Administrator danych osobowych

Administrator danych osobowych (ADO), administrator danych (AD) – pojęcie z zakresu ochrony danych osobowych.

Zgodnie z ogólnym rozporządzeniem o ochronie danych administratorem danych osobowych jest osoba fizyczna lub prawna, organ publiczny, jednostka lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych[1].

Status konkretnego podmiotu jako administratora danych osobowych może wynikać:

Ustalenie, czy dany podmiot jest administratorem określonego rodzaju danych osobowych, często nastręcza sporych trudności[5].

Zadania administratora danych osobowych

Do zadań ADO należy w szczególności:

  • przetwarzanie danych osobowych zgodnie z zasadami zgodności z prawem, ograniczenia celu, minimalizacji danych, prawidłowości danych itd.[6],
  • wykazywanie przestrzegania zasad ochrony danych osobowych[7],
  • stosowanie właściwych podstaw przetwarzania danych osobowych i szczególnych kategorii danych[8],
  • realizacja obowiązku informacyjnego wobec osób, których dane osobowe przetwarza[9],
  • obsługa wniosków osób, których dane dotyczą, w tym wniosków o realizację prawa do bycia zapomnianym[10],
  • zapewnienie bezpieczeństwa danych osobowych przez stosowanie odpowiednich środków technicznych i organizacyjnych[11],
  • zgłaszanie naruszeń ochrony danych osobowych[12],
  • wyznaczenie inspektora ochrony danych, gdy jest to konieczne zgodnie z przepisami prawa[13],
  • współpraca z Prezesem Urzędu Ochrony Danych Osobowych jako organem nadzorczym[14].

Odpowiedzialność administratora danych osobowych

Nieprzestrzeganie przez ADO zasad ochrony danych osobowych może powodować, że będzie on ponosił odpowiedzialność:

  • cywilną - osoba, która poniosła szkodę majątkową lub niemajątkową w wyniku naruszenia RODO przez ADO, ma prawo uzyskać od niego odszkodowanie za poniesioną szkodę[15] lub
  • administracyjną - Prezes Urzędu Ochrony Danych Osobowych w ramach swoich uprawnień może zobowiązać ADO do podjęcia pewnych działań (np. zmiany sposobu wykorzystania danych osobowych, usunięcia bazy danych lub wprowadzenia odpowiednich zabezpieczeń); brak współpracy ADO z Prezesem UODO może spowodować nałożenie na administratora administracyjnej kary pieniężnej w maksymalnej wysokości €20.000.000 lub 4% całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa[16].

Historia pojęcia administratora danych osobowych

Pojęcie "administratora danych" (ang. controller, fr. responsable de traitement) po raz pierwszy pojawiło się w dyrektywie 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych. Pod pojęciem tym rozumiano "osobę fizyczną lub prawną, władzę publiczną, agencję lub inny organ, który samodzielnie lub wspólnie z innymi podmiotami określa cele i sposoby przetwarzania danych". Wskazano także, że "jeżeli cele i sposoby przetwarzania danych są określane w przepisach ustawowych i wykonawczych lub przepisach wspólnotowych, administrator danych może być powoływany lub kryteria jego powołania mogą być ustalane przez ustawodawstwo krajowe lub wspólnotowe"[17].

W ślad za treścią dyrektywy polska ustawa o ochronie danych osobowych z 1997 r. zdefiniowała administratora jako "organ, jednostkę organizacyjną, podmiot lub osobę, o których mowa w art. 3[18], decydujące o celach i środkach przetwarzania danych osobowych"[19].

Przypisy

  1. Art. 4 p. 7 ogólnego rozporządzenia o ochronie danych (RODO).
  2. Art. 20f ustawy z dnia 26 marca 1982 r. o Trybunale Stanu (Dz.U.2019.2122 t.j.)
  3. Kodeks pracy 2020: Jakich danych osobowych pracodawca może żądać od kandydatów i pracowników, serwisy.gazetaprawna.pl, 30 kwietnia 2020 [dostęp 2021-06-19] (pol.).
  4. Zadania IOD - UODO, uodo.gov.pl [dostęp 2021-06-19] (pol.).
  5. RODO: Czy sołtys też będzie musiał powołać inspektora ochrony danych, serwisy.gazetaprawna.pl, 25 kwietnia 2018 [dostęp 2021-06-19] (pol.).
  6. Art. 5 ust. 1 RODO.
  7. Art. 5 ust. 2 RODO.
  8. Art. 6 i art. 9 RODO.
  9. Art. 13-14 RODO.
  10. Art. 15-22 RODO.
  11. Art. 24-25 i art. 32 RODO.
  12. Art. 33-34 RODO.
  13. Art. 37 RODO.
  14. Art. 57 RODO.
  15. Art. 82 ust. 1 RODO.
  16. Art. 83 ust. 6 RODO.
  17. Art. 2 (d) dyrektywy 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych.
  18. Art. 3. 1. Ustawę stosuje się do organów państwowych, organów samorządu terytorialnego oraz do państwowych i komunalnych jednostek organizacyjnych. 2. Ustawę stosuje się również do: 1) podmiotów niepublicznych realizujących zadania publiczne, 2) osób fizycznych i osób prawnych oraz jednostek organizacyjnych niebędących osobami prawnymi, jeżeli przetwarzają dane osobowe w związku z działalnością zarobkową, zawodową lub dla realizacji celów statutowych – które mają siedzibę albo miejsce zamieszkania na terytorium Rzeczypospolitej Polskiej, albo w państwie trzecim, o ile przetwarzają dane osobowe przy wykorzystaniu środków technicznych znajdujących się na terytorium Rzeczypospolitej Polskiej. (ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych)
  19. Art. 7 p. 4 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych.

Scale of justice gold.png Zapoznaj się z zastrzeżeniami dotyczącymi pojęć prawnych w Wikipedii.

Media użyte na tej stronie