Autor: Radca Prawny Joanna Rynas
www.biznesoweprawo.pl
_______________________

JAK ZOSTAĆ ADMINISTRATOREM DANYCH OSOBOWYCH

Administrator danych, aby przetwarzać dane osobowe zgodnie z prawem, musi spełnić pewne warunki wymienione ustawie o ochronie danych osobowych. Dodatkowo musi zarejestrować zbiór danych w rejestrze prowadzonym przez GIODO, a następnie w prawidłowy sposób zabezpieczać gromadzone dane.

Zgodnie z przepisem art. 7 ust. 2 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych, przetwarzanie danych osobowych to wykonywanie jakichkolwiek operacji na danych osobowych, takich jak np. zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza te, które wykonuje się w systemach informatycznych.

Z punktu widzenia ustawy o ochronie danych osobowych istotne jest by administrator danych przetwarzając dane:

  1. spełniał co najmniej jeden warunek, który uprawni go do wykonywania operacji na danych osobowych. I tak też w przypadku danych zwykłych (tj. imię, nazwisko, adres zamieszkania) warunki te zostały określone w art. 23 ust 1 pkt 1-5 ustawy. Z kolei w odniesieniu do danych szczególnie chronionych (tj. dane o stanie zdrowia, poglądach politycznych) warunki zostały wskazane w art. 27 ust. 2 pkt 1-10 ustawy;
  2. stosuje odpowiednie zabezpieczenia. Zabezpieczenia te zostały wskazane w rozdziale 5 ustawy oraz w rozporządzeniu Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych. Zgodnie z przepisami administrator zobowiązany jest stosować środki techniczne i organizacyjne zapewniające przetwarzanym danym odpowiednią ochronę, a przede wszystkim zabezpieczyć dane przed ich udostępnieniem osobom nieupoważnionym, zebraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz utratą, uszkodzeniem lub zniszczeniem (art. 36 ust. 1 ustawy);
  3. dopełnił obowiązku zgłoszenia zbioru danych do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych – zgodnie z art. 40 ustawy. Wyjątki, kiedy nie ma obowiązku zgłaszania zbioru danych zostały wymienione w art. 43 ust. 1 pkt. 1-11 ustawy o ochronie danych osobowych. Należy jednak pamiętać, iż katalog tych wyjątków jest zamknięty;
  4. dokładał, zgodnie z art. 26 ust. 1 pkt. 1 – 4 ustawy, szczególnej staranności w celu ochrony interesów osób, których dane dotyczą, poprzez zapewnienie, aby dane były przetwarzane zgodnie z prawem, zbierane dla oznaczonych, zgodnych z prawem celów i niepoddawane dalszemu przetwarzaniu niezgodnemu z tymi celami, merytorycznie poprawne i adekwatne w stosunku do celów, w jakich są przetwarzane, przechowywane w postaci umożliwiającej identyfikację osób, których dotyczą, nie dłużej niż jest to niezbędne do osiągnięcia celu przetwarzania;
  5. dopełnił obowiązku informacyjnego, o którym mowa w art. 24 ust. 1 oraz art. 25 ust. 1 ustawy. I tak też w przypadku zbierania danych bezpośrednio od osoby, której dane dotyczą (art. 24 ustawy) administrator musi poinformować ją o swojej nazwie i adresie, celu zbierania, odbiorcach danych (także tych przewidywanych), prawie dostępu do danych i prawie ich poprawiania, a także o dobrowolności albo obowiązku ich podania, a gdy obowiązek ten istnieje, o jego podstawie prawnej. W przypadku zbierania danych nie od osoby, której one dotyczą (art. 25), konieczne jest, zaraz po ich utrwaleniu, poinformowanie osoby, której one dotyczą, o swojej nazwie i adresie, celu i zakresie zbierania danych, a zwłaszcza o ich odbiorcach, źródle, z którego dane pozyskał, prawie dostępu do danych i prawie ich poprawiania, a także o prawie żądania zaprzestania przetwarzania danych lub wniesienia sprzeciwu wobec przetwarzania danych;
  6. respektował prawa osób, których dane dotyczą – prawa te wymienione są w rozdziale 4 ustawy.

Zgodnie z przepisami ustawy o ochronie danych osobowych ich naruszenie może narazić administratora danych na odpowiedzialność administracyjną, jak i karną (art. 49 – art. 54a).

________________

Opracowanie: 2014r.

Joanna Rynas

BACK