Administrator danych osobowych: Różnice pomiędzy wersjami

Administrator danych osobowych – według artykułu 7 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych to „organ, jednostka organizacyjna, podmiot lub osoba, decydujące o celach i środkach przetwarzania danych osobowych”^[1].

TL;DR

Administrator danych osobowych, zgodnie z ustawą o ochronie danych osobowych, jest organem lub osobą decydującą o celach i środkach przetwarzania danych osobowych. Ma on obowiązek wykorzystania środków technicznych i organizacyjnych, które zapewniają odpowiednią ochronę przetwarzanym danym osobowym. Administrator sprawuje pełną kontrolę nad danymi osobowymi, prowadzi dokumentację przetwarzania danych oraz może wyznaczyć administratora bezpieczeństwa informacji. Wprowadzenie RODO w 2018 roku nałożyło na administratora dodatkowe obowiązki, takie jak bezzwłoczne zawiadomienie o naruszeniu ochrony danych osobowych, przeprowadzenie oceny ryzyka naruszenia ochrony danych, prowadzenie wykazu działań związanych z przetwarzaniem danych osobowych oraz zapewnienie prawa do usunięcia danych.

Obowiązki administratora danych osobowych

Choć ustawa o ochronie danych osobowych z dnia 29 sierpnia 1997 r. została zastąpiona znowelizowaną ustawą z dnia 10 maja 2018 r. to wciąż część jej przepisów nie straciła mocy prawnej, w tym rozdział 5, w którym zawarte są obowiązki administratora danych osobowych”^[2].

Jak stanowi artykuł 36 ustęp 1 podstawowym obowiązkiem administratora danych osobowych jest wykorzystanie środków technicznych i organizacyjnych, które zapewnią odpowiednią ochronę przetwarzanym danym osobowym. Odpowiednia ochrona oznacza dostosowanie jej poziomu do „zagrożeń oraz kategorii danych objętych ochroną”, w szczególny sposób dane osobowe powinny zostać zabezpieczone „przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem”^[3]. Administrator ma obowiązek prowadzić dokumentację w celu spisania sposobów w jaki są przetwarzane dane osobowe oraz w jaki sposób są one chronione”^[4].

Według artykułu 36a administrator danych osobowych ma prawo wyznaczyć administratora bezpieczeństwa informacji oraz jego zastępców^[5][6]. Nie jest to czynność obowiązkowa, dlatego w przypadku gdy administrator bezpieczeństwa informacji nie zostanie wyznaczony to do obowiązków administratora danych osobowych należą również^[7][8]:

• kontrolowanie czy przetwarzanie danych osobowych odbywa się w sposób zgodny z przepisami prawa;
• monitorowanie czy sposoby przetwarzania i ochrony danych osobowych, które zostały spisane w dokumentacji wspomnianej wyżej są przestrzegane;
• zagwarantowanie osobom upoważnionym do przetwarzania danych osobowych możliwości zapoznania się z przepisami prawa o ochronie danych osobowych;
• prowadzenie spisu zbiorów danych osobowych, które są przetwarzane przez administratora danych osobowych.

Zgodnie z artykułem 38 administrator danych osobowych sprawuję pełną kontrolę nad danymi osobowymi znajdującymi się w wyżej wspomnianym zbiorze. Oznacza to że administrator nadzoruje jakie dane osobowe zostały dodane do zbioru, przez kogo, kiedy oraz komu udostępnione^[9].

Rozdział 5 ustawy nakłada na administratora danych osobowych również poniższe obowiązki:

• sprawowanie pełnej kontroli nad danymi osobowymi znajdującymi się w wyżej wspomnianym zbiorze. Oznacza to że administrator nadzoruje jakie dane osobowe zostały dodane do zbioru, przez kogo, kiedy oraz komu udostępnione^[9];
• nadanie upoważnieniem osobom zajmującym się przetwarzaniem danych osobowych^[10];
• prowadzenie wykazu osób, którym zostały nadane upoważnienia do przetwarzania danych osobowych, według wymogów, które określa artykuł 39^[11].

W 2018 roku zaczęło obowiązywać Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) tzw. Rozporządzenie RODO oraz stworzona w jego następstwie ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych. Wejście w życie tych dokumentów nałożyło na administratora dodatkowe obowiązki:

• bezzwłoczne (maksymalnie w ciągu 72 godzin) zawiadomienie organu nadzorczego o naruszeniu ochrony danych osobowych^[12] oraz powiadomienie osoby, której te dane dotyczą^[13];
• przeprowadzenie oceny rezultatów wykonania planowanych czynności związanych z przetwarzaniem danych osobowych przed ich rozpoczęciem w przypadku gdy istnieje duże prawdopodobieństwo naruszenia ochrony danych^[14];
• prowadzenie wykazu wszystkich działań związanych z przetwarzaniem danych osobowych^[15];
• zapewnienie osobie, której dane osobowe dotyczą prawa do ich usunięcia oraz w przypadku wymagania przez daną osobę ich usunięcia wykonanie tego bezzwłocznie^[16];
• zaplanowanie i stosowanie odpowiednich środków technicznych i organizacyjnych nie tylko w celu ochrony danych osobowych, ale również z zamiarem minimalizacji ilości gromadzonych danych oraz ograniczeniu okresu ich przechowywania^[17].

Przypisy

Bibliografia

• Greser J. (2018), Obowiązki organizacji pozarządowych jako administratorów danych osobowych w świetle RODO, "Trzeci sketor", nr 42 (02/2018)
• Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), (2016) Dz.U. L 119/1
• Ustawa o ochronie danych osobowych, (1997), Dz.U. 1997 nr 133 poz. 883
• Ustawa o ochronie danych osobowych, (2018), Dz.U. 2018 poz. 1000

Autor: Paulina Małocha

Treść tego artykułu została oparta na aktach prawnych. Zwróć uwagę, że niektóre akty prawne mogły ulec zmianie od czasu publikacji tego tekstu.