LexDigital

Administrator danych osobowych

Pojęcie administratora odgrywa kluczową rolę w procesie ochrony danych osobowych, przede wszystkim ze względu na odpowiedzialność za bezpieczeństwo ich przetwarzania, czy też możliwość realizacji praw podmiotów danych. Kto może być administratorem danych osobowych, czym jest współadministrowanie, oraz jak określić cele i sposoby przetwarzania danych przeczytasz poniżej.

Administrator danych osobowych

Kto z nas nie miał problemu z określeniem roli organizacji w często skomplikowanych procesach przepływu danych. Dotyczy to zwłaszcza grup kapitałowych gdzie procesy administracji, powierzenia przetwarzania, współadministracji przeplatają się na ze sobą.

Administrator danych osobowych jest pojęciem funkcjonalnym.

"Wytyczne 07/2020 dotyczące pojęć administratora i podmiotu przetwarzającego zawartych w RODO" wyjaśniają te kwestie w sposób następujący:

Pojęcia „administrator” i „podmiot przetwarzający” są pojęciami funkcjonalnymi: ich celem jest podział obowiązków stosownie do rzeczywistych ról stron. Oznacza to, że status prawny podmiotu jako „administratora ” lub „podmiotu przetwarzającego” należy zasadniczo określać w oparciu o jego rzeczywiste działania w konkretnej sytuacji, a nie w oparciu o formalne wyznaczenie podmiotu jako „administratora danych” lub „podmiotu przetwarzającego” (np. w umowie). Oznacza to, że podział ról powinien zazwyczaj wynikać z analizy elementów stanu faktycznego lub okoliczności sprawy i jako taki nie podlega uzgodnieniom.

biznesmen, analiza, SEO

Najważniejsze pojęcia związane z administratorem:

  • Administrator wyznacza cele i sposoby przetwarzania, czyli dlaczego i jak należy przetwarzać dane,
  •  Podmiot przetwarzający przetwarza dane w imieniu administratora,
  • Współadministratorzy oznaczają dwóch lub więcej administratorów, którzy na podstawie wspólnej lub zbieżnej decyzji określają wspólnie cele i środki przetwarzania.
    laptop, administrator, klawiatura

Kim jest administrator danych?

Zgodnie z art. 4 ust. 7. rozporządzenia RODO administrator ochrony danych osobowych oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę, inny podmiot lub osobę decydującą o celach i środkach przetwarzania danych osobowych.

biznesmen, administrator, laptop

Ta prosta z pozoru definicja sprawia czasami problemy interpretacyjne.

Administratorem może więc być np. osoba lub grupa osób, podmiot, organ publiczny, jak i prywatny, stowarzyszenie, fundacja, a także grupa wyznaniowa.

Należy pamiętać jednak o tym, że w przypadku prowadzenia jednoosobowej działalności gospodarczej, to przedsiębiorca funkcjonuje jako administrator danych osobowych.

W wyroku Trybunału Sprawiedliwości Unii Europejskiej z dnia 10 lipca 2018 r. wskazano, że pozwala on uznać wspólnotę religijną wspólnie z jej członkami głosicielami za administratora danych osobowych. Nie jest konieczne jednak, by wspomniana wspólnota miała dostęp do danych, ani nie musi zostać ustalone, że udzielała ona swoim członkom pisemnych wytycznych lub instrukcji odnośnie przetwarzania.

administrator, dane, dane osobowe

W przytoczonym wyroku to wspólnota religijna wraz z jej poszczególnymi członkami została uznana za administratora danych osobowych.

Także ciekawym wyrokiem jest Wyrok TSUE, w którym wykazano, że Facebook, jak i administrator fanpage'a są administratorami danych. W tym przypadku wydawać by się mogło, że to Facebook decyduje o celach i sposobach przetwarzania danych osobowych użytkowników Facebooka, a także osób, które odwiedziły fanpage.

TSUE w przytoczonym Wyroku analizował czy i w jakim zakresie administrator fanpage'a wspólnie z Facebookiem przyczynia się do określania sposobów i celów przetwarzania. TSUE uzasadniało swoją decyzję tym, że administrator fanpage’a jest administratorem przetwarzanych danych osobowych.

Administrator tworząc taką stronę, daje Facebookowi możliwość zapisania plików cookies na komputerze lub na każdym innym urządzeniu osoby odwiedzającej jego fanpage’a bez względu na to, czy osoba ta posiada konto na Facebooku czy też nie.

dane, aplikacje, dane personalne

 […] utworzenie fanpage’a na Facebooku wiąże się z podjęciem przez jego administratora działań polegających na ustaleniu parametrów zależnych w szczególności od jego użytkowników docelowych, jak również od celów w zakresie zarządzania lub promocji jego działalności, co wpływa na przetwarzanie danych osobowych na potrzeby statystyk sporządzonych na podstawie liczby odwiedzających fanpage’a. […]

Osób fizycznych, które przetwarzają dane osobowe w ramach czynności o osobistym/domowym charakterze nie możemy nazwać administratorami. Ten wyjątek zapisany jest w art. 2 ust. 2 lit. c RODO. 

Administrator danych osobowych a współadministrowanie

Zgodnie z definicją, administrator to podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych. Jednakże istnieje możliwość podziału tych obowiązków, czyli wdrożenia współadministrowania, które zapewnia pracę dwóch lub więcej administratorów na równych warunkach. W przypadku podjęcia decyzji o wdrożeniu współadministrowania niezbędne jest podpisanie umowy między podmiotami decydującymi o celach i sposobach przetwarzania danych.

Administrator danych a podmiot przetwarzający

Administrator danych i podmiot przetwarzający stanowią dwie różne funkcje. Obie jednak przetwarzają dane osobowe. Warto zapoznać się z tym rozróżnieniem.

Administrator danych osobowych jest podmiotem decydującym o przetwarzaniu danych osobowych. Jego władztwo nad danymi może wynikać np. z ustawy lub z analizy stanu faktycznego np. spółka w grupie kapitałowej, która faktycznie podejmuje decyzje wobec przetwarzania zachodzącego w pozostałych spółkach.

Podmiot przetwarzający (procesor) jest osobą fizyczną lub prawną, organem publicznym, jednostką lub innym podmiotem przetwarzającym dane na zlecenie administratora danych osobowych. Brak zawarcia umowy powierzenia danych między administratorem a procesorem stanowi naruszenie przepisów prawa oraz zasad rozporządzenia o ochronie danych. W umowie zawartej między podmiotami powinna znaleźć się informacja o zakresie przetwarzania powierzonych danych.

Należy także brać pod uwagę rozróżnienie między podmiotem przetwarzającym a osobami, które te dane przetwarzają dzięki upoważnieniu od niego, bądź administratora. Zwykle są to pracownicy dopuszczeni do operowania powierzonymi danymi. Nie są to jednak osoby prawne i inny jednostki organizacyjne.

bezpieczeństwo, cyberbezpieczeństwo, dane osobowe

Do określenia roli podmiotu konieczna jest szczegółowa analiza procesów. Może się zdarzyć, że ta sama organizacja w jednych procesach będzie administratorem, a w innych podmiotem przetwarzającym np.

Administrator:

  • wobec danych pracowników,
  • wobec nagrań z monitoringu,
  • wobec danych kontrahentów.
    administrator danych osobowych, dane, biznesmen

Idąc za tym, co zostało zapisane w wytycznych 07/2020 dotyczących pojęć administratora i podmiotu przetwarzającego zawartych w RODO: nie można zostać administratorem, ani uchylić się od sprawowania jego obowiązków poprzez zwykłe sformułowanie umowy w określony sposób, w przypadku gdy okoliczności faktyczne świadczą o czym innym.

Sposoby przetwarzania danych osobowych

Jak wiadomo, przetwarzanie danych osobowych jest jednym z kluczowych aspektów związanych z ochroną prywatności. Na przetwarzanie danych składa się m.in.: zbieranie, przechowywanie, modyfikacja, czy udostępnianie. Sposób, w jaki podmiot dane przetwarza może być zautomatyzowany, bądź częściowo zautomatyzowany.

Więcej o przetwarzaniu danych osobowych przeczytasz na naszej stronie.

 Co oznaczają „cele i sposoby przetwarzania”?

Według wytycznych 07/2020 dotyczących pojęć administratora i podmiotu przetwarzającego zawartych w RODO "cel" jest definiowany jako „oczekiwany rezultat, który jest zamierzony lub który kieruje zaplanowanymi działaniami”, a „sposób” jako „określenie sposobu osiągnięcia rezultatu lub celu” […]

 Zgodnie z art. 5 RODO dane osobowe muszą być zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach i nieprzetwarzane dalej w sposób niezgodny z tymi celami.

dane, dane osobowe, administracja

Kluczowe jest określenie celów, dla których dane osobowe są zbierane przez administratora.

Wyżej wymienione już wytyczne definiują rolę administratora jako  podmiotu, który określił, dlaczego odbywa się przetwarzanie (tj. „w jakim celu”; lub „po co”) i jak ten cel zostanie osiągnięty (tj. jakie środki zostaną zastosowane, aby osiągnąć ten cel).

Odpowiedzialność administratora danych osobowych

komputer, dane, dane osobowe

Administrator ochrony danych osobowych po określeniu celów przetwarzania odpowiada za dobór i stosowanie środków technicznych oraz organizacyjnych, mieszczących się w zakresie danych przetwarzanych. Środki te należy wdrożyć z uwzględnieniem ryzyka naruszenia praw oraz wolności osób. Dobór środków technicznych i organizacyjnych oparty jest na dokładnej analizie kontaktu przetwarzania uwzględniającego zasady wynikające z art. 5 RODO, takie jak np. zasady minimalizmu danych, ograniczony czas przechowywania, zachowanie prawidłowości danych.

W przypadku wystąpienia naruszenia zasad rozporządzenia o ochronie danych osobowych, to właśnie on składa zawiadomienie do Prezesa Urzędu Ochrony Danych Osobowych i ponosi konsekwencje ich nieprawidłowego przetwarzania.

Administrator powinien zabezpieczyć dane w należyty sposób w szczególności przed:

  • udostępnieniem ich osobom nieupoważnionym,
  • zabraniem przez osoby nieuprawnione,
  • przetwarzaniem niezgodnym z prawem,
  • zniszczeniem,
  • stratą,
  • uszkodzeniem.

Jednym z najważniejszych zadań, które może wykonać administrator w zakresie ochrony danych osobowych, jest powołanie Inspektora Ochrony Danych Osobowych (IOD). Jest to możliwe w przypadku, w którym przepisy prawne na to pozwalają.

Administrator danych osobowych powinien prowadzić dokumentację opisującą sposób przetwarzania danych, a także środków zapewniających ochronę danych.

Osoby, których dane dotyczą, powinny bez obaw udostępniać swoje dane administratorowi, który z kolei ze szczególną dbałością musi obchodzić się z danymi dotyczącymi np. orientacji seksualnej, pochodzenia, poglądów, czy stanu zdrowia. Te informacje bowiem są danymi szczególnej kategorii. Niezwykle istotne jest przetwarzanie danych osobowych zgodnie z RODO.

Na czym polega funkcja Inspektora Ochrony Danych Osobowych?

Inspektor Danych Osobowych (IOD) jest osobą powoływaną przez administratora lub podmiot przetwarzający w celu pomocy przy przestrzeganiu RODO w firmie. Inspektor pośredniczy między Urzędem Ochrony Danych Osobowych (UODO), podmiotem, który przetwarza dane osobowe, a właścicielem danych.

bezpieczeństwo, cyberbezpieczeństwo, administrator danych osobowych

Do głównych zadań Inspektora Danych Osobowych należą:

  • informowanie administratora danych, podmiotu przetwarzającego oraz pracowników o obowiązkach z zakresu ochrony danych osobowych,
  • doradzanie, jak poprawnie przetwarzać dane,
  • kontrola przestrzegania przepisów wynikających z RODO,
  • pomoc przy sporządzeniu oceny ryzyka lub oceny skutków dla ochrony danych,
  • zachowanie poufności względem wykonywanych zadań w ramach ochrony danych osobowych,
  • stanowienie kontaktu dla organu nadzorczego.

Do wyznaczenia IOD w firmie zobowiązane są podmioty publiczne, podmioty przetwarzający dane wrażliwe na dużą skalę, a także te, których działalność opiera się na obserwacji/monitorowaniu innych osób na większą skalę.

Pozostałe podmioty mogą również powołać osobę na funkcję IOD, jednak w ich przypadku nie jest to konieczne.

Do pozostałych obowiązków Inspektora Danych Osobowych można wymienić:

  • sprawowanie kontroli nad tym, które dane, kiedy i przez kogo zostały wpisane do zbioru danych osobowych oraz komu są one dalej przekazywane;
  • prowadzenie ewidencji osób upoważnionych do przetwarzania danych. Taki dokument powinien zawierać następujące informacje:
    • imię i nazwisko osoby upoważnionej,
    • identyfikator,
    • daty nadania oraz ustania, jak i zakres upoważnienia do przetwarzania danych.

Rola administratora danych osobowych jest niezwykle istotna w kwestii prawidłowego funkcjonowania organizacji oraz pomaga przy realizacji obowiązków określonych w rozporządzeniu o ochronie danych osobowych.

Polecane

Anonimizacja danych osobowych i anonimizacja dokumentów

Anonimizacja danych osobowych i anonimizacja dokumentów

Poza oczywistymi korzyściami wynikającymi z anonimizacji danych polegającymi na uzyskiwaniu zgodności z przepisami prawa, istnieje jeszcze wiele innych. Anonimizacja umożliwia organizacjom przetwarzanie informacji wrażliwych w sposób bezpieczny, minimalizując ryzyko naruszenia prywatności użytkowników czy ujawnienia tajemnicy przedsiębiorstwa. Umożliwia korzystanie z informacji w celach badawczych i statystycznych bez naruszania prywatności jednostek.

Test weryfikujący wiedzę o RODO jako element systemu ochrony danych osobowych

Test weryfikujący wiedzę o RODO jako element systemu ochrony danych osobowych

Jednym z podstawowych obowiązków Inspektora ochrony danych, wynikającym z art. 39 RODO jest podejmowanie działań, zwiększających świadomość w zakresie ochrony danych osobowych i szkolenie personelu, uczestniczącego w operacjach przetwarzania (każda osoba zatrudniona u administratora, bez względu na podstawę prawną tego zatrudnienia, która przetwarza dane osobowe).

Profilowanie - jak je legalnie i odpowiedzialnie stosować?

Profilowanie - jak je legalnie i odpowiedzialnie stosować?

Profilowanie to potężne narzędzie, które może pomóc firmom lepiej zrozumieć swoich klientów i dostosować swoje usługi do ich potrzeb. Jednak w dobie coraz większej troski o prywatność danych, legalne i odpowiedzialne profilowanie staje się niezwykle istotne. W naszym artykule przeanalizujemy, czym dokładnie jest profilowanie, jakie są jego korzyści, a przede wszystkim jak można je stosować w zgodzie z przepisami prawa i z poszanowaniem prywatności użytkowników.

Popularne

Chcesz skorzystać z naszej oferty?Nie czekaj!

Wspieramy przedsiębiorców

Skontaktuj się osobiście z doradcą LexDigital - odpowiemy na nurtujące Cię pytania, zaplanujemy spotkanie, przygotujemy spersonalizowaną ofertę dopasowaną do potrzeb Twojej organizacji.

Zapraszamy do kontaktu

Informujemy, że Państwa zgoda może zostać cofnięta w dowolnym momencie przez wysłanie wiadomości e-mail na adres naszego Inspektora Ochrony Danych iod@lexdigital.pl spod adresu, którego zgoda dotyczy.

Administratorem Państwa danych osobowych jest LexDigital Sp. z o.o. z siedzibą w Poznaniu (60-363), przy ul. Grodziska 8. Wszystkie pytania i wątpliwości prosimy kierować do naszego Inspektora Ochrony Danych na adres iod@lexdigital.pl

Państwa dane przetwarzane są w celu odpowiedzi na wiadomość wysłaną za pomocą formularza kontaktowego, podjęcia na Państwa wniosek określonych działań przed zawarciem umowy lub wysłania Państwu treści marketingowych. Przysługuje Państwu prawo dostępu do danych, ich sprostowania, usunięcia, ograniczenia przetwarzania, wniesienia sprzeciwu i cofnięcia w każdym momencie udzielonej zgody bez wpływu na zgodność z prawem przetwarzania danych, którego dokonano na podstawie zgody przed jej wycofaniem. Masz również prawo wniesienia skargi do Prezesa Urzędu Ochrony Danych Osobowych.

Więcej informacji na temat przetwarzania danych osobowych znajdziecie Państwo w naszej Polityce prywatności.

komputronik biofarm lpp apart wykop volkswagen tpay netguru novol pearson impel phyto-pharm veolia cuf-podatki talex gethero tesgas uep fibaro akademia-kozminskiego bilety24 bims cichy-zasada currency > <img src= kir ministerstwo cyfryzacji pierre-fabre polomarket porr przelewy24 swiss-krono vox wielkopolska-izba-lekarska wsb wtk