Obowiązki administratora danych

Maciej Piwowski
05.09.2015

Obowiązki administratora danych dotyczą:

  1. zapewnienia legalności przetwarzania danych
  2. zobowiązań informacyjnych względem osoby, której dane dotyczą
  3. obowiązku zgłoszenia danych
  4. obowiązku umożliwienia kontroli sposobu przetwarzania danych przez Generalnego Inspektora Danych Osobowych
  5. obowiązku zabezpieczenia danych
  6. obowiązku prowadzenia ewidencji osób upoważnionych do przetwarzania danych
  7. obowiązku prowadzenia dokumentacji przetwarzania danych osobowych

Ad. 1 Zapewnienie legalności przetwarzania danych

Legalność przetwarzania danych osobowych określa artykuł 23 ustawy, który stanowi, że:

przetwarzanie danych jest dopuszczalne tylko wtedy, gdy:

  • osoba, której dane dotyczą, wyrazi na to zgodę, chyba że chodzi o usunięcie dotyczących jej danych
  • jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa
  • jest to konieczne do realizacji umowy, gdy osoba, której dane dotyczą, jest jej stroną lub gdy jest to niezbędne do podjęcia działań przed zawarciem umowy na żądanie osoby, której dane dotyczą
  • jest niezbędne do wykonania określonych prawem zadań realizowanych dla dobra publicznego
  • jest to niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą.

Ad. 2 Obowiązki informacyjne względem osoby, której dane dotyczą

Jeżeli dane dane są zbierane bezpośrednio od osoby, której dane dotyczą (art. 24 ustawy), administrator danych jest zobowiązany poinformować tę osobę o:

  • adresie i pełnej nazwie administrator danych prawie dostępu do treści swoich danych oraz ich poprawiania
    (w przypadku gdy administratorem danych jest osoba fizyczna - o imieniu i nazwisku oraz miejscu zamieszkania)
  • celu przetwarzania danych, a w szczególności o odbiorcach lub kategoriach odbiorców danych
  • prawie dostępu do treści swoich danych oraz prawie ich poprawiania
  • dobrowolności albo obowiązku podania danych - jeśli taki obowiązek istnieje, o jego podstawie prawnej

Jeżeli dane dane są zbierane nie od osoby, której dane dotyczą (art. 25 ust. 1 ustawy), administrator danych jest zobowiązany poinformować tę osobę o:

  • adresie siedziby i pełnej nazwie administratora danych, a w przypadku gdy administratorem danych jest osoba fizyczna o jej imieniu i nazwisku oraz miejscu zamieszkania
  • celu i zakresie zbierania danych, a w szczególności o odbiorcach lub kategoriach odbiorców danych
  • źródle danych
  • prawie dostępu do treści swoich danych oraz prawie ich poprawiania
  • w przypadkach przetwarzania danych w celu wykonania określonych prawem zadań realizowanych dla dobra publicznego, oraz  gdy przetwarzanie danych jest niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą:

- prawie wniesienia żądania zaprzestania przetwarzania jej danych ze względu na jej szczególną sytuację

- prawie wniesienia sprzeciwu wobec przetwarzania jej danych gdy administrator danych zamierza je przetwarzać w celach marketingowych lub wobec przekazywania jej danych osobowych innemu administratorowi danych

Na wniosek osoby, której dane dotyczą (art. 33 ust. 1 pkt 1-4 ustawy), administrator danych jest obowiązany, w terminie 30 dni, poinformować o przysługujących jej prawach oraz udzielić informacji, o których mowa w art. 32 ust. 1 pkt 1-5a, i w zrozumiałej formie w szczególności podać:

  • czy taki zbiór istnieje, oraz adres siedziby administratora danych i pełnej jego nazwy, a w przypadku gdy administratorem danych jest osoba fizyczna jej miejsca zamieszkania oraz imienia i nazwiska
  • cel, zakres i sposób przetwarzania danych zawartych w takim zbiorze
  • czas od kiedy przetwarza się w zbiorze dane jej dotyczące, oraz treści tych danych
  • źródła, z którego pochodzą dane jej dotyczące, chyba że administrator danych jest zobowiązany do zachowania w tym zakresie tajemnicy państwowej, służbowej lub zawodowej
  • sposób udostępniania danych, a w szczególności informacji o odbiorcach lub kategoriach odbiorców, którym dane te są udostępniane
  • jakie przesłanki przesądziły o podjęciu rozstrzygnięcia wyłącznie w wyniku operacji na danych osobowych prowadzonych w systemie informatycznym
  • jakie dane osobowe zawiera zbiór
  • w jaki sposób zebrano dane
  • w jakim celu i zakresie dane są przetwarzane
  • w jakim zakresie oraz komu dane zostały udostępnione

Jeśli osoba o to wnioskuje, informacji tych udziela się na piśmie.

Administrator może odmówić udzielenia żądanych informacji wyłącznie wtedy, gdy spowodowałoby to:

  • ujawnienie wiadomości stanowiących tajemnicę państwową
  • zagrożenie dla obronności lub bezpieczeństwa państwa, życia i zdrowia ludzi lub bezpieczeństwa i porządku publicznego
  • zagrożenie dla podstawowego interesu gospodarczego lub finansowego państwa
  • istotne naruszenie dóbr osobistych innych osób.

Ad. 3 Obowiązek zgłoszenia danych

Administrator danych jest obowiązany zgłosić zbiór danych do rejestracji Generalnemu Inspektorowi (art. 40 ustawy), z wyjątkiem administratorów danych:

  • objętych tajemnicą państwową
  • które zostały uzyskane w wyniku czynności operacyjno-rozpoznawczych przez funkcjonariuszy organów uprawnionych do tych czynności
  • przetwarzanych przez właściwe organy dla potrzeb postępowania sądowego oraz na podstawie przepisów o Krajowym Rejestrze Karnym
  • przetwarzanych przez Generalnego Inspektora Informacji Finansowej
  • przetwarzanych przez właściwe organy na potrzeby udziału Rzeczypospolitej Polskiej w Systemie Informacyjnym Schengen oraz Systemie Informacji Wizowej
  • dotyczących osób należących do kościoła lub innego związku wyznaniowego, o uregulowanej sytuacji prawnej, przetwarzanych na potrzeby tego kościoła lub związku wyznaniowego
  • przetwarzanych w związku z zatrudnieniem u nich, świadczeniem im usług na podstawie umów cywilnoprawnych, a także dotyczących osób u nich zrzeszonych lub uczących się
  • dotyczących osób korzystających z ich usług medycznych, obsługi notarialnej, adwokackiej, radcy prawnego, rzecznika patentowego, doradcy podatkowego lub biegłego rewidenta
  • tworzonych na podstawie przepisów dotyczących wyborów do Sejmu, Senatu, Parlamentu Europejskiego, rad gmin, rad powiatów i sejmików województw, wyborów na urząd Prezydenta Rzeczypospolitej Polskiej, na wójta, burmistrza, prezydenta miasta oraz dotyczących referendum ogólnokrajowego i referendum lokalnego
  • dotyczących osób pozbawionych wolności na podstawie ustawy, w zakresie niezbędnym do wykonania tymczasowego aresztowania lub kary pozbawienia wolności
  • przetwarzanych wyłącznie w celu wystawienia faktury, rachunku lub prowadzenia sprawozdawczości finansowej
  • powszechnie dostępnych
  • przetwarzanych w celu przygotowania rozprawy wymaganej do uzyskania dyplomu ukończenia szkoły wyższej lub stopnia naukowego
  • przetwarzanych w zakresie drobnych bieżących spraw życia codziennego

Ad. 4 Obowiązek umożliwienia kontroli

Administrator danych jest zobowiązany umożliwić inspektorowi Generalnego Inspektora Danych Osobowych przeprowadzenie kontroli sposobu przetwarzania danych (art. 15 ustawy).

Ad. 5 Obowiązek zabezpieczenia danych

Administrator danych jest obowiązany zastosować środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, a w szczególności powinien zabezpieczyć dane przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem (art. 36 ust. 1 ustawy).

Ad. 6 Obowiązek prowadzenia ewidencji osób upoważnionych do przetwarzania danych

Administrator danych zobowiązany jest prowadzić ewidencję osób upoważnionych do ich przetwarzania, która powinna zawierać:

  • imię i nazwisko osoby upoważnionej
  • datę nadania i ustania oraz zakres upoważnienia do przetwarzania danych osobowych
  • identyfikator, jeżeli dane są przetwarzane w systemie informatycznym

Ad. 7 Obowiązek prowadzenia dokumentacji przetwarzania danych osobowych

Administrator danych jest zobowiązany do prowadzenia dokumentacji opisującej sposób przetwarzania danych oraz środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną (art. 36 ust. 2 ustawy):

  • polityki bezpieczeństwa danych osobowych
  • instrukcji zarządzania systemem informatycznym
Zgłoś swój pomysł na artykuł

Więcej w tym dziale Zobacz wszystkie