LexDigital

Kto jest administratorem danych osobowych?

Mimo iż RODO towarzyszy nam już ponad 5 lat, to nadal znajdą się osoby, którym termin "administrator", "ADO" kojarzyć się będzie głównie z serwisem IT. Jest też jednak spore grono odpowiedzialnych przedsiębiorców, którzy po prostu mają wątpliwości co do prawidłowości realizacji elementarnych obowiązków w obszarze przetwarzania danych osobowych. Już samo wskazanie własnej roli w procesach przetwarzania danych osobowych może przysparzać im licznych wątpliwości.

Kto jest administratorem danych osobowych?

Z tego artykułu dowiesz się, jakie są obowiązki administratora danych osobowych i jak kluczowe dla zgodnego z RODO przetwarzania danych osobowych jest stosowanie środków technicznych i organizacyjnych intencjonalnie dostosowanych do zidentyfikowanych przez administratora ryzyk przetwarzania danych osobowych.

ADO, administrator danych, administrator danych osobowych

Co to jest to ADO?

ADO to powszechnie przyjęty skrót od administrator danych osobowych. Nie jest to termin określony w RODO, ale mimo tego często używany. W dalszej części artykułu używamy zamiennie określeń „ADO” i „administrator” lub „administrator danych osobowych”.

IOD, inspektor ochrony danych, inspektor ochrony danych osobowych

Kto jest administratorem danych osobowych?

Zgodnie z art. 4 p. 7 RODO:

„administrator” oznacza oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych; jeżeli cele i sposoby takiego przetwarzania są określone w prawie Unii lub w prawie państwa członkowskiego, to również w prawie Unii lub w prawie państwa członkowskiego może zostać wyznaczony administrator lub mogą zostać określone konkretne kryteria jego wyznaczania.

Do głównych zadań administratora danych osobowych należy przetwarzanie danych osobowych zgodnie z obowiązującymi zasadami prawa.

data, personal data, data processing

Jeśli decydujesz, to administrujesz

Kluczowe dla przyznania statusu administratora są dwa elementy:

Sam fakt przetwarzania danych osobowych nie jest wystarczający. Możliwe jest przetwarzanie danych osobowych, nie będąc ich administratorem – tak będzie z podmiotem przetwarzającym dane na podstawie powierzenia przetwarzania danych osobowych.

Możliwa jest też taka sytuacja, w której ADO w ogóle nie będzie miał styczności z przetwarzanymi danymi. Będzie tak, jeżeli ADO zleci w umowie zawartej z podmiotem trzecim zbieranie danych osobowych, wykonanie na nich wszystkich operacji, a następnie ich usunięcie.

data, bid data, personal data

Kto jest administratorem danych osobowych wg rodzaju podmiotów

Administratorem danych będą:

  • spółki akcyjne lub inny podmiot prawny (taki jak zarejestrowana spółka osobowa, zarejestrowane stowarzyszenie lub organ publiczny),
  • osoba prowadząca jednoosobową działalność gospodarczą,
  • partner w spółce nieposiadającej osobowości prawnej,
  • samozatrudniony profesjonalista, np. adwokat).

Administratorem danych osobowych nie będzie prezes zarządu.

administrowanie danymi, podmiot przetwarzający, osoba fizyczna

W przypadku spółek cywilnych nie ma osobowości prawnej (w przeciwieństwie do spółek prawa handlowego) – między wspólnikami mamy jedynie umowę, na podstawie której wspólnicy zobowiązują się dążyć do osiągnięcia wspólnego celu gospodarczego. W konsekwencji spółka cywilna nie może być podmiotem praw i obowiązków – są nim wspólnicy.

Wspólnicy są więc też administratorami danych osobowych przetwarzanych w ramach działalności spółki cywilnej.

Czy zatem każdy ze wspólników powinien odrębnie wykonać wszystkie obowiązki administratora przewidziane w RODO, w tym uzyskać zgody na przetwarzanie danych (o ile są wymagane) i wykonać obowiązek informacyjny?

Niekoniecznie. Stosownie do art. 864 Kodeksu cywilnego, za zobowiązania spółki cywilnej wspólnicy odpowiadają solidarnie. Należy więc przyjąć, że w przypadku wykonania obowiązków ADO przez jednego ze wspólników spółki cywilnej, pozostali nie muszą już tego robić.

Jeżeli jakiś obowiązek nie zostaje spełniony przez żadnego ze wspólników, odpowiedzialność ponoszą wszyscy.

przechowywanie danych osobowych, przetwarzanie danych osobowych, bezpieczeństwo danych

W przypadku osoby prowadzącej jednoosobową działalność gospodarczą sprawa jest prosta – to ona jest adresatem wynikających z przepisów prawa obowiązków ADO. Na niej też spoczywa odpowiedzialność za ich niewykonanie.

Natomiast w przypadku osoby prawnej lub innej jednostki organizacyjnej, to ta jednostka formalnie jest administratorem danych osobowych, jednak wszelkie związane z tym obowiązki oraz odpowiedzialność, spoczywają na kierowniku tej jednostki (np. na zarządzie spółki w przypadku spółek kapitałowych lub wspólnikach w przypadku spółek osobowych).

Osoba fizyczna przetwarzająca dane osobowe do celów działalności czysto osobistej lub domowej nie podlega obowiązkom administratora danych osobowych w związku z RODO.

data security, data safety, ochrona danych osobowych

Więcej niż jeden administrator danych osobowych

Jeżeli dwa podmioty (lub więcej) wspólnie decydują o celach i sposobach przetwarzania danych osobowych lub ustalają cele i środki przetwarzania w stosunku do tego samego zestawu danych, to w świetle RODO oba podmioty są ADO.

Przykład:

Firma oferuje poprzez platformę internetową usługi opieki nad dziećmi. Jednocześnie podpisała umowę z innym przedsiębiorstwem, co umożliwia oferowanie usług o wartości dodanej. Usługi te dają rodzicom możliwość nie tylko wyboru opiekunki do dziecka, ale także wypożyczenia gier i filmów na DVD, które opiekunka ze sobą przyniesie.

Obie firmy zajmują się technicznymi ustawieniami strony internetowej. W tym przypadku obie firmy postanowiły wykorzystać platformę do realizacji obu celów (opieka nad dziećmi i wypożyczalnia gier/DVD), w związku z czym będą bardzo często dzieliły się nazwiskami klientów.

Zatem firmy te stają się współadministratorami, ponieważ nie tylko zgodziły się na świadczenie „usług połączonych”, ale także tworzą i wykorzystują wspólną platformę.

cooperation, współadministrowanie, teamwork

Kto jest administratorem danych osobowych w przykładach wg kategorii osób

Przypomnijmy: administratorem danych osobowych jest każdy podmiot, o którym mowa w art. 4 p. 7 RODO, jeżeli ustala cele i sposoby przetwarzania danych osobowych.

W myśl tej zasady – kilka przykładów:

pracodawca:

jest ADO w odniesieniu do danych osobowych pracowników,

właściciel sklepu internetowego:

jest ADO w odniesieniu do danych osobowych klientów sklepu,

właściciel firmy:

jest ADO w odniesieniu do danych osobowych swoich kontrahentów,

organy publiczne:

są ADO w odniesieniu do danych osób objętych postępowaniem administracyjnym,

zakład ubezpieczeń:

jest ADO w odniesieniu do ubezpieczonych,

przychodnia lekarska:

jest ADO w odniesieniu do rejestracji pacjentów w systemie informatycznym przychodni, czy w ramach usługi powiadamiania przez SMS.

kategorie podmiotów, zasady przetwarzania danych osobowych, dane osobowe

Status konkretnego podmiotu jako administratora danych osobowych może wynikać bezpośrednio z przepisów prawa, np. w rozumieniu przepisu art. 7 pkt 4 Ustawy kancelaria prawna (również jednoosobowa) jest administratorem danych.

Obowiązki administratora danych osobowych

Podstawowe zasady RODO

Administrator w obszarach gdzie przetwarza dane osobowe, kieruje się podstawowymi zasadami, o których mówi art. 5 RODO. Administrator gwarantuje, że operacje przetwarzania:

  • prowadzone są zgodne z prawem,
  • rzetelne i przejrzyste,
  • prowadzone w konkretnym celu,
  • używane w adekwatnym, minimalnym, stosownie do celu zakresie,
  • są dokładne,
  • są przechowywane nie dłużej niż jest to konieczne,
  • dla zachowania ich poufności są odpowiednio zabezpieczone.
    administrator danych, businessman, man

Zasada rozliczalności

Kluczową przy wykazaniu zgodności działań z RODO jest dla ADO zasada rozliczalności. Nakłada na administratora danych ciężar dowodowy, polegający na konieczności wykazania przez niego zarówno przed organem nadzorczym, jak i przed podmiotem danych, dowodów na przestrzeganie wszystkich zasad przetwarzania danych.

Aby to osiągnąć, administrator w praktyce dokumentuje m.in.:

  • operacje przetwarzania za pomocą rejestrów czynności i/lub kategorii przetwarzania danych (RCP, RKCP), i innych niezbędnych analiz uzasadnionych podstawą prawną (test równowagi interesu) czy skomplikowaniem operacji mogącym wywołać istotne skutki dla ochrony danych (OSOD);
  • powołanie inspektora ochrony danych osobowych;
  • naruszenia i postępowanie z ryzykami i skutkami, jakie wywołały;
  • przebieg realizacji praw osób, których dane przetwarza;
  • uzasadnienie, gdy zdecydował już o środkach przetwarzania danych osobowych gwarantujących bezpieczeństwo danych (analiza ryzyka dla przetwarzania danych).
    documents, files, dokumenty

Obowiązki informacyjne

Administrator zapewnia osobom, których dane dotyczą, jasne i dostępne informacje na temat przetwarzania, przestrzegania praw osób, których dane dotyczą, i zapewnia ich dostępność w praktyce.

W tym celu zgodnie z zakresem informacji wskazanych w art. 13 i 14 RODO administrator opracowuje komunikaty powszechnie znane jako "obowiązek informacyjny", "klauzula informacyjna", "polityka prywatności". Administrator danych osobowych wypracowuje rozwiązania organizacyjne pozwalające na dostęp do takich informacji przed rozpoczęciem przetwarzania danych osobowych.

data protection, data security, zakresie danych przetwarzanych

ADO jest odpowiedzialny za przetwarzanie danych osobowych w swojej działalności zgodnie z Rozporządzeniem o Ochronie Danych z 2018 roku. By skutecznie realizować swoje obowiązki, musi mieć pod kontrolą cele, zakres danych oraz sposób i narzędzia, z jakich przy tym korzysta. Szczególnie na tym etapie obiektywna analiza danych zaowocuje systemem administracji danymi nie tylko zgodnym z RODO, ale i prostym w utrzymaniu.

Potrzebujesz pomocnej dłoni przy administrowaniu danymi Twojej firmy? Nasi eksperci są do Twojej dyspozycji! Napisz do nas maila: biuro@lexdigital.pl lub zadzwoń: +48 500 214 942.

Polecane

Anonimizacja danych osobowych i anonimizacja dokumentów

Anonimizacja danych osobowych i anonimizacja dokumentów

Poza oczywistymi korzyściami wynikającymi z anonimizacji danych polegającymi na uzyskiwaniu zgodności z przepisami prawa, istnieje jeszcze wiele innych. Anonimizacja umożliwia organizacjom przetwarzanie informacji wrażliwych w sposób bezpieczny, minimalizując ryzyko naruszenia prywatności użytkowników czy ujawnienia tajemnicy przedsiębiorstwa. Umożliwia korzystanie z informacji w celach badawczych i statystycznych bez naruszania prywatności jednostek.

Test weryfikujący wiedzę o RODO jako element systemu ochrony danych osobowych

Test weryfikujący wiedzę o RODO jako element systemu ochrony danych osobowych

Jednym z podstawowych obowiązków Inspektora ochrony danych, wynikającym z art. 39 RODO jest podejmowanie działań, zwiększających świadomość w zakresie ochrony danych osobowych i szkolenie personelu, uczestniczącego w operacjach przetwarzania (każda osoba zatrudniona u administratora, bez względu na podstawę prawną tego zatrudnienia, która przetwarza dane osobowe).

Profilowanie - jak je legalnie i odpowiedzialnie stosować?

Profilowanie - jak je legalnie i odpowiedzialnie stosować?

Profilowanie to potężne narzędzie, które może pomóc firmom lepiej zrozumieć swoich klientów i dostosować swoje usługi do ich potrzeb. Jednak w dobie coraz większej troski o prywatność danych, legalne i odpowiedzialne profilowanie staje się niezwykle istotne. W naszym artykule przeanalizujemy, czym dokładnie jest profilowanie, jakie są jego korzyści, a przede wszystkim jak można je stosować w zgodzie z przepisami prawa i z poszanowaniem prywatności użytkowników.

Popularne

Chcesz skorzystać z naszej oferty?Nie czekaj!

Wspieramy przedsiębiorców

Skontaktuj się osobiście z doradcą LexDigital - odpowiemy na nurtujące Cię pytania, zaplanujemy spotkanie, przygotujemy spersonalizowaną ofertę dopasowaną do potrzeb Twojej organizacji.

Zapraszamy do kontaktu

Informujemy, że Państwa zgoda może zostać cofnięta w dowolnym momencie przez wysłanie wiadomości e-mail na adres naszego Inspektora Ochrony Danych iod@lexdigital.pl spod adresu, którego zgoda dotyczy.

Administratorem Państwa danych osobowych jest LexDigital Sp. z o.o. z siedzibą w Poznaniu (60-363), przy ul. Grodziska 8. Wszystkie pytania i wątpliwości prosimy kierować do naszego Inspektora Ochrony Danych na adres iod@lexdigital.pl

Państwa dane przetwarzane są w celu odpowiedzi na wiadomość wysłaną za pomocą formularza kontaktowego, podjęcia na Państwa wniosek określonych działań przed zawarciem umowy lub wysłania Państwu treści marketingowych. Przysługuje Państwu prawo dostępu do danych, ich sprostowania, usunięcia, ograniczenia przetwarzania, wniesienia sprzeciwu i cofnięcia w każdym momencie udzielonej zgody bez wpływu na zgodność z prawem przetwarzania danych, którego dokonano na podstawie zgody przed jej wycofaniem. Masz również prawo wniesienia skargi do Prezesa Urzędu Ochrony Danych Osobowych.

Więcej informacji na temat przetwarzania danych osobowych znajdziecie Państwo w naszej Polityce prywatności.

komputronik biofarm lpp apart wykop volkswagen tpay netguru novol pearson impel phyto-pharm veolia cuf-podatki talex gethero tesgas uep fibaro akademia-kozminskiego bilety24 bims cichy-zasada currency > <img src= kir ministerstwo cyfryzacji pierre-fabre polomarket porr przelewy24 swiss-krono vox wielkopolska-izba-lekarska wsb wtk