Celem niniejszego artykułu jest przedstawienie definicji pojęcia oraz podstaw odpowiedzialności prawnej administratora danych osobowych. W kontekście odpowiedzialności administratora za naruszenie danych osobowych wskazuje się przede wszystkim na sankcje administracyjne nakładane przez organ nadzorczy – Prezesa Urzędu Ochrony Danych Osobowych. Dużo rzadziej przedstawiane są skutki naruszeń z perspektywy odpowiedzialności odszkodowawczej oraz karnej. Podstawowym źródłem odpowiedzialności administracyjnej administratora danych jest Rozporządzenie Parlamentu Europejskiego i Rady z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz. Urz. UE L 119/1) Odpowiedzialność odszkodowawczą należy rozważać w oparciu o zasady przyjęte w Rozporządzeniu oraz Kodeksie cywilnym. Ustawodawca uregulował odpowiedzialność karną za naruszenie przepisów o ochronie danych osobowych w ustawie z dnia 10 maja 2018 r. o ochronie danych osobowych
Punktem wyjścia do określenia odpowiedzialności prawnej za naruszenie ochrony danych osobowych (RODO) jest wskazanie podmiotu odpowiedzialnego za realizację obowiązków nałożonych aktami normatywnymi.
Zgodnie z art. 4 pkt 7 rozporządzenia 2016/679 administratorem jest osoba fizyczna, osoba prawna, organ publiczny, jednostka lub inny podmiot, który samodzielnie bądź wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych.
Dla odpowiedzialności prawnej ważne jest ustalenie, kto, który podmiot ma ją ponosić. Uznanie jednostki organizacyjnej za administratora jest niezależne od posiadania przez nią jakiejkolwiek formy prawnoorganizacyjnej, w szczególności od posiadania przez administratora osobowości prawnej. Szerokie pole interpretacyjne co do zakresu podmiotowego stwarza jednak zwłaszcza ostatnia grupa wymieniona w powyższej definicji, czyli „inne podmioty” Charakter administratora można przypisać bez względu na formę prawną, jeśli tylko podmiot jest w stanie wykonywać funkcje, które przesądzają o przyznaniu mu statusu administratora. Podmiot taki powinien zatem decydować o celach i środkach przetwarzania danych osobowych.
Jak wskazuje w swych rozstrzygnięciach Trybunał Sprawiedliwości Unii Europejskiej ( TSUE), celem unijnych przepisów o ochronie danych osobowych jest zapewnienie skutecznej i pełnej ochrony osób, których dane dotyczą, a przede wszystkim wysokiego poziomu ochrony ich podstawowych praw i wolności. Aby ten cel zrealizować w społeczeństwie informacyjnym, konieczne jest przyjęcie rozszerzającej interpretacji pojęcia administratora. Inna wykładnia może bowiem uniemożliwić kompleksową ochronę praw przysługujących osobom.
Definicja administratora zawarta w art. 4 pkt 7 rozporządzenia 2016/679 jest bardzo ogólna, odnosi się do podmiotów kontrolujących przetwarzanie danych osobowych zarówno w sektorze prywatnym, jak i w sektorze publicznym, niezależnie od zakresu i sposobu przetwarzania danych, branży czy skali działania danego podmiotu. Administratorzy ponoszą odpowiedzialność w całości za wdrożenie zadań i procesów wynikających z przepisów o ochronie danych osobowych, za ich prawidłowe funkcjonowanie oraz pełnienie nadzoru nad wyznaczonymi inspektorami ochrony danych osobowych.
Administrator nie jest jedynym podmiotem przetwarzającym dane osobowe. Jest jednak odpowiedzialny za owo przetwarzanie zarówno wtedy, gdy sam przetwarza dane, jak i wtedy, gdy te dane przetwarzają inne podmioty w jego imieniu, np. może powierzyć wykonywanie czynności przetwarzania innym podmiotom, które uzyskują wówczas status podmiotów przetwarzających (art. 28 rozporządzenia 2016/679), może też udzielać upoważnienia do wykonywania w jego imieniu określonych czynności osobom, które działają w strukturze organizacyjnej administratora, np. pracownikom (art. 29 ww. rozporządzenia).
Rozporządzenie 2016/679 (pkt 74 preambuły) reguluje odpowiedzialność prawną administratora za przetwarzanie danych osobowych przez niego samego lub w jego imieniu. Administrator ma obowiązek wdrożenia odpowiednich i skutecznych środków oraz powinien być w stanie wykazać, że czynności przetwarzania są zgodne z rozporządzeniem oraz że są skuteczne. Środki te powinny uwzględniać charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw i wolności osób fizycznych. Administrator za naruszenie przepisów o ochronie danych osobowych ponosi odpowiedzialność administracyjną, karną i odszkodowawczą.
Maciej Sobiech
dyrektor Oddziału Wielkopolskiego
doradca podatkowy nr 09809
radca prawny nr wpisu 1845
