Skip to content
cropped-logo-biel-min.png
  • O nas
  • Wdrożenie RODO
  • Nasze usługi
    • Audyt danych osobowych, zgodności RODO
    • Analiza ryzyka
    • Dokumentacja ochrony danych osobowych
      • Dokumentacja RODO w placówkach medycznych
      • Dokumentacja RODO dla biur rachunkowych
    • RODO oferta dla firm
    • RODO w e-commerce
    • Naruszenie ochrony danych osobowych
  • Szkolenie RODO
  • Blog
    • Obowiązki administratora danych osobowych
    • Upoważnienie do przetwarzania danych osobowych
    • Ochrona danych osobowych firmy i informacji poufnych
    • Europejska Rada Ochrony Danych (EROD)
    • Zadania Inspektora ochrony danych
    • Jak prawidłowo wyznaczyć Inspektora ochrony danych?
    • Obowiązki administratora danych osobowych
    • Klauzula informacyjna
    • Zgoda na przetwarzanie danych osobowych w celach marketingowych
    • Przetwarzanie, wykorzystanie i rozpowszechnianie danych osobowych bez zgody
    • Praktyczne problemy z realizacją prawa do usunięcia danych osobowych
    • Dokumentacja pracownicza a RODO – o czym musimy pamiętać?
    • Ochrona danych osobowych pracownika w Internecie
    • Wyciek danych … i co dalej?
    • Co to jest DPIA?
    • Alert RODO – kara za nieumożliwienie przeprowadzenia kontroli
    • Kary za naruszenie RODO np. ujawnianie, czy udostępnianie danych osobowych
    • Praktyczne podejście do art. 32 Rozporządzenia RODO
    • Czym jest monitoring wizyjny?
    • Ochrona danych osobowych a kary RODO
    • Czym jest rejestr czynności przetwarzania danych osobowych?
  • Kontakt
    • SKONTAKTUJ SIĘ Z NAMI
LOGO-min
  • O nas
  • Wdrożenie RODO
  • Nasze usługi
    • Audyt danych osobowych, zgodności RODO
    • Analiza ryzyka
    • Dokumentacja ochrony danych osobowych
      • Dokumentacja RODO w placówkach medycznych
      • Dokumentacja RODO dla biur rachunkowych
    • RODO oferta dla firm
    • RODO w e-commerce
    • Naruszenie ochrony danych osobowych
  • Szkolenie RODO
  • Blog
    • Obowiązki administratora danych osobowych
    • Upoważnienie do przetwarzania danych osobowych
    • Ochrona danych osobowych firmy i informacji poufnych
    • Europejska Rada Ochrony Danych (EROD)
    • Zadania Inspektora ochrony danych
    • Jak prawidłowo wyznaczyć Inspektora ochrony danych?
    • Obowiązki administratora danych osobowych
    • Klauzula informacyjna
    • Zgoda na przetwarzanie danych osobowych w celach marketingowych
    • Przetwarzanie, wykorzystanie i rozpowszechnianie danych osobowych bez zgody
    • Praktyczne problemy z realizacją prawa do usunięcia danych osobowych
    • Dokumentacja pracownicza a RODO – o czym musimy pamiętać?
    • Ochrona danych osobowych pracownika w Internecie
    • Wyciek danych … i co dalej?
    • Co to jest DPIA?
    • Alert RODO – kara za nieumożliwienie przeprowadzenia kontroli
    • Kary za naruszenie RODO np. ujawnianie, czy udostępnianie danych osobowych
    • Praktyczne podejście do art. 32 Rozporządzenia RODO
    • Czym jest monitoring wizyjny?
    • Ochrona danych osobowych a kary RODO
    • Czym jest rejestr czynności przetwarzania danych osobowych?
  • Kontakt
    • SKONTAKTUJ SIĘ Z NAMI

Obowiązki administratora danych osobowych

  • 6 lutego, 2020
Obowiązki administratora danych osobowych

W przestrzeni publicznej, zwłaszcza w związku z aktywnością w Internecie, coraz częściej pojawia się świadomość istnienia zagrożeń związanych z ujawnianiem danych osobowych. Jednak wciąż jeszcze zdarzają się przypadki ignorowania i lekceważenia tych niebezpieczeństw. Dlatego przepisy RODO wyznaczają obowiązki administratora danych osobowych, dzięki którym na wielu etapach transmisji wrażliwych informacji rośnie poziom akceptacji zabezpieczania i ochrony. Jednym z najskuteczniejszych działań jest obowiązek informacyjny administratora.

Zarówno w jednostkach państwowych, jak i samorządowych oraz w prowadzonej działalności gospodarczej gromadzone są dane osobowe m.in. kandydatów do pracy, pracowników, współpracowników, klientów czy też kontrahentów. Technicznie rzecz ujmując dane osobowe (dokładna definicja: Pojęcie „dane osobowe” na gruncie Rozporządzenia o ochronie danych osobowych) pojawiają się praktycznie przy każdym działaniu, jakim podejmujemy, np. wysłanie maila, przygotowanie i wysłanie oferty, przeprowadzenie procesu rekrutacyjnego, zawarcie umowy, prowadzenie akt osobowych pracowników, korzystanie z systemów kadrowo-płacowych, finansowych, produkcyjnych, wysłanie newslettera.

Często przy rozmowach słyszymy takie zdanie: „Nie mam w firmie żadnych danych osobowych”.
Wyprowadzając wszystkich z błędu, potwierdzamy, iż każdy przedsiębiorca, organizacja, instytucja państwowa czy samorządowa posiada dane osobowe i je przetwarza.
Posiadając dane osobowe, określając cele i sposoby ich przetwarzania, dany podmiot staje się administratorem danych osobowych.

Kiedy Rozporządzenie RODO nie będzie stosowane?

Warto wspomnieć o pewnych wyjątkach, kiedy Rozporządzenie RODO nie będzie stosowane do przetwarzania danych osobowych (art. 2 ust. 2 Rozporządzenia)

  • w ramach działalności nieobjętej zakresem prawa Unii;
  • przez państwa członkowskie w ramach wykonywania działań wchodzących w zakres tytułu V rozdział 2 Traktatu o Unii Europejskiej
  • przez osobę fizyczną w ramach czynności o czysto osobistym lub domowym charakterze;
  • przez właściwe organy do celów zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykrywania i ścigania czynów zabronionych lub wykonywania kar, w tym ochrony przed zagrożeniami dla bezpieczeństwa publicznego i zapobiegania takim zagrożeniom.

Przepisy prawa nakładają szereg obowiązków na Administratorów danych osobowych, które można podzielić na trzy grup:

  1. obowiązki wobec osób, których dane dotyczą;
  2. obowiązki w zakresie zapewnienia bezpieczeństwa danych;
  3. obowiązki wykonywane w ramach organu nadzorczego.

Obowiązek informacyjny administratora i inne obowiązki wobec osób, których dane dotyczą

Jak sama nazwa Rozporządzenia RODO wskazuje, ale także treść art. 1 ust. 2: „Niniejsze rozporządzenie chroni podstawowe prawa i wolności osób fizycznych, w szczególności ich prawo do ochrony danych osobowych”. Tym samym Administrator w ramach tej grupy obowiązków musi wykonać następujące czynności:

  • spełnić obowiązek informacyjny osób, wobec których dane przetwarza (odnośnik do mojego wpisu na Blogu) w tym zrealizowanie prawa dostępu do danych osobowych;
  • uwzględnienie żądanie usunięcia danych (zgodnie z obowiązującymi przepisami) – czyli inaczej zrealizowanie prawa do bycia zapomnianym;
  • uwzględnienia sprzeciwu wobec przetwarzania danych, dla których został wniesiony;
  • obowiązek przenoszenia danych, jeżeli osoba, której dane dotyczą, zażądała tego;
  • uwzględnienie cofnięcia zgody, która została wyrażona;
  • obowiązek zawiadomienia osoby, której dane dotyczą o naruszeniu ochrony danych;
  • realizacja innych praw osób, których dane dotyczą, a wynikają one z Rozporządzenia lub innych przepisów prawa

Napisz do Nas lub zadzwoń

Obowiązek zapewnienia bezpieczeństwa

Zgodnie z Rozporządzenie RODO, biorąc pod uwagę charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych Administrator ma obowiązek wdrażania w ramach swojej organizacji odpowiednich środków technicznych i organizacyjnych, które będą w stanie zapewnić zgodność z przepisami prawa, ale także wykazanie tego.

Wdrażając odpowiednie środki techniczne i organizacyjne, należy także pamiętać o możliwości wykazania ich. Dlatego też Grupa Robocza Art. 29 (obecnie Europejska Rada Ochrony Danych), Urząd Ochrony Danych Osobowych czy także inne przepisy wskazują, aby:

  • przygotować właściwą dokumentację zapewniającą ochronę danych, bezpieczeństwo ich przetwarzania;
  • nadać upoważnienia do przetwarzania danych oraz odebrać stosowne zobowiązania do zachowania poufności;
  • podpisać umowy powierzenia;
  • wdrożyć odpowiednich rozwiązań w ramach organizacji;
  • szkolić osoby, które mają dostęp do danych, uświadamiać ich w zakresie bezpieczeństwa danych, w tym danych osobowych.

Przykładowy wykaz środków mających na celu zapewnienie bezpieczeństwa ujęty został w art. 32 Rozporządzenia RODO i zalicza się do nich:

  • pseudonimizację i szyfrowanie danych osobowych;
  • zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania;
  • zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego;
  • regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania.

W celu ustalenia, czy stopień bezpieczeństwa przetwarzania danych jest odpowiedni, należy przeprowadzić analizę ryzyka.

Obowiązki wobec organu nadzorczego

Nowym organem nadzorczym sprawującym nadzór nad ochroną danych osobowych zgodnie z Ustawą z dnia 10 maja 2018 r. o ochronie danych osobowych jest Prezes Urzędu Ochrony Danych Osobowych (PUODO). Tym zastąpił on Generalnego Inspektora Ochrony Danych Osobowych (GIODO).

Od dnia 25 maja 2018 r., czyli od dnia, kiedy Rozporządzenie RODO zaczęło być stosowane, Administratorzy mają obowiązek zgłaszania naruszeń ochrony danych osobowych do organu nadzorczego. Dodatkowo w ramach swojej organizacji są zobowiązani do prowadzenia rejestru / dokumentowania wszelkich naruszeń ochrony danych.

Zgłaszania do Prezesa Urzędu Ochrony Danych Osobowych informacji o powołaniu Inspektora ochrony danych, jeżeli dany podmiot zgodnie z przepisami ma obowiązek powołania takiej osoby.

Dodatkowe obowiązki Administratora

Zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady Unii Europejskiej 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (tzw. Rozporządzenia RODO), oraz Ustawy o ochronie danych osobowych z dnia 10 maja 2018 r. administrator ma dodatkowe obowiązki:

  • dokonywać oceny skutków planowanych operacji przetwarzania danych osobowych przed rozpoczęciem tego procesu;
  • prowadzić rejestr czynności przetwarzania danych osobowych;
  • prowadzić rejestr kategorii czynności przetwarzania;
  • przetwarzać dane zgodnie z zasadami z Rozporządzenia RODO, w tym m.in. minimalizować ilość zbieranych danych oraz ograniczyć ich przechowywanie.

Kim jest administrator danych osobowych?

Definicja zgodnie z art. 4 ust. 4 Rozporządzenia RODO:

„Administrator” oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych; jeżeli cele i sposoby takiego przetwarzania są określone w prawie Unii lub w prawie państwa członkowskiego, to również w prawie Unii lub w prawie państwa członkowskiego może zostać wyznaczony administrator, lub mogą zostać określone konkretne kryteria jego wyznaczania;

Czyli kto jest administratorem danych osobowych?

Technicznie rzecz ujmując, każdy podmiot, który przetwarza dane osobowe do realizacji własnego celu, jest administratorem danych osobowych. Celem tym może być m.in. przeprowadzenie rekrutacji, nawiązanie stosunku pracy, pozyskanie klienta, spełnienie obowiązku podatkowego i tak dalej.

Warto zauważyć, iż dany podmiot może być zarówno administratorem danych osobowych, jak i podmiotem przetwarzającym (procesorem). Np. Biuro rachunkowe XYX Sp.z o.o. wobec swoich pracowników jest administratorem ich danych osobowych a wobec swoich klientów, którzy powierzają im dane osobowe, są podmiotem przetwarzającym.

Wyjątki, kiedy dany podmiot nie jest administratorem danych, opisane zostały w art. 2 ust. 2 Rozporządzenia RODO. W praktyce będzie to dotyczyć sytuacji, gdy przetwarzanie danych odbywa się przez osobę fizyczną w ramach czynności o czysto osobistym lub domowym charakterze.

  • osoba fizyczna prowadząca działalność gospodarczą (wpisana do CEIDG);
  • osoba fizyczna nieposiadająca wpisu do CEIDG, ale wykonująca działalność zawodową, zarobkową np. grafik pracujący w ramach umowy o dzieło;
  • osoby prawne: spółka z ograniczoną odpowiedzialnością, spółka akcyjna, fundacje, stowarzyszenia, przedsiębiorstwa państwowe itp.
  • organy publiczne:
  • jednostka lub inny podmiot: spółka komandytowa, spółka jawna, spółka partnerska, spółka komandytowo-akcyjna,

Administrator danych osobowych samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych. Spójnik „i” jest tutaj kluczowy, gdyż obie przesłanki muszą być spełnione łącznie.

Biuro rachunkowe XYZ Sp. z o.o. zatrudnia swoich pracowników, a tym samym dla nich jest administratorem danych osobowych. To właśnie spółka będzie decydować m.in. z jakiego systemu kadrowo-płacowego będzie korzystać oraz jakie zastosuje środki bezpieczeństwa np. indywidualne identyfikatory, zmiany haseł, antywirus itp.

Zadzwoń teraz: +48 501 161 301
SZABLON - Marta Ozga
Marta Ozga
prawnik, LL.M, specjalista w zakresie ochrony danych osobowych, właścicielka firm doradczych wspierających przedsiębiorców m.in. w kompleksowym wdrażaniu RODO, standardów bezpieczeństwa informacji na bazie norm ISO, członkini Wielkopolskiego Klubu Kapitału oraz mentor w programie Early Warning Europe.
Najnowsze posty
fałszywy załącznik w mailu
Jak nie dać się oszukać na fałszywy załącznik w mailu?
25 marca 2025
silne i bezpieczne hasło
Jak skonstruować silne i bezpieczne hasło?
25 marca 2025
kontrola uodo
Jak przygotować się na kontrolę UODO w 2025 roku?
25 marca 2025
prywatnosc
Prywatność to nie tylko obowiązek, to inwestycja w przyszłość!
25 marca 2025
Udostępnij
Share on facebook
Share on twitter
Share on google
Dodaj komentarz
Najnowsze posty
Jak nie dać się oszukać na fałszywy załącznik w mailu?
25 marca 2025
Jak skonstruować silne i bezpieczne hasło?
25 marca 2025
Jak przygotować się na kontrolę UODO w 2025 roku?
25 marca 2025
Prywatność to nie tylko obowiązek, to inwestycja w przyszłość!
25 marca 2025
Obowiązki administratora danych w kontekście Ustawy o ochronie sygnalistów
2 października 2024
Polityka prywatności RODO
7 maja 2020
LOGO-biel-min
  • O nas
  • Wdrożenie RODO
  • Nasze usługi
  • Inspektor ochrony danych
  • Polityka prywatności
  • Polityka plików cookie
  • Wersja archiwalna – Polityka prywatności oraz plików cookie
  • Regulamin
  • Blog
  • Kontakt
Menu
  • O nas
  • Wdrożenie RODO
  • Nasze usługi
  • Inspektor ochrony danych
  • Polityka prywatności
  • Polityka plików cookie
  • Wersja archiwalna – Polityka prywatności oraz plików cookie
  • Regulamin
  • Blog
  • Kontakt
Linkedin
© 2024 Wszelkie prawa są zastrzeżone, a właścicielem jest OZGA GROUP Sp. z o.o.

Używamy ciasteczek, aby zapewnić najlepszą jakość korzystania z naszej witryny.

Możesz dowiedzieć się więcej o tym, jakich ciasteczek używamy, lub wyłączyć je w .

RODO w firmie
Powered by  Zgodności ciasteczek z RODO
Przegląd prywatności

Ta strona korzysta z ciasteczek, aby zapewnić Ci najlepszą możliwą obsługę. Informacje o ciasteczkach są przechowywane w przeglądarce i wykonują funkcje takie jak rozpoznawanie Cię po powrocie na naszą stronę internetową i pomaganie naszemu zespołowi w zrozumieniu, które sekcje witryny są dla Ciebie najbardziej interesujące i przydatne.

Ściśle niezbędne ciasteczka

Niezbędne ciasteczka powinny być zawsze włączone, abyśmy mogli zapisać twoje preferencje dotyczące ustawień ciasteczek.

Jeśli wyłączysz to ciasteczko, nie będziemy mogli zapisać twoich preferencji. Oznacza to, że za każdym razem, gdy odwiedzasz tę stronę, musisz ponownie włączyć lub wyłączyć ciasteczka.

Ciasteczka analityczne

Ta strona korzysta z Google Analytics do gromadzenia anonimowych informacji, takich jak liczba odwiedzających i najpopularniejsze podstrony witryny.

Włączenie tego ciasteczka pomaga nam ulepszyć naszą stronę internetową.

Najpierw włącz ściśle niezbędne ciasteczka, abyśmy mogli zapisać twoje preferencje!

Dodatkowe ciasteczka

Ta strona korzysta z następujących dodatkowych ciasteczek: Meta Pixel, Google Ads

Najpierw włącz ściśle niezbędne ciasteczka, abyśmy mogli zapisać twoje preferencje!

Polityka ciasteczek

Więcej informacji o naszej Polityce ciasteczek