Administratorem danych osobowych według RODO jest osoba fizyczna, prawna, organ publiczny, jednostka lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych. Innymi słowy, to administrator decyduje, dlaczego i w jaki sposób dane osobowe są przetwarzane.
Kluczowe obowiązki administratora danych osobowych według RODO:
- Zasady przetwarzania danych osobowych
- Legalność, rzetelność i przejrzystość: administrator musi przetwarzać dane zgodnie z prawem, w sposób rzetelny i przejrzysty dla osoby, której dane dotyczą.
- Ograniczenie celu: dane mogą być zbierane tylko w konkretnych, wyraźnych i prawnie uzasadnionych celach.
- Minimalizacja danych: przetwarzanie tylko tych danych, które są adekwatne, stosowne oraz ograniczone do tego, co niezbędne w związku z celami, w jakich są przetwarzane.
- Prawidłowość danych: zapewnienie, że dane są prawidłowe i, w razie potrzeby, uaktualniane.
- Ograniczenie przechowywania: dane mogą być przechowywane w formie umożliwiającej identyfikację osoby, której dotyczą, tylko przez okres nie dłuższy niż jest to niezbędne do celów, w których dane te są przetwarzane.
- Integralność i poufność: przetwarzanie danych musi odbywać się w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed nieuprawnionym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem.
- Podstawy prawne przetwarzania danych
- Administrator musi upewnić się, że przetwarzanie danych osobowych odbywa się na podstawie jednej z poniższych przesłanek (dane zwykłe, art. 6 RODO):
- zgoda osoby, której dane dotyczą.
- przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą.
- przetwarzanie jest konieczne do wypełnienia obowiązku prawnego ciążącego na administratorze.
- przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej.
- przetwarzanie jest konieczne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej.
- przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią.
- Administrator musi upewnić się, że przetwarzanie danych osobowych odbywa się na podstawie jednej z poniższych przesłanek (dane zwykłe, art. 6 RODO):
- Prawa osób, których dane dotyczą
- Administrator musi umożliwić osobom, których dane dotyczą, korzystanie z przysługujących im praw, takich jak:
- prawo dostępu do danych.
- prawo do sprostowania danych.
- prawo do usunięcia danych (prawo do bycia zapomnianym).
- prawo do ograniczenia przetwarzania.
- prawo do przenoszenia danych.
- prawo do sprzeciwu wobec przetwarzania.
- prawo do niepodlegania decyzji opierającej się wyłącznie na zautomatyzowanym przetwarzaniu.
- Administrator musi umożliwić osobom, których dane dotyczą, korzystanie z przysługujących im praw, takich jak:
- Zabezpieczenia techniczne i organizacyjne Administrator jest odpowiedzialny za wprowadzenie odpowiednich środków technicznych i organizacyjnych, które zapewnią bezpieczeństwo przetwarzanych danych osobowych, zgodnie z zasadami wynikającymi z RODO.
- Dokumentacja przetwarzania danych
- administrator musi prowadzić odpowiednią dokumentację przetwarzania danych, w tym rejestr czynności przetwarzania, rejestr kategorii
- dokumentacja ta powinna zawierać informacje na temat celów przetwarzania, kategorii danych, odbiorców, okresów przechowywania oraz środków zabezpieczeń.
- Zgłaszanie naruszeń
- w przypadku naruszenia ochrony danych osobowych, które może skutkować ryzykiem dla praw i wolności osób fizycznych, administrator ma obowiązek zgłoszenia tego naruszenia organowi nadzorczemu (np. Prezesowi Urzędu Ochrony Danych Osobowych) w ciągu 72 godzin od stwierdzenia naruszenia,
- w niektórych przypadkach administrator ma również obowiązek powiadomienia o naruszeniu osób, których dane dotyczą.
Podsumowanie
Administrator danych osobowych pełni kluczową rolę w zapewnieniu, że przetwarzanie danych osobowych odbywa się zgodnie z zasadami określonymi w RODO. Musi on nie tylko zapewnić zgodność z przepisami, ale także dokumentować działania, zarządzać ryzykiem oraz chronić prawa osób, których dane dotyczą.
