Pojęcie administratora danych osobowych w świetle RODO

Pojęcie administratora danych jest kluczowym w świetle prawa ochrony danych osobowych. Administrator jest bowiem podstawowym podmiotem przetwarzającym dane osobowe. Posiada on najszersze uprawnienia wśród pozostałych podmiotów. Jest również adresatem licznych obowiązków.

Definicję legalną administratora jako podmiotu przetwarzającego dane osobowe zawiera art. 4 pkt. 7 ogólnego rozporządzenia o ochronie danych osobowych. Stanowi on, że „administrator jest osobą fizyczną lub prawną, organem publicznym, jednostką lub innym podmiotem, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych”.

Z powyższego wynika, że definicja pojęcia administratora nie uległa poważnym zmianom, oprócz zmiany nazwy (administrator danych przekształcił się w administratora) w porównaniu do definicji zawartej w dyrektywie 95/46/WE, jak również w ustawie o ochronie danych osobowych, będącej transpozycją wyżej wskazanej dyrektywy. Jest to ważne w świetle wcześniejszego orzecznictwa oraz głosów doktryny, ponieważ będą one miały zastosowanie również po wejściu w życie RODO.

Opinia 1/2010 Grupy Roboczej w sprawie terminu „administrator danych” wskazuje trzy podstawowe części definicji legalnej omawianego pojęcia:

  • określenie podmiotu,
  • kompetencje do jednoosobowej wyłącznej kontroli,
  • wyłączne kompetencje do wyznaczania celów, środków i sposobów przetwarzania danych.

Cechy administratora danych

Główną i podstawową cechą administratora danych jest kompetencja do wyłącznego ustalania celów i sposobów przetwarzania danych. Oznacza to, iż administrator samodzielnie podejmuje decyzje w powyższych kwestiach, gdyż w przypadku podejmowania takich decyzji przez wiele podmiotów mamy do czynienia ze współadministratorami. Takie uprawnienia administratora mogą wynikać między innymi z okoliczności faktycznych lub prawnych, ze zwyczaju, umowy i t. d. Brak posiadania wskazanych wyłącznych kompetencji nie pozwala na uznanie podmiotu za administratora danych. Chociaż aby uznać podmiot za administratora, powinien on decydować o celu przetwarzania, gdyż może powierzyć określenie sposobów przetwarzania innemu podmiotowi jako kwestii technicznych.

Mówiąc o wyłącznej kompetencji administratora do podejmowania decyzji w sprawie celów i środków przetwarzania sprowadza się do wyznaczenia na czyją rzecz są przetwarzane dane osobowe.

Administratorowi danych, w związku i w zakresie, w którym dane przetwarza, przysługują uprawnienia do przekazania przetwarzania danych podmiotowi przetwarzającemu, co nie zmienia jego statusu jako administratora.

Definicja legalna pojęcia administratora zawiera wyraźne określenie podmiotów, które mogą być uznane za administratora danych, zawierając bardzo szeroki kręg. Dokonując wykładni literalnej, należy wskazać, iż administratorem danych osobowych jest przedsiębiorstwo lub organ, nie zaś konkretna osoba w nim działająca. Jest to ważne w świetle odpowiedzialność za naruszenie przepisów RODO przez administratora danych.