Administrator danych osobowych

Z Wikipedii, wolnej encyklopedii
Przejdź do nawigacji Przejdź do wyszukiwania

Administrator danych (AD) – termin prawniczy, który w prawie polskim został zdefiniowany w ustawie z dnia 29 sierpnia 1997 roku o ochronie danych osobowych. W praktyce często stosowane jest określenie administrator danych osobowych (ADO). Wg tej ustawy oznaczał organ, jednostkę organizacyjną, podmiot lub osobę decydującą (samodzielnie) o celach i środkach przetwarzania danych osobowych (art. 7 pkt 4). Był to to podmiot praw i obowiązków, który sprawował władztwo nad przetwarzaniem danych osobowych przez zaciąganie zobowiązań i rozporządzanie prawami. Nie miał przy tym znaczenia fakt, czy podmiot ten był w posiadaniu przetwarzanych danych lub sam je przetwarza.

Administratorem danych mogły być zarówno podmioty publiczne, jak i prywatne. W przypadku podmiotów publicznych (organów państwowych, samorządu terytorialnego oraz państwowych i samorządowych jednostek organizacyjnych - art. 3 ust. 2 ustawy) często występowała trudność z ustaleniem, kto jest administratorem zbioru danych osobowych. Podmioty te działały na podstawie przepisów ustawowych lub przepisów wykonawczych, w których określone były środki i cele przetwarzania danych. Samodzielnie więc rzadko mogły podejmować w tym zakresie decyzje. Możliwe było wskazanie w ustawie podmiotu, który będzie administratorem danych (tak np. w ustawie z dnia 24 maja 2000 r. o Krajowym Rejestrze Karnym). Administratorem danych był zawsze organ administracji publicznej, a nie urząd go obsługujący, pracownik lub komórka organizacyjna urzędu, np. prezydent miasta, a nie urząd miasta czy wydział architektury.

Podmioty prywatne to: podmioty niepubliczne realizujące zadania publiczne, osoby fizyczne, osoby prawne oraz jednostki organizacyjne nieposiadające osobowości prawnej, jeżeli przetwarzały dane w związku z działalnością zarobkową, zawodową lub dla realizacji celów statutowych (art. 3 ust. 2 ustawy). W praktyce były to np. banki, hurtownie, sklepy, stowarzyszenia. Ważne było, że w takim przypadku administratorem jest właśnie ten podmiot, a nie osoba lub osoby kierujące podmiotem (np. dyrektor, zarząd spółki) lub też pracownik wyznaczony do realizacji czynności związanych z ochroną danych osobowych. Ponadto należało wskazać, że w przypadkach, gdy dane były przetwarzane w jednym z oddziałów, np. spółki, to administratorem danych była sama spółka[1].

W przypadku danych pracowników administratorem danych w stosunku do zbioru zawierającego ich dane osobowe był pracodawca.

Osoba fizyczna była administratorem danych tylko w sytuacji, gdy przetwarzała dane osobowe na własny rachunek i to tylko w sytuacji przetwarzania związanego z działalnością zarobkową lub zawodową, np. w sytuacji realizowania umowy o dzieło. Osoba fizyczna nie była administratorem w sytuacji przetwarzania danych wyłącznie w celach osobistych lub domowych, ponieważ przepisy wyłączały stosowanie ustawy w takiej sytuacji (art. 3a pkt 1).

Administratorem danych osobowych nie był również podmiot, któremu zostało powierzone przetwarzania danych osobowych (np. nie był nim agent ubezpieczeniowy, który gromadzi dane dla towarzystwa ubezpieczeniowego).

Podstawowe obowiązki administratora danych osobowych wg ustawy z 1997 r.[edytuj | edytuj kod]

  • obowiązek informacyjny wypełniany przy zbieraniu danych osobowych (art. 24 i 25 ustawy)
  • szczególna staranność przy przetwarzaniu danych osobowych w celu ochrony interesów osób, których dane przetwarza (art. 26 ustawy)
  • udzielanie informacji o zakresie przetwarzanych danych osobowych (art. 33 ustawy)
  • obowiązek uzupełniania, uaktualnienia, sprostowania danych, czasowego lub stałego wstrzymania przetwarzania kwestionowanych danych lub ich usunięcia ze zbioru, gdy zażąda tego osoba, której dane są przetwarzane przez administratora (art. 35 ustawy)
  • obowiązek stosowania środków technicznych i organizacyjnych zapewniających ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną (art. 36 ustawy)
  • kontrola, jakie dane, kiedy i przez kogo zostały wprowadzone do zbioru i komu są przekazywane (art. 38 ustawy)
  • prowadzenie ewidencji osób upoważnionych do przetwarzania danych osobowych (art. 39 ustawy)
  • zgłaszanie zbioru do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych w przypadkach przewidzianych prawem (art. 40 ustawy)[2]

Administrator danych w prawie Unii Europejskiej[edytuj | edytuj kod]

Polska definicja administratora danych została wprowadzona w związku z postanowieniami Dyrektywy 95/46/EC Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych oraz swobodnego przepływu tych danych. Zgodnie z definicją zawartą w art. 2 administratorem danych (ang. controller, fr. responsable du traitement, niem. für die Verarbeitung Verantwortlicher) była osoba fizyczna lub prawna, urząd publiczny, agenda lub inny organ, który samodzielnie lub wspólnie z innymi podmiotami określała cele i sposoby przetwarzania danych. Dyrektywa umożliwiała również wyznaczenie administratora przez przepisy wspólnotowe lub krajowe (lub tylko określenie zasad jego wyznaczania), jeżeli cele i sposoby przetwarzania danych były określone w ustawach i innych przepisach Wspólnoty lub kraju członkowskiego.

W maju 2018 r. weszło w życie ogólne rozporządzenie o ochronie danych, które zmieniło definicję administratora, a także nałożyło na administratorów nowe obowiązki[3].

Zobacz też[edytuj | edytuj kod]

Przypisy[edytuj | edytuj kod]

Scale of justice gold.png Zapoznaj się z zastrzeżeniami dotyczącymi pojęć prawnych w Wikipedii.