Administrator danych osobowych

Administrator danych osobowych (ADO), administrator danych (AD) – pojęcie z zakresu ochrony danych osobowych.

Zgodnie z ogólnym rozporządzeniem o ochronie danych administratorem danych osobowych jest osoba fizyczna lub prawna, organ publiczny, jednostka lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych^[1].

Status konkretnego podmiotu jako administratora danych osobowych może wynikać:

• bezpośrednio z przepisów prawa (np. Trybunał Stanu jest administratorem danych osobowych przetwarzanych w ramach prowadzonych przez niego postępowań^[2]),
• z interpretacji przepisów prawa (np. pracodawca jest administratorem danych osobowych pracowników^[3]),
• ze stanowiska zajętego przez Prezesa Urzędu Ochrony Danych Osobowych (np. żłobek jest administratorem danych osobowych stażysty w zakresie danych przetwarzanych w ramach umowy zawartej z Powiatowym Urzędem Pracy^[4])

Ustalenie, czy dany podmiot jest administratorem określonego rodzaju danych osobowych, często nastręcza sporych trudności^[5].

Zadania administratora danych osobowych

Do zadań ADO należy w szczególności:

• przetwarzanie danych osobowych zgodnie z zasadami zgodności z prawem, ograniczenia celu, minimalizacji danych, prawidłowości danych itd.^[6],
• wykazywanie przestrzegania zasad ochrony danych osobowych^[7],
• stosowanie właściwych podstaw przetwarzania danych osobowych i szczególnych kategorii danych^[8],
• realizacja obowiązku informacyjnego wobec osób, których dane osobowe przetwarza^[9],
• obsługa wniosków osób, których dane dotyczą, w tym wniosków o realizację prawa do bycia zapomnianym^[10],
• zapewnienie bezpieczeństwa danych osobowych przez stosowanie odpowiednich środków technicznych i organizacyjnych^[11],
• zgłaszanie naruszeń ochrony danych osobowych^[12],
• wyznaczenie inspektora ochrony danych, gdy jest to konieczne zgodnie z przepisami prawa^[13],
• współpraca z Prezesem Urzędu Ochrony Danych Osobowych jako organem nadzorczym^[14].

Odpowiedzialność administratora danych osobowych

Nieprzestrzeganie przez ADO zasad ochrony danych osobowych może powodować, że będzie on ponosił odpowiedzialność:

• cywilną - osoba, która poniosła szkodę majątkową lub niemajątkową w wyniku naruszenia RODO przez ADO, ma prawo uzyskać od niego odszkodowanie za poniesioną szkodę^[15] lub
• administracyjną - Prezes Urzędu Ochrony Danych Osobowych w ramach swoich uprawnień może zobowiązać ADO do podjęcia pewnych działań (np. zmiany sposobu wykorzystania danych osobowych, usunięcia bazy danych lub wprowadzenia odpowiednich zabezpieczeń); brak współpracy ADO z Prezesem UODO może spowodować nałożenie na administratora administracyjnej kary pieniężnej w maksymalnej wysokości €20.000.000 lub 4% całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa^[16].

Historia pojęcia administratora danych osobowych

Pojęcie „administratora danych” (ang. controller, fr. responsable de traitement) po raz pierwszy pojawiło się w dyrektywie 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych. Pod pojęciem tym rozumiano „osobę fizyczną lub prawną, władzę publiczną, agencję lub inny organ, który samodzielnie lub wspólnie z innymi podmiotami określa cele i sposoby przetwarzania danych”. Wskazano także, że „jeżeli cele i sposoby przetwarzania danych są określane w przepisach ustawowych i wykonawczych lub przepisach wspólnotowych, administrator danych może być powoływany lub kryteria jego powołania mogą być ustalane przez ustawodawstwo krajowe lub wspólnotowe”^[17].

W ślad za treścią dyrektywy polska ustawa o ochronie danych osobowych z 1997 r. zdefiniowała administratora jako „organ, jednostkę organizacyjną, podmiot lub osobę, o których mowa w art. 3”^[18], decydujące o celach i środkach przetwarzania danych osobowych"^[19].

Przypisy

1. Art. 4 p. 7 ogólnego rozporządzenia o ochronie danych (RODO).
2. Art. 20f ustawy z dnia 26 marca 1982 r. o Trybunale Stanu (Dz.U.2019.2122 t.j.)
3. Kodeks pracy 2020: Jakich danych osobowych pracodawca może żądać od kandydatów i pracowników [online], serwisy.gazetaprawna.pl, 30 kwietnia 2020 [dostęp 2021-06-19]  (pol.).
4. Zadania IOD - UODO [online], uodo.gov.pl [dostęp 2021-06-19]  (pol.).
5. RODO: Czy sołtys też będzie musiał powołać inspektora ochrony danych [online], serwisy.gazetaprawna.pl, 25 kwietnia 2018 [dostęp 2021-06-19]  (pol.).
6. Art. 5 ust. 1 RODO.
7. Art. 5 ust. 2 RODO.
8. Art. 6 i art. 9 RODO.
9. Art. 13-14 RODO.
10. Art. 15-22 RODO.
11. Art. 24-25 i art. 32 RODO.
12. Art. 33-34 RODO.
13. Art. 37 RODO.
14. Art. 57 RODO.
15. Art. 82 ust. 1 RODO.
16. Art. 83 ust. 6 RODO.
17. Art. 2 (d) dyrektywy 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych.
18. Art. 3. 1. Ustawę stosuje się do organów państwowych, organów samorządu terytorialnego oraz do państwowych i komunalnych jednostek organizacyjnych. 2. Ustawę stosuje się również do: 1) podmiotów niepublicznych realizujących zadania publiczne, 2) osób fizycznych i osób prawnych oraz jednostek organizacyjnych niebędących osobami prawnymi, jeżeli przetwarzają dane osobowe w związku z działalnością zarobkową, zawodową lub dla realizacji celów statutowych – które mają siedzibę albo miejsce zamieszkania na terytorium Rzeczypospolitej Polskiej, albo w państwie trzecim, o ile przetwarzają dane osobowe przy wykorzystaniu środków technicznych znajdujących się na terytorium Rzeczypospolitej Polskiej. (ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych)
19. Art. 7 p. 4 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych.

  Zapoznaj się z zastrzeżeniami dotyczącymi pojęć prawnych w Wikipedii.