Administrator danych osobowych

Z Encyklopedia Zarządzania
Wersja z dnia 20:50, 1 lis 2023 autorstwa Sw (dyskusja | edycje) (→‎Obowiązki administratora danych osobowych: Clean up, replaced: → (2), ; → , (9))
Administrator danych osobowych
Polecane artykuły

Administrator danych osobowych – według artykułu 7 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych to „organ, jednostka organizacyjna, podmiot lub osoba, decydujące o celach i środkach przetwarzania danych osobowych”[1].

TL;DR

Administrator danych osobowych, zgodnie z ustawą o ochronie danych osobowych, jest organem lub osobą decydującą o celach i środkach przetwarzania danych osobowych. Ma on obowiązek wykorzystania środków technicznych i organizacyjnych, które zapewniają odpowiednią ochronę przetwarzanym danym osobowym. Administrator sprawuje pełną kontrolę nad danymi osobowymi, prowadzi dokumentację przetwarzania danych oraz może wyznaczyć administratora bezpieczeństwa informacji. Wprowadzenie RODO w 2018 roku nałożyło na administratora dodatkowe obowiązki, takie jak bezzwłoczne zawiadomienie o naruszeniu ochrony danych osobowych, przeprowadzenie oceny ryzyka naruszenia ochrony danych, prowadzenie wykazu działań związanych z przetwarzaniem danych osobowych oraz zapewnienie prawa do usunięcia danych.

Obowiązki administratora danych osobowych

Choć ustawa o ochronie danych osobowych z dnia 29 sierpnia 1997 r. została zastąpiona znowelizowaną ustawą z dnia 10 maja 2018 r. to wciąż część jej przepisów nie straciła mocy prawnej, w tym rozdział 5, w którym zawarte są obowiązki administratora danych osobowych”[2].

Jak stanowi artykuł 36 ustęp 1 podstawowym obowiązkiem administratora danych osobowych jest wykorzystanie środków technicznych i organizacyjnych, które zapewnią odpowiednią ochronę przetwarzanym danym osobowym. Odpowiednia ochrona oznacza dostosowanie jej poziomu do „zagrożeń oraz kategorii danych objętych ochroną”, w szczególny sposób dane osobowe powinny zostać zabezpieczone „przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem”[3]. Administrator ma obowiązek prowadzić dokumentację w celu spisania sposobów w jaki są przetwarzane dane osobowe oraz w jaki sposób są one chronione”[4]. Według artykułu 36a administrator danych osobowych ma prawo wyznaczyć administratora bezpieczeństwa informacji oraz jego zastępców[5][6]. Nie jest to czynność obowiązkowa, dlatego w przypadku gdy administrator bezpieczeństwa informacji nie zostanie wyznaczony to do obowiązków administratora danych osobowych należą również[7][8]:

  • kontrolowanie czy przetwarzanie danych osobowych odbywa się w sposób zgodny z przepisami prawa,
  • monitorowanie czy sposoby przetwarzania i ochrony danych osobowych, które zostały spisane w dokumentacji wspomnianej wyżej są przestrzegane,
  • zagwarantowanie osobom upoważnionym do przetwarzania danych osobowych możliwości zapoznania się z przepisami prawa o ochronie danych osobowych,
  • prowadzenie spisu zbiorów danych osobowych, które są przetwarzane przez administratora danych osobowych.

Zgodnie z artykułem 38 administrator danych osobowych sprawuję pełną kontrolę nad danymi osobowymi znajdującymi się w wyżej wspomnianym zbiorze. Oznacza to że administrator nadzoruje jakie dane osobowe zostały dodane do zbioru, przez kogo, kiedy oraz komu udostępnione[9].

Rozdział 5 ustawy nakłada na administratora danych osobowych również poniższe obowiązki:

  • sprawowanie pełnej kontroli nad danymi osobowymi znajdującymi się w wyżej wspomnianym zbiorze. Oznacza to że administrator nadzoruje jakie dane osobowe zostały dodane do zbioru, przez kogo, kiedy oraz komu udostępnione[9],
  • nadanie upoważnieniem osobom zajmującym się przetwarzaniem danych osobowych[10],
  • prowadzenie wykazu osób, którym zostały nadane upoważnienia do przetwarzania danych osobowych, według wymogów, które określa artykuł 39[11].

W 2018 roku zaczęło obowiązywać Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) tzw. Rozporządzenie RODO oraz stworzona w jego następstwie ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych. Wejście w życie tych dokumentów nałożyło na administratora dodatkowe obowiązki:

  • bezzwłoczne (maksymalnie w ciągu 72 godzin) zawiadomienie organu nadzorczego o naruszeniu ochrony danych osobowych[12] oraz powiadomienie osoby, której te dane dotyczą[13],
  • przeprowadzenie oceny rezultatów wykonania planowanych czynności związanych z przetwarzaniem danych osobowych przed ich rozpoczęciem w przypadku gdy istnieje duże prawdopodobieństwo naruszenia ochrony danych[14],
  • prowadzenie wykazu wszystkich działań związanych z przetwarzaniem danych osobowych[15],
  • zapewnienie osobie, której dane osobowe dotyczą prawa do ich usunięcia oraz w przypadku wymagania przez daną osobę ich usunięcia wykonanie tego bezzwłocznie[16],
  • zaplanowanie i stosowanie odpowiednich środków technicznych i organizacyjnych nie tylko w celu ochrony danych osobowych, ale również z zamiarem minimalizacji ilości gromadzonych danych oraz ograniczeniu okresu ich przechowywania[17].

Przypisy

  1. Ustawa o ochronie danych osobowych (1997), Art.7. pkt. 4.
  2. Ustawa o ochronie danych osobowych (2018), Art.157.
  3. Ustawa o ochronie danych osobowych (1997), Art.36. ust. 1.
  4. Ustawa o ochronie danych osobowych (1997), Art.36. ust. 2.
  5. Ustawa o ochronie danych osobowych (1997), Art.36a. ust. 1.
  6. Ustawa o ochronie danych osobowych (1997), Art.36a. ust. 6.
  7. Ustawa o ochronie danych osobowych (1997), Art.36b.
  8. Ustawa o ochronie danych osobowych (1997), Art.36a. ust.2.
  9. 9,0 9,1 Ustawa o ochronie danych osobowych (1997), Art.38.
  10. Ustawa o ochronie danych osobowych (1997), Art.37.
  11. Ustawa o ochronie danych osobowych (1997), Art.39. ust.1.
  12. Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (2016), Art.33. ust.1.
  13. Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (2016) , Art.33. ust.1.
  14. Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (2016), Art.35. uts.1.
  15. Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (2016), Art.30. ust.1.
  16. Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (2016), Art.17. ust.1.
  17. Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (2016), Art.25. ust.1-2.

Bibliografia


Autor: Paulina Małocha

Uwaga.png

Treść tego artykułu została oparta na aktach prawnych.

Zwróć uwagę, że niektóre akty prawne mogły ulec zmianie od czasu publikacji tego tekstu.