Administrator Danych Osobowych

Administrator Danych Osobowych

 

Administrator („ADO”, czyli Administrator Danych Osobowych) jest tym podmiotem, na który to RODO nakłada przede wszystkim obowiązki. Odpowiada on bowiem za całość procesów przetwarzania danych osobowych. RODO w swoich przepisach nie tylko wskazuje na obowiązki ADO, ale także definiuje wprost kim on w zasadzie jest. Administratorem jest zatem osoba fizyczna, prawna, organ publiczny, jednostka lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych. ADO przetwarza dane osobowe dla zdefiniowanych przez siebie potrzeb i celów, dla których przetwarzanie staje się niezbędne.

Przypomnijmy, że definicja Administratora została określona w art. 4 RODO. Punkt 7) stanowi, iż oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub innych podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych.

JAKIE SĄ OBOWIĄZKI ADMINISTRATORA DANYCH?

Żaden z przepisów nie reguluje jednak konkretnego katalogu zadań ADO.

Przygotowaliśmy zatem nasze własne zestawienie zadań, które w naszej ocenie oddaję rolę oraz istotę Administratora w procesie przetwarzania danych osobowych.

  1. W związku z zapewnieniem bezpieczeństwa danych osobowych ADO ma obowiązek wdrożyć odpowiednie środki techniczne i organizacyjne tak jak określone w art. 32 RODO tj.:
    1. pseudonimizację i szyfrowanie danych osobowych;
    2. zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania;
    3. zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego;
    4. regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania.
  2. Przetwarzanie danych osobowych zgodnie z art. 5 RODO, a zatem dane osobowe muszą być:
    1. przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą („zgodność z prawem, rzetelność i przejrzystość”);
    2. zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach i nieprzetwarzane dalej w sposób niezgodny z tymi celami; dalsze przetwarzanie do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych nie jest uznawane w myśl art. 89 ust. 1 za niezgodne z pierwotnymi celami („ograniczenie celu”);
    3. adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane („minimalizacja danych”);
    4. prawidłowe i w razie potrzeby uaktualniane; należy podjąć wszelkie rozsądne działania, aby dane osobowe, które są nieprawidłowe w świetle celów ich przetwarzania, zostały niezwłocznie usunięte lub sprostowane („prawidłowość”);
    5. przechowywane w formie umożliwiającej identyfikację osoby, której dane dotyczą, przez okres nie dłuższy, niż jest to niezbędne do celów, w których dane te są przetwarzane; dane osobowe można przechowywać przez okres dłuższy, o ile będą one przetwarzane wyłącznie do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych na mocy art. 89 ust. 1, z zastrzeżeniem że wdrożone zostaną odpowiednie środki techniczne i organizacyjne wymagane na mocy niniejszego rozporządzenia w celu ochrony praw i wolności osób, których dane dotyczą („ograniczenie przechowywania”);
    6. przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych („integralność i poufność”).
  3. Przetwarzanie danych osobowych powinno odbywać się zgodnie z przepisami art. 6 RODO tj. zgodność przetwarzania z prawem, z zastrzeżeniem wskazanym w art. 9 (dot. przetwarzanie szczególnych kategorii danych osobowych).
  4. W przypadku przetwarzania danych osobowych na podstawie wyrażonej zgody, należy tę zgodę pozyskać od osoby fizycznej, której dane dotyczą oraz dodatkowo należy ten fakt wykazać (rekomendujemy, aby zgody były pisemne, mogłyby być ewentualnie ustne, lecz wtedy rekomendujemy nagranie takiego oświadczenia ZA ZGODĄ osoby fizycznej).
  5. ADO ma obowiązek zadbać o prawidłowe realizowanie praw osób, których dane osobowe dotyczą. Do praw tych osób zalicza się:
    1. prawo do informacji o przetwarzanych danych (i leżący po stronie administratora obowiązek informacyjny);
    2. dostęp do danych osobowych;
    3. prawo do sprostowania danych;
    4. prawo do usunięcia danych ("prawo do bycia zapomnianym")
    5. prawo do ograniczenia przetwarzania;
    6. prawo do przenoszenia danych;
    7. prawo do sprzeciwu wobec przetwarzania danych.
  6. Zgłaszanie naruszeń ochrony danych osobowych do organu nadzorczego, którym w Polsce jest Prezes Urzędu Ochrony Danych Osobowych - w ciągu 72 godzin od momentu stwierdzenia naruszenia. Dodatkowo rekomenduje się prowadzenie rejestru naruszeń. W określonych sytuacjach także zawiadomienie o naruszeniu ochrony danych osobowych zainteresowaną osobę lub organy ścigania.
  7. Dokonywanie oceny skutków planowanych operacji przetwarzania danych osobowych przed rozpoczęciem tego procesu.
  8. Prowadzenie rejestru czynności przetwarzania danych osobowych.
  9. Prowadzenie rejestru kategorii czynności przetwarzania.
  10. Przetwarzanie danych osobowych zgodnie z zasadami z RODO, w tym m.in. minimalizowanie ilości zbieranych danych oraz ograniczenie ich przechowywania.
  11. Powołanie Inspektora Ochrony Danych (IOD), jeżeli obowiązek powołania IOD wynika z przepisów a także zawiadomienie Prezesa UODO o przedmiotowym fakcie powołania.
  12. W sytuacji powierzania danych osobowych, zawarcie stosownej umowy powierzenia przetwarzania danych osobowych.
  13. W określonych przypadkach zawarcie umowy o współadministrowanie.

Wszystkie powyższe zadania zgodnie z zasadą rozliczalności powinny zostać w należyty sposób udokumentowane!

Zastrzegamy, że ten katalog nie wyczerpuje wszystkich działań, do których zobowiązany jest Administrator. Wybraliśmy te, które w naszej ocenie są najważniejsze. Przypominamy też, że część zadań można realizować za pośrednictwem wyznaczonych osób, którym udzielimy stosownego pełnomocnictwa. Część zadań może realizować w imieniu Administrator powołany przez niego IOD, o ile nie kłóci się to z listą zadań, które są mu przypisany na mocy przepisów prawa. O IOD możesz przeczytać tutaj.

Zakładam, że jesteś tu po to, bo szukasz informacji na konkretny temat. Jeśli powyższy post nie rozwiązał Twojego problemu, zachęcam Cię do konsultacji online.

 

Kategorie

Ostatnie posty

Dane wrażliwe (art. 9 RODO)
Dane wrażliwe (art. 9 RODO)

Czym są dane wrażliwe? Czy danymi wrażliwymi są wszystkie dane osobowe czy tylko wybrana część?

Rejestr czynności przetwarzania
Rejestr czynności przetwarzania

RODO nakłada na administratorów danych osobowych szereg obowiązków. Jednym z nich jest prowadzenie rejestru czynności przetwarzania. Czym zatem jest ten rejestr i w jakim celu należy go prowadzić?

Analiza ryzyka
Analiza ryzyka

Jednym z obowiązków Administratora, który nakładają na niego przepisy RODO jest wykonanie oceny skutków dla ochrony danych osobowych. W artykule kilka ważnych informacji dla osób dokonujących słynnego DPiA.

RODO-Advisor

▪️nie wdrożyłeś RODO w firmie▪️szukasz bieżącego wsparcia▪️szukasz Inspektora Ochrony Danych▪️odnotowałeś wyciek danych▪️masz problem i chcesz go przedyskutować▪️chcesz przeszkolić personel▪️ 

ROZWIĄŻEMY PROBLEM

▪️chcesz korzystać z przysługujących RODO-uprawnień▪️czujesz, że Twoje prawa nie są przestrzegane▪️chcesz mądrze zarządzać swoimi danymi osobowymi, ale nie wiesz jak▪️ myślisz o założeniu firmy i chcesz poznać RODO-procesy▪️ 

Kontakt

787 799 843
kontakt@rodo-advisor.pl
Plac Hallera 5 lok. 14A
03-464 Warszawa

CREATED BY REVEO

Dokumentacja RODO - Polityka Prywatności oraz Ogólna klauzula informacyjna