Administrator danych osobowych: Różnice pomiędzy wersjami

Z Encyklopedia Zarządzania
m (Dodanie MetaData Description)
m (cleanup bibliografii i rotten links)
Linia 13: Linia 13:
</ul>
</ul>
}}
}}
'''Administrator danych osobowych''' – według artykułu 7 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych to „organ, [[jednostka organizacyjna]], podmiot lub osoba, decydujące o celach i środkach przetwarzania danych osobowych”<ref name=”p1”>''[[Ustawa]] o ochronie danych osobowych'' (1997), Art.7. pkt. 4.</ref>.  
'''Administrator danych osobowych''' – według artykułu 7 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych to „organ, [[jednostka organizacyjna]], podmiot lub osoba, decydujące o celach i środkach przetwarzania danych osobowych”<ref name=”p1”>''[[Ustawa]] o ochronie danych osobowych'' (1997), Art.7. pkt. 4.</ref>.


==TL;DR==
==TL;DR==
Linia 19: Linia 19:


==Obowiązki administratora danych osobowych==
==Obowiązki administratora danych osobowych==
Choć [[ustawa o ochronie danych osobowych]] z dnia 29 sierpnia 1997 r. została zastąpiona znowelizowaną ustawą z dnia 10 maja 2018 r. to wciąż część jej przepisów nie straciła mocy prawnej, w tym rozdział 5, w którym zawarte są obowiązki administratora danych osobowych”<ref name=”p2”>''Ustawa o ochronie danych osobowych'' (2018), Art.157.</ref>.  
Choć [[ustawa o ochronie danych osobowych]] z dnia 29 sierpnia 1997 r. została zastąpiona znowelizowaną ustawą z dnia 10 maja 2018 r. to wciąż część jej przepisów nie straciła mocy prawnej, w tym rozdział 5, w którym zawarte są obowiązki administratora danych osobowych”<ref name=”p2”>''Ustawa o ochronie danych osobowych'' (2018), Art.157.</ref>.


Jak stanowi artykuł 36 ustęp 1 podstawowym '''obowiązkiem administratora danych osobowych jest wykorzystanie środków technicznych i organizacyjnych, które zapewnią odpowiednią ochronę przetwarzanym danym osobowym'''.  Odpowiednia ochrona oznacza dostosowanie jej poziomu do „zagrożeń oraz kategorii danych objętych ochroną”, w szczególny sposób [[dane]] osobowe powinny zostać zabezpieczone  „przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem”<ref name=”p3”>''Ustawa o ochronie danych osobowych'' (1997), Art.36. ust. 1.</ref>. Administrator ma [[obowiązek]] prowadzić dokumentację w celu spisania sposobów w jaki są przetwarzane [[dane osobowe]] oraz w jaki sposób są one chronione”<ref name=”p4”>''Ustawa o ochronie danych osobowych'' (1997), Art.36. ust. 2.</ref>.
Jak stanowi artykuł 36 ustęp 1 podstawowym '''obowiązkiem administratora danych osobowych jest wykorzystanie środków technicznych i organizacyjnych, które zapewnią odpowiednią ochronę przetwarzanym danym osobowym'''.  Odpowiednia ochrona oznacza dostosowanie jej poziomu do „zagrożeń oraz kategorii danych objętych ochroną”, w szczególny sposób [[dane]] osobowe powinny zostać zabezpieczone  „przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem”<ref name=”p3”>''Ustawa o ochronie danych osobowych'' (1997), Art.36. ust. 1.</ref>. Administrator ma [[obowiązek]] prowadzić dokumentację w celu spisania sposobów w jaki są przetwarzane [[dane osobowe]] oraz w jaki sposób są one chronione”<ref name=”p4”>''Ustawa o ochronie danych osobowych'' (1997), Art.36. ust. 2.</ref>.
Linia 47: Linia 47:


==Bibliografia==
==Bibliografia==
* Greser J. (2018), [https://www.researchgate.net/profile/Jaroslaw_Greser/publication/338686520_Obowiazki_organizacji_pozarzadowych_jako_administratorow_danych_osobowych/links/5e24c74b92851cafc39314e6/Obowiazki-organizacji-pozarzadowych-jako-administratorow-danych-osobowych.pdf ''Obowiązki organizacji pozarządowych jako administratorów danych osobowych w świetle RODO''], "Trzeci sketor", nr 42 (02/2018).
<noautolinks>
* [https://eur-lex.europa.eu/legal-content/PL/TXT/PDF/?uri=CELEX:32016R0679&qid=1586975967294&from=PL ''Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych)''], (2016) Dz.U. L 119/1.
* Greser J. (2018), ''Obowiązki organizacji pozarządowych jako administratorów danych osobowych w świetle RODO'', "Trzeci sketor", nr 42 (02/2018)
* [http://prawo.sejm.gov.pl/isap.nsf/download.xsp/WDU19971330883/U/D19970883Lj.pdf ''Ustawa o ochronie danych osobowych''], (1997), Dz.U. 1997 nr 133 poz. 883.
* [https://eur-lex.europa.eu/legal-content/PL/TXT/PDF/?uri=CELEX:32016R0679&qid=1586975967294&from=PL ''Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych)''], (2016) Dz.U. L 119/1
* [http://prawo.sejm.gov.pl/isap.nsf/download.xsp/WDU20180001000/U/D20181000Lj.pdf ''Ustawa o ochronie danych osobowych''], (2018), Dz.U. 2018 poz. 1000.
* ''Ustawa o ochronie danych osobowych'', (1997), Dz.U. 1997 nr 133 poz. 883
* ''Ustawa o ochronie danych osobowych'', (2018), Dz.U. 2018 poz. 1000
</noautolinks>


{{a|Paulina Małocha}}
{{a|Paulina Małocha}}

Wersja z 14:09, 26 paź 2023

Administrator danych osobowych
Polecane artykuły

Administrator danych osobowych – według artykułu 7 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych to „organ, jednostka organizacyjna, podmiot lub osoba, decydujące o celach i środkach przetwarzania danych osobowych”[1].

TL;DR

Administrator danych osobowych, zgodnie z ustawą o ochronie danych osobowych, jest organem lub osobą decydującą o celach i środkach przetwarzania danych osobowych. Ma on obowiązek wykorzystania środków technicznych i organizacyjnych, które zapewniają odpowiednią ochronę przetwarzanym danym osobowym. Administrator sprawuje pełną kontrolę nad danymi osobowymi, prowadzi dokumentację przetwarzania danych oraz może wyznaczyć administratora bezpieczeństwa informacji. Wprowadzenie RODO w 2018 roku nałożyło na administratora dodatkowe obowiązki, takie jak bezzwłoczne zawiadomienie o naruszeniu ochrony danych osobowych, przeprowadzenie oceny ryzyka naruszenia ochrony danych, prowadzenie wykazu działań związanych z przetwarzaniem danych osobowych oraz zapewnienie prawa do usunięcia danych.

Obowiązki administratora danych osobowych

Choć ustawa o ochronie danych osobowych z dnia 29 sierpnia 1997 r. została zastąpiona znowelizowaną ustawą z dnia 10 maja 2018 r. to wciąż część jej przepisów nie straciła mocy prawnej, w tym rozdział 5, w którym zawarte są obowiązki administratora danych osobowych”[2].

Jak stanowi artykuł 36 ustęp 1 podstawowym obowiązkiem administratora danych osobowych jest wykorzystanie środków technicznych i organizacyjnych, które zapewnią odpowiednią ochronę przetwarzanym danym osobowym. Odpowiednia ochrona oznacza dostosowanie jej poziomu do „zagrożeń oraz kategorii danych objętych ochroną”, w szczególny sposób dane osobowe powinny zostać zabezpieczone „przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem”[3]. Administrator ma obowiązek prowadzić dokumentację w celu spisania sposobów w jaki są przetwarzane dane osobowe oraz w jaki sposób są one chronione”[4]. Według artykułu 36a administrator danych osobowych ma prawo wyznaczyć administratora bezpieczeństwa informacji oraz jego zastępców[5][6]. Nie jest to czynność obowiązkowa, dlatego w przypadku gdy administrator bezpieczeństwa informacji nie zostanie wyznaczony to do obowiązków administratora danych osobowych należą również[7][8]:

  • kontrolowanie czy przetwarzanie danych osobowych odbywa się w sposób zgodny z przepisami prawa;
  • monitorowanie czy sposoby przetwarzania i ochrony danych osobowych, które zostały spisane w dokumentacji wspomnianej wyżej są przestrzegane;
  • zagwarantowanie osobom upoważnionym do przetwarzania danych osobowych możliwości zapoznania się z przepisami prawa o ochronie danych osobowych;
  • prowadzenie spisu zbiorów danych osobowych, które są przetwarzane przez administratora danych osobowych.

Zgodnie z artykułem 38 administrator danych osobowych sprawuję pełną kontrolę nad danymi osobowymi znajdującymi się w wyżej wspomnianym zbiorze. Oznacza to że administrator nadzoruje jakie dane osobowe zostały dodane do zbioru, przez kogo, kiedy oraz komu udostępnione[9].

Rozdział 5 ustawy nakłada na administratora danych osobowych również poniższe obowiązki:

  • sprawowanie pełnej kontroli nad danymi osobowymi znajdującymi się w wyżej wspomnianym zbiorze. Oznacza to że administrator nadzoruje jakie dane osobowe zostały dodane do zbioru, przez kogo, kiedy oraz komu udostępnione[9];
  • nadanie upoważnieniem osobom zajmującym się przetwarzaniem danych osobowych[10];
  • prowadzenie wykazu osób, którym zostały nadane upoważnienia do przetwarzania danych osobowych, według wymogów, które określa artykuł 39[11].

W 2018 roku zaczęło obowiązywać Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) tzw. Rozporządzenie RODO oraz stworzona w jego następstwie ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych. Wejście w życie tych dokumentów nałożyło na administratora dodatkowe obowiązki:

  • bezzwłoczne (maksymalnie w ciągu 72 godzin) zawiadomienie organu nadzorczego o naruszeniu ochrony danych osobowych[12] oraz powiadomienie osoby, której te dane dotyczą[13];
  • przeprowadzenie oceny rezultatów wykonania planowanych czynności związanych z przetwarzaniem danych osobowych przed ich rozpoczęciem w przypadku gdy istnieje duże prawdopodobieństwo naruszenia ochrony danych[14];
  • prowadzenie wykazu wszystkich działań związanych z przetwarzaniem danych osobowych[15];
  • zapewnienie osobie, której dane osobowe dotyczą prawa do ich usunięcia oraz w przypadku wymagania przez daną osobę ich usunięcia wykonanie tego bezzwłocznie[16];
  • zaplanowanie i stosowanie odpowiednich środków technicznych i organizacyjnych nie tylko w celu ochrony danych osobowych, ale również z zamiarem minimalizacji ilości gromadzonych danych oraz ograniczeniu okresu ich przechowywania[17].

Przypisy

  1. Ustawa o ochronie danych osobowych (1997), Art.7. pkt. 4.
  2. Ustawa o ochronie danych osobowych (2018), Art.157.
  3. Ustawa o ochronie danych osobowych (1997), Art.36. ust. 1.
  4. Ustawa o ochronie danych osobowych (1997), Art.36. ust. 2.
  5. Ustawa o ochronie danych osobowych (1997), Art.36a. ust. 1.
  6. Ustawa o ochronie danych osobowych (1997), Art.36a. ust. 6.
  7. Ustawa o ochronie danych osobowych (1997), Art.36b.
  8. Ustawa o ochronie danych osobowych (1997), Art.36a. ust.2.
  9. 9,0 9,1 Ustawa o ochronie danych osobowych (1997), Art.38.
  10. Ustawa o ochronie danych osobowych (1997), Art.37.
  11. Ustawa o ochronie danych osobowych (1997), Art.39. ust.1.
  12. Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (2016), Art.33. ust.1.
  13. Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (2016) , Art.33. ust.1.
  14. Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (2016), Art.35. uts.1.
  15. Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (2016), Art.30. ust.1.
  16. Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (2016), Art.17. ust.1.
  17. Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (2016), Art.25. ust.1-2.

Bibliografia


Autor: Paulina Małocha

Uwaga.png

Treść tego artykułu została oparta na aktach prawnych.

Zwróć uwagę, że niektóre akty prawne mogły ulec zmianie od czasu publikacji tego tekstu.