Poradnik Przedsiębiorcy

Administrator danych osobowych - czym się zajmuje?

Ochrona danych osobowych jest coraz ważniejszym aspektem, do którego przywiązuje wagę nie tylko ustawodawca, ale również przedsiębiorcy. Jednym z podstawowych pojęć, o których mowa w przepisach, jest termin administrator danych osobowych. Kim jest i czym się zajmuje? Wyjaśniamy poniżej.

Administrator danych osobowych - definicja ustawowa

Zgodnie z art. 4 pkt 7 rozporządzenie RODO pojęcie administrator danych osobowych oznacza organ, jednostkę organizacyjną, podmiot lub osobę decydującą o celach i środkach przetwarzania danych osobowych.

Ważne!

W przypadku osób prowadzących działalność gospodarczą to sam przedsiębiorca pełni funkcję ADO, czyli  administratora danych osobowych.

Administrator danych osobowych (ADO) - zadania

Do podstawowych zadań przedsiębiorcy, jako administratora danych można zaliczyć m.in:

  • stosowanie środków technicznych i organizacyjnych zapewniających ochronę przetwarzania danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną,

Ważne!

ADO ma zapewnić w szczególności zabezpieczenie danych przed ich:

  • udostępnieniem osobom nieupoważnionym,

  • zabraniem przez osobę nieuprawnioną,

  • przetwarzaniem z naruszeniem ustawy oraz zmianą,

  • utratą,

  • uszkodzeniem lub

  • zniszczeniem.

 

  • prowadzenie dokumentacji opisującej sposób przetwarzania danych oraz środków zapewniających ochronę danych osobowych;

Ponadto jednym z najważniejszych zadań, które może wykonywać administrator danych osobowych jest powołanie Inspektora Ochrony Danych Osobowych (IODO) - jeśli przepisy go do tego zobowiązują. IOD musi powołać 

Do wyznaczenia IOD zobowiązane są podmioty publiczne, podmioty przetwarzające na dużą skalę dane wrażliwe oraz podmioty, których główna działalność polega na monitorowaniu osób na dużą skalę. Pozostałe podmioty również mogą wyznaczyć IOD, jednak nie jest to dla nich obowiązkowe. Jednak jeśli mimo braku takiego obowiązku, wyznaczą one IOD, to powinny postępować zgodnie wymaganiami dla niego (odnośnie do zadań, roli inspektora).

Grupa Robocza 29, czyli zespół ekspertów powołanych do wydawania wytycznych w zakresie RODO, zaleca, aby jeśli dany podmiot nie ma obowiązku wyznaczania IOD, sporządził dokumentację to uzasadniającą.

Wśród pozostałych obowiązków Administratora Danych Osobowych wymienia się:

  • zapewnienie kontroli nad tym, jakie dane osobowe, kiedy i przez kogo zostały wprowadzone do zbioru danych osobowych oraz komu dane te są przekazywane;

  • prowadzenie ewidencji osób upoważnionych do przetwarzania danych osobowych, które powinna zawierać takie informacje, jak:

    • imię i nazwisko osoby upoważnionej,

    • datę nadania i ustania oraz zakres upoważnienia do przetwarzania danych osobowych,

    • identyfikator, jeżeli dane są przetwarzane w systemie informatycznym.