18.2.2014

Zespół
e-prawnik.pl

Obowiązki administratora danych osobowych

Dane osobowe każdego człowieka stanowią szczególny przedmiot ochrony prawnej. Dlatego też w regulacji rangi ustawowej ustanowiono nie tylko pojęcie danych osobowych, ale także procedury ich ochrony oraz podstawowe obowiązki administratorów danych w tym zakresie. Do wskazanych obowiązków możemy zaliczyć: zapewnienie legalności przetwarzania danych, obowiązki informacyjne względem osoby, której dane dotyczą, obowiązek zgłoszenia danych oraz umożliwienia kontroli sposobu przechowywania danych przez Generalnego Inspektora Ochrony Danych Osobowych. Zasygnalizowane kwestie zostaną omówione w niniejszym artykule.

Porady prawne

Przed rozpoczęciem omawiania poszczególnych obowiązków, niezbędne jest wskazanie podstawowych definicji zawartych w ustawie o ochronie danych osobowych.

Dane osobowe

W rozumieniu ustawy za dane osobowe uważa się wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. Osobą możliwą do zidentyfikowania jest zaś osoba, której tożsamość można określić bezpośrednio lub pośrednio, w szczególności przez powołanie się na numer identyfikacyjny albo jeden lub kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne. Informacji nie uważa się za umożliwiającą określenie tożsamości osoby, jeżeli wymagałoby to nadmiernych kosztów, czasu lub działań (art. 6 ustawy o ochronie danych osobowych, dalej ustawa).

Inne istotne definicje

Zbiór danych - każdy posiadający strukturę zestaw danych o charakterze osobowym, dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest rozproszony lub podzielony funkcjonalnie.

Przetwarzanie danych - jakiekolwiek operacje wykonywane na danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza te, które wykonuje się w systemach informatycznych.

System informatyczny - zespół współpracujących ze sobą urządzeń, programów, procedur przetwarzania informacji i narzędzi programowych zastosowanych w celu przetwarzania danych.

Administrator danych - organ, jednostka organizacyjna, podmiot lub osoba, decydujące o celach i środkach przetwarzania danych osobowych.

Zgoda osoby, której dane dotyczą - oświadczenie woli, którego treścią jest zgoda na przetwarzanie danych osobowych tego, kto składa oświadczenie; zgoda nie może być domniemana lub dorozumiana z oświadczenia woli o innej treści.

Obowiązki administratora

Legalność przetwarzania danych

Przetwarzanie danych jest dopuszczalne tylko wtedy, gdy:

  1. osoba, której dane dotyczą, wyrazi na to zgodę, chyba że chodzi o usunięcie dotyczących jej danych; Zgoda może obejmować również przetwarzanie danych w przyszłości, jeżeli nie zmienia się cel przetwarzania; Jeżeli przetwarzanie danych jest niezbędne dla ochrony żywotnych interesów osoby, której dane dotyczą, a uzyskanie zgody jest niemożliwe, można przetwarzać dane bez zgody tej osoby, do czasu, gdy uzyskanie zgody będzie możliwe.

  2. jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa,

  3. jest to konieczne do realizacji umowy, gdy osoba, której dane dotyczą, jest jej stroną lub gdy jest to niezbędne do podjęcia działań przed zawarciem umowy na żądanie osoby, której dane dotyczą,

  4. jest niezbędne do wykonania określonych prawem zadań realizowanych dla dobra publicznego,

  5. jest to niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą (art. 23 ustawy).

Porady prawne

Potrzebujesz porady prawnej?

Jak powołać inspektora ochrony danych?

Jak powołać inspektora ochrony danych?

Kto może, a kto ma obowiązek wyznaczenia inspektora ochrony danych? Ogólne rozporządzenie o ochronie danych (RODO), które musi być stosowane od 25 maja 2018 r., w art. 37 ust 1 przewiduje obowiązek wyznaczenia inspektora dla administratorów i podmiotów (...)

Dokumentacja przetwarzania danych osobowych według RODO

Dokumentacja przetwarzania danych osobowych według RODO

Od 25 maja 2018 r. ze względu na wejście do stosowania nowych przepisów regulujących zagadnienia ochrony danych osobowych oraz wejście w życie nowej ustawy o ochronie danych osobowych straciły moc wcześniej obowiązujące wymagania dotyczące dokumentacji przetwarzania danych (...)

Ochrona danych osobowych w e-commerce. Lepiej chroń swoich klientów

Ochrona danych osobowych w e-commerce. Lepiej chroń swoich klientów

Obowiązek ochrony przetwarzanych danych osobowych ciąży na każdym właścicielu e-sklepu czy serwisu internetowego, który taki zbiór danych gromadzi. Wiąże się to nie tylko z koniecznością jego rejestracji u Głównego Inspektora Ochrony Danych Osobowych (GIODO), ale też odpowiedniego zabezpieczenia (...)

Kiedy można przetwarzać dane osobowe?

Kiedy można przetwarzać dane osobowe?

25 maja 2018 r. w państwach członkowskich UE zmieniają się wymogi dotyczące przetwarzania danych osobowych. RODO to inaczej Rozporządzenie Parlamentu Europejskiego i Rady (UE) nr 2016/679 z 27 kwietnia 2016 r. w sprawieochrony osób fizycznych w związku z przetwarzaniem danych osobowych (...)

Obowiązki związane z naruszeniami ochrony danych osobowych

Obowiązki związane z naruszeniami ochrony danych osobowych

Co to jest naruszenie danych osobowych? Przez pojęcie „naruszenia ochrony danych” należy rozumieć „naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu (...)

Przetwarzanie danych osobowych przez sądy

Przetwarzanie danych osobowych przez sądy

Zgłaszanie naruszeń ochrony danych osobowych przez sądy UODO przygotował publikację „Przetwarzanie danych osobowych przez sądy w kontekście zgłaszania naruszeń ochrony danych osobowych”, która stanowi odpowiedź na pytanie, czy Prezes UODO jest organem właściwym do (...)

RODO w pracy - przetwarzanie danych w miejscu pracy.

RODO w pracy - przetwarzanie danych w miejscu pracy.

Niniejszy artykuł uwzględnia zmiany wynikające z postanowień ogólnego rozporządzenia o ochronie danych (RODO) oraz nowelizacji Kodeksu pracy wprowadzonej ustawą z 10 maja 2018 r. o ochronie danych osobowych.   Rozporządzenie 2016/679 dnia 27 kwietnia 2016 r. w sprawie ochrony (...)

DODO - Ochrona danych osobowych przy przeciwdziałaniu przestępczości

DODO - Ochrona danych osobowych przy przeciwdziałaniu przestępczości

Rada Ministrów przyjęła projekt ustawy wdrażającej unijną dyrektywę policyjną Rada Ministrów przyjęła projekt ustawy, która wprowadzi przepisy tzw. unijnej dyrektywy policyjnej (DODO). Regulacje te dotyczą przetwarzania danych osobowych w celu rozpoznawania, zapobiegania, (...)

Przetwarzanie danych przy rekrutacji pracowników a RODO

Przetwarzanie danych przy rekrutacji pracowników a RODO

Jak potencjalni pracodawcy powinni przetwarzać dane osobowe kandydatów do pracy zgodnie z RODO, czyli ogólnym rozporządzeniem o ochronie danych? Jakie dane kandydatów mogą pozyskiwać i jak długo mogą je przetwarzać? Rekrutacja po nowemu 25 maja 2018 roku we wszystkich (...)

Co reguluje RODO?

Co reguluje RODO?

Pokrótce o RODO... Prywatność każdego człowieka musi być chroniona. 25 maja 2018 r. we wszystkich krajach należących do Unii Europejskiej zacznie być stosowane Ogólne Rozporządzenie o Ochronie Danych Osobowych 2016/679 (RODO). ##baner## W omawianym rozporządzeniu ustanowione (...)

Rejestr czynności przetwarzania danych osobowych według RODO

Rejestr czynności przetwarzania danych osobowych według RODO

25 maja 2018 r. we wszystkich krajach Unii Europejskiej zacznie być stosowane Ogólne Rozporządzenie o Ochronie Danych Osobowych nr 2016/679 (RODO). RODO obejmuje swoim zastosowaniem wszystkie podmioty prywatne i publiczne, które przetwarzają dane osobowe i w praktyce większość procesów (...)

Ochrona danych osobowych zatrudnionych na podstawie umów cywilnoprawnych i pracowników tymczasowych

Ochrona danych osobowych zatrudnionych na podstawie umów cywilnoprawnych i pracowników tymczasowych

25 maja 2018 roku we wszystkich krajach należących do Unii Europejskiej zaczęło być stosowane Ogólne Rozporządzenie o Ochronie Danych Osobowych 2016/679 (RODO). RODO obejmuje swoim zastosowaniem wszystkie podmioty prywatne i publiczne, które przetwarzają dane osobowe i w praktyce (...)

Dalsze gromadzenie danych oosobowych osób ubiegających się o zatrudnienie

Dalsze gromadzenie danych oosobowych osób ubiegających się o zatrudnienie

Formalne objaśnienia prawne Ministra Cyfryzacji dla przedsiębiorców w kwestiach związanych z ochroną danych osobowych, zgodnie z art. 33 Prawa przedsiębiorców, mają na celu wyjaśnienie wątpliwości w zakresie możliwości gromadzenia przez pracodawców (...)

Transfer danych UE-USA: ważny wyrok

Transfer danych UE-USA: ważny wyrok

Ważny wyrok Trybunału Sprawiedliwości Unii Europejskiej - wyrok TSUE ws. Data Protection Commissioner przeciwko Facebook Ireland Ltd. i Maximilian Schrems Trybunał Sprawiedliwości Unii Europejskiej 16 lipca 2020 r. wydał wyrok w sprawie C-311/18 - Data Protection Commissioner przeciwko (...)

Przetwarzanie danych osobowych przez firmy windykacyjne

Przetwarzanie danych osobowych przez firmy windykacyjne

Do Urzędu Ochrony Danych Osobowych wpływają pytania dotyczące przetwarzania danych osobowych przez wierzycieli, firmy windykacyjne, czy komorników sądowych. Pojawia się wiele kwestii dotyczących legalności sposobu przetwarzania danych dłużników, sprzedaży wierzytelności. Przy (...)

Ewidencjonowanie wejść i wyjść a obowiązek informacyjny

Ewidencjonowanie wejść i wyjść a obowiązek informacyjny

Podmioty, które weryfikują tożsamość oraz utrwalają dane osób wchodzących do budynku, są zobowiązane do spełnienia obowiązku informacyjnego wynikającego z art. 13 RODO. Utrwalanie danych w ewidencji wejść i wyjść nie zawsze musi mieć miejsce, jeżeli jednak (...)

Obowiązek zgłaszania naruszeń przepisów RODO

Obowiązek zgłaszania naruszeń przepisów RODO

RODO nakłada na podmioty przetwarzające dane osobowe prawny obowiązek informowania o incydentach bezpieczeństwadotyczących danych osobowych. Zgłaszanie naruszeń ochrony danych to nowy obowiązek, jaki przepisy ogólnego rozporządzenia o ochronie danych nakładają na administratorów (...)

Ustawa wdrażająca dyrektywę „policyjną” już obowiązuje

Ustawa wdrażająca dyrektywę „policyjną” już obowiązuje

6 lutego 2019 r. weszła w życie ustawa z 14 grudnia 2018 r. o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości (Dz.U. z 2019 r. poz. 125), wdrażająca do polskiego porządku prawnego dyrektywę 2016/680, zwana (...)

Co RODO przynosi przedsiębiorcom?

Co RODO przynosi przedsiębiorcom?

Rozporządzenie 2016/679 dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich  danych  oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych (...)

Ocena skutków dla ochrony danych

Ocena skutków dla ochrony danych

Kto ma obowiązek oceny skutków dla ochrony danych? RODO nakłada obowiązek wdrożenia odpowiednich środków ochrony danych osobowych na administratorów. Administratorzy muszą też być w stanie wykazać przestrzeganie rozporządzenia pod kątem ryzyka naruszenia praw lub wolności (...)

Zapytaj prawnika:

Dodaj załącznikDodaj załącznik

Oświadczenia i zgody RODO:


PORADY PRAWNIKA

Rejestracja bazy danych w GIODO

Rejestracja bazy danych w GIODO

Co powinienem wiedzieć o rejestracji bazy danych w GIODO? W pierwszej kolejności podajemy podstawowe informacje, z którymi zapoznanie jest konieczne dla prawidłowego wykonania obowiązków wynikających z regulacji o ochronie danych osobowych. Administrator danych jest obowiązany zastosować (...)

Ochrona danych osobowych

Ochrona danych osobowych

Krajowy Rejestr Długów BIG S.A. ma ustawowy obowiązek prezentacji informacji konsumentom na ich wniosek. Chciałem skorzystać i zobaczyć jak wygląda taka informacja. Zarejestrowałem się na na stronie internetowej przez specjalny szyfrowany formularz podając swoje dane osobowe (w tym numer PESEL). (...)

Administrator danych osobowych a umowa agencyjna

Administrator danych osobowych a umowa agencyjna

Operator serwisu internetowego (agent) ma zawarte umowy agencyjne z dostawcami usług noclegowych (zleceniodawcy) i występuje wobec klientów jako agent turystyczny (działa na zlecenie dostawców, a nie klientów). Klienci podczas rezerwacji podają dane osobowe takie jak: imię, nazwisko, miejsce (...)

Zgoda na przetwarzanie danych osób

Zgoda na przetwarzanie danych osób

Stowarzyszenie Talent organizuje Olimpiadę Informatyczną dla Gimnazjalistów i Licealistów, Muszą oni wypełnić odpowiedni formularz związany z przetwarzaniem danych osobowych. Kto i w jakiej formie powinien udzielić takiej zgody w przypadku młodzieży w wieku 12-17 lat? Zgodnie z art. 23 ust. (...)

Upoważnienie do przetwarzania danych

Upoważnienie do przetwarzania danych

Czy można zastosować do wszystkich pracowników Uczelni jeden szablon upoważnienia do przetwarzania danych osobowych? Nie ma w nim rozgraniczenia między pracą w systemie informatycznym i nieinformatycznym, podane jest ogólne sformułowanie - w systemach, np. „na podstawie art. 37 Ustawy z (...)

Naruszenie danych osobowych i dóbr osobistych

Naruszenie danych osobowych i dóbr osobistych

Napisałem kronikę rodzinną, w której zamieściłem zdjęcia przodków, potomków prawie całego drzewa genealogicznego. Zamieściłem również dane osobowe, daty urodzeń, ślubów, opisy dotyczące miejsca zamieszkania, odbycia służby wojskowej w Rosji carskiej, Rosji bolszewickiej, służby (...)

Ujawnienie danych osobowych dłużników

Ujawnienie danych osobowych dłużników

Zarząd spółdzielni mieszkaniowej w materiałach na Zebranie Przedstawicieli podał do wiadomości imiona, nazwiska, adresy, kwoty zadłużeń (także spłaconych) oraz sygnatury spraw sądowych i stan postępowania. Wcześniej miało miejsce wywieszanie na klatkach schodowych budynków list dłużników (...)

Podpisanie CV oraz klauzuli o przetwarzaniu danych osobowych

Podpisanie CV oraz klauzuli o przetwarzaniu danych osobowych

Czy CV należy podpisywać oraz czy trzeba podpisywać klauzulę na temat przetwarzania danych osobowych? Zgodnie z ustawą o ochronie danych osobowych danymi osobowymi są wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. Wojewódzki Sąd Administracyjny (...)

Dostęp do akt osobowych pracownika

Dostęp do akt osobowych pracownika

Mała firma chce zatrudnić pracownika na umowę o dzieło w celu uporządkowania i utworzenia teczek osobowych dla zatrudnionych pracowników (aktualnie i już niepracujących). Pracownicy mają wątpliwości, czy ich dane nie "wyciekną" na zewnątrz. Czy każdy pracownik powinien wyrazić zgodę (...)

Baza danych klientów

Baza danych klientów

Firma posiada bazę klientów, która składa się z adresów i danych firm zakupionych w GUS oraz danych klientów indywidualnych, które to dane otrzymaliśmy na podstawie kontaktów telefonicznych. Całość bazy liczy około 50000 rekordów z danymi, w tym 45000 firm oraz 5000 z danymi osób fizycznych. (...)

Upoważnienie do przetwarzania danych osobowych

Upoważnienie do przetwarzania danych osobowych

Zajmuję się w firmie sprawami kadrowymi. Wiem, że każdą firmę bez względu na ilość zatrudnianych pracowników obowiązuje ewidencja osób, które maja dostęp do danych osobowych pracowników. Nie spotkałem wzoru ewidencji co powinna zawierać. Czy oprócz imienia i nazwiska pracownika, który (...)

Udostępnienie danych dłużnika

Udostępnienie danych dłużnika

Czy udostępnienie danych dłużnika bez jego zgody osobie trzeciej w związku z cesją wierzytelności narusza ustawę o ochronie danych osobowych, a jeżeli tak, to co należy zrobić, aby dane zostały wycofane? Wojewódzki Sąd Administracyjny w Warszawie orzekł, że przekazanie danych konsumenta (...)

Odbiorca danych

Odbiorca danych

Czy do odbiorców danych wg ustawy o ochronie danych osobowych zaliczymy osoby, które mogą uzyskać informacje o danej osobie na podstawie upoważnienia, pełnomocnictwa? Zgodnie z ustawą o ochronie danych osobowych przez odbiorcę danych  rozumie się każdego, komu udostępnia się dane osobowe, (...)

Dopuszczalność przetwarzania danych osobowych

Dopuszczalność przetwarzania danych osobowych

Czy przesłanki określające dopuszczalność przetwarzania danych, opisane w art. 23 ustęp 1 pkt 1-5 Ustawy o ochronie danych osobowych, są przesłankami koniecznymi do zaistnienia łącznie, czy wystarczy, aby jedna z nich została spełniona, by przetwarzanie danych było dopuszczalne? Art. 23 (...)

Główny Inspektorat Ochrony Danych Osobowych

Główny Inspektorat Ochrony Danych Osobowych

Firma prowadzi system komputerowy zawierajacy bazę danych klientów, który jest zgłoszony do GIODO. Czy jeśli chcielibyśmy nieodpłatnie użyczyć ten system innej firmie, powinniśmy informować o tym GIODO? Artykuł 41.2 Ustawy o ochronie danych osobowych nakłada na administratora zarejestrowanego (...)

Umowa powierzania przetwarzania danych osobowych

Umowa powierzania przetwarzania danych osobowych

Jakie dane/formę powinna zawierać umowa powierzania przetwarzania danych osobowych podpisywana, np. w ramach umowy na usługi hostingowe? Umowy z tego zakresu są zazwyczaj tzw. umowami o świadczenie usług. Usługi te jednak zazwyczaj definiowane są opisowo, poprzez określenie charakteru takiej (...)