Za co odpowiada administrator danych osobowych?

Jest to nowe stanowisko, które w polskiej wykładni wprawa stało się bardzo rozpoznawalne po wejściu w życie rozporządzenia RODO. Mimo tego, że wcześniej w wielu firmach pracowali specjaliści od ochrony danych, tak funkcja administratora danych osobowych była raczej rzadkością. Za co odpowiada osoba zatrudniona na tym stanowisku?

  • Rafał Stępniewski
  • /
  • 25 lutego 2021

Administrator danych osobowych — podstawowe informacje

Podstawą prawną dla powołania osoby na tym stanowisku jest Artykuł 4 (pkt 7) rozporządzenia RODO. Należy rozgraniczyć tę funkcję od Inspektora Ochrony Danych Osobowych. Jego funkcjonowanie regulują inne przepisy rozporządzenia.

Administrator funkcję ochronną. Jego rola polega nad zabezpieczeniem generowanej przez zakład pracy dokumentacji w taki sposób, by ta nie wpadła w ręce osób niepowołanych. Kontroluje też obieg dokumentów, dbając o to, by te nie były przetwarzane przez osoby do tego nieupoważnione.

Może też podejmować szereg działań, które mają na celu zabezpieczenie dokumentacji. Kolejnym z jego zadań jest zarządzanie danych, wliczając w to ich ewentualne zniszczenie, co również rozporządzenie wykonawcze umożliwia. Dzieje się to na przykład w sytuacji, gdy osoba chce skorzystać z „prawa do bycia zapomnianym”.

Odpowiedzialność administratora danych w firmie

W parze z narzuconymi przez RODO obowiązkami i przywilejami idzie też odpowiedzialność. Tę można podzielić na dwie główne płaszczyzny: odszkodowawczą majątkową oraz odszkodowawczą niemajątkową. Wiele zależy od rangi uchybienia w zarządzaniu danymi.

Co do zasady, osoba zarządzająca danymi może zostać ukarana w sytuacji, kiedy jego wina została udowodniona. Mimo tego, że RODO w wielu aspektach jest niezwykle restrykcyjne, to wciąż obowiązuje tutaj domniemanie zasady niewinności. Oczywiście warto tu wyjść z założenia, że administrator powinien wykonywać swoje działania w sposób staranny i w zgodzie z obowiązującymi przepisami.

Jeśli utrata danych skutkowała stratą majątkową, to osoba poszkodowana ma prawo do zawarcia w roszczeniu woli naprawienia poniesionych strat, ale i zwrócenie utraconych korzyści. Jeśli szkoda nie miała charakteru majątkowego, może ona dotyczyć raczej zadośćuczynienia za doznane krzywdy.

Warto wiedzieć też o tym, że przepisy zostały tak skonstruowane, że dodatkowo położono na administratorze danych osobowych obowiązek niezwłocznego poinformowania podmiotu skupiającego się na ochronie danych o wysokich ryzykach zagrożenia.

Jeśli dojdzie do wycieku danych lub ich podejrzenia, to należy poinformować o tym osoby, które mogły zostać jego ofiarami. Dobrym przykładem takich działań jest domniemanie wykradzenia bazy loginów i haseł do udostępnianej usługi. Administrator powinien zgłosić taką sytuację jak najszybciej, wdrożyć działania naprawcze, a na dodatek ostrzec użytkowników, informując ich o skali zagrożenia i możliwych przeciwdziałaniach, jakie mogą podjąć.

Próba „zamiecenia sprawy pod dywan” pogarsza zarówno sytuację administratora, jak i przedsiębiorstwa. Wielokrotnie można było zauważyć, że państwowe jednostki stojący na straży danych osobowych są dla takich firm bezlitosne i wymierzają im bardzo wysokie kary.

 

 

 

 

 

 

Dziękujemy, że przeczytałaś/eś nasz artykuł do końca. Jeśli chcesz być na bieżąco z informacjami za zakresu bezpieczeństwa, zapraszamy do naszego serwisu ponownie!
Jeżeli podobał Ci się artykuł podziel się z innymi udostępniając go w mediach społecznościowych.

Potrzebujesz wsparcia lub szukasz rozwiązań w zakresie zagadnienia, o którym mowa w artykule?

Tagi: RODO

Najnowsze tematy

WSPÓŁPRACA

Blogi tematyczne

Prawo konsumenckie 2021
Blog prawa e-commerce
Prawo konsumenckie
Security Magazine
Poradnik: wszystko o zgodzie RODO i obowiązkach informacyjnych RODO
Kliknij aby wrócić do strony głównej

Newsletter

Bądźmy w kontakcie! Zapisz się na newsletter, a raz na jakiś czas wyślemy Ci powiadomienie o najważniejszych artykułach. Dla subskrybentów newslettera przygotowujemy specjalne wydarzenia np. webinaria. Nie pożałujesz!