
Wprowadzenie nowych przepisów dotyczących ochrony danych osobowych - RODO, zgodnych z wytycznymi Unii Europejskiej, wymusza wiele zmian w działaniu podmiotów w Polsce. Wiele z nich musi powołać Administratora Ochrony Danych Osobowych (ADO). Jakie są jego zadania i kompetencje?
Administrator Ochrony Danych Osobowych powołuje Inspektora Ochrony Danych Osobowych, stosuje środki techniczne i organizacyjne dla zapewnienia ochrony danych, prowadzi stosowne dokumentacje i ewidencje oraz kontroluje, jakie dane są gromadzone, przekazywane innym osobom i przetwarzane.
Kim jest Administrator danych osobowych?
Rozporządzenie RODO w art. 4 pkt 7 ujmuje pojęcie administratora ochrony danych osobowych. To organ, jednostka organizacyjna, podmiot lub osoba, która decyduje o celach i środkach przetwarzania danych osobowych. Co istotne, administratorem danych osobowych w przypadku osób prowadzących działalność gospodarczą, są one same.
Zadania wykonywane przez ADO
Do podstawowych zadań administratora (ADO) można zaliczyć:
- stosowanie właściwych środków technicznych i organizacyjnych, które gwarantują ochronę przetwarzania danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną,
- prowadzenie dokumentacji, w której znajduje się szczegółowa instrukcja przetwarzania danych oraz opis środków zapewniających ich należytą ochronę,
- zapewnianie na bieżąco kontroli nad tym, jakie dane osobowe, kiedy i przez kogo zostały wprowadzone do zbioru danych i komu są one przekazywane,
- prowadzenie ewidencji osób, które są upoważnione do przetwarzania danych osobowych.
Do szczególnych kompetencji ADO zalicza się zabezpieczanie danych przed ich:
- przechwyceniem i zabraniem przez osobę nieuprawnioną,
- udostępnieniem osobom nieupoważnionym do tego,
- zmianą, utratą, uszkodzeniem lub zniszczeniem,
- przetwarzaniem z naruszeniem ustawy,
Powołanie IODO
Administrator danych osobowych w toku swojego funkcjonowania może, a w niektórych przypadkach musi powołać Inspektora Ochrony Danych Osobowych (IODO). Obowiązek ten spoczywa na:
- podmiotach publicznych,
- podmiotach przetwarzających dane wrażliwe na szeroką skalę,
- podmiotach, których główna działalność polega na monitorowaniu osób na dużą skalę.
Pozostałe podmioty, które nie zostały powyżej wyszczególnione, mogą powołać i wyznaczyć IODO. Jeśli to zrobią, muszą postępować zgodnie z wymaganiami, jakie dotyczą jego zadań i roli w danej organizacji czy przedsiębiorstwie.