Administrator danych to całkiem zajęta i odpowiedzialna osoba. Zanim o jego obowiązkach, to wcześniej wyjaśnię, kim jest administrator danych i jak się nim zostaje.
Kim jest administrator danych
Ogólne rozporządzenie o danych osobowych, czyli RODO, w art. 4 pkt. 7 podaje definicję administratora danych.
„administrator” oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych;
No to teraz rozłóżmy sobie tę definicję na części, by już nic nie budziło w niej wątpliwości. Administratorem danych może być osoba fizyczna lub prawna… Co to oznacza? Nie jest ważne, czy prowadzisz regularny biznes, taki zarejestrowany, z podatkami i ZUSami, czy może tylko blogujesz na jakiś temat. Nie jest także ważne, w jakiej formie to robisz – czy będzie to działalność nierejestrowa, działalność gospodarcza, spółka cywilna czy spółka kapitałowa (np. sp. z o.o.), czy, jak w przypadku blogowania z pasji (a bez zarabiania na tym) bez żadnej formy.
Ważne natomiast jest to, czy przetwarzasz dane. A jeśli choćby gromadzisz dane na liście subskrybentów newslettera albo umożliwiasz swoim czytelnikom kontakt ze sobą, zostawiając swój adres emailowy w zakładce kontakt – to oznacza, że takie dane przetwarzasz. Zatem pierwszy element tej definicji mamy: przetwarzasz dane osobowe.
Drugi element tej definicji to fakt ustalania celów oraz sposobów przetwarzania danych osobowych. Co to oznacza? To administrator decyduje, w jakim celu dane są przetwarzane oraz w jaki sposób się to odbywa. Jaki to może być cel? To może być na przykład przetwarzanie w celu realizacji umowy (np. gdy coś sprzedajesz w swoim sklepie internetowym, albo przyjmujesz zapisy na sesję lub kurs online). To może być także przetwarzanie danych w celu wysyłki newslettera, a w nim informacji o nowych produktach lub usługach. Widzisz tu tylko kilka przykładów. Oczywiście wszystko zależy, od tego – co planujesz z gromadzonymi danymi robić.
Podsumowując mamy tu dwa składniki definicji administratora. Pierwszy to „osoba”, która przetwarza dane. Drugi to pewna autonomia tej osoby, oznaczająca, że osoba ta może decydować, po co i jak te dane będą przetwarzane.
Angielski odpowiednik polskiego administratora to controller. Moim zdaniem, nazwa ta bardziej oddaje charakter administratora niż nasza polska. Wskazuje na główną rolę administratora danych – a mianowicie, pełną kontrolę nad tym, co i jak jest przetwarzane. Dane przetwarzać może także procesor (zwany także podmiotem przetwarzającym), ale to administrator „kontroluje”, co z danymi może zrobić procesor, któremu administrator powierzył dane. Procesor jest zawsze związany tym, co określił administrator.
Jak zostać administratorem danych osobowych
Hmm… no cóż to nie jest trudne ani skomplikowane. Dzieje się to niejako z automatu. Planujesz przetwarzać dane, zaczynasz je gromadzić w określonym celu i już jesteś administratorką danych. Bycie administratorką oznacza swobodę w podejmowaniu decyzji dotyczących danych osobowych, ale uwaga także pociąga za sobą odpowiedzialność za te dane oraz cały katalog obowiązków, jakie w związku z tym należy wypełniać.
Obowiązki administratora danych
Oczywiście taką informację znajdziemy w treści rozporządzenia (RODO). Jednak nie ma jednej listy, w jednym „paragrafie”. Trochę trzeba się wysilić, by zebrać to wszystko razem. Na pewno przyda się lektura większości Rozdziału IV, który traktuje o obowiązkach. Znajdziemy tam m.in. Artykuł 24 a w nim ust. 1 o treści:
Uwzględniając charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze zagrożenia, administrator wdraża odpowiednie środki techniczne i organizacyjne, aby przetwarzanie odbywało się zgodnie z niniejszym rozporządzeniem i aby móc to wykazać. Środki te są w razie potrzeby poddawane przeglądom i uaktualniane.
O ile obowiązki administratora zostały tu ujęte bardzo ogólnie, to ostatnie zdanie jest tutaj bardzo ważne i warto je podkreślić. RODO to nie kwestia stworzenia kilku dokumentów, to jest cały proces. I tak jak inne procesy w naszych biznesach, tak i ten powinniśmy monitorować i usprawniać.
No dobrze, to co z tymi obowiązkami? Da się jakąś listę przedstawić? Spróbujmy. Podstawowym obowiązkiem administratora jest dbanie o to, aby przetwarzanie odbywało się zgodnie z rozporządzeniem RODO oraz aby umieć i być w stanie to wykazać. A tak w praktyce – to co to oznacza?
Administrator danych powinien:
- zapewnić najwyższy poziom ochrony, który jest znany i dostępny już na etapie projektowania systemu (zasada Privacy by design)
- musi to robić w sposób ciągły, a to oznacza co jakiś czas przeprowadzenie przeglądów i uaktualnień stosowanych zabezpieczeń i procedur
- zadbać o to, by domyślnie przetwarzane były wyłącznie te dane osobowe, które są niezbędne w stosunku do każdego konkretnego celu przetwarzania; dotyczy to ilości zbieranych danych, zakresu ich przetwarzania, okresu ich przechowywania oraz ich dostępności (zasada Privacy by default)
- wdrożyć odpowiednie polityki ochrony danych (uwaga to coś innego niż polityka prywatności, którą masz na stronie internetowej)
- ustalać cele i zasady przetwarzania danych osobowych
- dokonać analizy ryzyka ewentualnego naruszenia danych przed rozpoczęciem ich przetwarzania
- prowadzić rejestr czynności przetwarzania danych osobowych
- zadbać o to, by powierzone dane (procesorom) były przetwarzane zgodnie z zawartą umową powierzenia
- wydawać i anulować upoważnienia do przetwarzania danych osobowych, jeśli jest to potrzebne oraz prowadzić rejestr osób, którym takie upoważnienia zostały wydane
- prowadzić rejestr incydentów naruszenia danych
- zgłaszać naruszenia ochrony danych osobowych do organu nadzorczego oraz zawiadamiania o tym osoby, której dane te dotyczą
- wypełnić obowiązek informacyjny przy zbieraniu danych osobowych
- zapewnić realizację praw, które przysługują osobom, których dane przetwarzamy
Jak widać, lista nie jest krótka. Niektóre z tych zadań wydają się proste, inne bardziej skomplikowane. Na oddzielne omówienie zasługuje np. przedostatnie na liście – tzw. obowiązek informacyjny. Wagę tego obowiązku niech podkreśli informacja o pierwszej karze finansowej za nieprzestrzeganie RODO. Karę wysokości – bagatelka – prawie miliona złotych (943 tys. zł) nałożono właśnie za niewypełnienie obowiązku informacyjnego zgodnie z RODO. A jak to zrobić, by było zgodnie? O tym w kolejnych artykułach na blogu. Nie chcesz przegapić? Zapisz się na mój newsletter.