photo
05.07.2026

„Administrator danych osobowych nieposiadający osobowości prawnej” – relacja z konferencji

27 kwietnia w siedzibie UODO odbyła się konferencja „Administrator danych osobowych nieposiadający osobowości prawnej”, zorganizowana przez Urząd Ochrony Danych Osobowych, Uniwersytet Jagielloński i Społeczny Zespół Ekspertów przy Prezesie UODO. Wydarzenie ukazało całe spektrum zagadnień odnoszących się nie tylko do ochrony danych osobowych, lecz również do prawa pracy, prawa cywilnego i postępowania cywilnego.

Otwierając konferencję, prezes UODO Mirosław Wróblewski zwrócił uwagę, że tego rodzaju wspólne inicjatywy są wyjątkowe, bo dzięki nim świat nauki może się spotkać z praktyką ochrony danych osobowych, a nie zbyt często mamy taką możliwość.. 

„Kwestia ustalenia, kto jest tak naprawdę administratorem danych w procesie przetwarzania danych, jest fundamentalna zarówno w myśleniu o skutecznej ochronie praw podstawowych i wolności jednostki, jak i podczas postępowania przed organem nadzorczym. W jakimś stopniu można zatem stwierdzić, że jest to problem prejudycjalny i nie jest przypadkowe to, że na gruncie samego RODO pojęcie administratora danych ma charakter i fundamentalny, i całkiem funkcjonalny.” – zaznaczył prezes UODO Mirosław Wróblewski.

W tym rozumieniu należy także uwzględnić perspektywę osoby, której dane dotyczą, ponieważ ona zawsze musi z absolutną pewnością wiedzieć, kto realnie ponosi odpowiedzialność za przetwarzanie jej danych.

Jak wyjaśnił prezes UODO, administrator jest w takim samym stopniu ważny w sferze publicznej, jak w sferze biznesu.

Prezes Mirosław Wróblewski wyraził też nadzieję, że ustalenia dotyczące administratorów danych, również te wynikające z konferencji, będzie można poddać pod rozwagę w trakcie prac Europejskiej Rady Ochrony Danych.

W czasie swojego wykładu prof. Arkadiusz Sobczyk z Katedry Prawa Pracy i Polityki Socjalnej UJ podkreślił zaś, że celem prawników jest zawsze definiowanie pojęć podstawowych, a niewątpliwie pojęcie administratora danych do nich należy – bez ustalenia pełnych definicji, jak zaznaczył, nie da się w ogóle czegokolwiek rozstrzygać w sensie prawnym i prawniczym.

Prof. Arkadiusz Sobczyk stwierdził również, że dziś szukanie podstawy prawnej do ustalenia odpowiedzialności cywilnoprawnej wśród administratorów danych, wykonujących zadania poza sferą państwową, bywa niezwykle trudne. I w tym sensie dyskusja na ten temat jest potrzebna.

Dr hab. Arwid Mednis z Zakładu Nauki Administracji Uniwersytetu Warszawskiego, członek Społecznego Zespołu Ekspertów przy Prezesie UODO (SZE), zauważył, że kwestia tego, czy ktoś posiada osobowość prawną z punktu widzenia statusu administratora może nie mieć znaczenia, bo choćby podmioty o skomplikowanej strukturze wprowadzają wiele wątpliwości, jeśli chodzi o samo definiowanie podziału obowiązków (a zatem jeśli chodzi także o kompetencje w zakresie przetwarzania danych). Poza tym, osoby prawne funkcjonują w różnych formach.

Wykładowca z UW omówił też istotę zagadnienia osobowości prawnej w świetle wpisów do rejestrów państwowych. Podkreślił też, że prawodawca europejski w RODO z jednej strony wskazał, kto może być administratorem danych, ale z drugiej strony pozostawił otwarty katalog, który w tej kwestii dopuszcza wiele możliwości – ale należy zaznaczyć, że w większości sytuacji jest tak, że kompetencje dotyczące sposobu przetwarzania danych posiadają jednostki kierownicze w organizacji. Jak zaznaczył, przy ocenie kto jest administratorem powinno wziąć się pod uwagę różne okoliczności.

W konkluzji, stwierdził, że kwestia osobowości prawnej nie jest decydująca jeżeli chodzi o bycie administratorem.

Prof. Marlena Sakowska-Baryła z Katedry Europejskiego Prawa Konstytucyjnego Uniwersytetu Łódzkiego, także członkini SZE, zauważyła w swoim wystąpieniu pt. „Organ publiczny jako administrator danych osobowych”, że odnośnie do głównego zagadnienia, w kontekście organów władzy publicznej, trzeba postawić fundamentalne pytanie o to, czy taki organ za każdym razem posiada zdolność do wykonywania obowiązków ciążących na administratorze, opisanych w art. 4 pkt 7 RODO.

Jak wyjaśniła, należy wziąć pod uwagę, że w obecnym stanie prawnym administratorem danych może być zarówno organ publiczny, jak i urząd go obsługujący, jako że faktyczny wpływ na wykonywanie obowiązków administratora jest ważniejszy niż forma ustrojowa. Istotnym aspektem jest również to, że organy publiczne praktycznie nie mają możliwości wyboru celu przetwarzania danych, bo są one już określone w konkretnej ustawie.

Przedstawiła również propozycje kryteriów, których spełnienie mogłoby wskazywać, że dany podmiot publiczny ma status administratora:

  • realizuje zadania ustawowe,
  • decyduje o rozpoczęciu przetwarzania,
  • wybiera środki techniczne i organizacyjne, 
  • jest podmiotem, który ponosi odpowiedzialność na gruncie prawa cywilnego. 

Wykładowczyni z UŁ zastanawiała się także nad kwestią ryzyka, jakie zachodzi przy multiplikowaniu administratorów danych, i o tym, czy w ogóle konstrukcja pojęcia administratora danych przystaje do organu publicznego (bowiem winien on mieć realną decyzyjność i zapewniać efektywność ochrony danych oraz praw podstawowych). W obszarze organów publicznych może się nawet okazać, że konstrukcja funkcjonalna RODO nie jest wystarczająca, gdyż nie ujmuje tych gwarancji jako cech immanentnych administratora.

Dr Krzysztof Wygoda z Wydziału Prawa, Administracji i Ekonomii Uniwersytetu Wrocławskiego, członek SZE,  miał wystąpienie pt. „’Decyzyjność’ jako element uznania za administratora”. Mówca na wstępie podkreślił, że żaden podmiot nie powinien być administratorem danych, jeśli nie jest w stanie zapewnić ochrony praw podstawowych jednostki. Dobrym przykładem według dr. Krzysztofa Wygody jest sytuacja dotycząca Państwowej Komisji Wyborczej w trakcie wyborów – PKW jest administratorem danych, ale przecież każda pojedyncza komisja wyborcza w terenie sama przetwarza dane i przede wszystkim może być pozwana w sprawie dotyczącej przetwarzania danych, a zatem ponosi odpowiedzialność prawną. Istnieją także podmioty, który decydują o przetwarzaniu ważnych danych, ale w niewielkim zakresie (jak sędziowie czy lekarze).

Jednocześnie, jak zauważył wykładowca UWr, uznanie za administratora nie powinno prowadzić do sytuacji, w której administratorem nazywa się byt nieposiadający choćby części możliwości decyzyjnych wymaganych przez RODO.

Prof. Arkadiusz Sobczyk w swoim wystąpieniu pt. „Jednostki organizacyjne w sektorze gospodarczym i niegospodarczym jako administratorzy danych osobowych” zauważył, że samo RODO bywa we fragmentach błędnie przetłumaczone, co nierzadko prowadzi do poważnych nieporozumień, a chodzi o to, aby np. organy nadzorcze ochrony danych dysponowały gotowymi i ugruntowanymi definicjami pojęć, w szczególności zwrócić uwagę na zawarty w definicji administratora termin „jednostka”, którego angielskim odpowiednikiem jest „agency”.

W dalszej części spotkania prof. Sławomir Cieślak z Katedry Postępowania Cywilnego UŁ omówił kwestię odpowiedzialności cywilnoprawnej przed sądami, jak również kwestie dotyczące prawa administracyjnego i prawa pracy.

Przytoczona została terminologia szczególnej zdolności sądowej w ograniczonym zakresie przedmiotowym. Zgodnie z nią, w obecnym stanie prawnym dotyczy ona pracodawcy, który nie ma osobowości prawnej, nie ma zdolności prawnej, a jednocześnie spełnia wymagania z art. 3 KP, a więc ma zdolność do zatrudniania pracowników we własnym zakresie. Jeżeli chodzi o szczególną zdolność sądową takiego pracodawcy, przywołany został Wyrok Sądu Najwyższego z 14.02.2018 t., I PK 351/16.

Następnie, został omówiony problematyka spółki cywilnej. Nie ma ona bowiem zdolności sądowej na podstawie art. 64 KPC. Jednocześnie występują kontrowersje co do szczególnej zdolności sądowej na podstawie art. 460 KPC oraz co do statusu pracodawcy według art. 3 KP.

W końcowym wystąpieniu Piotr Drobek, dyrektor Departamentu Innowacyjności i Zarządzania Danymi w UODO, podkreślił rolę orzeczeń oraz interpretacji Trybunału Sprawiedliwości Unii Europejskiej w kontekście określenia statusu administratorów danych. Jak zaznaczył, TSUE konsekwentnie przyjmuje w swoim orzecznictwie, że zapewnienie pełnej i efektywnej ochrony prawa podstawowego do ochrony danych osobowych, które jest zagwarantowane w art. 8 Karty Praw Podstawowych UE, wymaga szerokiego zakresu stosowania przepisów RODO oraz szerokiej interpretacji pojęcia administratora lub współadministrowania.

Pojęcie administratora i podmiotu przetwarzającego są pojęciami funkcjonalnymi. Ich celem jest przypisanie odpowiedzialności i podział obowiązków. Jeżeli prześledzimy wyroki TSUE (m.in. C-131/12, C-40/17) pojęcie to powinno być interpretowane odpowiednio szeroko, zapewniając skuteczną ochronę praw osób, których dane dotyczą.

Mówca odwołując się do opinii Grupy Roboczej Art. 29 i EROD przypomniał, że mówiąc o administratorze przede wszystkim mówimy o organizacji jako całości, a nie poszczególnych osobach, które w ramach tej mogą decydować o celach i sposobach przetwarzania danych lub mogą jej przetwarzać. Niemniej w obszarze prawa publicznego zagadnienie to może być bardziej złożone, na co wskazują wyroki TSUE dotyczące komisji parlamentarnych.

Dyr. P Drobek na koniec swojego wystąpienia przedstawił dotychczasową praktykę UODO w zakresie określania statusu administratora  lub współadministratorów działających w sektorze publicznym.

Wszyscy uczestnicy konferencji zgodzili się, że temat definiowania ról i odpowiedzialności administratorów danych wymaga rozszerzenia na wielu poziomach i że dyskusja zainicjowana przez UJ i UODO to początek koniecznych działań w tej sprawie.

Nagrania z transmicji konferencji:

Otwarcie


Dr hab. Arwid Mednis, Uniwersytet Warszawski


Prof. Marlena Sakowska-Baryła. Uniwersytet Łódzki


Dr Krzysztof Wygoda, Uniwersytet Wrocławski


Prof. Arkadiusz Sobczyk, Uniwersytet Jagielloński


Prof. Sławomir Cieślak, Uniwersytet Łódzki


Piotr Drobek, Urząd Ochrony Danych Osobowych

 

 

Podmiot udostępniający:
Wytworzył informację:
user
date
Wprowadził informację:
user
date 2026-05-21 16:14:34
Ostatnio modyfikował:
user
date 2026-05-21 16:40:56

Galeria zdjęć