Administrator danych osobowych w Ogólnym Rozporządzeniu o ochronie danych osobowych

Wiele osób, które w swojej pracy przetwarza dane osobowe z pewnością zastanawia się jakie obowiązki są z tym związane. Niepewność zasad dotyczących przetwarzania danych osobowych potęguje zmiana prawa – uchwalenie Ogólnego Rozporządzenia o ochronie danych osobowych (RODO) oraz coraz częstsze wycieki danych osobowych. Jakie obowiązki musi więc spełnić administrator danych osobowych na gruncie RODO? Czy osoby przetwarzając dane osobowe automatycznie stają się administratorami danych osobowych?

Administrator danych osobowych

Zgodnie z definicją RODO administrator danych osobowych oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych. Natomiast przetwarzanie danych osobowych oznacza operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany. Przetwarzanie danych to między innymi zbieranie, utrwalanie, organizowanie, porządkowanie i przechowywanie danych.  Przetwarzanie to również adaptowanie lub modyfikowanie, pobieranie i przeglądanie danych. Przetwarzaniem danych jest ponadto wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie. Za przetwarzanie danych uznano również dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie danych osobowych. Zestawiając te definicje, za administratora danych osobowych będzie uważana osoba, która decyduje o celach i środkach przetwarzania danych, czyli ich zbierania, utrwalania lub wykorzystywania. Administrator może przetwarzać dane w sposób manualny lub automatyczny. Dane mogą być przetwarzane w formie analogowej lub cyfrowej (w bazie danych).

Administratorami danych osobowych są więc:

– osoby prowadzące działalność gospodarczą, które dysponują danymi swoich klientów lub pracowników,

– firmy (spółki osobowe lub kapitałowe), które przetwarzają dane osobowe pracowników lub klientów,

– szkoły, przedszkola, które przetwarzają dane swoich uczniów (podopiecznych) i ich rodziców oraz dane swoich pracowników (nauczycieli, woźnych, konserwatorów),

– fundacje, które przetwarzają dane osób wchodzących w skład ich organów (zarząd, rada fundacji) oraz innych osób, z którymi współpracują,

– stowarzyszenia, które przetwarzają dane swoich członków,

– gminy i inne jednostki samorządu terytorialnego, które przetwarzają dane bardzo szerokiego kręgu osób począwszy od radnych gminy, a skończywszy na mieszkańcach.

Kiedy administrator danych może przetwarzać dane osobowe?

Zgodnie z art. 6 RODO o ochronie danych przetwarzanie jest zgodne z prawem wyłącznie w przypadkach, gdy – i w takim zakresie, w jakim – spełniony jest co najmniej jeden z poniższych warunków:

a) osoba, której dane dotyczą wyraziła zgodę na przetwarzanie swoich danych osobowych w jednym lub większej liczbie określonych celów;

b) przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy;

c) przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze;

d) przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej;

e) przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi;

f) przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą, jest dzieckiem.

W innych przypadkach niż wymienione powyżej, przetwarzać danych nie wolno.

Zasady przetwarzania danych osobowych

Dane osobowe muszą być przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą. Dane osobowe mogą być zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach i nieprzetwarzane dalej w sposób niezgodny z tymi celami. Jednocześnie, administrator danych osobowych powinien zapewnić, że przetwarzane dane są adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane. Administrator danych musi również dbać, aby dane zawsze były prawidłowe, a w razie potrzeby – uaktualniane. Ważną zasadą jest to, aby dane były przechowywane w formie umożliwiającej identyfikację osoby, której dane dotyczą. Dane powinny być przetwarzane przez okres nie dłuższy, niż jest to niezbędne do celów, w których dane te są przetwarzane.

Wykazanie zgodnego z prawem przetwarzania danych osobowych

Ogólne Rozporządzenie wprowadza nowe rozwiązanie polegające na certyfikowaniu administratorów danych osobowych i nadawaniu im znaków jakości w zakresie danych osobowych. Więcej o znakach jakości można przeczytać tutaj i tutaj.

Leave a Reply

Twój adres e-mail nie zostanie opublikowany.