Administrator danych, to podmiot mający kluczowe znaczenie w procesie przetwarzania danych osobowych. Decyduje on bowiem nie tylko o tym, że dane osobowe są w ogóle przetwarzane, ale również o tym, w jaki sposób. Tak szeroki zakres uprawnień uzasadnia nałożenie na niego szeregu obowiązków oraz najszerszej odpowiedzialność za przetwarzanie danych. Szczegóły poniżej.
Podsumowanie
- Administrator danych osobowych, to podmiot organizującego cały proces przetwarzania danych – począwszy od określenia celu przetwarzania, poprzez zebranie danych, wykonywanie określonych operacji, określenie środków technicznych do ich przetwarzania, właściwe zabezpieczenie danych, realizację praw osób, których dane są przez niego przetwarzane, aż do usunięcia danych po zrealizowaniu wszystkich celów przetwarzania.
- Administrator jest zatem podmiotem decydującym o cyklu życia informacji zawierających dane osobowe – od ich zebrania do usunięcia.
Władztwo administratora
W praktyce administrator, to podmiot posiadający władztwo nad danymi osobowymi, z którego czerpie on pochodne uprawnienia do arbitralnego określania zachowania podmiotów dopuszczonych do przetwarzania danych, jakimi są:
- osoby fizyczne działające w jego imieniu (personel administratora),
- podmioty przetwarzające dane w jego imieniu
- oraz ich personel.
Uprawnienie administratora do władczego określania sposobu przetwarzania danych pozwala mu wydawać wiążące decyzje w stosunku do podmiotów na każdym niższym poziomie przetwarzania jego danych, tj.: procesor – subprocesor – subsubprocesor. Decyzje te mogą dotyczyć zarówno kwestii właściwego zabezpieczenia danych, zakresu i czasu prowadzenia audytów u procesorów, konieczności uzyskania przez procesorów określonych certyfikatów, jak i nawet konieczności rozwiązania umowy przez procesora z subprocesorem.
Uprawnienia kontrolne
Tak daleko idące uprawnienia administratora danych osobowych są uzasadnione jego odpowiedzialnością za cały proces przetwarzania danych. Skoro bowiem jest on odpowiedzialny za przetwarzanie danych, powinien mieć prawne i faktyczne możliwości kontroli całości procesu przetwarzania – począwszy od swojego personelu, poprzez wszystkie podmioty przetwarzające dane w jego imieniu, a skończywszy na personelu tych podmiotów.
Sposób realizacji tego uprawnienia zależy jednak od specyfiki danego przypadku. Może to być kontrola bezpośrednia albo pośrednia. Najogólniej mówiąc kontrola bezpośrednia polega na samodzielnej realizacji swoich uprawnień przez administratora względem procesorów i subprocesorów, natomiast kontrola pośrednia polega na działaniu przez swojego najbliższego procesora.
Określenie celu przetwarzania
Najważniejszym atrybutem administratora jest prawo do określenia celów oraz sposobów przetwarzania. O ile kwestia doboru środków organizacyjnych i technicznych służących przetwarzaniu (np. wykorzystywane oprogramowanie, narzędzia informatyczne, wielkość zasobów kadrowych – w tym podstawa zatrudnienia takich osób) nie są kwestiami przesądzającymi o statusie administratora, o tyle kwestia określenia celu przetwarzania jest. Ilekroć bowiem istnieją jakiekolwiek wątpliwości co do tego, który podmiot w relacjach danego typu jest administratorem, należy przeprowadzić szczegółową analizę celu/ów przetwarzania danych oraz tego, kto taki cel faktycznie określa.
Newsletter "Alerty RODO" - nie daj się zaskoczyć!
Cal przetwarzania a obowiązek
Pytanie o cel przetwarzania, to pytanie po co dane są przetwarzane albo dlaczego toczy się przetwarzanie. Pytanie o cel przetwarzania, to również pytanie o zamierzony skutek, rezultat przetwarzania danych oraz ich beneficjenta. Odpowiedzią może być przepis prawa nakładający obowiązek (np. pracodawca, który realizuje obowiązki ze stosunku pracy, organy administracji, które realizują zadania własne), prawnie uzasadniony interes (np. marketing produktów i usług własnych, obrona przed roszczeniami, dochodzenie roszczeń, koncepcja prowadzenia biznesu z wykorzystaniem outsourcingu), może to być również złożone oświadczenie / przyjęte na siebie zobowiązanie (np. w przypadku udzielenia gwarancji sprzedaży przez producenta).
Uprawnienie do bycia administratorem
Pewnym utrudnieniem przy określaniu kto jest administratorem jest fakt, że przepisy prawa często nie określają kto jest administratorem danych, ani nie określają wprost kompetencji do przetwarzania danych. Należy jednak zauważyć starania polskiego ustawodawcy, który pracuje nad projektem zmian do szeregu ustaw, które w pewnym stopniu usuną stan niepewności. W przypadku jednak braku wyraźnej regulacji, obowiązek / uprawnienie do bycia administratorem można wywieść z tego, że prawo nakłada na dany podmiot obowiązek dla którego realizacji konieczne jest przetwarzanie danych osobowych. Dlatego często, w razie wątpliwości, należy przeprowadzić analizę stanu faktycznego i prawnego.
PRZYKŁAD
Dla przykładu, podmiot udzielający gwarancji jakości dla wywiązania się ze swojego zobowiązania względem kupujących, przed realizacją ich praw, musi przeprowadzić szczegółową analizę czy w danym przypadku, gdy kupujący zgłasza wady, rzecz sprzedana rzeczywiście nie ma właściwości, o których zapewniał w oświadczeniu gwarancyjnym. Zatem ma prawo żądać zarówno danych osobowych nabywcy, jak i określonych informacji dotyczących okoliczności uzasadniających korzystanie z uprawnień, a więc np. sposobu korzystania z rzeczy oraz ujawnionych w trakcie wadliwościach.Podobnie ubezpieczyciel określa jakie dane potrzebne mu są do oszacowania ryzyka ubezpieczeniowego, bank określa dane potrzebne do udzielenia kredytu hipotecznego, pracodawca dane do korzystania przez pracowników ze świadczeń z zakładowego funduszu świadczeń socjalnych, lekarz określa jakie dane dotyczące zdrowia albo dane biometryczne potrzebne mu są do postawienia diagnozy, czy profesjonalny pełnomocnik do prowadzenia skutecznej obrony przed roszczeniami drugiej strony.
Prawo do określenia sposobu przetwarzania danych
Z kompetencji do określenia celu wynika szereg dalszych uprawnień administratora, stanowiących logiczną konsekwencję określenia celu. Będzie to kompetencja do określenia jakiego rodzaju dane (np. dane zwykłe, dane szczególnych kategorii – np. podmioty świadczące usługi medyczne) oraz jakich podmiotów (np. dane klientów do celów marketingowych) są niezbędne do osiągnięcia celu. Cel przetwarzania będzie determinował również to, jakie operacje na danych muszą być wykonane dla jego zrealizowania oraz przy użyciu jakich narzędzi można to osiągnąć. Wybór sposobu przetwarzania danych oraz ustalenie tego, kto takie dane będzie zbierał, w dużym stopniu zależy od zorganizowania całego procesu. Może to być sam administrator, który zatrudnia wykwalifikowany personel zajmujący się marketingiem, a może to być procesor – np. agencja marketingowa, która przeprowadzi akcję promocyjną i zbierze dane dla administratora.
Administrator zobowiązany jest również do określenia tego, jak długo dane będą przetwarzane i kiedy należy je usunąć, tj. kiedy dane przestaną być potrzebne do realizacji wybranych celów. Przy czym każdy cel przetwarzania powinien być zakomunikowany podmiotom danych oraz co do zasady dla każdego celu powinien być wyznaczony okres przechowywania danych.
