Ministerstwo Rozwoju Regionalnego zwróciło się do Generalnego Inspektora Ochrony Danych Osobowych z pytaniem o to, kto jest administratorem danych osobowych w związku przetwarzaniem danych osobowych przez Instytucje Pośredniczące lub Instytucje Wdrażające w ramach programów operacyjnych współfinansowanych z funduszy Unii Europejskich.
W odpowiedzi Generalny Inspektor powołał definicję administratora danych wyrażoną w art. 7 pkt 4 tej ustawy o ochronie danych osobowych. Jednocześnie wskazał, iż w przypadku podmiotów publicznych mogą one decydować o celu przetwarzania danych osobowych w ramach zadań, jakie wykonują zgodnie z przepisami ustaw szczególnych, i które tymi przepisami zostały wyznaczone. Innymi słowy, rozstrzygnięcie, któremu podmiotowi działającemu w sektorze publicznym przysługuje status administratora danych, wymaga analizy przepisów prawa w oparciu, o które podmiot ten działa.
Jak zauważył Generalny Inspektor, przypisanie statusu administratora danych osobowych jednemu z podmiotów uczestniczących w realizacji programów finansowanych ze środków Unii Europejskiej determinowane jest niejednokrotnie treścią podpisywanych porozumień i zawieranych umów, które określają szczegółowe zadania, zasady i warunki realizacji działań oraz uprawnienia i obowiązki stron, także w zakresie administrowania danymi osobowymi.
Generalny Inspektor uznał, że aby wskazać administratora danych, a tym samym podmiot obowiązany do wypełniania wszelkich wymogów nałożonych na niego przepisami o ochronie danych osobowych, należy każdorazowo dokonać analizy zapisów zawartych w wyżej wskazanych dokumentach. Obowiązek przeprowadzenia takiej analizy ciąży zaś na podmiotach uczestniczących w przygotowaniu i realizacji określonych programów operacyjnych. Generalny Inspektor może zaś tylko dokonać weryfikacji poczynionych ustaleń, w toku prowadzonego postępowania administracyjnego, np. dotyczącego realizowania obowiązku rejestracji konkretnego zbioru danych osobowych, bądź w toku czynności kontrolnych.
Grupa Robocza Art. 29 ds. ochrony danych, działająca przy GIODO, wydała opinię, że określenie „celu" przetwarzania danych jest zastrzeżone dla „administratora danych". Ktokolwiek podejmuje tę decyzję jest faktycznie administratorem danych. Administrator danych może przekazać określenie „sposobów" przetwarzania w odniesieniu do kwestii technicznych i organizacyjnych. Zasadnicze kwestie dotyczące zgodności przetwarzania danych z prawem należą do administratora danych. Osoba lub podmiot, które podejmują decyzję dotyczącą np. tego, jak długo przechowuje się dane lub kto ma do nich dostęp, działają jako „administrator danych" w odniesieniu do tej części wykorzystywania danych, a zatem muszą spełniać wszystkie obowiązki administratora danych.
Generalny Inspektor zaznaczył również, iż „brak możliwości bezpośredniego wywiązania się ze wszystkich obowiązków administratora danych (zapewnienie informacji, prawa dostępu, itp.) nie wyklucza możliwości bycia administratorem. Może zdarzyć się, że w praktyce obowiązki te mogłyby być z łatwością pełnione w imieniu administratora danych przez inne strony. Administrator danych pozostaje jednak zawsze ostatecznie odpowiedzialny za swoje obowiązki i będzie odpowiadał za ich niewypełnienie.
Odnosząc się do pojęcia „przetwarzającego dane" Grupa Robota Art. 29 ds. ochrony danych osobowych wskazała m.in., że „rola przetwarzającego nie wynika z charakteru osoby prawnej przetwarzającej dane, ale z jej konkretnej działalności w określonym kontekście. Innymi słowy, ta sama osoba prawna może działać jednocześnie jako administrator danych w przypadku niektórych operacji przetwarzania danych oraz jako przetwarzający w przypadku innych tego rodzaju operacji, a kwalifikowanie się jako administrator danych lub przetwarzający należy oceniać w odniesieniu do określonych zestawów danych lub operacji."
Generalny Inspektor wskazał, że nie oznacza to, iż w innych sprawach dotyczących tejmaterii zapadłyby podobne orzeczenia. Zarówno orzeczenia sądów administracyjnych, jak i decyzje Generalnego Inspektora Ochrony Danych Osobowych wydawane są w oparciu o konkretny stan faktyczny. Konkludując, nie można w sposób jednoznaczny, na potrzeby wszelkich programów operacyjnych realizowanych obecnie w Polsce uznać, że zawsze, w każdym przypadku administratorem danych przetwarzanych w związku z finansowaniem działań ze środków z UE będzie Polska Agencja Rozwoju Przedsiębiorczości, czy też Minister Rozwoju Regionalnego. Mogą zdarzyć się bowiem sytuacje, gdy w jednym, z programów operacyjnych podmiotem decydującym o celach i środkach przetwarzania danych określonych osób będzie Polska Agencja Rozwoju Przedsiębiorczości, w innym zaś Minister Rozwoju Regionalnego. Zaznaczyć należy, że status administratora danych może zostać przypisany danemu podmiotowi jedynie w oparciu o analizę wszelkich okoliczności faktycznych i prawnych unormowań występujących w procesie przetwarzania danych, a nie zaś o analizę formalną.
Źródło: "Sprawozdanie z działalności GIODO w 2012 roku", GIODO, 2013
