Slajd nr 1 Slajd nr 1
Tło strzałki Strzałka
Header na wersje mobilna
Header na wersje tabletową Header na wersje laptopową
przejdź
przejdź
0 0
dni
0 0
godz
0 0
min
0 0
sek
Skorzystaj z promocji!
  2. Serwis Prawny
  3. Ochrona danych
  4. Kim jest administrator danych osobowych?

Kim jest administrator danych osobowych?

Nasz ekspert:
Artykuły autora

Wielkość tekstu:

Prowadzenie działalności gospodarczej nieodzownie wiąże się z gromadzeniem danych osobowych klientów oraz kontrahentów. Z tego względu ochrona danych osobowych stała się istotna dla każdego przedsiębiorcy. Wymaga tego nie tylko profesjonalizm, ale również przepisy prawa nadające przedsiębiorcy rolę administratora danych osobowych. Kim jest administrator danych osobowych oraz jakie ma  zadania? Wyjaśniamy poniżej.

Kto jest administratorem danych osobowych?

Ustawowa definicja pojęcia administratora danych osobowych została zawarta w art. 7 pkt 4 ustawy z dnia 29 sierpnia 1997 roku o ochronie danych osobowych, zgodnie z którym administrator danych osobowych jest to organ, jednostka organizacyjna, podmiot lub osoba decydująca o celach i środkach przetwarzania danych osobowych.

Naczelny Sąd Administracyjny w wyroku z dnia 31 stycznia 2012 roku (I OSK 1317/11), wyjaśnił, iż administratorem danych osobowych jest jedynie taki dysponent danych, który decyduje o celach i środkach ich przetwarzania. Art. 7 pkt 4 ustawy z 29 sierpnia 1997 roku o ochronie danych osobowych w swej treści posługuje się pojęciem przetwarzania danych osobowych, a zatem konieczne jest także odwołanie się do ustawowej definicji tego pojęcia, gdyż cele i środki należy zawsze odnosić do procesu przetwarzania danych osobowych. Stosownie do art. 7 pkt 2 ustawy przez przetwarzanie danych osobowych rozumie się jakiekolwiek operacje wykonywane na danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza te, które wykonuje się w systemach informatycznych. Należy podkreślić, że ustawa używa pojęcia przetwarzanie danych osobowych, a zatem posługuje się określeniem wskazującym na dokonywanie (tu i teraz) czynności czy operacji na danych osobowych.

Takie samo stanowisko zajął Naczelny Sąd Administracyjny w wyroku z dnia 18 sierpnia 2016 roku (I OSK 864/16), wskazując, że administratorowi portalu internetowego nie przysługuje status administratora danych w odniesieniu do danych osobowych osoby, która się zarejestrowała na portalu, jeżeli portal przesłał je bezpośrednio do potencjalnego pracodawcy. Skoro zaś dane te zostały przekazane automatycznie, nie można uznać, że spółka prowadząca portal nabyła status administratora danych w rozumieniu art. 7 pkt 4 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (t.j. Dz.U. z 2002 r. Nr 101, poz. 926 ze zm.), tj. podmiotu decydującego o celach i środkach przetwarzania danych osobowych. Status administratora danych nie wynika bowiem z samego faktu posiadania danych, ale ze sprawowania faktycznej kontroli nad ich przetwarzaniem, obejmującej dwa wspomniane elementy – decydowanie o celach i środkach przetwarzania danych.

25 maja 2018 roku weszła w życie nowa ustawa o ochronie danych osobowych, zastępująca dotychczasowe regulacje, jednakże przywołany przepis, wyjątkowo, zachował moc, w związku z czym definicja legalna administratora danych osobowych nie zmieniła się.

Co należy do obowiązków administratora danych osobowych?

Nie utracił mocy również przepis art. 36 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych określający podstawowe zadania administratora danych osobowych.

Zgodnie z przywołanym przepisem do zadań administratora danych osobowych należy:

  • stosowanie środków technicznych i organizacyjnych zapewniających ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, a w szczególności zabezpieczenie danych przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem;

  • prowadzenie dokumentacji opisującej sposób przetwarzania danych oraz środków zapewniających ochronę danych osobowych.

Na podstawie art. 36a przywołanej ustawy do kompetencji administratora danych należy powoływanie administratora bezpieczeństwa informacji. W przypadku niepowołania administratora bezpieczeństwa, jego zadania będzie wykonywał administrator danych. Do zadań tych należy zapewnianie przestrzegania przepisów o ochronie danych osobowych, w szczególności przez:

  • sprawdzanie zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych oraz opracowanie w tym zakresie sprawozdania dla administratora danych;

  • nadzorowanie opracowania i aktualizowania dokumentacji, o której mowa w art. 36 ust. 2, oraz przestrzegania zasad w niej określonych;

  • zapewnianie zapoznania osób upoważnionych do przetwarzania danych osobowych z przepisami o ochronie danych osobowych;

jak również prowadzenie rejestru zbiorów danych przetwarzanych przez administratora danych.

Czy przedsiębiorca, to administrator danych osobowych?

Przedsiębiorca jest administratorem danych osobowych wykorzystywanych w zakresie prowadzonej przez niego działalności. W przypadku osób fizycznych kwestia jest oczywista. Natomiast w przypadku osób prawnych i jednostek organizacyjnych nieposiadających osobowości prawnej w praktyce rodzi się wątpliwość, czy administratorem danych jest spółka, jej organy czy osoby w nich zasiadające.

Administratorem danych osobowych jest przedsiębiorca, a więc spółka prawa handlowego, a nie jej organ, lub osoba fizyczna sprawująca funkcję członka organu czy wyznaczony w tym celu pracownik.

Przykład 1.

Starosta jest administratorem danych (dane osobowe o właścicielach pojazdów) gromadzonych w związku z wykonywaniem zadań publicznych polegających na rejestracji pojazdów i wydawania dokumentów stwierdzających uprawnienia do kierowania pojazdami.

Przykład 2.

Decyzje o celach i środkach przetwarzania danych osobowych pasażerów pozyskanych podczas kontroli przez osobę upoważnioną przez przewoźnika do kontroli biletów w każdym przypadku należą wyłącznie do przewoźnika. W konsekwencji, status administratora danych pasażerów zawsze przysługiwał będzie przewoźnikowi (decyzja GIODO z dnia 13 lutego 2004 roku, GI-DEC-DS-34/04).

Jakie obowiązki nakłada na administratorów danych nowa ustawa?

25 maja 2018 roku weszło w życie Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 roku w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (tzw. Rozporządzenie RODO) oraz nowa ustawa o danych osobowych (ustawa z dnia 10 maja 2018 r. o danych osobowych. Wraz z wejściem w życie tych regulacji na administratorach danych osobowych zaczną ciążyć nowe obowiązki. Należeć będą do nich:

  • zgłaszanie naruszenia ochrony danych osobowych do organu nadzorczego oraz zawiadamianie o tym osób, których dane te dotyczą;

  • dokonanie oceny skutków planowanych operacji przetwarzania danych przed rozpoczęciem ich przetwarzania;

  • prowadzenie rejestru czynności przetwarzania danych osobowych;

  • minimalizacji danych oraz ograniczenie ich przechowywania;

  • zapewnienie prawa do usunięcia danych dotyczących danej osoby.

Czy administrator danych osobowych może być ustanowiony w drodze umowy?

Kwestię tę badał generalny Inspektor Ochrony Danych Osobowych, wskazując, iż fakt, że w umowie pomiędzy podmiotami wskazano jeden z podmiotów jako administratora danych a drugiego jako podmiot, któremu zgodnie z art. 31 ustawy z dnia 29 sierpnia 1997 roku o ochronie danych osobowych (t.j. Dz.U. z 2014 r. poz. 1182 ze zm.), powierzono przetwarzanie danych, nie przesądza o tym, kto rzeczywiście jest administratorem tych danych. Zgodnie z definicją określoną w art. 7 pkt 4 ustawy administratorem danych osobowych jest ten, kto decyduje o celach i środkach. Tak więc, jeżeli zarówno z innych postanowień umowy jak i samego procesu przetwarzania danych wynika, iż podmiot wskazany w umowie jako ten, któremu powierzono przetwarzanie danych, w rzeczywistości decyduje o celach i środkach, należy uznać iż administratorem danych jest właśnie ten podmiot (decyzja GIODO z dnia 15 lipca 2015, DIS/DEC 594/15/62961).

Polecamy:

Najważniejsze zmiany w wynagrodzeniach i Kodeksie pracy od 2023 r.!

Czy dane przedsiębiorcy podlegają ochronie?
Nieprawidłowe przechowywanie haseł w firmie - kons...
Podobne
Kwiecień 2024
25
Czwartek
  • Dzień ustawowo wolny od pracy
  • ZUS (spółki akcyjne, spółki z o.o., spółdzielnie, stowarzyszenia, fundacje)
  • Podatek dochodowy
  • PIT 4
  • PIT 8A
  • ZUS (jednoosobowa działalność gospodarcza, spółki: cywilne, jawne, partnerskie, kamandytowe, komandytowo-akcyjne)
  • VAT 7
  • VAT 7K
  • VAT UE (elektroniczna)
  • PIT 28
  • PIT 36
  • PIT 36L
Wyświetl artykuły z tego dnia
Zobacz wszystkie

Najchętniej czytane

  1. Zaświadczenie o niekaralności - jak je uzyskać i ile kosztuje?
  2. Monitoring pracowników - jakie formalności, żeby zamontować kamery w firmie?
  3. Wymeldowanie z pobytu stałego - jak wymeldować siebie lub inną osobę?
  4. Profil zaufany a podpis elektroniczny. Czym się różnią?
  5. 7 zasad, które warto znać, jak zaliczyć wpłatę otrzymaną od kontrahenta
Zobacz wszystkie

Kalkulatory

Zobacz wszystkie kalkulatory

Wzory dokumentów

Zobacz wszystkie wzory

Ochrona danych

Akt o Usługach Cyfrowych jako pomoc w ochronie danych w sieci

Kalkulatory Wzory umów Wskaźniki Porady online

Patronaty

semKRK#22 BIG - marketing internetowy
Ochrona danych osobowych 2018-2024 - wyzwania w cyfrowej rzeczywistości
XVIII Kongres ICV POLSKA (Controlling Intelligence Adventure 2024)
Open Source Day już 18 kwietnia w Warszawie!
Świat nieruchomości na wysokich obcasach: Jubileuszowe Forum Inwestorek 2024 Zobacz wszystkie
Artykuły
Brak wyników.
Więcej artykułów
Wzory
Brak wyników.
Więcej wzorów