Skopiuj link
Administrator danych osobowych
W świetle ustawy z dnia 29.08.1997 r. o ochronie danych osobowych administratorem danych są podmioty decydujące o celach i środkach przetwarzania danych osobowych, które mają siedzibę albo miejsce zamieszkania na terytorium Rzeczypospolitej Polskiej, albo w państwie trzecim, o ile przetwarzają dane osobowe przy wykorzystaniu środków technicznych znajdujących się na terytorium Rzeczypospolitej Polskiej (art. 3 i art. 7 pkt 4 ustawy).
Są to:
- organy (państwowe, samorządu terytorialnego oraz państwowe i komunalne jednostki organizacyjne),
- jednostki organizacyjne,
- podmioty niepubliczne realizujące zadania publiczne,
- osoby fizyczne i osoby prawne oraz jednostki organizacyjne niebędące osobami prawnymi, jeżeli przetwarzają dane osobowe w związku z działalnością zarobkową, zawodową lub dla realizacji celów statutowych.
Administrator bezpieczeństwa informacji
W świetle art. 36 ust. 3 ustawy administrator danych wyznacza administratora bezpieczeństwa informacji (ABI), nadzorującego przestrzeganie zasad ochrony (tj. stosowania środków technicznych i organizacyjnych zapewniających ochronę przetwarzanych danych osobowych), chyba że sam wykonuje te czynności.
Zdaniem GIODO „(…) nie jest dopuszczalne, aby administratorem bezpieczeństwa informacji był inny, niż osoba fizyczna, podmiot. (…) chodzi o konkretne osoby fizyczne, które wymienione są w ewidencji osób upoważnionych do przetwarzania danych oraz które są zobowiązane zachować w tajemnicy dane i sposoby ich zabezpieczenia. (…).”. Należy podkreślić, iż funkcją ABI jest monitoring przetwarzania danych, nie zaś samo ich przetwarzanie.
Osoba upoważniona do przetwarzania danych osobowych
Jak wynika z art. 37 ustawy do przetwarzania danych mogą być dopuszczone wyłącznie osoby posiadające „zezwolenie” nadane przez administratora danych. Każda więc osoba zatrudniona w zakładzie mająca dostęp do danych osobowych pracowników musi mieć stosowne upoważnienie wskazujące zakres (podmiotowy, przedmiotowy, ewentualnie czasowy) dostępu. Administrator danych prowadzi ewidencję osób upoważnionych do ich przetwarzania. Jednocześnie są one zobowiązane zachować w tajemnicy dane osobowe oraz sposoby ich zabezpieczenia (art. 39 ustawy).
Kto jest administratorem danych osobowych w spółce?
W przedmiotowej kwestii wypowiedział się GIODO w jednym ze swoich stanowisk. Przedmiotem pytania skierowanego do GIODO było to, czy administratorem danych w spółce prawa handlowego jest ta spółka, czy też są to jej organy, osoby zasiadające w organach tej spółki czy też osoby pełniące funkcje kierownicze w spółce? Odnosząc się do przedstawionego pytania GIODO uznał, iż w świetle przepisów ustawy o ochronie danych osobowych administratorem danych jest sama spółka prawa handlowego, nie zaś jej organy, osoby zasiadające w organach tej spółki lub pełniące w niej funkcje kierownicze.
Niestety przepisy ustawy nie wskazują jednoznacznie, jak należy traktować np. prezesa zarządu czy też członków zarządu. Wydaje się więc, iż osoby te powinny mieć upoważnienia do przetwarzania danych osobowych.
