Blog o ochronie danych osobowych

Kim jest administrator danych osobowych. Kiedy jesteśmy administratorem, a kiedy nie?

Nie zawsze bowiem podmiot przetwarzający dane osobowe jest ich administratorem. Wiąże się to bezpośrednio z instytucją powierzenia przetwarzania danych ale o tym opowiem za chwilę.

Zgodnie z ustawą o ochronie danych osobowych administratorami danych osobowych są:

  • organy państwowe lub samorządowe,

  • państwowe i komunalne jednostki organizacyjne,

  • podmioty niepublicznych realizujących zadania publiczne,

  • osoby fizyczne i osoby prawne oraz jednostki organizacyjne niebędące osobami prawnymi, jeżeli przetwarzają dane osobowe w związku z działalnością zarobkową, zawodową lub dla realizacji celów statutowych,

które decydują o celach i środkach przetwarzania danych osobowych.

Wyjaśnić w tym miejscu należy też pojęcie przetwarzania danych osobowych, jako wszelkich czynności wykonywanych na danych osobowych, a w szczególności: zbierania, utrwalania, przechowywania, opracowywania, zmieniania, udostępniania i usuwania danych.

Z analizy powyższych definicji wynika, że nie samo przetwarzanie danych, a decydowanie o celach i środkach ich przetwarzania jest cechą zasadniczą administratora danych. Oczywiście posiadanie (czyli przetwarzanie) danych jest niezbędne do zarządzania nimi ale już w drugą stronę, nie koniecznie. Można bowiem przetwarzać dane nie decydując o celach i środkach ich przetwarzania. Takim właśnie przetwarzaniem danych zajmuje się "procesor". Administrator ma możliwość zlecenia wykonywania pewnych czynności na danych osobowych innemu podmiotowi - procesorowi. W takim celu konieczne jest zawarcie pisemnej umowy powierzenia pomiędzy administratorem a procesorem. Procesor może przetwarzać powierzone mu dane wyłącznie w celach i zakresie przewidzianych w umowie powierzenia. Skoro więc samodzielnie nie decyduje o celach i środkach przetwarzania, nie może być uznany za administratora danych pomimo, że dane faktycznie przetwarza.

Na koniec wskazać należy również wyłączenie przez ustawę kręgu podmiotów, którzy pomimo spełnienia przesłanki nie będą uznani za administratora danych osobowych:

  • osoby fizyczne, które przetwarzają dane wyłącznie w celach osobistych lub domowych;

  • podmioty mające siedzibę lub miejsce zamieszkania w państwie trzecim, wykorzystujące środki techniczne znajdujące się na terytorium Rzeczypospolitej Polskiej wyłącznie do przekazywania danych.

Ustawa wyłącza też stosowanie jej przepisów, z pewnymi wyjątkami, do prasowej działalności dziennikarskiej oraz do działalności literackiej lub artystycznej.

Autor:  Piotr Betiuk - Prawnik, Koordynator Bezpieczeństwa Informacji PIN Consulting.


Kiedy mamy do czynienia z danymi osobowymi?

Rejestracja zbiorów w GIODO - kiedy jest konieczna a kiedy nie?