osobowych?

Prowadzenie działalności gospodarczej nieodzownie wiąże się z gromadzeniem danych osobowych klientów oraz kontrahentów. Z tego względu ochrona danych osobowych stała się istotna dla każdego przedsiębiorcy. Wymaga tego nie tylko profesjonalizm, ale również przepisy prawa nadające przedsiębiorcy rolę administratora danych osobowych. Kim jest administrator danych osobowych oraz jakie ma  zadania? Wyjaśniamy poniżej.

Kto jest administratorem danych osobowych?

Ustawowa definicja pojęcia administratora danych osobowych została zawarta w art. 7 pkt 4 ustawy z dnia 29 sierpnia 1997 roku o ochronie danych osobowych, zgodnie z którym administrator danych osobowych jest to organ, jednostka organizacyjna, podmiot lub osoba decydująca o celach i środkach przetwarzania danych osobowych.

Naczelny Sąd Administracyjny w wyroku z dnia 31 stycznia 2012 roku (I OSK 1317/11), wyjaśnił, iż administratorem danych osobowych jest jedynie taki dysponent danych, który decyduje o celach i środkach ich przetwarzania. Art. 7 pkt 4 ustawy z 29 sierpnia 1997 roku o ochronie danych osobowych w swej treści posługuje się pojęciem przetwarzania danych osobowych, a zatem konieczne jest także odwołanie się do ustawowej definicji tego pojęcia, gdyż cele i środki należy zawsze odnosić do procesu przetwarzania danych osobowych. Stosownie do art. 7 pkt 2 ustawy przez przetwarzanie danych osobowych rozumie się jakiekolwiek operacje wykonywane na danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza te, które wykonuje się w systemach informatycznych. Należy podkreślić, że ustawa używa pojęcia przetwarzanie danych osobowych, a zatem posługuje się określeniem wskazującym na dokonywanie (tu i teraz) czynności czy operacji na danych osobowych.

Takie samo stanowisko zajął Naczelny Sąd Administracyjny w wyroku z dnia 18 sierpnia 2016 roku (I OSK 864/16), wskazując, że administratorowi portalu internetowego nie przysługuje status administratora danych w odniesieniu do danych osobowych osoby, która się zarejestrowała na portalu, jeżeli portal przesłał je bezpośrednio do potencjalnego pracodawcy. Skoro zaś dane te zostały przekazane automatycznie, nie można uznać, że spółka prowadząca portal nabyła status administratora danych w rozumieniu art. 7 pkt 4 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (t.j. Dz.U. z 2002 r. Nr 101, poz. 926 ze zm.), tj. podmiotu decydującego o celach i środkach przetwarzania danych osobowych. Status administratora danych nie wynika bowiem z samego faktu posiadania danych, ale ze sprawowania faktycznej kontroli nad ich przetwarzaniem, obejmującej dwa wspomniane elementy – decydowanie o celach i środkach przetwarzania danych.

25 maja 2018 roku weszła w życie nowa ustawa o ochronie danych osobowych, zastępująca dotychczasowe regulacje, jednakże przywołany przepis, wyjątkowo, zachował moc, w związku z czym definicja legalna administratora danych osobowych nie zmieniła się.

Co należy do obowiązków administratora danych osobowych?

Nie utracił mocy również przepis art. 36 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych określający podstawowe zadania administratora danych osobowych.

Zgodnie z przywołanym przepisem do zadań administratora danych osobowych należy:

  • stosowanie środków technicznych i organizacyjnych zapewniających ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, a w szczególności zabezpieczenie danych przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem;

  • prowadzenie dokumentacji opisującej sposób przetwarzania danych oraz środków zapewniających ochronę danych osobowych.

Na podstawie art. 36a przywołanej ustawy do kompetencji administratora danych należy powoływanie administratora bezpieczeństwa informacji. W przypadku niepowołania administratora bezpieczeństwa, jego zadania będzie wykonywał administrator danych. Do zadań tych należy zapewnianie przestrzegania przepisów o ochronie danych osobowych, w szczególności przez:

  • sprawdzanie zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych oraz opracowanie w tym zakresie sprawozdania dla administratora danych;

  • nadzorowanie opracowania i aktualizowania dokumentacji, o której mowa w art. 36 ust. 2, oraz przestrzegania zasad w niej określonych;

  • zapewnianie zapoznania osób upoważnionych do przetwarzania danych osobowych z przepisami o ochronie danych osobowych;

jak również prowadzenie rejestru zbiorów danych przetwarzanych przez administratora danych.

Czy przedsiębiorca, to administrator danych osobowych?

Przedsiębiorca jest administratorem danych osobowych wykorzystywanych w zakresie prowadzonej przez niego działalności. W przypadku osób fizycznych kwestia jest oczywista. Natomiast w przypadku osób prawnych i jednostek organizacyjnych nieposiadających osobowości prawnej w praktyce rodzi się wątpliwość, czy administratorem danych jest spółka, jej organy czy osoby w nich zasiadające.

Administratorem danych osobowych jest przedsiębiorca, a więc spółka prawa handlowego, a nie jej organ, lub osoba fizyczna sprawująca funkcję członka organu czy wyznaczony w tym celu pracownik.

Przykład 1.

Starosta jest administratorem danych (dane osobowe o właścicielach pojazdów) gromadzonych w związku z wykonywaniem zadań publicznych polegających na rejestracji pojazdów i wydawania dokumentów stwierdzających uprawnienia do kierowania pojazdami.

Przykład 2.

Decyzje o celach i środkach przetwarzania danych osobowych pasażerów pozyskanych podczas kontroli przez osobę upoważnioną przez przewoźnika do kontroli biletów w każdym przypadku należą wyłącznie do przewoźnika. W konsekwencji, status administratora danych pasażerów zawsze przysługiwał będzie przewoźnikowi (decyzja GIODO z dnia 13 lutego 2004 roku, GI-DEC-DS-34/04).

Jakie obowiązki nakłada na administratorów danych nowa ustawa?

25 maja 2018 roku weszło w życie Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 roku w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (tzw. Rozporządzenie RODO) oraz nowa ustawa o danych osobowych (ustawa z dnia 10 maja 2018 r. o danych osobowych. Wraz z wejściem w życie tych regulacji na administratorach danych osobowych zaczną ciążyć nowe obowiązki. Należeć będą do nich:

  • zgłaszanie naruszenia ochrony danych osobowych do organu nadzorczego oraz zawiadamianie o tym osób, których dane te dotyczą;

  • dokonanie oceny skutków planowanych operacji przetwarzania danych przed rozpoczęciem ich przetwarzania;

  • prowadzenie rejestru czynności przetwarzania danych osobowych;

  • minimalizacji danych oraz ograniczenie ich przechowywania;

  • zapewnienie prawa do usunięcia danych dotyczących danej osoby.

Czy administrator danych osobowych może być ustanowiony w drodze umowy?

Kwestię tę badał generalny Inspektor Ochrony Danych Osobowych, wskazując, iż fakt, że w umowie pomiędzy podmiotami wskazano jeden z podmiotów jako administratora danych a drugiego jako podmiot, któremu zgodnie z art. 31 ustawy z dnia 29 sierpnia 1997 roku o ochronie danych osobowych (t.j. Dz.U. z 2014 r. poz. 1182 ze zm.), powierzono przetwarzanie danych, nie przesądza o tym, kto rzeczywiście jest administratorem tych danych. Zgodnie z definicją określoną w art. 7 pkt 4 ustawy administratorem danych osobowych jest ten, kto decyduje o celach i środkach. Tak więc, jeżeli zarówno z innych postanowień umowy jak i samego procesu przetwarzania danych wynika, iż podmiot wskazany w umowie jako ten, któremu powierzono przetwarzanie danych, w rzeczywistości decyduje o celach i środkach, należy uznać iż administratorem danych jest właśnie ten podmiot (decyzja GIODO z dnia 15 lipca 2015, DIS/DEC 594/15/62961).