Administrator serwisu nie zawsze jest administratorem danych osobowych

2009-09-11 Komentarzy: 3

Podmiot prowadzący serwis internetowy, w którym użytkownicy umieszczają dane osobowe nie musi być administratorem tych danych. Zgodnie z definicją administratora danych osobowych zawartą w ustawie o ochronie danych osobowych (art. 7 pkt 4) administratorem jest osoba, która decyduje o celach i środkach przetwarzania danych osobowych, czyli taka osoba, która faktycznie sprawuje władztwo nad przetwarzanymi danymi.

Podmiot prowadzący serwis, w którym użytkownik tworząc swój profil, podaje dane osobowe, co do zasady nie decyduje, w jaki sposób te dane są wykorzystywane. W takim przypadku administratorem danych jest użytkownik serwisu. Podmiot prowadzący serwis jest zaś osobą, której dane osobowe do przetwarzania powierzono.

Podmiot, któremu dane powierzono do przetwarzania nie ma co prawda obowiązku zgłaszania zbioru danych do GIODO, spoczywa na nim jednak  obowiązek zabezpieczenia danych. Serwis internetowy nie uniknie więc konieczności wdrożenia polityki bezpieczeństwa danych osobowych, instrukcji wewnętrznej ich przetwarzania a także wprowadzenia przewidzianych rozporządzeniem zabezpieczeń technicznych na właściwym poziomie oraz spełniania kilku innych obowiązków.

Komentarze:

  1. jz

    Czyli zawiera się umowę na piśmie?
    Ale może w takim wypadku, powierzający przetwarza dane w celach osobistych i ustawy w ogóle się nie stosuje?

  2. Pingback: błaszyk-jarosiński » Blog Archive » Zgłoszenie zbioru danych osobowych do GIODO jak zaklęcie

  3. ktoś

    “Podmiot prowadzący serwis, w którym użytkownik tworząc swój profil, podaje dane osobowe, co do zasady nie decyduje, w jaki sposób te dane są wykorzystywane. W takim przypadku administratorem danych jest użytkownik serwisu. Podmiot prowadzący serwis jest zaś osobą, której dane osobowe do przetwarzania powierzono.”
    Czy jeżeli użytkownik serwisu przy rejestracji MUSI podać określone dane (np. rok urodzenia, województwo) i może je oczywiście moderować (w profilu), to czy nadal jest uważany za administratora skoro bez podania kilku danych nie zostanie zarejestrowany? Tzn. czy będąc właścicielem serwisu społecznościowego i chcąc wykorzystać ogólną statystykę danych (podawanych indywidualnie przy rejestracji) od użytkowników dla celów marketingowych, a użytkownik ma prawo zmiany swoich danych, to czy nadal “podmiot prowadzący serwis jest osobą, której dane osobowe do przetwarzania powierzono”? Czy jednak poza stworzeniem polityki bezpieczeństwa, instrukcji zarządzania i zabezpieczeń technicznych jako właściciel muszę zgłosić zbiór danych do GIODO?

Skomentuj