Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies.

Aktualne wydanie

Polecamy

Obowiązki i odpowiedzialność administratora danych osobowych w świetle rodo

Obowiązki i odpowiedzialność administratora danych osobowych w świetle rodo
 

Tomasz Banyś (red.), Agnieszka Grzelak, Mirosław Gumularz, Katarzyna Witkowska-Nowakowska

Cena: 128,00 zł

Zamów

Polecamy

Mitologia rodo – konfrontacja z najczęstszymi błędami i absurdami

Mitologia rodo – konfrontacja z najczęstszymi błędami i absurdami
 

Aleksandra Zomerska, Robert Brodzik, Michał Kluska

Cena: 128,00 zł

Zamów

Problematyka kwalifikacji związku zawodowego jako administratora

21-01-2021 Autor: Arleta Nerka

Przedmiotem artykułu jest analiza kryteriów pozwalających na identyfikację związku zawodowego jako administratora w systemie ochrony danych osobowych. Dlaczego nastręcza to ciągle wielu trudności? Jak sobie z nimi poradzić?

 

Choć sama konstrukcja administratora nie jest nowa, to jednak przypisanie jej konkretnym podmiotom nadal bywa zadaniem trudnym. Z taką sytuacją mamy do czynienia na gruncie zbiorowych stosunków pracy, w których określenie administratora ma szczególne znaczenie dla zapewnienia bezpieczeństwa podmiotów danych. To administrator jest adresatem szeregu obowiązków wynikających z rodo, m.in. dotyczących prawidłowości przetwarzania danych osobowych, realizacji praw podmiotów danych, a także jest obciążony odpowiedzialnością z tytułu naruszeń prawa ochrony danych osobowych. Identyfikacja administratora ma również podstawowe znaczenie dla efektywnego wykonywania zadań przez organy nadzoru.


Pojęcie administratora a organizacja związkowa

 

Określenie podmiotów pełniących funkcję administratora na gruncie ustawy z dnia 23 maja 1991 r. o związkach zawodowych (tekst jedn. DzU z 2019 r., poz. 263 ze zm.; dalej: uzz) musi odbywać się na podstawie warunków definicyjnych określonych w art. 4 pkt 7 rodo i z uwzględnieniem kryteriów funkcjonalnych dotyczących zadań i uprawnień nałożonych na administratora w zakresie przetwarzania danych. Pozwoli to m.in. na ustalenie, że zakładowa organizacja związkowa jest w zakresie swoich kompetencji określonych w prawie pracy odrębnym administratorem, niezależnym od pracodawcy, u którego działa.

 

Związki zawodowe to organizacje społeczne o specyficznym statusie, skupiające nie tylko pracowników, ale również inne osoby, którym art. 2 uzz przyznaje prawo do zrzeszania się, niezależne i samorządne, o charakterze korporacyjnym, działające na podstawie statutowo ukształtowanych struktur organizacyjnych (wewnętrznych, terenowych). Ustawodawca w art. 1 uzz eksponuje samorządność związków zawodowych, polegającą przede wszystkim na samodzielnym określaniu celów i zasad swego funkcjonowania, programów działania organizacji, wyznaczania struktur wewnątrzorganizacyjnych oraz procedur podejmowania decyzji.

 

Dokonując kwalifikacji organizacji związkowej jako administratora, należy rozważyć przesłanki wynikające z art. 4 pkt 7 rodo. Na gruncie tego przepisu pojęcie „administrator” oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych. Prawodawca europejski dopuszcza także możliwość określenia celów i sposobów przetwarzania w prawie Unii lub w prawie państwa członkowskiego. W takim wypadku administrator może zostać wyznaczony również w prawie Unii lub w prawie państwa członkowskiego lub w przepisach prawa mogą zostać określone konkretne kryteria jego wyznaczania.

 

Administratora wyróżniają dwie podstawowe właściwości:

 

  • władztwo w procesie przetwarzania danych, a więc faktyczne podejmowanie we własnym imieniu i na własną rzecz decyzji o procesach przetwarzania danych – o tym, w jakim celu i w jaki sposób dane są przetwarzane;
  • specyficzna dla niego odpowiedzialność za zgodność przetwarzania z przepisami o ochronie danych osobowych.

 

W opinii 1/2010 w sprawie pojęć „administrator danych” i „przetwarzający” (WP 169) wskazuje się, że w przypadku pojęcia administratora podstawową i najważniejszą rolą jest określenie, kto odpowiada za zgodność z zasadami ochrony danych i w jaki sposób osoby, których dane dotyczą, mogą w praktyce wykonywać swoje prawa. W konsekwencji, biorąc pod uwagę brzmienie art. 4 pkt 7 rodo, w ślad za wytycznymi Grupy Roboczej art. 29 można uznać, że definicja administratora obejmuje trzy kryteria:

 

  • personalne „osoba fizyczna lub prawna, organ publiczny, jednostka lub inny podmiot”;
  • kontrolne, określane również mianem kontroli pluralistycznej z uwagi na użycie sformułowania „samodzielnie lub wspólnie z innymi”;
  • podstawowe, odróżniające administratora od innych podmiotów – „ustala cele i sposoby przetwarzania danych osobowych”.

 

Identyfikacja związku zawodowego jako administratora

 

Kryterium personalne (podmiotowe) wskazuje na możliwości przypisania funkcji administratora jednostce organizacyjnej w oderwaniu od warunku posiadania przez nią jakiejkolwiek formy organizacyjnej, w szczególności od posiadania osobowości prawnej. Za administratora zatem można uznać osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, o ile samodzielnie lub wspólnie z innymi ustalają cele i sposoby przetwarzania danych osobowych, co w konsekwencji oznacza otwartość wskazanego katalogu, ponieważ poza przedmiotowym władztwem w procesie przetwarzania danych nie jest wymagane spełnienie dodatkowych kryteriów. Zgodnie z art. 15 ust. 1 uzz związek zawodowy oraz jego jednostki organizacyjne wskazane w statucie nabywają osobowość prawną z dniem zarejestrowania. Wpis do KRS przesądza o nabyciu osobowości prawnej przez związek zawodowy, nie zaś przez jego wewnętrzne jednostki organizacyjne. To postanowienia statutu decydują o tym, którym jednostkom organizacyjnym związku przysługuje osobowość prawna (art. 13 pkt 7 uzz).

 

Na zasadach określonych w art. 15 ust. 1 uzz osobowość prawną nabywają również federacje i konfederacje związkowe, a także ich jednostki organizacyjne wskazane w statucie (art. 38 uzz). Osobowość prawna federacji i konfederacji jest oddzielna od osobowości prawnej tworzących je organizacji związkowych, co wynika z odrębnego bytu prawnego tych podmiotów. Na gruncie rodo kwalifikacja jednostki organizacyjnej jako administratora nie jest związana z faktem posiadania przez nią jakiejkolwiek formy organizacyjnej, zwłaszcza posiadania przez administratora osobowości prawnej. Brak osobowości prawnej jednostek organizacyjnych związku zawodowego określonych w jego statucie nie stanowi zatem przeszkody dla uznania takiej jednostki za administratora.

 

Należy wziąć jednak pod uwagę, że administrator ponosi odpowiedzialność prawną związaną z naruszeniem ochrony danych osobowych, co oznacza, że rolę administratora powinno się przypisywać podmiotom, które będą zdolne do ponoszenia tej odpowiedzialności, a więc którym przysługuje zdolność prawna.

 

Kolejnym elementem uznania organizacji związkowej za administratora jest sprawowanie kontroli nad przetwarzaniem danych samodzielnie lub wspólnie z innym administratorem w ramach realizacji praw i obowiązków wynikających z przepisów prawa bądź określonych w statucie. Adresatem praw i obowiązków jest zasadniczo „organizacja związkowa”, przy czym przepisy odwołują się najczęściej do określonej struktury związkowej, np. zakładowej organizacji związkowej (art. 251 uzz) bądź ponadzakładowej organizacji związkowej (art. 252 uzz). Aspekt kontroli również pluralistycznej w sytuacji, w której w przetwarzaniu danych osobowych uczestniczą różne podmioty pozostające z sobą w relacjach prawno-organizacyjnych mających znaczenie dla przetwarzania danych, w definicji administratora odzwierciedla sformułowanie „samodzielnie lub wspólnie z innymi podmiotami”.

 

Decydowanie o celach i środkach przetwarzania powinno być rozumiane jako faktyczne podejmowanie we własnym imieniu i na własną rzecz decyzji o tym, w jakim celu i w jaki sposób przetwarzane są dane osobowe. Chodzi tu o ustalanie celów, które da się przyporządkować do podstaw przetwarzania danych wskazanych w art. 6 lub 9 rodo, przy czym przepisy prawa mogą wyznaczać cele przetwarzania w stosunku do określonych danych. Z kolei decydowanie o sposobach przetwarzania danych odnosi się do tego, jak odbywa się przetwarzanie danych osobowych, obejmując kwestie techniczne i organizacyjne.

 

Dopuszczona przez przepisy rodo możliwość wyznaczenia administratora w przepisach krajowych lub prawie Unii, a także możliwość ustalenia kryteriów jego wyznaczenia, gdy cele i sposoby przetwarzania ustalane są także na poziomie tych przepisów, zakłada istnienie sytuacji, w której kontrola nad celami i sposobami przetwarzania wynika z wyraźnych kompetencji przewidzianych przez prawo. W takim przypadku przepisy mogą wyraźnie wskazywać, który podmiot pełni funkcję administratora, ale też status ten może wynikać pośrednio z przyznanych danemu podmiotowi zadań. W przepisach regulujących działalność związków zawodowych brakuje normatywnego przypisania roli administratora konkretnym strukturom związkowym. Natomiast na niezbędność przetwarzania danych osobowych wskazują cele działania organizacji określone w statutach związków zawodowych. W literaturze słusznie wyrażono pogląd, że przypisanie roli administratora utrudniają rozporządzenia statutowe przenoszące kompetencje ustawowe na struktury niższego szczebla, a także samodzielnie określające poszczególne kompetencje w zakresie realizacji celów statutowych.

 

[...]

 

Autorka jest doktorem nauk prawnych, adiunktem w Katedrze Prawa Cywilnego i Prawa Pracy Akademii Leona Koźmińskiego.

_____________________________________________________________________________________________________________________________________

Informacje o cookies © 2019 PRESSCOM Sp. z o.o.