ADO, czyli administrator danych osobowych
Jeżeli w swojej firmie przetwarzasz dane osobowe, a termin ADO nic ci nie mówi, albo kojarzy się wyłącznie z holenderskim klubem piłkarskim[1]ADO Den Haag – holenderski klub piłkarski z siedzibą w Hadze, grający w 2. lidze holenderskiej., to ten wpis jest przede wszystkim dla ciebie. Bardziej zaawansowani w tematyce ochrony danych osobowych również powinni znaleźć coś dla siebie. O danych osobowych, ich przetwarzaniu i zastosowaniu RODO[2]Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), napisałem w poprzednich wpisach. Z dzisiejszego natomiast dowiesz się co to jest ADO i jakie wiążą się z tym obowiązki.
Co to jest to ADO?!
ADO to powszechnie przyjęty skrót od „administrator danych osobowych”. Nie jest to termin określony w RODO, ale mimo to często używany. Tak jest krócej. I łatwiej zapamiętać. W dalszej części wpisu używam zamiennie określeń „ADO” i „administrator” lub „administrator danych osobowych”.
Kto jest administratorem danych osobowych?
Zgodnie z art. 4 p. 7) RODO:
„administrator” oznacza oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych; jeżeli cele i sposoby takiego przetwarzania są określone w prawie Unii lub w prawie państwa członkowskiego, to również w prawie Unii lub w prawie państwa członkowskiego może zostać wyznaczony administrator lub mogą zostać określone konkretne kryteria jego wyznaczania.
Z punktu widzenia przedsiębiorców, istotna jest pierwsza część tej definicji, zgodnie z którą administratorem danych osobowych jest każdy podmiot, który samodzielnie lub wspólnie z innym podmiotem ustala cele i sposoby przetwarzania danych osobowych. Drugą część definicji o określeniu administratora oraz celów i sposobów przetwarzania w prawie Unii Europejskiej lub państwa członkowskiego, pomijam – jest to sytuacja rzadka i w większości przypadków nie ma zastosowania do przetwarzania danych osobowych przez przedsiębiorców.
Kluczowe dla przyznania statusu ADO są dwa elementy:
- ustalanie celów przetwarzania danych osobowych;
- ustalanie sposobów przetwarzania danych osobowych.
Sam fakt przetwarzania danych osobowych nie jest wystarczający. Możliwe jest przetwarzanie danych osobowych nie będąc ich administratorem – tak będzie w przypadku podmiotu przetwarzającego dane na podstawie powierzenia przetwarzania danych osobowych. ADO może być tylko osobą lub jednostką organizacyjną, która decyduje o tym, w jakim celu są przetwarzane dane osobowe (np. w celu świadczenia usług lub w celu marketingowym), oraz w jaki sposób są przetwarzane dane osobowe (np. czy dane są przetwarzane w systemie informatycznym, w jaki sposób są zbierane, kiedy zostaną usunięte). To właśnie odróżnia administratora danych osobowych od podmiotu, któremu administrator jedynie powierzył przetwarzanie danych osobowych. W takim układzie ADO może być tylko jeden – to ten, kto decyduje w jakim celu i w jaki sposób mają być przetwarzane dane osobowe. Natomiast podmiot, któremu powierzono przetwarzanie danych, jedynie przetwarza je zgodnie z wytycznymi uzyskanymi od ADO. Takie rozróżnienie podmiotów przetwarzających dane osobowe przyjął Naczelny Sąd Administracyjny w Warszawie, który w wyroku z dnia 30 stycznia 2002 r. (sygn. akt II SA 1098/01) uznał, że „administratorem danych osobowych nie jest każdy dysponent tych danych, a tylko ten, kto decyduje o celach i środkach ich przetwarzania”. Wielokrotnie już wspominałem, że konstrukcja RODO i obowiązującej przed RODO wersji ustawy o ochronie danych osobowych, jest bardzo podobna, w tym w zakresie definicji administratora. Co prawda są różnice (np. w RODO jest mowa o ustalaniu sposobów przetwarzania, a w ustawa o ochronie danych osobowych posługiwała się pojęciem decydowania o środkach przetwarzania), ale generalny sens jest praktycznie taki sam. Z tego względu powyższe orzeczenie jest adekwatne również w obecnym stanie prawnym.
Możliwa jest nawet taka sytuacja, w której administrator danych osobowych w ogóle nie będzie miał styczności z przetwarzanymi danymi. Będzie tak, jeżeli administrator danych osobowych zleci osobie trzeciej zbieranie danych osobowych, wykonanie na nich wszystkich operacji, a następnie ich usunięcie. Nie zmieni to jednak faktu, że to administrator danych osobowych zadecydował o celu i sposobach przetwarzania danych osobowych. Zleceniobiorca wykona wszystkie operacje na danych, ale w celu i w sposób określony przez ADO w umowie powierzenia przetwarzania danych osobowych.
ADO może być zarówno osoba fizyczna, osoba prawna, tzw. ułomna osoba prawna (np. spółki osobowe), a także inne jednostki organizacyjne, w tym organy publiczne. W przypadku osoby fizycznej sprawa jest prosta – to ona wykonuje wszystkie obowiązki, które ustawa przypisuje ADO. Na niej też spoczywa odpowiedzialność za ich niewykonanie. Natomiast w przypadku osoby prawnej lub innej jednostki organizacyjnej, to ta jednostka formalnie jest administratorem danych osobowych, jednak wszelkie związane z tym obowiązki oraz odpowiedzialność, spoczywają na kierowniku tej jednostki (np. na zarządzie spółki w przypadku spółek kapitałowych lub wspólnikach w przypadku spółek osobowych).
Podstawowe obowiązki ADO
Administrator danych osobowych ma wiele obowiązków. Będę je omawiać w kolejnych wpisach, koncentrując się bardziej na ich praktycznych niż teoretycznych aspektach. Teraz przedstawiam jedynie podstawowe obowiązki związane z funkcją ADO.
Najważniejszym obowiązkiem administratora danych jest obowiązek przestrzegania RODO. To z niego wypływają pozostałe obowiązki, w tym:
- obowiązek informacyjny – administrator ochrony danych osobowych, przed rozpoczęciem przetwarzania danych osobowych musi udzielić osobom, których dane są przetwarzane, informacji wskazanych określonych RODO,
- obowiązki związane z zabezpieczeniem danych osobowych – wdrożenie odpowiednich środków technicznych i organizacyjnych, aby przetwarzanie odbywało się zgodnie z RODO.
Powyższy katalog nie jest wyczerpującym katalogiem obowiązków ADO. To jedynie przykłady. Temat będę rozwijać w kolejnych wpisach.
Przykłady ADO
Jak wskazałem powyżej, administratorem danych osobowych jest każdy podmiot, o którym mowa w art. 4 p. 7) RODO, jeżeli ustala cele i sposoby przetwarzania danych osobowych. Mimo, że kwestia ta wydaje się łatwa do rozstrzygnięcia, podaję kilka przykładów:
- pracodawca jest ADO w odniesieniu do danych osobowych pracowników,
- właściciel sklepu internetowego jest ADO w odniesieniu do danych osobowych klientów sklepu,
- właściciel firmy jest ADO w odniesieniu do danych osobowych swoich kontrahentów,
- zakład ubezpieczeń jest ADO w odniesieniu do ubezpieczonych.
Więcej niż jeden administrator danych osobowych
Czy możliwe jest występowanie więcej niż jednego administratora danych osobowych w stosunku do tego samego zbioru? Tak, taką możliwość przewiduje już sama definicja administratora danych osobowych określona w RODO, poprzez wskazanie na ustalanie celów i sposobów przetwarzania samodzielne lub wspólnie z innymi. Kwestię tę rozwija art. 26 RODO, który stanowi: „Jeżeli co najmniej dwóch administratorów wspólnie ustala cele i sposoby przetwarzania, są oni współadministratorami”. Jeżeli więc dwa podmioty (lub więcej) wspólnie decydują o celach i sposobach przetwarzania danych osobowych, to w świetle RODO oba podmioty są ADO. W poprzednim stanie prawnym (przed RODO) kwestia ta nie była określona wprost w ustawie o ochronie danych osobowych i konieczne było potwierdzenie takiej możliwości w orzecznictwie (co zostało zrobione przez Naczelny Sąd Administracyjny). Teraz jednak nie ma żadnych wątpliwości – RODO wprost wskazuje na możliwość istnienia dwóch (lub więcej) współadministratorów.
Sytuacja, w której jest więcej ADO w odniesieniu do jednego zbioru danych, zdarza się jednak rzadko. Zazwyczaj podmiot, który decyduje o celach i sposobach przetwarzania danych osobowych jest jeden.
ADO a spółka cywilna
Ciekawym zagadnieniem jest kwestia ADO w przypadku przetwarzania danych osobowych w spółce cywilnej. Spółka cywilna nie ma osobowości prawnej (w przeciwieństwie do spółek prawa handlowego) – jest to jedynie umowa, na podstawie której wspólnicy zobowiązują się dążyć do osiągnięcia wspólnego celu gospodarczego przez działanie w sposób oznaczony, w szczególności przez wniesienie wkładów (art. 860 § 1 kodeksu cywilnego). W konsekwencji, spółka cywilna nie może być podmiotem praw i obowiązków – są nim wspólnicy. Wspólnicy są więc też administratorami danych osobowych przetwarzanych w ramach działalności spółki cywilnej. Nie spółka, ale wspólnicy. Wszyscy? RODO nie daje jednoznacznej odpowiedzi na to pytanie, ale opierając się na brzmieniu art. 4 p. 7 i art. 26 RODO, wydaje się że tak. Czy zatem każdy ze wspólników powinien odrębnie wykonać wszystkie obowiązki administratora przewidziane w RODO, w tym uzyskać zgody na przetwarzanie danych (o ile są wymagane) i wykonać obowiązek informacyjny? Niekoniecznie. Stosownie do art. 864 kodeksu cywilnego, za zobowiązania spółki cywilnej wspólnicy odpowiadają solidarnie. Należy więc przyjąć, że w przypadku wykonania obowiązków ADO przez jednego ze wspólników spółki cywilnej, pozostali nie muszą już tego robić. Ale jeżeli jakiś obowiązek nie zostaje spełniony przez żadnego ze wspólników, odpowiedzialność ponoszą wszyscy.
Podsumowując kwestię ADO w spółce cywilnej – administratorami są wszyscy wspólnicy, ale wystarczy że obowiązki określone w RODO zostaną wykonane przez jednego z nich. Nic nie stoi też na przeszkodzie, żeby część obowiązków została spełniona przez jednego wspólnika, a część przez innego.
Przypisy
↑1 | ADO Den Haag – holenderski klub piłkarski z siedzibą w Hadze, grający w 2. lidze holenderskiej. |
---|---|
↑2 | Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) |