MARTA JACZEWSKA
prawnik w Kancelarii Prawnej GLN
Administratorem jest podmiot posiadający kompetencje do decydowania o celach i środkach przetwarzania danych osobowych. Będzie nim zatem spółka przetwarzająca dane osobowe, ale już nie dyrektor tej spółki, ani nie jej pracownik wyznaczony do wykonywania obowiązków związanych z ochroną danych. Dla przykładu, zgodnie z wyjaśnieniami generalnego inspektora ochrony danych Osobowych (dalej GIODO), administratorem danych nie jest agent ubezpieczeniowy uzyskujący dane osobowe od klientów towarzystwa ubezpieczeniowego, lecz właśnie to towarzystwo, gdyż to ono decyduje o celach i środkach przetwarzania zebranych danych. Podkreślenia wymaga fakt, iż ocenie podlegają faktyczne kompetencje do zarządzania przechowywanymi danymi, a nie ustalenia poczynione pomiędzy stronami. Administrator może wyznaczyć tzw. administratora bezpieczeństwa informacji, odpowiedzialnego za bezpieczeństwo danych osobowych przetwarzanych w systemie informatycznym. Może również upoważnić do przetwarzania danych swego pracownika lub osobę działającą na jego rzecz w oparciu o innego rodzaju pełnomocnictwo, a także powierzyć przetwarzanie danych w drodze umowy zawartej na piśmie innemu podmiotowi. W każdym jednak przypadku administrator pozostaje odpowiedzialny za zapewnienie bezpieczeństwa danych, zachowanie ich poufności i integralności oraz kontrolę ich przetwarzania zgodnie z przepisami prawa. Sankcjami za niedopełnienie obowiązków odpowiedniego zabezpieczenia danych osobowych jest kara grzywny, kara ograniczenia wolności albo kara pozbawienia wolności do roku lub – w przypadkach zawinionych – do dwóch lat. Na administratorze ciążą także rozbudowane obowiązki informacyjne w stosunku do osób, których dane są przetwarzane oraz obowiązki wynikające z konieczności rejestracji danego zbioru. W tym kontekście należy zwrócić uwagę na niedawny wyrok Naczelnego Sądu Administracyjnego (sygn. I OSK 218/06) odnoszący się do interpretacji pojęcia zbioru danych osobowych. NSA uznał, że zbiorem danych osobowych jest taki zestaw danych, który pozwala na uzyskanie do nich dostępu przy wykorzystaniu co najmniej dwóch kryteriów wyszukiwawczych. Zbiory danych osobowych rejestrowane są przez GIODO na podstawie przedłożonego mu przez administratora danych lub jego przedstawiciela zgłoszenia rejestracyjnego, którego wzór określony został w rozporządzeniu ministra spraw wewnętrznych i administracji z dnia 29 kwietnia 2004 r. (Dz.U. z 2004 r. nr 100, poz. 1025). Adresatami obowiązku rejestracji nie są jednostki zajmujące się wyłącznie niszczeniem dokumentów (ponieważ nie działają samodzielnie, a na polecenie zlecającego wykonanie tej czynności) ani jednostki, którym administrator powierza w drodze pisemnej umowy przetwarzanie danych. Niezgłoszenie zbioru do rejestracji pomimo ustawowego wymogu zagrożone jest karą grzywny, ograniczenia wolności lub pozbawienia wolności do roku. Ustawa wymienia kategorie zbiorów, które zwolnione są z obowiązku rejestracji. Są nimi m.in. zbiory zawierające dane pracowników danego podmiotu lub osób w nim zrzeszonych, dane klientów korzystających z oferowanych przez dany podmiot usług medycznych lub prawnych, dane przetwarzane wyłącznie na potrzeby księgowości lub sprawozdawczości finansowej, dane powszechnie dostępne oraz dane przetwarzane w zakresie drobnych spraw życia codziennego.