Administrator danych osobowych

Z Wikipedii

Masz nowe wiadomości (różnica z poprzednią wersją).

Administrator Danych Osobowych to termin prawniczy, który w prawie polskim został zdefiniowany w ustawie z dnia 29 sierpnia 1997 roku o ochronie danych osobowych (ustawodawca posłużył się określeniem administrator danych). Oznacza organ, jednostkę organizacyjną, podmiot lub osobę decydujące (samodzielnie) o celach i środkach przetwarzania danych osobowych (art. 7 pkt 4). Jest to podmiot praw i obowiązków, który sprawuje władztwo nad przetwarzaniem danych osobowych przez zaciąganie zobowiązań i rozporządanie prawami. Nie ma przy tym znaczenia fakt, czy podmiot ten jest w posiadaniu przetwarzanych danych lub sam je przetwarza.

Administratorem danych mogą być zarówno podmioty publiczne, jak i prywatne. W przypadku podmiotów publicznych (organów państwowych, samorządu terytorialnego oraz państwowych i samorządowych jednostek organizacyjnych - art. 3 ust. 2 ustawy) często występuje trudność z ustaleniem, kto jest administratorem zbioru danych osobowych. Podmioty te działają na podstawie przepisów ustawowych lub przepisów wykonawczych w których określone są środki i cele przetwarzania danych. Samodzielnie więc bardzo rzadko mogą podejmować w tym zakresie decyzje. Możliwe jest wskazanie w ustawie podmiotu, który będzie administratorem danych (tak np. w ustawie z dnia 24 maja 2000 r. o Krajowym Rejestrze Karnym). Administratorem danych będzie zawsze organ administracji publicznej, a nie urząd go obsługujący, pracownik lub komórka organizacyjna urzędu, np. prezydent miasta, a nie urząd miasta czy wydział architektury.

Podmioty prywatne to: podmioty niepubliczne realizujące zadania publiczne, osoby fizyczne, osoby prawne oraz jednostki organizacyjne nieposiadające osobowości prawnej, jeżeli przetwarzają dane w związku z działalnością zarobkową, zawodową lub dla realizacji celów statutowych (art. 3 ust. 2 ustawy). W praktyce są to np. banki, hurtownie, sklepy, stowarzyszenia. Ważne jest, że w takim przypadku administratorem jest właśnie ten podmiot, a nie osoba lub osoby kierujące podmiotem (np. dyrektor, zarząd spółki) lub też pracownik wyznaczony do realizacji czynności związanych z ochroną danych osobowych. Ponadto należy wskazać, że w przypadkach, gdy dane są przetwarzane w jednym z oddziałów, np. spółki, to administratorem danych jest sama spółka.

W przypadku danych pracowników admnistratorem danych w stosunku do zbioru zawierającego ich dane osobowe będzie pracodawca.

Osoba fizyczna będzie administratorem danych tylko w sytuacji, gdy przetwarza dane osobowe na własny rachunek i to tylko w sytuacji przetwarzania związanego z działalnością zarobkową lub zawodową, np. w sytuacji realizowania umowy o dzieło. Osoba fizyczna nie będzie administratorem w sytuacji przetwarzania danych wyłącznie w celach osobistych lub domowych, ponieważ przepisy wyłączają stosowanie ustawy w takiej sytuacji (art. 3a pkt 1).

Administratorem danych osobowych nie jest również podmiot, któremu zostało powierzone przetwarzania danych osobowych (np. nie jest nim agent ubezpieczeniowy, który gromadzi dane dla towarzystwa ubezpieczeniowego).

[edytuj] Podstawowe obowiązki administratora danych osobowych

obowiązek informacyjny wypełniany przy zbieraniu danych osobowych (art. 24 i 25 ustawy);
szczególna staranność przy przetwarzaniu danych osobowych w celu ochrony interesów osób, których dane przetwarza (art. 26 ustawy);
udzielanie informacji o zakresie przetwarzanych danych osobowych (art. 33 ustawy);
obowiązek uzupełniania, uaktualnienia, sprostowania danych, czasowego lub stałego wstrzymania przetwarzania kwestionowanych danych lub ich usunięcia ze zbioru, gdy zażąda tego osoba, której dane są przetwarzane przez administratora (art. 35 ustawy);
obowiązek stosowania środków technicznych i organizacyjnych zapewniających ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną (art. 36 ustawy);
kontroluje, jakie dane, kiedy i przez kogo zostały wprowadzone do zbioru i komu są przekazywane (art. 38 ustawy);
prowadzi ewidencje osób upoważnionych do przetwarzania danych osobowych (art. 39 ustawy);
zgłasza zbiór do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych w przypadkach przewidzianych prawem (art. 40 ustawy).

[edytuj] Administrator danych w prawie Unii Europejskiej

Polska definicja administratora danych została wprowadzona w związku z postanowieniami Dyrektywy 95/46/EC Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych oraz swobodnego przepływu tych danych. Zgodnie z definicją zawartą w art. 2 administratorem danych (ang. controller, fr. responsable du traitement, niem. für die Verarbeitung Verantwortlicher) jest osoba fizyczna lub prawna, urząd publiczny, agenda lub inny organ, który samodzielnie lub wspólnie z innymi podmiotami określa cele i sposoby przetwarzania danych. Dyrektywa umożliwia również wyznaczenie administratora przez przepisy wspólnotowe lub krajowe (lub tylko określenie zasad jego wyznaczania), jeżeli cele i sposoby przetwarzania danych są określone w ustawach i innych przepisach Wspólnoty lub kraju członkowskiego.