Administrator Danych Osobowych
Administrator danych osobowych (ADO) lub administrator danych (AD) to termin związany z ochroną danych osobowych.
Zgodnie z ogólnym rozporządzeniem o ochronie danych, administratorem danych osobowych jest osoba fizyczna, prawna, organ publiczny, jednostka lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele oraz metody przetwarzania danych osobowych.
Status danego podmiotu jako administratora danych osobowych może wynikać z:
- przepisów prawa (np. Trybunał Stanu działa jako administrator danych osobowych w kontekście prowadzonych postępowań),
- interpretacji przepisów prawnych (np. pracodawca pełni rolę administratora danych osobowych pracowników),
- stanowiska Prezesa Urzędu Ochrony Danych Osobowych (np. żłobek jest administratorem danych osobowych stażysty w związku z danymi przetwarzanymi na podstawie umowy z Powiatowym Urzędem Pracy).
Określenie, czy dany podmiot jest administratorem określonego rodzaju danych osobowych, często sprawia trudności.
Zadania Administratora Danych Osobowych
Do zadań ADO należy w szczególności:
- przetwarzanie danych osobowych zgodnie z zasadami zgodności z prawem, ograniczenia celu, minimalizacji danych oraz prawidłowości danych,
- udowadnianie przestrzegania zasad ochrony danych osobowych,
- stosowanie odpowiednich podstaw przetwarzania danych osobowych oraz szczególnych kategorii danych,
- realizacja obowiązku informacyjnego wobec osób, których dane osobowe są przetwarzane,
- obsługa wniosków osób, których dane dotyczą, w tym wniosków o realizację prawa do bycia zapomnianym,
- zapewnienie bezpieczeństwa danych osobowych poprzez wdrażanie odpowiednich środków technicznych i organizacyjnych,
- zgłaszanie naruszeń ochrony danych osobowych,
- wyznaczenie inspektora ochrony danych, gdy wymagają tego przepisy prawne,
- współpraca z Prezesem Urzędu Ochrony Danych Osobowych jako organem nadzorczym.
Odpowiedzialność Administratora Danych Osobowych
Naruszenie przez ADO zasad ochrony danych osobowych może skutkować ponoszeniem odpowiedzialności:
- cywilnej – osoba, która doznała szkody majątkowej lub niemajątkowej w wyniku naruszenia RODO przez ADO, ma prawo do uzyskania odszkodowania,
- administracyjnej – Prezes Urzędu Ochrony Danych Osobowych może zobowiązać ADO do podjęcia działań (np. zmiany sposobu przetwarzania danych osobowych, usunięcia bazy danych lub wprowadzenia odpowiednich zabezpieczeń); brak współpracy ADO z Prezesem UODO może skutkować nałożeniem na administratora administracyjnej kary pieniężnej w wysokości do €20.000.000 lub 4% całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym stosuje się kwotę wyższą.
Historia Pojęcia Administratora Danych Osobowych
Pojęcie „administrator danych” (ang. controller, fr. responsable de traitement) zostało po raz pierwszy wprowadzone w dyrektywie 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 roku, dotyczącej ochrony osób fizycznych w zakresie przetwarzania danych osobowych oraz swobodnego przepływu tych danych. Termin ten odnosił się do „osoby fizycznej lub prawnej, władzy publicznej, agencji lub innego organu, który samodzielnie lub wspólnie z innymi podmiotami określa cele i metody przetwarzania danych”. W dyrektywie wskazano również, że „jeżeli cele i sposoby przetwarzania danych są określane w przepisach ustawowych i wykonawczych lub przepisach wspólnotowych, administrator danych może być powoływany lub kryteria jego powołania mogą być ustalane przez ustawodawstwo krajowe lub wspólnotowe”.
Na podstawie treści dyrektywy, polska ustawa o ochronie danych osobowych z 1997 roku zdefiniowała administratora jako „organ, jednostkę organizacyjną, podmiot lub osobę, o których mowa w art. 3”, decydujące o celach i środkach przetwarzania danych osobowych.