- Czy w spółce z ograniczoną odpowiedzialnością administratorem danych osobowych jest zarząd tej spółki, czyli jej organ, czy jest nim sama spółka jako taka? – pyta czytelnik.
Odpowiedź zawarta jest w przepisach ustawy o ochronie danych osobowych (DzU z 2002r. nr 101, poz. 926 ze zm.).
Zgodnie z definicją zawartą w art. 7 pkt 4 przez pojęcie administratora danych rozumie się organ, jednostkę organizacyjną bądź podmiot lub osobę, do której odnoszą się przepisy ustawy (mowa o nich w art. 3) decydujące o celach i środkach przetwarzania danych osobowych. Zatem definicja ta odsyła do art. 3.
A zgodnie z nim przepisy ustawy stosuje się do:
- organów państwowych, organów samorządu terytorialnego oraz do państwowych i komunalnych jednostek organizacyjnych,
- podmiotów niepublicznych realizujących zadania publiczne,
- osób fizycznych i prawnych oraz jednostek organizacyjnych niebędących osobami prawnymi, jeżeli przetwarzają dane osobowe w związku z działalnością zarobkową, zawodową lub dla realizacji celów statutowych.
Uwzględniając oba te przepisy, należy stwierdzić, że administratorem danych osobowych wykorzystywanych w ramach prowadzonej działalności gospodarczej przez przedsiębiorcę jest, co do zasady, ten przedsiębiorca. Tym samym będzie nim spółka prawa handlowego, w szczególności spółka z o.o., spółka jawna czy komandytowa, a nie jej organy (np. zarząd), osoby zasiadające w tych organach lub pełniące w niej funkcje kierownicze.
W praktyce to oczywiście takie osoby muszą zadbać o prawidłowe zabezpieczenie przetwarzania danych osobowych. Obowiązkiem administratora danych jest zastosować takie środki techniczne i organizacyjne, które zapewnią ochronę przetwarzania danych.
W szczególności chodzi o zabezpieczenie przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez takie osoby, zniszczeniem, utratą lub przetwarzaniem niezgodnym z przepisami. W tym celu powinny zostać stworzone zasady ich ochrony. Ich nadzorowanie administrator danych może powierzyć tzw. administratorowi bezpieczeństwa informacji lub wykonywać te czynności samodzielnie.
Ponadto w myśl art. 31 administrator danych może powierzyć ich przetwarzanie innemu podmiotowi w drodze umowy zawartej na piśmie. Warto zaznaczyć, że w żaden sposób nie zwalnia go to z odpowiedzialności za przestrzeganie przepisów ustawy.
Czytaj też:
