Administrator danych osobowych
Administrator danych osobowych (ADO), administrator danych (AD) – pojęcie z zakresu ochrony danych osobowych.
Zgodnie z ogólnym rozporządzeniem o ochronie danych administratorem danych osobowych jest osoba fizyczna lub prawna, organ publiczny, jednostka lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych[1].
Status konkretnego podmiotu jako administratora danych osobowych może wynikać:
- bezpośrednio z przepisów prawa (np. Trybunał Stanu jest administratorem danych osobowych przetwarzanych w ramach prowadzonych przez niego postępowań[2]),
- z interpretacji przepisów prawa (np. pracodawca jest administratorem danych osobowych pracowników[3]),
- ze stanowiska zajętego przez Prezesa Urzędu Ochrony Danych Osobowych (np. żłobek jest administratorem danych osobowych stażysty w zakresie danych przetwarzanych w ramach umowy zawartej z Powiatowym Urzędem Pracy[4])
Ustalenie, czy dany podmiot jest administratorem określonego rodzaju danych osobowych, często nastręcza sporych trudności[5].
Zadania administratora danych osobowych
Do zadań ADO należy w szczególności:
- przetwarzanie danych osobowych zgodnie z zasadami zgodności z prawem, ograniczenia celu, minimalizacji danych, prawidłowości danych itd.[6],
- wykazywanie przestrzegania zasad ochrony danych osobowych[7],
- stosowanie właściwych podstaw przetwarzania danych osobowych i szczególnych kategorii danych[8],
- realizacja obowiązku informacyjnego wobec osób, których dane osobowe przetwarza[9],
- obsługa wniosków osób, których dane dotyczą, w tym wniosków o realizację prawa do bycia zapomnianym[10],
- zapewnienie bezpieczeństwa danych osobowych przez stosowanie odpowiednich środków technicznych i organizacyjnych[11],
- zgłaszanie naruszeń ochrony danych osobowych[12],
- wyznaczenie inspektora ochrony danych, gdy jest to konieczne zgodnie z przepisami prawa[13],
- współpraca z Prezesem Urzędu Ochrony Danych Osobowych jako organem nadzorczym[14].
Odpowiedzialność administratora danych osobowych
Nieprzestrzeganie przez ADO zasad ochrony danych osobowych może powodować, że będzie on ponosił odpowiedzialność:
- cywilną - osoba, która poniosła szkodę majątkową lub niemajątkową w wyniku naruszenia RODO przez ADO, ma prawo uzyskać od niego odszkodowanie za poniesioną szkodę[15] lub
- administracyjną - Prezes Urzędu Ochrony Danych Osobowych w ramach swoich uprawnień może zobowiązać ADO do podjęcia pewnych działań (np. zmiany sposobu wykorzystania danych osobowych, usunięcia bazy danych lub wprowadzenia odpowiednich zabezpieczeń); brak współpracy ADO z Prezesem UODO może spowodować nałożenie na administratora administracyjnej kary pieniężnej w maksymalnej wysokości €20.000.000 lub 4% całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa[16].
Historia pojęcia administratora danych osobowych
Pojęcie "administratora danych" (ang. controller, fr. responsable de traitement) po raz pierwszy pojawiło się w dyrektywie 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych. Pod pojęciem tym rozumiano "osobę fizyczną lub prawną, władzę publiczną, agencję lub inny organ, który samodzielnie lub wspólnie z innymi podmiotami określa cele i sposoby przetwarzania danych". Wskazano także, że "jeżeli cele i sposoby przetwarzania danych są określane w przepisach ustawowych i wykonawczych lub przepisach wspólnotowych, administrator danych może być powoływany lub kryteria jego powołania mogą być ustalane przez ustawodawstwo krajowe lub wspólnotowe"[17].
W ślad za treścią dyrektywy polska ustawa o ochronie danych osobowych z 1997 r. zdefiniowała administratora jako "organ, jednostkę organizacyjną, podmiot lub osobę, o których mowa w art. 3[18], decydujące o celach i środkach przetwarzania danych osobowych"[19].
Przypisy
- ↑ Art. 4 p. 7 ogólnego rozporządzenia o ochronie danych (RODO).
- ↑ Art. 20f ustawy z dnia 26 marca 1982 r. o Trybunale Stanu (Dz.U.2019.2122 t.j.)
- ↑ Kodeks pracy 2020: Jakich danych osobowych pracodawca może żądać od kandydatów i pracowników, serwisy.gazetaprawna.pl, 30 kwietnia 2020 [dostęp 2021-06-19] (pol.).
- ↑ Zadania IOD - UODO, uodo.gov.pl [dostęp 2021-06-19] (pol.).
- ↑ RODO: Czy sołtys też będzie musiał powołać inspektora ochrony danych, serwisy.gazetaprawna.pl, 25 kwietnia 2018 [dostęp 2021-06-19] (pol.).
- ↑ Art. 5 ust. 1 RODO.
- ↑ Art. 5 ust. 2 RODO.
- ↑ Art. 6 i art. 9 RODO.
- ↑ Art. 13-14 RODO.
- ↑ Art. 15-22 RODO.
- ↑ Art. 24-25 i art. 32 RODO.
- ↑ Art. 33-34 RODO.
- ↑ Art. 37 RODO.
- ↑ Art. 57 RODO.
- ↑ Art. 82 ust. 1 RODO.
- ↑ Art. 83 ust. 6 RODO.
- ↑ Art. 2 (d) dyrektywy 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych.
- ↑ Art. 3. 1. Ustawę stosuje się do organów państwowych, organów samorządu terytorialnego oraz do państwowych i komunalnych jednostek organizacyjnych. 2. Ustawę stosuje się również do: 1) podmiotów niepublicznych realizujących zadania publiczne, 2) osób fizycznych i osób prawnych oraz jednostek organizacyjnych niebędących osobami prawnymi, jeżeli przetwarzają dane osobowe w związku z działalnością zarobkową, zawodową lub dla realizacji celów statutowych – które mają siedzibę albo miejsce zamieszkania na terytorium Rzeczypospolitej Polskiej, albo w państwie trzecim, o ile przetwarzają dane osobowe przy wykorzystaniu środków technicznych znajdujących się na terytorium Rzeczypospolitej Polskiej. (ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych)
- ↑ Art. 7 p. 4 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych.
Zapoznaj się z zastrzeżeniami dotyczącymi pojęć prawnych w Wikipedii.
Media użyte na tej stronie
Balance