Administrator danych według RODO to podmiot, który decyduje o celach i sposobach przetwarzania danych osobowych. W praktyce właśnie ta decyzja, a nie nazwa stanowiska czy zapis w umowie, przesądza o tym, kto jest administratorem i kto ponosi odpowiedzialność za zgodność z przepisami.
Z mojego doświadczenia wynika, że administrator danych jest bardzo często mylony z podmiotem, który „technicznie” przetwarza dane. Tymczasem RODO jasno rozróżnia te role. Administratorem jest ten, kto odpowiada na pytanie po co i jak dane są przetwarzane. To on ustala cele przetwarzania, dobiera podstawy prawne, określa zakres danych, decyduje o czasie ich przechowywania oraz o tym, komu dane są przekazywane.
Administrator danych ponosi pełną odpowiedzialność za zgodność przetwarzania z RODO. Obejmuje to nie tylko samo przetwarzanie danych, ale również dobór podmiotów przetwarzających, zapewnienie odpowiednich środków technicznych i organizacyjnych, realizację praw osób, których dane dotyczą, oraz reagowanie na naruszenia. Nawet jeśli część czynności wykonuje zewnętrzny podmiot, odpowiedzialność administratora pozostaje.
Kluczowe znaczenie ma również zasada rozliczalności. Administrator nie tylko musi działać zgodnie z RODO, ale także być w stanie to wykazać. Oznacza to konieczność dokumentowania decyzji, analiz ryzyka, podstaw prawnych i zastosowanych zabezpieczeń.
W praktyce administratorem danych może być zarówno przedsiębiorca, szkoła, urząd, fundacja, jak i osoba fizyczna prowadząca działalność gospodarczą. RODO nie patrzy na formę prawną, lecz na faktyczną rolę w procesie przetwarzania danych. I to właśnie ta rola decyduje o obowiązkach i odpowiedzialności.
Spis treści
RODO (Rozporządzenie o Ochronie Danych Osobowych) to unijny akt prawa dotyczący ochrony danych osobowych, które wszedł w życie w maju 2018 roku. Celem RODO jest wzmocnienie praw osób fizycznych w zakresie prywatności oraz zapewnienie spójnego podejścia do ochrony danych osobowych we wszystkich państwach członkowskich UE.
Kto jest administratorem danych osobowych?
Zgodnie z art. 4 pkt 7 rozporządzenie RODO pojęcie administrator danych osobowych oznacza organ, jednostkę organizacyjną, podmiot lub osobę decydującą o celach i środkach przetwarzania danych osobowych.
Aby działać zgodnie z RODO, możesz podjąć następujące kroki:
Aby działać zgodnie z RODO, możesz podjąć następujące kroki:
- Przeprowadź audyt danych osobowych – zidentyfikuj, jakie dane osobowe przetwarzasz, gdzie są przechowywane i jak są wykorzystywane;
- Opracuj politykę ochrony danych – określ cele przetwarzania danych, zasady przechowywania i usuwania danych oraz sposób ich zabezpieczenia;
- Udostępnij informacje o przetwarzaniu danych – poinformuj osoby, których dane dotyczą, o celach przetwarzania ich danych oraz o ich prawach związanych z przetwarzaniem danych;
- Zabezpiecz swoje dane – stosuj odpowiednie metody ochrony danych, takie jak szyfrowanie, hasła i kontrole dostępu;
- Przeprowadź regularne szkolenia – szkol swoich pracowników na temat przepisów RODO i sposobu postępowania z danymi osobowymi;
- Znajdź dostawców narzędzi do ochrony danych – korzystaj z narzędzi i usług oferowanych przez dostawców, którzy są zgodni z przepisami RODO;
- Regularnie przeprowadzaj audyty – sprawdzaj swoje procedury i zabezpieczenia danych oraz dokonuj ich aktualizacji w razie potrzeby.
Jeśli Twoja firma przetwarza dane osobowe, sprawdź czy ten proces jest zgodny z przepisami RODO. Chętnie Ci w tym pomożemy, podczas audytu RODO sprawdzimy proces przetwarzania danych, jego oraz środki ochrony. Upewnimy się czy prawidłowo udzielasz informacji osobom, których dane dotyczą na temat przetwarzania ich danych oraz czy mają możliwość wglądu, edycji i usunięcia swoich danych. Zweryfikujemy również Twój rejestr czynności przetwarzania, analizę ryzyka, powierzenia przetwarzania danych oraz upoważnienia do ich przetwarzania.
Jakie są konsekwencje naruszenia RODO?
Naruszenie RODO może prowadzić do poważnych konsekwencji dla Twojej firmy, m.in.:
- Wysokie kary finansowe – do 20 mln euro lub 4% całkowitego rocznego przychodu firmy;
- Utrata reputacji i zaufania klientów;
- Możliwość pozwów ze strony osób, których dane dotyczą.
Obowiązek informacyjny
1. Podczas pozyskiwania danych osobowych od osoby, której dane dotyczą administrator podaje:
- swoją tożsamość i dane kontaktowe oraz, gdy ma to zastosowanie, tożsamość i dane kontaktowe swojego przedstawiciela;
- gdy ma to zastosowanie – dane kontaktowe inspektora ochrony danych;
- cele przetwarzania danych osobowych, oraz podstawę prawną przetwarzania;
- jeżeli przetwarzanie odbywa się na podstawie art. 6 ust. 1 lit. f RODO– prawnie uzasadnione interesy realizowane przez administratora lub przez stronę trzecią;
- informacje o odbiorcach danych osobowych lub o kategoriach odbiorców, jeżeli istnieją;
- gdy ma to zastosowanie – informacje o zamiarze przekazania danych osobowych do państwa trzeciego lub organizacji.
2. Poza informacjami, o których mowa w punkcie 1, podczas pozyskiwania danych osobowych administrator podaje osobie,:
- okres, przez który dane osobowe będą przechowywane, a gdy nie jest to możliwe, kryteria ustalania tego okresu;
- informacje o prawie do żądania od administratora dostępu do danych osobowych dotyczących osoby, której dane dotyczą, ich sprostowania, usunięcia lub ograniczenia przetwarzania lub o prawie do wniesienia sprzeciwu wobec przetwarzania, a także o prawie do przenoszenia danych;
- jeżeli przetwarzanie odbywa się na podstawie art. 6 ust. 1 lit. a RODO lub art. 9 ust. 2 lit. a RODO – informacje o prawie do cofnięcia zgody w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej cofnięciem;
- informacje o prawie wniesienia skargi do organu nadzorczego, zgodnie z art. 77 RODO;
- informację, czy podanie danych osobowych jest wymogiem ustawowym lub umownym lub warunkiem zawarcia umowy oraz czy osoba, której dane dotyczą, jest zobowiązana do ich podania i jakie są ewentualne konsekwencje niepodania danych;
- informacje o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu oraz – przynajmniej w tych przypadkach – istotne informacje o zasadach ich podejmowania, a także o znaczeniu i przewidywanych konsekwencjach takiego przetwarzania dla osoby, której dane dotyczą.
Jak dopełnić obowiązek informacyjny?
W dowolnej formie – art. 12 ust. RODO.
Jeśli pozyskujemy informacje w sposób inny niż od osoby, której dane dotyczą to dodatkowo podajemy:
- Źródło pochodzenia danych osobowych, a gdy ma to zastosowanie – czy pochodzą one ze źródeł publicznie dostępnych.
- Kategorie odnośnych danych osobowych.
Informacje o przetwarzaniu danych osobowych administrator podaje:
- W rozsądnym terminie po pozyskaniu danych osobowych – najpóźniej w ciągu miesiąca.
- Jeżeli dane osobowe mają być stosowane do komunikacji z osobą, której dane dotyczą – najpóźniej przy pierwszej takiej komunikacji z osobą, której dane dotyczą.
- Jeżeli planuje się ujawnić dane osobowe innemu odbiorcy – najpóźniej przy ich pierwszym ujawnieniu.
Administrator nie jest zobowiązany do udzielenie informacji o przetwarzaniu danych, gdy:
- Osoba, której dane dotyczą, dysponuje już tymi informacjami.
- Udzielenie takich informacji okazuje się niemożliwe lub wymagałoby niewspółmiernie dużego wysiłku; w szczególności w przypadku przetwarzania do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych.
- Pozyskiwanie lub ujawnianie jest wyraźnie uregulowane prawem Unii lub prawem państwa członkowskiego, któremu podlega administrator.
- Dane osobowe muszą pozostać poufne zgodnie z obowiązkiem zachowania tajemnicy zawodowej przewidzianym w prawie Unii lub w prawie państwa członkowskiego, w tym ustawowym obowiązkiem zachowania tajemnicy.
Administrator ułatwia oraz nie odmawia podjęcia działań na żądanie osoby, której dane dotyczą pragnącej wykonać prawa przysługujące jej na mocy art. 15/16/17/18/20/21 RODO.
Administrator udziela niezbędnych informacji:
- bez zbędnej zwłoki, w terminie: 1 mies. do max 3 mies;
- w łatwo dostępnej formie;
- prostym językiem.
