Za co odpowiada administrator danych osobowych?
Jest to nowe stanowisko, które w polskiej wykładni wprawa stało się bardzo rozpoznawalne po wejściu w życie rozporządzenia RODO. Mimo tego, że wcześniej w wielu firmach pracowali specjaliści od ochrony danych, tak funkcja administratora danych osobowych była raczej rzadkością. Za co odpowiada osoba zatrudniona na tym stanowisku?
- Rafał Stępniewski
- /
- 25 lutego 2021
Administrator danych osobowych — podstawowe informacje
Podstawą prawną dla powołania osoby na tym stanowisku jest Artykuł 4 (pkt 7) rozporządzenia RODO. Należy rozgraniczyć tę funkcję od Inspektora Ochrony Danych Osobowych. Jego funkcjonowanie regulują inne przepisy rozporządzenia.
Administrator funkcję ochronną. Jego rola polega nad zabezpieczeniem generowanej przez zakład pracy dokumentacji w taki sposób, by ta nie wpadła w ręce osób niepowołanych. Kontroluje też obieg dokumentów, dbając o to, by te nie były przetwarzane przez osoby do tego nieupoważnione.
Może też podejmować szereg działań, które mają na celu zabezpieczenie dokumentacji. Kolejnym z jego zadań jest zarządzanie danych, wliczając w to ich ewentualne zniszczenie, co również rozporządzenie wykonawcze umożliwia. Dzieje się to na przykład w sytuacji, gdy osoba chce skorzystać z „prawa do bycia zapomnianym”.
Odpowiedzialność administratora danych w firmie
W parze z narzuconymi przez RODO obowiązkami i przywilejami idzie też odpowiedzialność. Tę można podzielić na dwie główne płaszczyzny: odszkodowawczą majątkową oraz odszkodowawczą niemajątkową. Wiele zależy od rangi uchybienia w zarządzaniu danymi.
Co do zasady, osoba zarządzająca danymi może zostać ukarana w sytuacji, kiedy jego wina została udowodniona. Mimo tego, że RODO w wielu aspektach jest niezwykle restrykcyjne, to wciąż obowiązuje tutaj domniemanie zasady niewinności. Oczywiście warto tu wyjść z założenia, że administrator powinien wykonywać swoje działania w sposób staranny i w zgodzie z obowiązującymi przepisami.
Jeśli utrata danych skutkowała stratą majątkową, to osoba poszkodowana ma prawo do zawarcia w roszczeniu woli naprawienia poniesionych strat, ale i zwrócenie utraconych korzyści. Jeśli szkoda nie miała charakteru majątkowego, może ona dotyczyć raczej zadośćuczynienia za doznane krzywdy.
Warto wiedzieć też o tym, że przepisy zostały tak skonstruowane, że dodatkowo położono na administratorze danych osobowych obowiązek niezwłocznego poinformowania podmiotu skupiającego się na ochronie danych o wysokich ryzykach zagrożenia.
Jeśli dojdzie do wycieku danych lub ich podejrzenia, to należy poinformować o tym osoby, które mogły zostać jego ofiarami. Dobrym przykładem takich działań jest domniemanie wykradzenia bazy loginów i haseł do udostępnianej usługi. Administrator powinien zgłosić taką sytuację jak najszybciej, wdrożyć działania naprawcze, a na dodatek ostrzec użytkowników, informując ich o skali zagrożenia i możliwych przeciwdziałaniach, jakie mogą podjąć.
Próba „zamiecenia sprawy pod dywan” pogarsza zarówno sytuację administratora, jak i przedsiębiorstwa. Wielokrotnie można było zauważyć, że państwowe jednostki stojący na straży danych osobowych są dla takich firm bezlitosne i wymierzają im bardzo wysokie kary.
Dziękujemy, że przeczytałaś/eś nasz artykuł do końca. Jeśli chcesz być na bieżąco
z informacjami za zakresu bezpieczeństwa, zapraszamy do naszego serwisu
ponownie!
Jeżeli
podobał Ci się artykuł podziel się z innymi udostępniając go w mediach
społecznościowych.
Potrzebujesz wsparcia lub szukasz rozwiązań w zakresie zagadnienia, o którym mowa w artykule?