>Najczęściej zadawane pytania>Powierzenie >

W wyniku nowelizacji ustawy o ochronie danych osobowych, która weszła w życie z dniem 1 maja 2004 r. zmieniono przepis art. 18 ust. 1 ustawy, który brzmiał: „w razie stwierdzenia naruszenia przepisów o ochronie danych osobowych, Generalny Inspektor z urzędu lub na wniosek osoby zainteresowanej nakazuje administratorowi danych, w drodze decyzji administracyjnej, przywrócenie stanu zgodnego z prawem (…)” - w ten sposób, iż wykreślono słowa „administratorowi danych”.

Zmiana treści art. 18 powoduje, iż obecnie decyzje Generalnego Inspektora Ochrony Danych Osobowych mogą być kierowane także do podmiotów niebędących administratorami danych, w tym również do podmiotów przetwarzających dane na podstawie umowy z administratorem zawartej w oparciu o treść art. 31 ust. 1 ustawy o ochronie danych osobowych.

Jednocześnie przepis art. 31 ust. 4 ustawy o ochronie danych osobowych stanowi, iż w przypadkach, o których mowa w ust. 1-3 tego przepisu, odpowiedzialność za przestrzeganie przepisów niniejszej ustawy spoczywa na administratorze danych, co nie wyłącza odpowiedzialności podmiotu, który zawarł umowę, za przetwarzanie danych niezgodnie z umową.

Z powyższego wynika, iż decyzje Generalnego Inspektora Ochrony Danych Osobowych winny być skierowane do administratora danych, przy czym decyzje odnoszące się do uchybień w zakresie określonym w art. 36-39 ustawy i w przepisach wykonawczych do art. 39a ustawy mogą być również skierowane do podmiotu przetwarzającego dane, o którym mowa w art. 31 ust. 1 ustawy. O tym, na który z wymienionych podmiotów nałożyć obowiązek usunięcia tych ostatnich uchybień, decyduje Generalny Inspektor, biorąc pod uwagę rodzaj stwierdzonych uchybień oraz środki niezbędne do ich usunięcia.