Opracowanie

RODO – Administrator

Trzecim kluczowym pojęciem, obok danych osobowych i przetwarzania, które stanowi niezbędny element wykładni postanowień RODO, jest administrator danych osobowych. Administrator i podmiot przetwarzający dane to główni adresaci norm unijnego rozporządzenia.

Zgodnie z art. 4 pkt 7, administrator oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych; jeżeli cele i sposoby takiego przetwarzania są określone w prawie Unii lub w prawie państwa członkowskiego, to również w prawie Unii lub w prawie państwa członkowskiego może zostać wyznaczony administrator lub mogą zostać określone konkretne kryteria jego wyznaczania.

Jak już wspomniałem, administrator jest kluczowym podmiotem w rozumieniu RODO, ponieważ to na niego właśnie rozporządzenie nakłada kilka praw i szereg obowiązków. Jak podkreśla się w motywie 74 preambuły, na administratora należy nałożyć obowiązki i ustanowić odpowiedzialność prawną administratora za przetwarzanie danych osobowych przez niego samego lub w jego imieniu. W szczególności administrator powinien mieć obowiązek wdrożenia odpowiednich i skutecznych środków oraz powinien być w stanie wykazać, że czynności przetwarzania są zgodne z niniejszym rozporządzeniem oraz, że są skuteczne.

Środki te powinny uwzględniać charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw i wolności osób fizycznych.

Pojęcie administratora zgodnie z przytoczonym przepisem obejmuje:

  1. dowolny podmiot
  2. samodzielnie lub wspólnie z innym podmiotem
  3. ustalający cele i sposoby przetwarzania danych.

Przede wszystkim, administratorem danych osobowych może być każdy podmiot. Chodzić więc może o osobę fizyczną niezależnie od prowadzonej działalności gospodarczej, osoby prawne (spółki kapitałowe, stowarzyszenia, partie polityczne itd.) lub. np. spółki osobowe nieposiadające osobowości prawnej, choć ustawa przyznała im zdolność do czynności prawnych.

Podmiot musi ustalać cele i sposoby przetwarzania samodzielnie lub wspólnie z innymi administratorami. Kwestia współadministratorów uregulowana jest w dalszej części rozporządzenia – głównie w art. 26.

Trzeci element powyższego wyliczenia jest kluczowy dla rozróżnienia administratora od innych podmiotów przetwarzających dane osobowe. Administrator to podmiot podejmujący kluczowe decyzje w zakresie celów i sposobów przetwarzania danych, dlatego na nim ciąży szczególna odpowiedzialność.

Druga część art. 4 pkt 7 dotyczy sytuacji, w której administrator jest wyznaczany przez przepisy prawa wprost lub na podstawie przydzielonych mu zadań. Dotyczy to np. sytuacji, gdy ustawa wskazuje, jaki konkretnie podmiot pełni funkcję administratora danych osobowych.

Zachęcam do dyskusji i podsyłania propozycji na kolejne opracowania związane z RODO!

Michał Wysocki

Bibliografia:

  1. E. Bielak-Jomaa, D. Lubasz (red.), RODO. Ogólne rozporządzenie o ochronie danych. Komentarz, Wolters Kluwer Polska, 2017;
  2. A. Dmochowska, M. Zadrożny, Unijna reforma ochrony danych osobowych. Analiza zmian, C.H. Beck, 2016;
  3. M. Krzysztofek, Ochrona danych osobowych w Unii Europejskiej po reformie. Komentarz do rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679, C.H. Beck, 2016;
  4. P. Litwiński (red.), Rozporządzenie UE w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i swobodnym przepływem takich danych. Komentarz, C.H. Beck, 2018

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany.