Jak prawidłowo oznaczyć ADO?

Niedawno trafiłem na stronę pewnej poradni dietetycznej, ponieważ zaciekawił mnie przepis, który promowała na facebook’u. Podczas przeglądania różnych zakładek na stronie, przykuło mnie jedno zdanie. Właściciel napisał, że administratorem danych osobowych jest poradnia dietetyczna. Niby nic nowego, ale jest to błędna informacja, ponieważ ta konkretna poradnia nie jest żadną spółką, tylko jest prowadzona w formie jednoosobowej działalności gospodarczej. Wyjaśnię jak prawidłowo oznaczyć ADO w jednoosobowych działalnościach.

Kim jest administrator danych osobowych?

Pojęcie administratora danych osobowych (ADO) zostało wyjaśnione w słynnym już RODO. Zgodnie z nim, ADO to:

organ, jednostka organizacyjna, podmiot lub osoba decydująca o celach i środkach przetwarzania danych osobowych.

Jak prawidłowo oznaczyć ADO?

Warto wiedzieć, że jeżeli prowadzi się jednoosobową działalność gospodarczą, to ADO jest przedsiębiorca ją prowadzący.

Przykładowo, jeżeli Adam Nowak prowadzi poradnię dietetyczną „Super Dietka”, to ADO będzie Adam Nowak prowadzący działalność gospodarczą pod nazwą „Super Dietka”. Podobnie, jeżeli lekarz lub pielęgniarka prowadzą indywidualne gabinety lekarskie lub pielęgniarskie. Nie można napisać, że ADO jest poradnia dietetyczna „Super Dietka” lub gabinet lekarski czy pielęgniarski.

Pacjenci i klienci muszą wiedzieć kto odpowiada za ich dane osobowe, dlatego warto wiedzieć jak prawidłowo oznaczyć ADO.

Jakie są zadania administratora danych osobowych?

Na ADO spoczywa sporo obowiązków, które musi spełnić w związku z przetwarzaniem danych osobowych. To on będzie ponosił odpowiedzialność gdyby coś się wydarzyło nieodpowiedniego z danymi osobowymi np. doszło do wycieku danych, tak jak to miało miejsce w szpitalu w Kole.

Do podstawowych obowiązków ADO należy m.in.:

  1. zapewnienie legalności przetwarzania danych osobowych,
  2. przekazanie odpowiednich informacji osobom, których dane dotyczą,
  3. umożliwienie kontroli sposobu przetwarzania danych przez odpowiednie organy,
  4. stosowanie środków organizacyjnych i technicznych, które zapewniają odpowiednią ochronę danym,
  5. prowadzenie dokumentacji związanej z przetwarzaniem danych osobowych, np. rejestru czynności danych osobowych, ewidencji osób upoważnionych do przetwarzania danych,
  6. powołanie Inspektora Danych Osobowych, jeżeli jest do tego zobowiązany,
  7. dokonanie zgłoszenia do Prezesa Urzędu Ochrony Danych Osobowych w przypadku naruszenia przepisów.

Trudności w ustaleniu ADO

W przypadku jednoosobowych działalności gospodarczych nie powinniśmy mieć problemu w ustaleniu tego kto jest ADO. Wystarczy spojrzeć kto prowadzi daną działalność i już wiemy, że ta osoba jednocześnie jest właścicielem jak i ADO. Nawet, jak w moim przykładzie, właściciel błędnie podaje informacje, że jest nim Poradnia Dietetyczna. Taka poradnia nie może być ADO, ponieważ sama poradnia nie ma podmiotowości prawnej – ma ją właściciel, czyli przedsiębiorca.

Nasuwa się pytanie, kiedy przedsiębiorca nie będzie ADO?

Cóż, w przypadku gdyby nasza poradnia była prowadzona w formie np. spółki z ograniczoną odpowiedzialnością, to wtedy można by napisać, że ADO jest Poradnia Dietetyczna spółka z o.o. Spółka ta ma podmiotowość prawną i to ona figurować będzie w dokumentach jako ADO.

Przedsiębiorcy lubią działać w formie spółek cywilnych, jednak warto zaznaczyć, że w takim przypadku ADO nie będzie spółka cywilna. Jest ona tylko zwykłą umową, która nie ma podmiotowości prawnej (tak jak umowa sprzedaży, najmu, o dzieło). W takiej sytuacji ADO będą z reguły dwaj (lub więcej, zależy od umowy) przedsiębiorcy, którzy zawarli tę umowę. Powinni oni również podpisać umowę o współadministrowaniu danymi osobowymi (może to wynikać z umowy spółki).

Czym jest umowa o współadministrowanie?

Tak jak napisałem, umowę o współadministrowanie powinni zawrzeć administratorzy danych osobowych, jeżeli np. razem prowadzą działalność gospodarczą. W umowie powinno zostać wskazane m.in.

  1. kim są administratorzy danych osobowych,
  2. jaki jest podział przetwarzania danych osobowych między nimi tj. kto przetwarza które dane np. dane wrażliwe dotyczące zdrowia w przypadku układani diety lub leczenia lub dane potrzebne do wystawienia faktury za świadczoną usługę,
  3. jaka jest odpowiedzialność administratorów.

W tego typu umowie może znaleźć się wiele innych postanowień, z których wynika konkretny podział obowiązków pomiędzy ADO, ale można również zaznaczyć, że każdy z ADO ma taki sam zakres obowiązków i dostęp do tych samych danych.

Czy pracownik będzie ADO?

Wyobraźmy sobie sytuację, że właściciel poradni dietetycznej zatrudnia jedną osobę i tak naprawdę ona również ma dostęp o wszystkich danych osobowych klientów. Czy w takiej sytuacji należy również ją traktować jako ADO? W żadnym wypadku. Nawet jeżeli pracownik będzie miał dostęp do wszystkiego i tzw. wolną rękę w podejmowaniu decyzji, to formalnie odpowiedzialność za niego ponosi jego pracodawca.

Klient (osoba której dane dotyczą) musi mieć pewność i jasność kto ponosi odpowiedzialność za jego dane osobowe i do kogo się zwracać w przypadku realizowania swoich praw.

Pracodawca powinien jednak upoważnić pracownika do przetwarzania danych osobowych swoich klientów. Najlepiej udokumentować to w teczce pracownika.

Podsumowanie

W jednoosobowej działalności gospodarczej Administratorem Danych Osobowych jest przedsiębiorca prowadzący działalność.

Spółka cywilna nie będzie Administratorem Danych Osobowych, ponieważ jest tylko umową. ADO będą wspólnicy spółki.

Nawet jeżeli pracownik ma dostęp do danych osobowych klientów, nie jest ADO i nie ponosi odpowiedzialności jak ADO.

Jeżeli chcecie przeczytać więcej artykułów związanych z ochroną danych osobowych zapraszam do przeczytania m.in. artykułu o wyznaczeniu Inspektora Ochrony Danych oraz o przetwarzaniu danych medycznych.