Zarejestruj się i uzyskaj dostęp do licznych narzędzi

Administrator danych i przetwarzający w dyrektywie 95/46/WE – na tle opinii Grupy Roboczej Art. 29

16/09/2015

Pojęcie administratora danych i jego relacja z pojęciem przetwarzającego pełnią kluczową rolę w stosowaniu dyrektywy 95/46/WE. Poznanie znaczenia i kryteriów zastosowania tych pojęć odgrywają ogromną rolę w wykonywaniu powyższej dyrektywy.


 

Problematyka pojęć

 

Z opinii 1/2010 w sprawie pojęć „administrator danych” i „przetwarzający” zaprezentowanej przez Grupę Roboczą ds. Ochrony Osób Fizycznych w Zakresie Przetwarzania Danych Osobowych (w skrócie: Grupa Robocza Art. 29) wynika, że stosowanie pojęć administratora danych i przetwarzającego dane staje się coraz bardziej skomplikowane.

 

Głównymi powodami takiego stanu rzeczy są m.in. złożoność środowiska, w jakim stosuje się te pojęcia, a także różnicowanie organizacyjne (zarówno w sektorze prywatnym, jak i publicznym) oraz rozwój technologii informacyjno-komunikacyjnych (TIK) i globalizacja.

 

Zdaniem Grupy Roboczej Art. 29 pojęcie administratora danych i jego relacja z pojęciem przetwarzającego odgrywają zasadniczą rolę w stosowaniu dyrektywy 95/46/WE z kilku powodów:

 

  1. określają kto odpowiada za zgodność z zasadami ochrony danych,
  2. określają w jaki sposób osoby, których dane dotyczą, mogą w praktyce wykonywać swoje prawa,
  3. określają właściwe prawo krajowe,
  4. pomagają w wykonywaniu zadań nadzorczych powierzonych organom ochrony danych.

 

Definicje zawarte w dyrektywie w sprawie ochrony danych

 

Dyrektywa 95/46/WE w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych oraz swobodnego przepływu tych danych w kilku przepisach odwołuje się do pojęcia administratora danych.

 

Art. 2 lit. d) i e) dyrektywy wprowadza następujące definicje:

 

„administrator danych” oznacza osobę fizyczną lub prawną, władzę publiczną, agencję lub inny organ, który samodzielnie lub wspólnie z innymi podmiotami określa cele i sposoby przetwarzania danych; jeżeli cele i sposoby przetwarzania danych są określane w przepisach ustawowych i wykonawczych lub przepisach wspólnotowych, administrator danych może być powoływany lub kryteria jego powołania mogą być ustalane przez ustawodawstwo krajowe lub wspólnotowe;

 

„przetwarzający” oznacza osobę fizyczną lub prawną, władzę publiczną, agencję lub inny organ przetwarzający dane osobowe w imieniu administratora danych.

 

Definicja zamieszczona w dyrektywie składa się z trzech głównych modułów: aspektów o charakterze personalnym („osoba fizyczna lub prawna, władza publiczna, agencja lub inny organ”); możliwości kontroli pluralistycznej („który samodzielnie lub wspólnie z innymi podmiotami”); oraz zasadniczych elementów odróżniających administratora danych od innych podmiotów („określa cele i sposoby przetwarzania danych”).

 

Z omawianej opinii wynika, że jedną z podstawowych kwestii związanych z pojęciem administratora danych jest odniesienie się do powierzenia odpowiedzialności, czyli określenia, kto i w jaki sposób odpowiada za zgodność z przepisami dotyczącymi ochrony danych osobowych.

 

Analizując przepisy dyrektywy 95/46/WE można dojść do wniosku, zgodnego z opinią Grupy Roboczej Art. 29, że najważniejszym aspektem tych przepisów jest ochrona osób fizycznych w zakresie przetwarzania danych osobowych. Według Grupy Roboczej Art. 29 cel ten można zrealizować w praktyce tylko wtedy, gdy podmioty odpowiedzialne za przetwarzanie danych podejmą wszelkie środki niezbędne do zapewnienia tej ochrony w praktyce (wskazuje na to art. 17 ust. 1 dyrektywy, zgodnie z którym administrator danych wprowadza odpowiednie środki techniczne i organizacyjne w celu ochrony danych osobowych przed przypadkowym lub nielegalnym zniszczeniem lub przypadkową utratą, zmianą, niedozwolonym ujawnieniem lub dostępem, szczególnie wówczas gdy przetwarzanie danych obejmuje transmisję danych w sieci, jak również przed wszelkimi innymi nielegalnymi formami przetwarzania).

 

Administrator danych a prawo krajowe

 

Z opinii Grupy Roboczej Art. 29 wynika, że definicja administratora danych jest zasadniczym elementem przy określaniu, które prawo krajowe ma zastosowanie do operacji przetwarzania danych osobowych. Główna zasada prawa właściwego zgodnie z art. 4 ust. 1 lit. a) dyrektywy 95/46/WE stanowi, że każde państwo członkowskie stosuje przepisy prawa krajowego w odniesieniu do przetwarzania danych osobowych wówczas, gdy przetwarzanie danych odbywa się w kontekście prowadzenia przez administratora danych działalności gospodarczej na terytorium państwa członkowskiego. W przypadku, gdy ten sam administrator danych prowadzi działalność gospodarczą na terytorium kilku państw członkowskich, musi on podjąć niezbędne działania, aby zapewnić, że każde z tych przedsiębiorstw wywiąże się z obowiązków przewidzianych w przepisach prawa krajowego.

 

Pojęcie przetwarzającego w odniesieniu do bezpieczeństwa przetwarzania danych

 

Z omawianej opinii wynika, że pojęcie przetwarzającego odgrywa ważną rolę w kontekście poufności i bezpieczeństwa przetwarzania danych. Przede wszystkim służy określaniu obowiązków osób, które są zaangażowane w przetwarzanie danych osobowych pod bezpośrednim zwierzchnictwem administratora danych lub w jego imieniu.

 

Zdaniem Grupy Roboczej Art. 29 rozróżnienie między administratorem danych a przetwarzającym służy głównie rozróżnieniu między zaangażowanymi podmiotami odpowiedzialnymi jako administrator (administratorzy) danych a podmiotami, które jedynie działają w ich imieniu.

 

Podmiot może być przetwarzającym, jeżeli spełnia dwa podstawowe warunki: po pierwsze, jest odrębną osobą prawną w stosunku do administratora danych, pod drugie, przetwarza dane osobowe w jego imieniu.

 

Co więcej, jak zauważa w opinii Grupa Robocza Art. 29, rola przetwarzającego nie wynika z jego charakteru, ale z konkretnej działalności w określonym kontekście i w związku z określonymi zestawami danych lub grupami operacji.

 

 

pdf

Opinia 1/2010 w sprawie pojęć „administrator danych” i „przetwarzający”

Pobierz plik [389.36 KB]
Pojęcie konieczności i proporcjonalności oraz ochrony danych w sektorze egzekwowania prawa – na tle opinii Grupy Roboczej Art. 29
Pojęcie konieczności i proporcjonalności oraz ochrony danych w sektorze egzekwowania prawa – na tle opinii Grupy Roboczej Art. 29
Zagrożenia wypływające z cloud computingu – na tle opinii Grupy Roboczej Art. 29
Zagrożenia wypływające z cloud computingu – na tle opinii Grupy Roboczej Art. 29
Prawnie uzasadnione interesy administratora danych na mocy artykułu 7 dyrektywy 95/46/WE – na tle opinii Grupy Roboczej Art. 29
Prawnie uzasadnione interesy administratora danych na mocy artykułu 7 dyrektywy 95/46/WE – na tle opinii Grupy Roboczej Art. 29