Ludzie, którzy po raz pierwszy stykają się z przepisami dotyczącymi ochrony danych osobowych, często mają problem ze zrozumieniem pojęć, użytych w tych przepisach – zarówno obowiązujących (ustawie o ochronie danych osobowych) jak i przyszłych (RODO). Nie dziwię się – jest tam całe mnóstwo słów i zwrotów, których nie spotyka się na co dzień. Co więcej, część z nich to definicje z pogranicza nauk prawnych i informatycznych, których naprawdę nie da się zrozumieć bez wczytania się w temat.
Dlatego, chcąc rozjaśnić trochę kwestie związane z danymi osobowymi, stwierdziłem, że warto napisać kilka słów o podstawach wyjaśnić kim jest ten administrator danych osobowych.
Czasem bowiem za administratora danych uważa się przykładowo:
1. każdego kto przetwarza jakiekolwiek dane osobowe
2. osobę odpowiedzialną za bezpieczeństwo danych osobowych w spółce
3. podmiot, który zarejestrował zbiór danych w bazie danych GIODO.
Od razu wyjaśniam, że to nie jest równoznaczne z byciem administratorem danych osobowych. A co jest?
Zarówno stara ustawa, jak i nowe rozporządzenie unijne wskazują generalnie, że administratorem danych jest taki podmiot, który decyduje o celach i sposobach przetwarzania danych osobowych. Nowe rozporządzenie precyzuje dodatkowo, że taki podmiot może decydować o celach i sposobach samodzielnie, albo razem z innymi podmiotami. I jeszcze jedno – podmiot to np. osoba fizyczna, osoba prawna a także organ publiczny albo jednostka samorządu terytorialnego.
Kluczowe jest więc to, że podmiot ten decyduje o celach (np. o tym, że dane osobowe będą przetwarzane w celu prowadzenia działań marketingowych) i środkach (np. marketing prowadzony będzie przez telemarketerów, którzy będą dzwonili do potencjalnych klientów) za pomocą których będzie przetwarzał dane.
Co więcej, dane te mogą zostać powierzone podmiotowi trzeciemu – np. poprzez zamieszczenie danych na serwerze innego podmiotu. Umieszczając na zewnętrznym serwerze dane swoich potencjalnych klientów administrator powierza przetwarzanie danych zewnętrznej firmie. Firma ta jednak nie decyduje o celach i środkach przetwarzania – nie jest więc administratorem danych osobowych, a jedynie podmiotem przetwarzającym (procesorem).
Bez znaczenia jest to, czy administrator danych osobowych zarejestrował zbiór w bazie GIODO – od maja 2018 r. obowiązek ten zresztą odpadnie.
Należy również pamiętać o tym, że osoba prawna może być administratorem danych osobowych (np. spółka z ograniczoną odpowiedzialnością), nawet jeśli w rzeczywistości to członkowie zarządu podejmują decyzje o tym, jak dane będą przetwarzane. Działają bowiem na rzecz i w imieniu osoby prawnej.
Tym samym o byciu administratorem danych generalnie decyduje to, że możemy decydować co z nimi robimy – a nie sam fakt, że je mamy..
