Pojęcie administratora danych osobowych jest jednym z najczęściej przywoływanych terminów w kontekście przepisów RODO. Mimo to ustalenie podmiotu posiadającego status ADO nie zawsze będzie proste, a określenie zakresu obowiązków bywa jeszcze trudniejsze. Kim jest i za co odpowiada administrator danych osobowych?
Kim jest administrator danych osobowych?
Definicja administratora znalazła się w art. 4 pkt 7 rozporządzenia RODO. Pod tym pojęciem należy rozumieć osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych.
Już na pierwszy rzut oka widać więc, że sam fakt przetwarzania danych osobowych nie wystarcza, aby firma otrzymała status ADO. Taką funkcję może pełnić np. podmiot przetwarzający dane osobowe na zlecenie administratora (procesor). Niezbędne jest, aby ADO mógł określać w jakim celu oraz w jaki sposób dane osobowe mają być przetwarzane. Co rozumieć poprzez cel i sposób przetwarzania?
Cel udziela odpowiedzi na pytanie – „Po co?” Dane osobowe mogą być przetwarzane np. w celach marketingowych, związanych ze świadczeniem zakontraktowanych usług czy realizacji obowiązków ustawowych ciążących na administratorze.
Z kolei sposób przetwarzania danych osobowych odpowiada na pytanie „Jak?” W celu określenia możliwych sposobów przetwarzania danych warto odwołać się do brzmienia art. 4 ust. 2 RODO, zgodnie z którym dane osobowe mogą być przetwarzane w sposób zautomatyzowany lub niezautomatyzowany, m.in. poprzez ich zbieranie, utrwalanie, organizowanie, porządkowanie, modyfikowanie, pobieranie czy usuwanie. Tak naprawdę każda operacja mająca za przedmiot dane osobowe będzie formą ich przetwarzania, chociażby polegała wyłącznie na ich przechowywaniu w chmurze czy przeglądaniu.
Administrator może przetwarzać dane osobowe samodzielnie, jak i przy współudziale innych podmiotów. W tym drugim przypadku mówi się o współadministrowaniu.
Czy administrator danych osobowych musi przetwarzać dane osobowe?
Często jest tak, że administrator danych osobowych będzie je jednocześnie przetwarzał. Możliwa jest jednak sytuacja, kiedy określi on jedynie cele i sposoby przetwarzania, ale całym procesem będzie zajmował się zupełnie inny podmiot. W takiej sytuacji nadal jednak na ADO ciążą obowiązki charakterystyczne dla administratora. Podmiot przetwarzający nie może – bez ryzyka odpowiedzialności prawnej – poza wytyczone granice operacji na danych wykroczyć.
Kto jest administratorem danych osobowych?
Udzielenie odpowiedzi na pytanie o to, kto tak naprawdę wykonuje obowiązki administratora danych osobowych wymaga przyjrzenia się bliżej strukturze podmiotu posiadającemu status ADO. O ile administratorem zawsze jest dany podmiot występujący na rynku (np. spółka akcyjna, spółka jawna), obowiązki w tym zakresie zawsze podejmują osoby uprawnione do jego reprezentacji zgodnie z treścią umowy lub statutu. W zależności od formy organizacyjnoprawnej mogą to być np.:
Z samego faktu odwołania członka zarządu czy zmiany składu osobowego w spółce jawnej nie wynika jednak zmiana administratora.
Jakie obowiązki wynikają z pełnienia funkcji administratora danych osobowych?
Podmiot będący ADO musi wypełnić cały szereg obowiązków wymienionych w RODO. Które z nich są szczególnie istotne?
Przede wszystkim administrator zapewnia, że dane osobowe są przetwarzane na podstawie przynajmniej jednej spośród przesłanek legalizacyjnych. W przypadku danych „zwykłych” warunki te wymienia art. 6 RODO, w przypadku danych szczególnych – art. 9 rozporządzenia. Brak możliwości wykazania legalności oznacza, że dane są przetwarzane bez podstawy prawnej.
Co więcej ADO zapewnia także, że przetwarzanie zachodzi w sposób zgodny z zasadami RODO, czyli regułą:
- zgodności z prawem, rzetelności i przejrzystości;
- ograniczenia celu;
- minimalizacji przetwarzania;
- prawidłowości;
- ograniczenia przechowywania;
- integralności i poufności.
Tę zgodność należy dokumentować w sposób, który w razie ewentualnej kontroli pozwala na odwołanie się do zasady rozliczalności. Zakłada ona, że za przetwarzanie danych zgodne z RODO uważa się działania uzasadnione i wystarczające w danym kontekście dla ochrony informacji. Zasada rozliczalności wiąże się nierozerwalnie z obowiązkiem wdrożenia (i sfinansowania) odpowiednich zabezpieczeń technicznych i organizacyjnych.
Administrator danych ma obowiązek zadbać o poinformowanie osoby, której dane dotyczą m.in. o celu i podstawie przetwarzania, danych ADO oraz IOD (jeżeli został powołany) oraz zamiarze przekazania danych do państwa trzeciego.
- ADO czuwa także nad samym procesem przetwarzania, w tym:
- szacuje ryzyko naruszenia;
- przeprowadza ocenę DPIA;
- prowadzi Rejestr Czynności Przetwarzania;
- współpracuje z organem nadzorczym w razie kontroli lub wystąpienia incydentu;
- zapewnia osobom, których dane dotyczą, możliwość realizacji swoich uprawnień (np. prawa do bycia zapomnianym);
- powołuje IOD, jeżeli jest to wymagane przez przepisy prawa;
- zawiera umowy związane z przetwarzaniem danych osobowych z podmiotami trzecimi.
Warto pamiętać, że nie ma jednolitego schematu postępowania, który pozwalałby na „odhaczenie” wszystkich obowiązków ADO za jednym zamachem. Ze względu na ich rozległość, ale także zróżnicowanie sposobu, w jaki funkcjonują poszczególne podmioty obecne na rynku, niezbędne jest kazuistyczne podejście do tematu i opracowywanie zasad działania administratora za każdym razem osobno. Nic w tym dziwnego, skoro skala (a często i cele) przetwarzania danych będą wyglądały zupełnie inaczej w małej agencji marketingowej niż w dużej spółce akcyjnej.
Jak wygląda odpowiedzialność ADO?
Odpowiedzialność ADO została określona w art. 82 rozporządzenia. Zgodnie z tym przepisem każda osoba, która poniosła szkodę majątkową lub niemajątkową w wyniku naruszenia RODO, ma prawo uzyskać od administratora lub podmiotu przetwarzającego odszkodowanie za poniesioną szkodę. Jeżeli administrator uczestniczy w przetwarzaniu danych odpowiada także za szkody wyrządzone tym przetwarzaniem. Zwolnienie się z ADO z odpowiedzialności jest możliwe, ale musi on wykazać, że w żaden sposób nie ponosi odpowiedzialności za zdarzenie wywołujące szkodę. Równolegle z odpowiedzialnością cywilnoprawną RODO przewiduje dotkliwe sankcje administracyjne, gdzie kara może sięgnąć nawet równowartości 20 milionów euro.
Prawnik RODO/GDPR – Kancelaria Linke Kulicki
Realizacja zadań z zakresu ochrony danych osobowych jest możliwa tylko przy wykorzystaniu odpowiednich mechanizmów prawnych i technologicznych. Jako doświadczona kancelaria RODO, jesteśmy w stanie Ci pomóc. Mamy w swoim zespole specjalistów z dziedziny ochrony danych osobowych, którzy świadczą kompleksową pomoc i stale dbają o to, aby wszelkie działania były zgodne z literą prawa.