Ochrona danych osobowych i bezpieczeństwo informacji

Administrator danych osobowych.  Czyli kto?

 

To najwyżej stojący w hierarchii podmiot w procesie przetwarzania danych osobowych.  Może nim być osoba fizyczna lub prawna, każda jednostka  organizacyjna, która samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych.

 

Za co odpowiada administrator danych osobowych?

To administrator danych wdraża odpowiednie środki techniczne i organizacyjne zapewniające ochronę pracy z danymi  osobowymi.  Dba o ochronę danych osobowych dostosowując ochronę do potencjalnych zagrożeń, a także rodzaju przetwarzanych danych osobowych. Administrator odpowiada za ewentualne udostępnienie danych podmiotom nieupoważnionym. Do jego zadań należy także ochrona danych przed ich niepożądaną zmianą, utratą, uszkodzeniem lub zniszczeniem.

 

Jakie obowiązki ma administrator danych?

Administrator danych osobowych zobowiązany jest do prowadzenia dokumentacji w zakresie ochrony danych osobowych (na przykład: polityka ochrony danych osobowych, rejestr czynności przetwarzania, rejestr kategorii czynności przetwarzania), opisującej między innymi  sposoby przetwarzania danych osobowych.

 

Niezwykle istotnym zadaniem administratora danych osobowych, z punktu widzenia ochrony danych osobowych jest sprawowanie pieczy nad dostępem innych osób do tych danych oraz decydowaniem, kto i w jakim zakresie ten dostęp uzyska. W tym celu administrator danych osobowych upoważnia swoich pracowników, faktycznie dokonujących operacji na danych osobowych, poprzez nadanie im stosownego upoważnienia.

 

Z kolei w wypadkach korzystania z usług świadczonych przez podmioty zewnętrzne (na przykład: biuro rachunkowe) administrator danych osobowych zawiera umowę powierzenia przetwarzania danych osobowych.

 

Obowiązkiem administratora danych osobowych kierowanym w stronę osoby, której dane osobowe administrator przetwarza, jest konieczność poinformowania jej o tym fakcie. Jest to gwarancja ochrony praw jednostki wynikających bezpośrednio z RODO, bowiem dopiero wówczas osoba odpowiednio poinformowana o zasadach i celach przetwarzania jej danych osobowych, jest zdolna do realizacji związanych z tymi operacjami praw. Administrator danych osobowych realizuje powyższy obowiązek podczas zbierania danych osobowych nawet, jeśli osoba przekazuje mu je w sposób dobrowolny. Co istotne, z czynnością zbierania danych osobowych mamy do czynienia już od chwili wejścia w ich posiadanie, a nie od momentu ich włączenia do zbioru. Przepisy RODO regulujące obowiązek informacyjny w momencie zbierania danych dzielą się na dwie grupy:

 

  1. zbieranie danych osobowych od osoby, której te dane dotyczą,
  2. zbieranie danych osobowych z innych źródeł.

 

Zbieranie danych osobowych od osoby, której te dane dotyczą

 

W przypadku pozyskiwania danych osobowych od osób, których dane dotyczą RODO wymaga od administratora danych osobowych podania:

 

  1. swojej tożsamości i danych kontaktowych oraz,  gdy ma to zastosowanie, tożsamości i danych kontaktowych swojego przedstawiciela,
  2. gdy ma to zastosowanie – danych kontaktowych inspektora ochrony danych osobowych,
  3. celów przetwarzania danych osobowych oraz podstawy  prawnej przetwarzania,
  4. jeżeli przetwarzanie odbywa się na podstawie art. 6 ust. 1 lit. f) – prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią,
  5. informacji o odbiorcach danych osobowych lub o kategoriach odbiorców, jeżeli istnieją,
  6. gdy ma to zastosowanie – informacji o zamiarze przekazania danych osobowych do państwa trzeciego.

 

Wątpliwości mogą pojawić się przy wyborze formy, jaką powinna przybrać informacja, by administrator danych osobowych dopełnił obowiązku zgodnie z regulacjami RODO. Otóż, informacja musi być skierowana bezpośrednio do osoby, której dane administrator przetwarza. Ostrożnie należy podchodzić do jakichkolwiek form grupowego spełniania obowiązku informacyjnego, a definitywnie unikać wywieszania takiej informacji na tablicy ogłoszeń lub w innych powszechnie dostępnych miejscach, ponieważ wtedy nie uczynimy zadość obowiązkowi informacyjnemu i narazimy się na konsekwencje prawne i finansowe. Na administratorze danych osobowych spoczywa obowiązek zagwarantowania, iż pełna i jasno sformułowana informacja dotrze do odbiorcy, przy czym istnieje dowolność co do wybrania formy przekazu informacji, bowiem może to być co do zasady każda powszechnie dostępna metoda komunikacji zarówno tradycyjna, jak i elektroniczna.

 

Jeśli klauzula informacyjna kierowana jest również do osób małoletnich, wtedy należy szczególnie zadbać o klarowność przekazu zawartego w jej treści, a ponadto każdorazowo informacje przekazuje się przedstawicielowi ustawowemu małoletniego.

Autor /

marek@wlochklis.pl

Ukończył studia prawnicze na Wydziale Prawa i Administracji Uniwersytetu Śląskiego, gdzie obecnie przygotowuje dysertację doktorską z zakresu prawa cywilnego. Radca prawny od 2015r. Skutecznie doradza Klientom w zakresie dochodzenia roszczeń odszkodowawczych zarówno na etapie przedsądowym jak i sądowym. Prowadzi interwencje przed Rzecznikiem Ubezpieczonych oraz Komisją Nadzoru Finansowego.

Holler Box