Wyszukaj w serwisie
polska i świat praca handel finanse Energetyka Eko technologie
BiznesINFO.pl > Praca > Administrator danych osobowych – kto to i czym się zajmuje?
Małgorzata Młynarczyk
Małgorzata Młynarczyk 07.06.2021 02:00

Administrator danych osobowych – kto to i czym się zajmuje?

files-1614223 1920
https://pixabay.com/photos/files-paper-office-paperwork-stack-1614223/

Gromadzenie i przetwarzanie danych osobowych ma duże znaczenie zarówno dla przedsiębiorców i kontrahentów, jak i ustawodawców. Administrator danych osobowych to bardzo istotna i odpowiedzialna funkcja. Kto jest nazywany administratorem danych osobowych oraz jakie ma obowiązki?

Administrator danych osobowych - kto to?

Definicja terminu administratora danych znajduje swoje źródło w Ustawie z dnia 29 sierpnia 1997 r. o ochronie danych osobowych. Określa ona administratora jako organ, jednostkę organizacyjną, podmiot lub osobę decydującą o celach i środkach przetwarzania danych osobowych. Żeby zostać uznanym za administratora danych nie wystarczy gromadzić danych - administrator ustala cele, w jakich gromadzone są dane, a także sposoby, jakimi są przetwarzane. Artykuł 7 pkt 2 wyżej przytoczonej ustawy stanowi, że jako przetwarzanie, określane jest operowanie danymi osobowymi, czyli ich:

  • zbieranie,

  • utrwalanie,

  • przechowywanie,

  • opracowywanie,

  • zmienianie,

  • udostępnianie,

  • usuwanie.

W przypadku prowadzenia działalności gospodarczej, sam przedsiębiorca jest uznawany za administratora danych osobowych.

Regulacjom prawnym nie podlegają osoby fizyczne, które przetwarzają dane w celach osobistych i domowych, a także podmioty, które mają siedzibę lub miejsce zamieszkania w państwie trzecim, a wykorzystują środki techniczne w Polsce wyłącznie do przekazywania danych.

Obowiązki i zadania administratora danych

Podstawy prawne regulujące obowiązki administratora danych, jasno określają jego zadania. Przepisy mówią, że powinien on:

  • stosować środki techniczne i organizacyjne, zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, a w szczególności zabezpieczenie danych przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem,

  • uzupełniać, uaktualniać, edytować dane, czasowego lub stałego wstrzymania przetwarzania kwestionowanych danych lub ich usunięcia ze zbioru, gdy zażąda tego osoba, której dane są przetwarzane przez administratora

  • kontrolować kto, kiedy i jakie dane wprowadził do zbioru i komu zostały one przekazane,

  • prowadzić dokumentację opisującą sposób przetwarzania danych oraz środków zapewniających ochronę danych osobowych,

  • prowadzić ewidencję osób upoważnionych do przetwarzania danych osobowych, zawierającą imię i nazwisko osoby upoważnionej, czas trwania upoważnienia wraz z datami oraz zakres, w którym została upoważniona do przetwarzania danych,

  • zgłaszać zbiór do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych w przypadkach, gdy przewiduje to prawo.

Administrator danych może powołać administratora bezpieczeństwa informacji, a jeżeli tego nie zrobi, sam pełni tę funkcję. Zadania wynikające z pełnienia funkcji administratora bezpieczeństwa informacji to zapewnianie przestrzegania przepisów o ochronie danych osobowych poprzez:

  • sprawdzanie zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych oraz opracowanie w tym zakresie sprawozdania dla administratora danych;

  • nadzorowanie opracowania i aktualizowania dokumentacji, o której mowa w art. 36 ust. 2, oraz przestrzegania zasad w niej określonych;

  • zapewnianie zapoznania osób upoważnionych do przetwarzania danych osobowych z przepisami o ochronie danych osobowych..

Administrator danych osobowych a nowe przepisy

Artykuł 5 Ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych mówi:

„Jeżeli przepisy odrębnych ustaw, które odnoszą się do przetwarzania danych, przewidują dalej idącą ich ochronę, niż wynika to z niniejszej ustawy, stosuje się przepisy tych ustaw."

W związku z tym przepisem, wprowadzone później Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 roku w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Rozporządzenia RODO) oraz Ustawa z dnia 10 maja 2018 r. o danych osobowych znajdują swoje zastosowanie w Polskim prawie, mimo wcześniejszej ustawy. 

Nowe regulacje nakładają na administratora danych nowe obowiązki:

  • zgłaszanie naruszenia ochrony danych osobowych do organu nadzorczego oraz zawiadamianie o tym osób, których dane te dotyczą;

  • dokonanie oceny skutków planowanych operacji przetwarzania danych przed rozpoczęciem ich przetwarzania;

  • prowadzenie rejestru czynności przetwarzania danych osobowych;

  • minimalizacji danych oraz ograniczenie ich przechowywania;

  • zapewnienie prawa do usunięcia danych dotyczących danej osoby.