Administrator danych osobowych
Administratorem danych osobowych jest podmiot zobowiązany do przestrzegania ustawy, decydujący o celach i środkach przetwarzania danych osobowych (art. 7 pkt 4 ustawy). Wymaga podkreślenia, że warunki te (tj. zaliczenie do zakresu podmiotowego ustawy i decydowanie o celu i zakresie przetwarzania danych) muszą być spełnione łącznie[1]. Podejmowanie decyzji o celu i zakresie przetwarzania danych musi być rzeczywiste (a więc nie pozorne) oraz samodzielne (we własnym imieniu)[2]. Pojęcie administratora danych osobowych odpowiada pojęciu file controller użytemu w angielskiej wersji art. 2 pkt d dyrektywy 95/46/WE - pojęcie to tłumaczone jest właśnie jako administrator danych i oznacza „osobę fizyczną lub prawną, urząd publiczny, agendę lub inny organ, który samodzielnie lub wspólnie z innymi podmiotami określa cele i sposoby przetwarzania danych[3]. Pojęcie administratora danych wprowadzono do porządku prawnego komentowaną ustawą, jak stwierdza G. Sibiga dla oznaczenia podmiotu praw i obowiązków związanych z udziałem w procesie przetwarzania danych osobowych[4].
Administrator danych nie musi fizycznie posiadać danych osobowych. Dane mogą znajdować się np. u przetwarzającego je na zlecenie podmiotu, który nie wykorzystuje ich dla własnych celów. Istotne jest bowiem, kto posiada faktyczne władztwo nad danymi, a więc kto decyduje o tym, w jakim celu i jak są one przetwarzane. Po drugie poza sporem jest kwestia korzystania z jednego zbioru danych przez kilku administratorów. W praktyce często zdarza się bowiem, że z jednego zbioru korzysta kilku administratorów na równych prawach, mają oni możliwość jego uzupełniania, zmiany treści danych, wpływu na cel i sposób ich przetwarzania, a każdy z nich wykorzystuje dane dla własnych celów. Po trzecie administrator to nie tylko ten, który wykonuje wszystkie czynności objęte pojęciem przetwarzania danych, ale również ten, który wykonuje tylko niektóre z nich, o ile to on jest samodzielnym decydentem co o celów i środków przetwarzania[5]. Definicja administratora budzi jednak nadal wątpliwości innego rodzaju. Praktyka wskazuje, iż coraz częściej dochodzi do rozdzielenia funkcji decydowania o celach przetwarzania. Coraz częściej bowiem ustawodawca ściśle określa cele, dla jakich dane osobowe mogą być wykorzystane (np. art. 159 ust. 2 ustawy z dnia 16 lica 2004 r. – Prawo telekomunikacyjne)[6].
Istotną trudność budzi wskazanie podmiotu publicznego, który posiada status administratora danych. Wynika to z dwóch okoliczności:
a) Decydowania przez ustawodawcę, określającego kompetencje do działania przez podmioty publiczne o celu i środkach przetwarzania danych;
b) Bardzo szeroki krąg podmiotów publicznych obejmujący organy państwowe i samorządowe oraz państwowe i samorządowe jednostki organizacyjne, pomiędzy którymi może występować przekazywanie zadań[7].
Do uznania podmiotu publicznego za administratora konieczne jest więc ustalenie zadań i kompetencji w określonej dziedzinie stosunków społecznych oraz pozostawienie mu możliwości doprecyzowania zakresu przetwarzania danych[8].
Administratorami danych osobowych mogą być także podmioty prywatne (podmioty niepubliczne realizujące zadania publiczne, osoby fizyczne, osoby prawne oraz jednostki organizacyjne nieposiadające osobowości prawnej jeżeli przetwarzają dane osobowe w związku z działalnością zarobkową, zawodową lub dla realizacji celów statutowych). Które decydują o celach i środkach przetwarzania danych osobowych. Administratorem danych może być wiec np. bank, fundusz emerytalny, firma ubezpieczeniowa, dowolna spółka, a także hurtownia lub wypożyczalnia kaset wideo. Co istotne to właśnie te podmioty mają status administratora danych, natomiast administratorem nie są osoba lub osoby pełniące funkcje kierownicze (dyrektor, prezes, zarząd itd.) podobnie jak oznaczony pracownik, któremu powierzono wykonywania obowiązków związanych z ochroną i operacjami na danych osobowych[9].
Niekiedy wskazuje się, że do podstawowych obowiązków administratora należą:
a) Obowiązki informacyjne w stosunku do tych, których dotyczą przetwarzane dane,
b) Obowiązki rejestracyjne co do zbiorów danych osobowych,
c) Zabezpieczenie danych, zachowanie ich poufności, integralności i nienaruszalności.
Obowiązki administratora dzieli się też na takie, które mają charakter:
a) Administracyjny,
b) Osobowy,
c) Techniczny.
Administrator co chyba najistotniejsze odpowiada za legalność przetwarzania danych oraz za zapewnienie odpowiednich warunków (technicznych i organizacyjnych) decydujących o właściwej ochronie danych osobowych[10].
[1] S. Hoc, T. Szewc, Ochrona danych osobowych i informacji niejawnych, Warszawa 2014, s. 15
[2] A. Drozd, Ustawa o ochronie danych osobowych. Komentarz, wzory pism, przepisy, Warszawa 2004, s. 61 i n.
[3] P. Barta, P. Litwiński, Ochrona danych osobowych. Komentarz, Warszawa 2015, s. 116
[4] G. Sibiga, Postepowanie w sprawach ochrony danych osobowych, Warszawa 2003, s. 53
[5] J. Barta, P. Fajgielski, R. Markiewicz, Ochrona danych osobowych. Komentarz, wyd. II, Zakamycze 2004, s.409
[6] A. Mednis, Administrator danych i podmiot przetwarzający dane na zlecenie – status prawny, zakres praw i obowiązków, problemy definicyjne [w:] Ochrona danych osobowych. Skuteczność regulacji red. G. Szpor, Warszawa 2009, s.79
[7] J. Barta, P. Fajgielski, R. Markiewicz, Ochrona danych osobowych. Komentarz, wyd. II, Zakamycze 2004, s.409
[8] R. Hauser, Przetwarzanie danych osobowych: cel i środki, Rzeczpospolita z 6.4.1999 r., Nr 80
[9] J. Barta, P. Fajgielski, R. Markiewicz, Ochrona danych osobowych. Komentarz, Warszawa 2015, s. 334
[10] J. Barta, P. Fajgielski, R. Markiewicz, Ochrona danych osobowych. Komentarz, Warszawa 2015, s. 335
