Administrator danych osobowych to rola, która wiąże się z ustawowymi obowiązkami. Jaka odpowiedzialność spoczywa na administratorze danych osobowych?
Kim jest administrator danych osobowych
Administrator danych osobowych, w skrócie ADO, jest to osoba, firma czy organ na przykład państwowy, które zajmują się ochroną i przetwarzaniem danych osobowych. ADO może mieć siedzibę w Polsce lub poza jej granicami, niemniej jednak musi wykorzystywać środki techniczne do przetwarzania danych, znajdujące się na terenie naszego kraju.
Administrator danych osobowych – obowiązki
Administrator danych osobowych jest zobowiązany między innymi do nadzorowania bezpieczeństwa danych osobowych. Jest to jego podstawowy obowiązek. Może to robić samodzielnie, ale może również powołać do tego osobę trzecią – Administratora Bezpieczeństwa Informacji. Musi wówczas zgłosić ten fakt do rejestracji GIODO. Ma na to 30 dni. Do jego obowiązków należy również zgłoszenie odwołania tej osoby.
Administrator danych osobowych zobowiązany jest do zabezpieczenia danych przed kradzieżą przez osoby trzecie, nieudostępniania ich osobom nieupoważnionym do tego oraz do ochrony przed uszkodzeniem czy zniszczeniem danych. Ponadto musi się upewnić, że udostępnia lub przetwarza je zgodnie z obowiązującymi przepisami prawa.
Jego obowiązkiem jest prowadzenie stosownej dokumentacji w tej kwestii, zgłaszanie zbiorów danych czy zmian do GIODO oraz stosowanie odpowiednich środków technicznych i organizacyjnych, zabezpieczających te dane.
Kolejnym z obowiązków ADO jest informowanie osoby, której dane dotyczą, o fakcie ich zbierania. Należy robić to na początku, gdy zbieramy dane, jak i w kolejnych etapach ich przetwarzania. Nie zawsze jednak administrator danych osobowych pozyskuje je bezpośrednio. Wówczas jego obowiązek informacyjny ulegnie modyfikacji.
I tak w przypadku danych pozyskanych bezpośrednio od osoby fizycznej, której dotyczą, administrator danych osobowych ma następujące obowiązki:
- informuje w momencie ich zbierania o miejscu, w którym znajduje się jego siedziba i podaje swoją pełną nazwę;
- przedstawia cel zbierania tych informacji oraz to, komu będą one przedstawione, jaka to będzie kategoria odbiorców;
- informuje o prawie do edycji swoich danych i przede wszystkim do wglądu;
- uzmysławia dobrowolność podania danych osobowych lub uzasadnia podstawą prawną obowiązek ich podania.
Należy zaznaczyć, że sytuacje, w których administrator może nie wypełnić tych obowiązków, obejmują dwa przypadki. Pierwszy, gdy inna ustawa pozwala ukryć cel zbierania danych lub – gdy w myśl art. 24 – osoba, której dane dotyczą posiada już te informacje.
Co w przypadku, gdy administrator danych osobowych pozyskuje je od osób trzecich? Również musi spełnić obowiązek informacyjny w zakresie pierwszych trzech punktów. Ponadto będzie musiał poinformować o źródle, z którego pozyskał dane osobowe, jak również o uprawnieniach zgodnie z 32 art. ustawy o ochronie danych osobowych. Robi to zaraz po utrwaleniu pozyskanych informacji w formie pozwalającej na ich dalsze przetwarzanie. Również i tu są wyjątki w zakresie obowiązku informacyjnego. Podobnie jak w przypadku danych pozyskanych bezpośrednio, gdy inna ustawa na to pozwala, gdy są wykorzystywane przez podmiot publiczny zgodnie z przepisami prawa lub osoba, której dane dotyczą już o tym wie. Nowością będzie tutaj sytuacja, gdy dane te są wykorzystywane do różnego rodzaju badań na przykład naukowych czy historycznych, a obowiązek informacyjny wymagałby dużych nakładów czasowych lub finansowych, wówczas również ADO jest zwolniony z tego obowiązku.
Artykuł powstał przy współpracy z Proxymo – firmą zapewniającą wsparcie merytoryczne dla administratorów danych osobowych.
