RODO – administrator, procesor i inspektor

RODO wyróżnia takie podmioty jak: administrator danych osobowych, podmiot przetwarzający oraz inspektor ochrony danych. Jakie są ich zadania i obowiązki w związku z przetwarzaniem danych osobowych?

Administrator danych osobowych

Administratorem danych osobowych może być osoba fizyczna lub prawna, organ publiczny, jednostka lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych.

Administratorem danych osobowych jest pracodawca, ponieważ przetwarza dane osobowe pracowników, określa cele i sposoby przetwarzania danych.

Obowiązki administratora:

  • wdrożenie odpowiednich środków technicznych i organizacyjnych, aby przetwarzane były wyłącznie te dane osobowe, które są niezbędne dla osiągnięcia celu, oraz aby przetwarzanie danych odbywało się zgodnie z wymogami rozporządzenia; środki te są w razie potrzeby poddawane przeglądom i uaktualniane,
    • jeżeli jest to zasadne, należy także wdrożyć odpowiednie polityki ochrony danych, 
  • poinformowanie osób, których dane dotyczą, o swojej tożsamości oraz danych kontaktowych oraz tożsamości i danych kontaktowych przedstawiciela administratora, 
  • wskazanie celów przetwarzania danych osobowych oraz podstawy prawnej przetwarzania
    (o obowiązkac
    h informacyjnych administratora przeczytasz wRODO – podstawowe informacje).

Procesor

Podmiot przetwarzający (procesor) oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który przetwarza dane osobowe w imieniu administratora (podmiotem przetwarzającym może być np. biuro rachunkowe, firma informatyczna, kancelaria prawna).

Administrator powinien korzystać wyłącznie z usług takich podmiotów przetwarzających, które gwarantują stosowanie odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi rozporządzenia i chroniło prawa osób, których dane dotyczą.

Przetwarzanie przez podmiot przetwarzający odbywa się na podstawie umowy lub innego instrumentu prawnego, którego przedmiotem będzie określenie jakie dane i w jakim zakresie zostają procesorowi powierzone do przetwarzania.

W umowie należy zawrzeć:

  • określenie przedmiotu i czasu trwania przetwarzania, charakteru i celu przetwarzania, rodzaju danych osobowych oraz kategorii osób, których dane dotyczą,
  • określenie obowiązków i praw administratora,
  • oświadczenie, że podmiot przetwarza dane osobowe wyłącznie na udokumentowane polecenie administratora – co dotyczy też przekazywania danych osobowych do państwa trzeciego lub organizacji międzynarodowej,
  • zobowiązanie procesora oraz osób, które w jego imieniu będą przetwarzały dane do zachowania tajemnicy,
  • zapewnienie procesora do posiadania i podjęcia odpowiednich środków technicznych i organizacyjnych zapewniających odpowiedni poziom ochrony danych,
  • umożliwienie administratorowi przeprowadzenia audytu,
  • zobowiązanie procesora do usunięcia lub zwrócenia wszelkich danych osobowych po zakończeniu współpracy.

“Podpowierzenie”: podmiot przetwarzający może korzystać z usług innego podmiotu przetwarzającego po uzyskaniu uprzedniej szczegółowej lub ogólnej pisemnej zgody administratora. 


Inspektor ochrony danych osobowych:
  • pełni rolę doradczą i weryfikacyjną wobec działań administratora danych i podmiotu przetwarzającego,
  • powinien wypełniać swoje obowiązki z uwzględnieniem ryzyka związanego z przetwarzaniem danych, uwzględniając przede wszystkim charakter, zakres, cele przetwarzania.

Administrator i podmiot przetwarzający wyznaczają inspektora ochrony danych, zawsze gdy:

  • przetwarzania dokonują organ lub podmiot publiczny, z wyjątkiem sądów, lub
  • główna działalność administratora lub podmiotu przetwarzającego polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę, lub
  • główna działalność administratora lub podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych;

Wystarczy spełniać jeden z powyższych warunków, by była konieczność wyznaczenia inspektora.

Podmiot, który wyznaczył inspektora, zawiadamia Prezesa Urzędu Ochrony Danych Osobowych o jego wyznaczeniu w terminie 14 dni od dnia wyznaczenia, wskazując imię, nazwisko oraz adres poczty elektronicznej lub numer telefonu inspektora.

Status inspektora:

  • administrator powinien właściwie i niezwłocznie włączać inspektora we wszystkie sprawy dotyczące ochrony danych osobowych,
  • administrator powinien wspierać inspektora ochrony danych w wypełnianiu przez niego zadań zapewniając mu zasoby niezbędne do wykonania tych zadań oraz do utrzymania jego wiedzy fachowej,
  • odwołanie inspektora jest możliwe tylko w razie nieprawidłowego realizowania zadań,
  • w zakresie wykonywania swoich zadań inspektor nie może otrzymywać instrukcji, poleceń służbowych,
  • inspektor ochrony danych bezpośrednio podlega najwyższemu kierownictwu administratora lub podmiotu przetwarzającego,
  • osoby, których dane są przetwarzane, mają prawo dostępu i muszą mieć możliwość bezpośredniego kontaktu z inspektorem ochrony danych we wszystkich sprawach związanych z przetwarzaniem ich danych osobowych,
  • inspektor ochrony danych jest zobowiązany do zachowania tajemnicy lub poufności co do wykonywania swoich zadań,
  • inspektor ochrony danych może wykonywać inne zadania i obowiązki, a administrator lub podmiot przetwarzający zapewniają, by takie zadania i obowiązki nie powodowały konfliktu interesów.

Zadania inspektora ochrony danych:

  • informowanie administratora i pracowników o obowiązkach spoczywających na mocy obowiązujących przepisów,
  • monitorowanie przestrzegania przepisów w firmie,
  • pełnienie roli punktu kontaktowego dla osób, których dane dotyczą oraz dla organu nadzorczego w kwestiach związanych z przetwarzaniem, 
  • szkolenie pracowników uczestniczących w procesach przetwarzania,
  • przeprowadzanie audytów wewnętrznych,
  • współpraca z Urzędem Ochrony Danych Osobowych,
  • prowadzenie rejestru czynności lub rejestru kategorii czynności.

Podstawy prawne:

  • Rozporządzenie Parlamentu Europejskiego i Rady Nr 2016/679 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE,
  • Ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz.U. 2018 poz. 1000).

Czytaj także: RODO – podstawowe informacje

Dodaj komentarz

Twój adres email nie zostanie opublikowany.