Administrator danych osobowych – Spółka prawa handlowego

 W kwestii ochrony danych osobowych przedsiębiorcy często mają problemy na poziomie bardzo ogólnych pojęć i kwalifikacji czy regulacje dotyczący ochrony danych osobowych dotyczą ich czy może jeszcze nie.

 Jednym z podstawowych a jednocześnie kluczowych pojęć z zakresu ochrony danych osobowych jest oczywiście administrator danych osobowych.

 W procesie przetwarzania danych osobowych bardzo ważną kwestią jest określenie, jaką rolę podmiot pełni czy administratora czy może przetwarzającego dane na zlecenie osoby trzeciej.

 Czy jestem administratorem zastanawia się przedsiębiorca będący osobą fizyczną, czy jestem administratorem zastanawia się spółka prawa handlowego.

 Administratorem danych osobowych wykorzystywanych w zakresie działalności prowadzonej przez przedsiębiorcę jest, co do zasady, sam przedsiębiorca. Administratorem takich danych jest w szczególności spółka z ograniczoną odpowiedzialnością, spółka akcyjna, spółka jawna czy też spółka komandytowa. Tak więc administratorem danych jest sama spółka prawa handlowego, nie zaś jej organy, osoby zasiadające w organach tej spółki lub pełniące w niej funkcje kierownicze.

W przypadku osoby prowadzącej działalność gospodarczą pozostaje ona administratorem danych niezależnie od tego, czy wyznaczy pracownika odpowiedzialnego za przetwarzanie danych osobowych (tzw. administratora bezpieczeństwa informacji).

 Administrator danych osobowych to bardzo istotna rola w procesie przetwarzania danych ze względu na przymiot decydowania o danych ale także na szereg obowiązków do wypełnienia których zobowiązują administratora przepisy prawa.

 Nie w każdym jednak przypadku określenie swojej roli w stosunku do przetwarzanych danych osobowych jest jasne i oczywiste. Nie rzadko w obrocie gospodarczym można spotkać sytuacje, gdy pojęcia i role ulegają pomieszaniu. Nie obywa się w takich przypadkach bez konsekwencji prawnych.

 Na koniec należy wyraźnie zaznaczyć, iż wskazówką dla rozróżnienia ról w procesie przetwarzania danych jest między innymi to czy podmiot przetwarza dane dla osiągnięcia własnych celów i korzyści czy też dla korzyści i celów osoby trzeciej.

Bywa, że administratorów jest dwóch

Tak, w rzeczywistości sytuacja, gdy administratorów danych osobowych jest dwóch może się przydarzyć. Nie należy ona co prawda do sytuacji typowych, jednakże w życiu jest możliwa. Co ważniejsze mimo, iż przepisy prawne wyraźnie takiej sytuacji nie przewidują to nie oznacza to, iż sytacja taka w świetle prawa jest niemożliwa czy niedopuszczalna. Może ona mieć miejsce wówczas, gdy zbiór danych osobowych pozostaje we wspólnej dyspozycji więcej niż jednego podmiotu.

Administrator danych to jak dobrze wiemy jeden z głównych graczy w procesie ochrony i przetwarzania danych osobowych. Na nim spoczywa największe brzemie odpowiedzialności za dane osobowe, którymi administruje czy zamierza administrować. Decyduje on o celach i środkach przetwarzania danych osobowych. Oznacza to, że wyznacza cele, w których dane będzie przetwarzał oraz wyznacza środki, które umożliwią mu realizcję tychże celów.

W przypadku, gdy administratorów jest dwóch mogą oni działać wspólnie. W takim przypadku decyzje dotyczące zbioru podlegałby uzgadnianiu między nimi lub byłyby wynikiem uzgodnionego w tym zakresie podziału komptencji. Administratorzy mogą też działać samodzielnie i wówczas każdy z nich posiadałby status “samodzielnego” administratora.

Sytuacji, gdy w procesie ochrony i przetwarzania danych osobowych administratorów jest dwóch nie należy mylić z relacją administrator danych i przetwarzający, gdyż jest to zupełnie inna sytuacja. Administrator danych osobowych oraz przetwarzający są to dwa podmioty, które występują w procesie przetwarzania danych osobowych.  Jednakże rola, jaką każdy z tych podmiotów pełni jest odmienna i odmienne są też i obowiązki, ktore prawo przewiduje dla każdego z nich.

Administrator danych osobowych może Ty może ja a może on

Administrator danych to:

podmiot prywatny lub publiczny decydujący o celach i środkach przetwarzania danych.

 Administrator danych to podmiot, który zbiera i przetwarza dane osobowe, gdyż są one mu potrzebne do realizacji celów związanych najczęściej z prowadzoną działalnością gospodarczą lub zawodową. Jednak nie tylko, gdyż ustawę stosuje się do organów państwowych, organów samorządu terytorialnego oraz do państwowych i komunalnych jednostek organizacyjnych, więc  administratorami danych są również te podmioty.

Administratorem danych są, więc podmioty publiczne i prywatne,  gdyż przetwarzając dane decydują o celach tego przetwarzania lub o środkach używanych do tego przetwarzania.

Administratorzy to właściciele małych i dużych firm, jak również osoby nieprowadzące działalności gospodarczej, jeśli tylko dane przetwarzają w związku z działalnością zarobkową lub zawodową.

 Administrator przetwarza dane, czyli wykonuje jakiekolwiek operacje na danych takie jak: zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza te, które wykonuje się w systemach informatycznych

 Dane można przetwarzać w sposób tradycyjny w segregatorach, rejestrach, kartotekach, ale tez, co obecnie jest normą w systemach informatycznych. Administrator danych sam może przetwarzać dane osobowe, ale może też całość lub część zadań związanych z tym przetwarzaniem zlecić na, zewnątrz, co związane jest z powierzeniem danych do przetwarzania.

 Sytuacje, w których najczęściej dochodzi do powierzenia danych do przetwarzania związane są ze zleceniem na zewnątrz usług księgowych, kadrowo-płacowych, IT, marketingowych. Na przykład korzystasz z usług biura księgowego i przekazujesz mu dokumenty z danymi lub korzystasz z aplikacji internetowej do obsługi księgowej online, zatrudniasz firmę informatyczną, której umożliwiasz dostęp do systemu lub wynajmujesz serwer.

 Administrator ma prawa i obowiązki, jak również ponosi odpowiedzialność za zgodne z prawem przetwarzanie danych osobowych oraz odpowiednie zabezpieczenie  danych, podlega on też kontroli Generalnego Inspektora Danych Osobowych na okoliczność przestrzegania norm prawnych związanych z przetwarzaniem.

 W każdym przypadku, gdy przetwarzasz dane osobowe musisz mieć podstawę prawną. W świetle prawa taka podstawą będzie:

 1) zgoda osoby, której dane dotyczą,

2) jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa,

3) jest to konieczne do realizacji umowy, gdy osoba, której dane dotyczą, jest jej stroną lub gdy jest to niezbędne do podjęcia działań przed zawarciem umowy na żądanie osoby, której dane dotyczą,

4) jest niezbędne do wykonania określonych prawem zadań realizowanych dla dobra publicznego,

5) jest to niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych

 Następnie musisz pamiętać, aby w sposób prawem wymagany poinformować osobę, której dane dotyczą, kto będzie przetwarzał jej dane, w jakim celu, że podanie danych jest dobrowolne oraz o prawie dostępu do danych.

 Następnie przygotowujesz politykę bezpieczeństwa informacji oraz instrukcję zarządzania systemem informatycznym. Jeśli jesteś małym podmiotem i Twoje przetwarzanie nie jest zbyt skomplikowane możesz spróbować sam taką dokumentację przygotować, jeśli natomiast jesteś większą organizacją lub korzystasz z usług hostingu a hosting jest na przykład w chmurze to lepiej zlecić przygotowanie takich dokumentów profesjonaliście.

 Odpowiedzialność Administratora danych jest administracyjna, karna oraz cywilna. Za niezgodne z prawem przetwarzanie danych możemy mieć sprawę karną i postępowanie karne, możemy mieć też  procesy cywilne. Aktualnie prawo nie przewiduje administracyjnych kar pieniężnych, ale to się zmieni z wejście w życie rozporządzenia w sprawie ochrony danych osobowych osób fizycznych procedowanego aktualnie w Unii Europejskiej.

 Praktyka i życie pokazuje, iż świadomość w zakresie ochrony danych osobowych  i wypełniania wszystkich ciążących na Administratorach obowiązków ciągle nie jesteś zadawalająca. Często przedsiębiorcy ochronę danych traktują, jako kolejny przykry obowiązek do spełnienia. Z jednak strony rzeczywiście trudno odmówić temu racji, biznes nie lub, gdy mu się przycina skrzydła. Z drugiej strony w dobie cyfryzacji naszego życia, powszechności urządzeń mobilnych, usług online, ochrona danych osobowych jest swojego rodzaju koniecznością, gdyż te wszystkie nowe cyfrowe sposoby przetwarzania danych osobowych dają ogromne możliwości do niekontrolowanych nadużyć.