Kto musi rejestrować zbiory danych osobowych

Status administratora danych może przysługiwać zarówno podmiotom publicznym, jak i prywatnym. Administratorem danych może być organ państwowy, organ samorządu terytorialnego, państwowa i komunalna jednostka organizacyjna, a także podmiot niepubliczny realizujący zadania publiczne, osoba fizyczna, osoba prawna oraz jednostka organizacyjna niebędąca osobą prawną, jeżeli przetwarza dane osobowe w związku z działalnością zarobkową, zawodową lub dla realizacji celów statutowych. Nie ma przy tym znaczenia, czy podmiot ten samodzielnie przetwarza dane, czy też zlecił ich przetwarzanie innemu podmiotowi, w drodze umowy na podstawie art. 31 ustawy o ochronie danych osobowych.

Administratorem w sferze niepublicznej jest co do zasady podmiot (np. spółka prawa handlowego, spółdzielnia, przedsiębiorca prowadzący działalność gospodarczą jednoosobowo, stowarzyszenie, fundacja), a nie osoba lub osoby zarządzające tym podmiotem (np. dyrektor przedsiębiorstwa, prezes spółdzielni, zarząd spółki) lub też pracownik wykonujący czynności związane z ochroną danych osobowych (np. pełnomocnik zarządu ds. ochrony danych osobowych, administrator bezpieczeństwa informacji). Niemniej to osoby zarządzające danym podmiotem ponoszą odpowiedzialność za naruszenie przepisów o ochronie danych osobowych. Osoby te mogą być bowiem pociągnięte do odpowiedzialności karnej za przestępstwa określone w rozdziale ósmym ustawy o ochronie danych osobowych, jeżeli ich działaniom naruszającym przepisy ustawy, podejmowanym w związku z reprezentowaniem administratora danych można przypisać winę. Ponadto należy wskazać, że administratorem danych przetwarzanych w jednostce organizacyjnej osoby prawnej (np. oddziale spółki) jest co do zasady dana osoba prawna, a nie jej jednostka organizacyjna (oddział spółki).

Źródło: www.giodo.gov.pl