Administrator danych osobowych – kto to i czym się zajmuje?
Gromadzenie i przetwarzanie danych osobowych ma duże znaczenie zarówno dla przedsiębiorców i kontrahentów, jak i ustawodawców. Administrator danych osobowych to bardzo istotna i odpowiedzialna funkcja. Kto jest nazywany administratorem danych osobowych oraz jakie ma obowiązki?
Administrator danych osobowych - kto to?
Definicja terminu administratora danych znajduje swoje źródło w Ustawie z dnia 29 sierpnia 1997 r. o ochronie danych osobowych. Określa ona administratora jako organ, jednostkę organizacyjną, podmiot lub osobę decydującą o celach i środkach przetwarzania danych osobowych. Żeby zostać uznanym za administratora danych nie wystarczy gromadzić danych - administrator ustala cele, w jakich gromadzone są dane, a także sposoby, jakimi są przetwarzane. Artykuł 7 pkt 2 wyżej przytoczonej ustawy stanowi, że jako przetwarzanie, określane jest operowanie danymi osobowymi, czyli ich:
zbieranie,
utrwalanie,
przechowywanie,
opracowywanie,
zmienianie,
udostępnianie,
usuwanie.
W przypadku prowadzenia działalności gospodarczej, sam przedsiębiorca jest uznawany za administratora danych osobowych.
Regulacjom prawnym nie podlegają osoby fizyczne, które przetwarzają dane w celach osobistych i domowych, a także podmioty, które mają siedzibę lub miejsce zamieszkania w państwie trzecim, a wykorzystują środki techniczne w Polsce wyłącznie do przekazywania danych.
Obowiązki i zadania administratora danych
Podstawy prawne regulujące obowiązki administratora danych, jasno określają jego zadania. Przepisy mówią, że powinien on:
stosować środki techniczne i organizacyjne, zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, a w szczególności zabezpieczenie danych przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem,
uzupełniać, uaktualniać, edytować dane, czasowego lub stałego wstrzymania przetwarzania kwestionowanych danych lub ich usunięcia ze zbioru, gdy zażąda tego osoba, której dane są przetwarzane przez administratora
kontrolować kto, kiedy i jakie dane wprowadził do zbioru i komu zostały one przekazane,
prowadzić dokumentację opisującą sposób przetwarzania danych oraz środków zapewniających ochronę danych osobowych,
prowadzić ewidencję osób upoważnionych do przetwarzania danych osobowych, zawierającą imię i nazwisko osoby upoważnionej, czas trwania upoważnienia wraz z datami oraz zakres, w którym została upoważniona do przetwarzania danych,
zgłaszać zbiór do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych w przypadkach, gdy przewiduje to prawo.
Administrator danych może powołać administratora bezpieczeństwa informacji, a jeżeli tego nie zrobi, sam pełni tę funkcję. Zadania wynikające z pełnienia funkcji administratora bezpieczeństwa informacji to zapewnianie przestrzegania przepisów o ochronie danych osobowych poprzez:
sprawdzanie zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych oraz opracowanie w tym zakresie sprawozdania dla administratora danych;
nadzorowanie opracowania i aktualizowania dokumentacji, o której mowa w art. 36 ust. 2, oraz przestrzegania zasad w niej określonych;
zapewnianie zapoznania osób upoważnionych do przetwarzania danych osobowych z przepisami o ochronie danych osobowych..
Administrator danych osobowych a nowe przepisy
Artykuł 5 Ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych mówi:
„Jeżeli przepisy odrębnych ustaw, które odnoszą się do przetwarzania danych, przewidują dalej idącą ich ochronę, niż wynika to z niniejszej ustawy, stosuje się przepisy tych ustaw."
W związku z tym przepisem, wprowadzone później Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 roku w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Rozporządzenia RODO) oraz Ustawa z dnia 10 maja 2018 r. o danych osobowych znajdują swoje zastosowanie w Polskim prawie, mimo wcześniejszej ustawy.
Nowe regulacje nakładają na administratora danych nowe obowiązki:
zgłaszanie naruszenia ochrony danych osobowych do organu nadzorczego oraz zawiadamianie o tym osób, których dane te dotyczą;
dokonanie oceny skutków planowanych operacji przetwarzania danych przed rozpoczęciem ich przetwarzania;
prowadzenie rejestru czynności przetwarzania danych osobowych;
minimalizacji danych oraz ograniczenie ich przechowywania;
zapewnienie prawa do usunięcia danych dotyczących danej osoby.