Wśród danych

Blog dla przedsiębiorców działających w cyfrowym świecie

  • Michał Nosowski

Kto to w ogóle jest Administrator Danych Osobowych?


Ludzie, którzy po raz pierwszy stykają się z przepisami dotyczącymi ochrony danych osobowych, często mają problem ze zrozumieniem pojęć, użytych w tych przepisach – zarówno obowiązujących (ustawie o ochronie danych osobowych) jak i przyszłych (RODO). Nie dziwię się – jest tam całe mnóstwo słów i zwrotów, których nie spotyka się na co dzień. Co więcej, część z nich to definicje z pogranicza nauk prawnych i informatycznych, których naprawdę nie da się zrozumieć bez wczytania się w temat.

Dlatego, chcąc rozjaśnić trochę kwestie związane z danymi osobowymi, stwierdziłem, że warto napisać kilka słów o podstawach wyjaśnić kim jest ten administrator danych osobowych.

Czasem bowiem za administratora danych uważa się przykładowo:

1. każdego kto przetwarza jakiekolwiek dane osobowe

2. osobę odpowiedzialną za bezpieczeństwo danych osobowych w spółce

3. podmiot, który zarejestrował zbiór danych w bazie danych GIODO.

Od razu wyjaśniam, że to nie jest równoznaczne z byciem administratorem danych osobowych. A co jest?

Zarówno stara ustawa, jak i nowe rozporządzenie unijne wskazują generalnie, że administratorem danych jest taki podmiot, który decyduje o celach i sposobach przetwarzania danych osobowych. Nowe rozporządzenie precyzuje dodatkowo, że taki podmiot może decydować o celach i sposobach samodzielnie, albo razem z innymi podmiotami. I jeszcze jedno – podmiot to np. osoba fizyczna, osoba prawna a także organ publiczny albo jednostka samorządu terytorialnego.

Kluczowe jest więc to, że podmiot ten decyduje o celach (np. o tym, że dane osobowe będą przetwarzane w celu prowadzenia działań marketingowych) i środkach (np. marketing prowadzony będzie przez telemarketerów, którzy będą dzwonili do potencjalnych klientów) za pomocą których będzie przetwarzał dane.

Co więcej, dane te mogą zostać powierzone podmiotowi trzeciemu – np. poprzez zamieszczenie danych na serwerze innego podmiotu. Umieszczając na zewnętrznym serwerze dane swoich potencjalnych klientów administrator powierza przetwarzanie danych zewnętrznej firmie. Firma ta jednak nie decyduje o celach i środkach przetwarzania – nie jest więc administratorem danych osobowych, a jedynie podmiotem przetwarzającym (procesorem).

Bez znaczenia jest to, czy administrator danych osobowych zarejestrował zbiór w bazie GIODO – od maja 2018 r. obowiązek ten zresztą odpadnie.

Należy również pamiętać o tym, że osoba prawna może być administratorem danych osobowych (np. spółka z ograniczoną odpowiedzialnością), nawet jeśli w rzeczywistości to członkowie zarządu podejmują decyzje o tym, jak dane będą przetwarzane. Działają bowiem na rzecz i w imieniu osoby prawnej.

Tym samym o byciu administratorem danych generalnie decyduje to, że możemy decydować co z nimi robimy – a nie sam fakt, że je mamy..

#ado #gdpr #rodo #administratordanychosobowych #daneosobowe

Michał Nosowski

Jestem radcą prawnym specjalizującym się w prawie nowych technologii. Stworzyłem tego bloga po to aby dzielić się swoją pasją - czyli badaniem styku świata IT i prawa.

 

W ramach kancelarii ByteLaw, której jestem współzałożycielem, pomagam głównie startupom, software house'om, freelancerom i ludziom zajmującym się marketingiem internetowym. Jeśli chcesz dowiedzieć się więcej, zapraszam do odwiedzenia strony Kancelarii.

Projekt: 2020 Michał Nosowski, Toruń.