Ochrona Danych WG » Administrator Danych

Administrator danych osobowych i jego obowiązki

Administrator danych osobowych jest jednym z najważniejszych podmiotów w systemie ochrony danych osobowych. Zgodnie z RODO administratorem jest osoba fizyczna lub prawna, organ publiczny, jednostka albo inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych. Oznacza to, że administratorem jest ten podmiot, który decyduje, po co dane są zbierane, w jakim zakresie, na jakiej podstawie prawnej, jak długo będą przechowywane, komu mogą zostać udostępnione oraz w jaki sposób będą zabezpieczone.

Administrator nie musi wykonywać wszystkich czynności technicznych samodzielnie. Może korzystać z systemów informatycznych, usług zewnętrznych, podmiotów przetwarzających, dostawców hostingu, biur rachunkowych czy firm kadrowo-płacowych. Nie zmienia to jednak faktu, że to administrator odpowiada za zgodność przetwarzania danych z przepisami RODO. Powinien on nie tylko przestrzegać przepisów, ale także być w stanie wykazać, że wdrożył odpowiednie środki organizacyjne i techniczne. Jest to tzw. zasada rozliczalności, wynikająca z art. 5 ust. 2 RODO. UODO podkreśla, że zasada ta dotyczy zarówno przetwarzania realizowanego samodzielnie przez administratora, jak i przetwarzania wykonywanego w jego imieniu przez podmiot przetwarzający.

Ustalenie celów i podstaw przetwarzania danych

Jednym z podstawowych obowiązków administratora jest określenie, w jakim celu oraz na jakiej podstawie prawnej dane osobowe są przetwarzane. Administrator powinien przed rozpoczęciem przetwarzania ustalić, czy dane są potrzebne, do czego będą wykorzystywane oraz czy istnieje odpowiednia podstawa prawna ich przetwarzania. Może nią być m.in. zgoda osoby, której dane dotyczą, wykonanie umowy, obowiązek prawny ciążący na administratorze, ochrona żywotnych interesów osoby, wykonanie zadania realizowanego w interesie publicznym albo prawnie uzasadniony interes administratora.

Administrator powinien unikać zbierania danych „na zapas” oraz przetwarzania ich w celach niejasnych lub niezgodnych z pierwotnym przeznaczeniem. Dane powinny być adekwatne, stosowne i ograniczone do tego, co niezbędne. Wynika to z podstawowych zasad przetwarzania danych, takich jak zgodność z prawem, rzetelność, przejrzystość, ograniczenie celu, minimalizacja danych, prawidłowość, ograniczenie przechowywania, integralność i poufność.

Obowiązek informacyjny wobec osób, których dane dotyczą

Administrator ma obowiązek poinformować osoby, których dane dotyczą, o zasadach przetwarzania ich danych. Obowiązek informacyjny wynika z art. 13 i 14 RODO i jest związany z prawem osoby do bycia poinformowaną o tym, kto, w jakim celu, na jakiej podstawie i przez jaki okres przetwarza jej dane.

W praktyce administrator powinien przekazać osobie m.in. informacje o swojej tożsamości i danych kontaktowych, danych kontaktowych inspektora ochrony danych, jeżeli został wyznaczony, celach i podstawach przetwarzania, odbiorcach danych, okresie przechowywania danych, prawach osoby, możliwości wniesienia skargi do organu nadzorczego, a także o ewentualnym przekazywaniu danych poza Europejski Obszar Gospodarczy. Informacje te powinny być przekazane w sposób jasny, zrozumiały i łatwo dostępny.

Zapewnienie zgodności przetwarzania z RODO

Administrator odpowiada za to, aby przetwarzanie danych odbywało się zgodnie z przepisami. Zgodnie z art. 24 RODO powinien wdrożyć odpowiednie środki techniczne i organizacyjne, uwzględniając charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw i wolności osób fizycznych.

Oznacza to, że administrator powinien ocenić ryzyka związane z przetwarzaniem danych i dobrać takie środki ochrony, które będą adekwatne do tych ryzyk. Innych zabezpieczeń może wymagać prosty rejestr kontaktów, a innych system kadrowo-płacowy, dokumentacja medyczna, system obsługi świadczeń, baza beneficjentów lub system zawierający dane szczególnych kategorii. Środki ochrony powinny być realne, stosowane w praktyce i okresowo weryfikowane.

Bezpieczeństwo danych osobowych

Administrator powinien zapewnić odpowiedni poziom bezpieczeństwa danych osobowych, zarówno w dokumentacji papierowej, jak i w systemach informatycznych. Bezpieczeństwo powinno obejmować ochronę przed nieuprawnionym dostępem, przypadkową utratą, zniszczeniem, uszkodzeniem, ujawnieniem, zmianą lub wykorzystaniem danych niezgodnie z przeznaczeniem. RODO wymaga, aby dane były przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo i poufność, w tym ochronę przed nieuprawnionym dostępem do danych oraz do sprzętu służącego ich przetwarzaniu.

W praktyce oznacza to konieczność stosowania m.in. kontroli dostępu, indywidualnych kont użytkowników, silnych haseł, uwierzytelniania wieloskładnikowego tam, gdzie jest to zasadne, szyfrowania, kopii zapasowych, aktualizacji oprogramowania, zabezpieczeń sieciowych, ochrony przed złośliwym oprogramowaniem, procedur nadawania i odbierania uprawnień oraz zasad bezpiecznego przechowywania dokumentacji.

Administrator powinien również opracować i wdrożyć politykę ochrony danych, uwzględniającą sposób dokumentowania środków technicznych i organizacyjnych mających zapewnić zgodność przetwarzania z prawem. Materiały UODO wskazują na znaczenie dokumentowania zabezpieczeń oraz ochrony danych zarówno „w spoczynku”, „w użyciu”, jak i „w ruchu”, czyli podczas przechowywania, bieżącego wykorzystywania i przesyłania danych.

Nadawanie upoważnień i kontrola dostępu

Administrator powinien zapewnić, aby dostęp do danych osobowych miały wyłącznie osoby do tego upoważnione. Każda osoba przetwarzająca dane w imieniu administratora powinna działać na podstawie upoważnienia, polecenia lub innej podstawy wynikającej z organizacji pracy. Zakres dostępu powinien odpowiadać obowiązkom danej osoby i nie powinien być szerszy, niż jest to konieczne.

W praktyce administrator powinien prowadzić ewidencję osób upoważnionych do przetwarzania danych, określać zakres uprawnień, odbierać uprawnienia po zakończeniu współpracy lub zmianie stanowiska, a także okresowo sprawdzać, czy dostęp do danych nadal jest uzasadniony. Szczególnie istotne jest stosowanie zasady minimalnych uprawnień, zgodnie z którą użytkownik otrzymuje dostęp tylko do tych danych i funkcji systemu, które są niezbędne do wykonywania jego obowiązków.

Realizacja praw osób, których dane dotyczą

Administrator ma obowiązek umożliwić osobom fizycznym korzystanie z praw przewidzianych w RODO. Należą do nich m.in. prawo dostępu do danych, prawo do sprostowania danych, prawo do usunięcia danych, prawo do ograniczenia przetwarzania, prawo do przenoszenia danych, prawo sprzeciwu, a w określonych przypadkach także prawo do niepodlegania decyzji opartej wyłącznie na zautomatyzowanym przetwarzaniu.

Administrator powinien posiadać procedurę obsługi takich żądań. Powinna ona określać, kto przyjmuje wnioski, jak weryfikowana jest tożsamość osoby, w jakim terminie udzielana jest odpowiedź, kto podejmuje decyzję oraz w jaki sposób dokumentuje się realizację żądania. Brak odpowiedzi na żądanie osoby albo nieprawidłowa jego obsługa może prowadzić do skargi do organu nadzorczego.

Prowadzenie dokumentacji ochrony danych

Administrator powinien prowadzić dokumentację pozwalającą wykazać zgodność przetwarzania z RODO. Kluczowe znaczenie ma tutaj zasada rozliczalności. Nie wystarczy samo twierdzenie, że dane są przetwarzane prawidłowo. Administrator powinien być w stanie przedstawić dowody, że wdrożył odpowiednie procedury, środki bezpieczeństwa i mechanizmy kontroli.

Do najważniejszych dokumentów należą w szczególności: rejestr czynności przetwarzania, klauzule informacyjne, upoważnienia do przetwarzania danych, ewidencja upoważnień, umowy powierzenia, polityka ochrony danych, procedura naruszeń, analiza ryzyka, dokumentacja oceny skutków dla ochrony danych, dokumentacja szkoleń, procedura realizacji praw osób oraz zasady retencji danych.

Rejestr czynności przetwarzania powinien porządkować informacje o procesach przetwarzania danych prowadzonych w organizacji, a jego zakres wynika z art. 30 RODO. W praktyce jest to jeden z podstawowych dokumentów pokazujących, jakie dane są przetwarzane, w jakim celu, na jakiej podstawie, komu są ujawniane i jak długo są przechowywane.

Powierzenie przetwarzania danych innym podmiotom

Jeżeli administrator korzysta z usług zewnętrznych podmiotów, które przetwarzają dane osobowe w jego imieniu, powinien zawrzeć z nimi umowę powierzenia przetwarzania danych. Dotyczy to m.in. dostawców systemów informatycznych, firm hostingowych, biur rachunkowych, podmiotów kadrowo-płacowych, firm serwisujących oprogramowanie, dostawców usług chmurowych czy firm niszczących dokumentację.

Administrator powinien wybierać wyłącznie takie podmioty przetwarzające, które zapewniają odpowiednie gwarancje bezpieczeństwa. UODO wskazuje, że administrator musi być w stanie wykazać przestrzeganie przepisów również wtedy, gdy przetwarzanie danych odbywa się w jego imieniu przez podmiot przetwarzający. Oznacza to konieczność właściwego wyboru, uregulowania współpracy oraz nadzoru nad podmiotem zewnętrznym.

Reagowanie na naruszenia ochrony danych

Administrator powinien posiadać procedurę postępowania w przypadku naruszenia ochrony danych osobowych. Naruszeniem może być m.in. nieuprawnione ujawnienie danych, utrata dokumentów, wysłanie wiadomości do niewłaściwego odbiorcy, kradzież laptopa, atak ransomware, nieuprawniony dostęp do systemu, przypadkowe usunięcie danych albo udostępnienie danych osobie nieuprawnionej.

Po wykryciu naruszenia administrator powinien ocenić jego charakter, zakres, przyczyny oraz możliwe skutki dla osób, których dane dotyczą. Jeżeli naruszenie może powodować ryzyko naruszenia praw lub wolności osób fizycznych, administrator ma obowiązek zgłosić je Prezesowi UODO. W określonych przypadkach powinien również zawiadomić osoby, których dane dotyczą. Każde naruszenie powinno być dokumentowane, niezależnie od tego, czy podlega zgłoszeniu do organu nadzorczego.

Ocena skutków dla ochrony danych

W przypadku operacji przetwarzania, które mogą powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, administrator powinien przeprowadzić ocenę skutków dla ochrony danych, czyli DPIA. Dotyczy to zwłaszcza sytuacji, w których przetwarzane są dane szczególnych kategorii, dane na dużą skalę, dane osób szczególnie wrażliwych, dane wykorzystywane do profilowania, monitoringu lub zautomatyzowanego podejmowania decyzji.

Ocena skutków pozwala zidentyfikować zagrożenia, określić poziom ryzyka oraz dobrać środki ograniczające to ryzyko. Jest to szczególnie ważne przy wdrażaniu nowych systemów informatycznych, nowych usług, nowych procesów przetwarzania lub nowych technologii.

Wyznaczenie inspektora ochrony danych

W określonych przypadkach administrator ma obowiązek wyznaczyć inspektora ochrony danych. Dotyczy to m.in. organów i podmiotów publicznych, a także organizacji, których główna działalność polega na regularnym i systematycznym monitorowaniu osób na dużą skalę albo przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych.

Inspektor ochrony danych wspiera administratora w realizacji obowiązków wynikających z RODO, monitoruje przestrzeganie przepisów, doradza w zakresie oceny skutków dla ochrony danych, współpracuje z organem nadzorczym oraz pełni funkcję punktu kontaktowego dla osób, których dane dotyczą. Wyznaczenie inspektora nie zwalnia jednak administratora z odpowiedzialności za zgodność przetwarzania z przepisami.

Szkolenia i budowanie świadomości

Administrator powinien zapewnić, aby osoby przetwarzające dane osobowe znały zasady ochrony danych i stosowały je w praktyce. Szkolenia powinny obejmować nie tylko przepisy RODO, ale również zasady bezpiecznego korzystania z systemów informatycznych, ochrony haseł, rozpoznawania prób phishingu, bezpiecznej pracy z dokumentacją, reagowania na incydenty oraz zachowania poufności.

Regularne szkolenia i przypomnienia są istotne, ponieważ wiele naruszeń wynika nie z braku systemów zabezpieczeń, ale z błędów ludzkich, takich jak wysłanie danych do niewłaściwego adresata, pozostawienie dokumentów w widocznym miejscu, używanie słabych haseł albo korzystanie z nieautoryzowanych narzędzi.

Zasada privacy by design i privacy by default

Administrator powinien uwzględniać ochronę danych już na etapie projektowania procesów, systemów, formularzy, usług i procedur. Oznacza to stosowanie zasady privacy by design, czyli ochrony danych w fazie projektowania, oraz privacy by default, czyli domyślnej ochrony danych. W praktyce administrator powinien tak projektować rozwiązania, aby domyślnie przetwarzane były tylko dane niezbędne, dostęp do nich był ograniczony, a ustawienia prywatności zapewniały możliwie wysoki poziom ochrony.

Zasady te są szczególnie ważne przy wdrażaniu nowych systemów informatycznych, tworzeniu formularzy rekrutacyjnych, prowadzeniu serwisów internetowych, uruchamianiu usług online, wdrażaniu monitoringu lub projektowaniu procesów obsługi klientów, pracowników, uczestników projektów czy beneficjentów.

Podsumowanie

Administrator danych osobowych jest podmiotem odpowiedzialnym za zgodne z prawem, rzetelne, przejrzyste i bezpieczne przetwarzanie danych. To on określa cele i sposoby przetwarzania, dobiera podstawy prawne, informuje osoby o przetwarzaniu, zapewnia realizację ich praw, wdraża środki bezpieczeństwa, prowadzi dokumentację, zawiera umowy powierzenia, reaguje na naruszenia oraz wykazuje zgodność z RODO.

Obowiązki administratora nie ograniczają się do przygotowania dokumentów. Powinny być realizowane w praktyce, w codziennym funkcjonowaniu organizacji. Ochrona danych osobowych wymaga stałego nadzoru, aktualizacji procedur, kontroli dostępu, szkoleń, oceny ryzyka oraz gotowości do reagowania na incydenty. Najważniejsze znaczenie ma zasada rozliczalności, zgodnie z którą administrator musi być w stanie wykazać, że przetwarzanie danych odbywa się zgodnie z przepisami RODO.