Problematyka pojęć

Z opinii 1/2010 w sprawie pojęć „administrator danych” i „przetwarzający” zaprezentowanej przez Grupę Roboczą ds. Ochrony Osób Fizycznych w Zakresie Przetwarzania Danych Osobowych (w skrócie: Grupa Robocza Art. 29) wynika, że stosowanie pojęć administratora danych i przetwarzającego dane staje się coraz bardziej skomplikowane.

Głównymi powodami takiego stanu rzeczy są m.in. złożoność środowiska, w jakim stosuje się te pojęcia, a także różnicowanie organizacyjne (zarówno w sektorze prywatnym, jak i publicznym) oraz rozwój technologii informacyjno-komunikacyjnych (TIK) i globalizacja.

Zdaniem Grupy Roboczej Art. 29 pojęcie administratora danych i jego relacja z pojęciem przetwarzającego odgrywają zasadniczą rolę w stosowaniu dyrektywy 95/46/WE z kilku powodów:

1. określają kto odpowiada za zgodność z zasadami ochrony danych,
2. określają w jaki sposób osoby, których dane dotyczą, mogą w praktyce wykonywać swoje prawa,
3. określają właściwe prawo krajowe,
4. pomagają w wykonywaniu zadań nadzorczych powierzonych organom ochrony danych.

Definicje zawarte w dyrektywie w sprawie ochrony danych

Dyrektywa 95/46/WE w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych oraz swobodnego przepływu tych danych w kilku przepisach odwołuje się do pojęcia administratora danych.

Art. 2 lit. d) i e) dyrektywy wprowadza następujące definicje:

„administrator danych” oznacza osobę fizyczną lub prawną, władzę publiczną, agencję lub inny organ, który samodzielnie lub wspólnie z innymi podmiotami określa cele i sposoby przetwarzania danych; jeżeli cele i sposoby przetwarzania danych są określane w przepisach ustawowych i wykonawczych lub przepisach wspólnotowych, administrator danych może być powoływany lub kryteria jego powołania mogą być ustalane przez ustawodawstwo krajowe lub wspólnotowe;

„przetwarzający” oznacza osobę fizyczną lub prawną, władzę publiczną, agencję lub inny organ przetwarzający dane osobowe w imieniu administratora danych.

Definicja zamieszczona w dyrektywie składa się z trzech głównych modułów: aspektów o charakterze personalnym („osoba fizyczna lub prawna, władza publiczna, agencja lub inny organ”); możliwości kontroli pluralistycznej („który samodzielnie lub wspólnie z innymi podmiotami”); oraz zasadniczych elementów odróżniających administratora danych od innych podmiotów („określa cele i sposoby przetwarzania danych”).

Z omawianej opinii wynika, że jedną z podstawowych kwestii związanych z pojęciem administratora danych jest odniesienie się do powierzenia odpowiedzialności, czyli określenia, kto i w jaki sposób odpowiada za zgodność z przepisami dotyczącymi ochrony danych osobowych.

Analizując przepisy dyrektywy 95/46/WE można dojść do wniosku, zgodnego z opinią Grupy Roboczej Art. 29, że najważniejszym aspektem tych przepisów jest ochrona osób fizycznych w zakresie przetwarzania danych osobowych. Według Grupy Roboczej Art. 29 cel ten można zrealizować w praktyce tylko wtedy, gdy podmioty odpowiedzialne za przetwarzanie danych podejmą wszelkie środki niezbędne do zapewnienia tej ochrony w praktyce (wskazuje na to art. 17 ust. 1 dyrektywy, zgodnie z którym administrator danych wprowadza odpowiednie środki techniczne i organizacyjne w celu ochrony danych osobowych przed przypadkowym lub nielegalnym zniszczeniem lub przypadkową utratą, zmianą, niedozwolonym ujawnieniem lub dostępem, szczególnie wówczas gdy przetwarzanie danych obejmuje transmisję danych w sieci, jak również przed wszelkimi innymi nielegalnymi formami przetwarzania).

Administrator danych a prawo krajowe

Z opinii Grupy Roboczej Art. 29 wynika, że definicja administratora danych jest zasadniczym elementem przy określaniu, które prawo krajowe ma zastosowanie do operacji przetwarzania danych osobowych. Główna zasada prawa właściwego zgodnie z art. 4 ust. 1 lit. a) dyrektywy 95/46/WE stanowi, że każde państwo członkowskie stosuje przepisy prawa krajowego w odniesieniu do przetwarzania danych osobowych wówczas, gdy przetwarzanie danych odbywa się w kontekście prowadzenia przez administratora danych działalności gospodarczej na terytorium państwa członkowskiego. W przypadku, gdy ten sam administrator danych prowadzi działalność gospodarczą na terytorium kilku państw członkowskich, musi on podjąć niezbędne działania, aby zapewnić, że każde z tych przedsiębiorstw wywiąże się z obowiązków przewidzianych w przepisach prawa krajowego.

Pojęcie przetwarzającego w odniesieniu do bezpieczeństwa przetwarzania danych

Z omawianej opinii wynika, że pojęcie przetwarzającego odgrywa ważną rolę w kontekście poufności i bezpieczeństwa przetwarzania danych. Przede wszystkim służy określaniu obowiązków osób, które są zaangażowane w przetwarzanie danych osobowych pod bezpośrednim zwierzchnictwem administratora danych lub w jego imieniu.

Zdaniem Grupy Roboczej Art. 29 rozróżnienie między administratorem danych a przetwarzającym służy głównie rozróżnieniu między zaangażowanymi podmiotami odpowiedzialnymi jako administrator (administratorzy) danych a podmiotami, które jedynie działają w ich imieniu.

Podmiot może być przetwarzającym, jeżeli spełnia dwa podstawowe warunki: po pierwsze, jest odrębną osobą prawną w stosunku do administratora danych, pod drugie, przetwarza dane osobowe w jego imieniu.

Co więcej, jak zauważa w opinii Grupa Robocza Art. 29, rola przetwarzającego nie wynika z jego charakteru, ale z konkretnej działalności w określonym kontekście i w związku z określonymi zestawami danych lub grupami operacji.