Zgodnie z art. 4 pkt. 7 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (dalej RODO) administratorem jest osoba fizyczna lub prawna, organ publiczny, jednostka lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych (jeżeli cele i sposoby takiego przetwarzania są określone w prawie Unii lub w prawie państwa członkowskiego, to również w prawie Unii lub w prawie państwa członkowskiego może zostać wyznaczony administrator lub mogą zostać określone konkretne kryteria jego wyznaczania). Tak więc podmiotem odpowiedzialnym za przetwarzane w danej organizacji dane osobowe będzie administrator, zwany też administratorem danych osobowych. Kwestie odnoszące się do roli i obowiązków administratora opisane zostały w rozdziale 4 RODO. Poniżej postaram się Państwu przybliżyć niektóre z nich. Mianowicie już w art. 24 RODO ustawodawca europejski wskazał na obowiązki ciążące na administratorze. W ustępie pierwszym wskazano: uwzględniając charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze zagrożenia, administrator wdraża odpowiednie środki techniczne i organizacyjne, aby przetwarzanie odbywało się zgodnie z niniejszym rozporządzeniem i aby móc to wykazać. Środki te są w razie potrzeby poddawane przeglądom i uaktualniane. Mówiąc zwięźle administrator powinien stworzyć takie warunki przetwarzania wykorzystywanych przez jego organizację danych osobowych, aby móc zagwarantować podczas procesu przetwarzania ich bezpieczeństwo, m.in. poprzez umożliwienie dostępu do nich tylko osobom przez niego upoważnionym, zabezpieczenie przed utratą, dostępem osób nieuprawnionych, ich zniszczeniem, utraceniem, zmodyfikowaniem, nieuprawnionym ujawnieniem. Jednym słowem administrator musi stworzyć optymalne środowisko, które poprzez jego regularne przeglądy, powinno dawać maksymalne w danym czasie gwarancje bezpiecznego przetwarzania danych osobowych. Takie środowisko mogą tworzyć procedury skonstruowane przez administratora w postaci konkretnych polityk ochrony danych. Nie musi to być jedna polityka, ale może być szereg procedur, regulujących w zależności od złożoności struktury organizacyjnej konkretnej jednostki, wszelkie aspekty przetwarzania danych osobowych. Oczywiście w miarę możliwości zwięzła i czytelna forma polityki, procedur ochrony danych, z pewnością przyczyni się do jej/ich efektywnego stosowania. Pomocne w wielu aspektach może się tutaj okazać wykorzystanie norm ISO, a zwłaszcza normy ISO/IEC 27001 „Systemy zarządzania bezpieczeństwem informacji”.
Administrator musi być w stanie wykazać przestrzeganie rozporządzenia pod kątem ryzyka naruszenia praw lub wolności osób fizycznych. Ryzyko możemy opisać jako wskaźnik opisujący potencjalne zdarzenie i jego konsekwencje, oszacowany pod względem wagi i prawdopodobieństwa wystąpienia. Zarządzanie ryzykiem można natomiast określić jako działania mające na celu kierowanie organizacją i kontrolowanie organizacji pod kątem ryzyka. Zgodnie z przewidzianym w RODO podejściem opartym na szacowaniu ryzyka, administrator będzie w niektórych przypadkach zmuszony do przeprowadzenia oceny skutków dla ochrony danych. Nie jest to proces obowiązkowy dla każdej operacji przetwarzania. Jest on nieodzowny w przypadku, gdy przetwarzanie może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, np. w sytuacji: przetwarzania na dużą skalę szczególnych kategorii danych (takich jak dane biometryczne czy dane na temat stanu zdrowia), kiedy działania na danych prowadzone są przy użyciu nowych technologii, użycia zautomatyzowanych procesów przetwarzania danych, w tym profilowania.
Jednocześnie administrator zgodnie z treścią art. 25 RODO musi uwzględnić ochronę danych w fazie projektowania oraz zastosować domyślną ochronę danych. To znaczy uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia wynikające z przetwarzania, administrator – zarówno przy określaniu sposobów przetwarzania, jak i w czasie samego przetwarzania – wdraża odpowiednie środki techniczne i organizacyjne, takie jak pseudonimizacja, zaprojektowane w celu skutecznej realizacji zasad ochrony danych, takich jak minimalizacja danych, oraz w celu nadania przetwarzaniu niezbędnych zabezpieczeń, tak by spełnić wymogi niniejszego rozporządzenia oraz chronić prawa osób, których dane dotyczą. W tym samym czasie administrator wdraża odpowiednie środki techniczne i organizacyjne, aby domyślnie przetwarzane były wyłącznie te dane osobowe, które są niezbędne dla osiągnięcia każdego konkretnego celu przetwarzania. Obowiązek ten odnosi się do ilości zbieranych danych osobowych, zakresu ich przetwarzania, okresu ich przechowywania oraz ich dostępności. W szczególności środki te zapewniają, by domyślnie dane osobowe nie były udostępniane bez interwencji danej osoby nieokreślonej liczbie osób fizycznych.
Ponadto jeżeli administrator chce powierzyć przetwarzanie danych osobowych innemu podmiotowi, który będzie w jego imieniu dokonywał tego przetwarzania to zgodnie z art. 28 RODO korzysta on wyłącznie z usług takich podmiotów przetwarzających, które zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi rozporządzenia i chroniło prawa osób, których dane dotyczą.
Oprócz kwestii wspominanych powyżej administrator jest zobligowany do prowadzenia rejestru czynności przetwarzania danych osobowych, za które odpowiada. W rejestrze tym zamieszcza on szereg informacji identyfikujących dane czynności przetwarzania, wskazane w art. 30 ust 1. RODO. Obowiązek, o których mowa powyżej, nie ma zastosowania do przedsiębiorcy lub podmiotu zatrudniającego mniej niż 250 osób, chyba że przetwarzanie, którego dokonują, może powodować ryzyko naruszenia praw lub wolności osób, których dane dotyczą, nie ma charakteru sporadycznego lub obejmuje szczególne kategorie danych osobowych, o których mowa w art. 9 ust. 1, lub dane osobowe dotyczące wyroków skazujących i naruszeń prawa, o czym mowa w art. 10.
Oczywiści nie można zapomnieć o istotnym obowiązku administratora, a mianowicie współpracy z organem nadzorczym w ramach wykonywania przez niego swoich zadań. Mogą one dotyczyć m.in. zgłoszonego naruszenia ochrony danych osobowych, które pod pewnymi warunkami zobligowany jest zgłosić sam administrator w ciągu 72 godzin od jego stwierdzenia. Jeżeli takowe zgłoszenie zostanie wykonane to znaczy, że administrator powinien również wykonać zawiadomienie osoby, której dane dotyczą, o tymże naruszeniu. Administrator zgodnie z art. 37 wyznacza inspektora ochrony danych osobowych. Czynią to wszystkie organy publiczne, z wyjątkiem sądów w zakresie sprawowania przez nie wymiaru sprawiedliwości, podmioty, których główna działalność polega na monitorowaniu danych osobowych na dużą skalę, oraz podmioty, które przetwarzają na dużą skalę szczególne kategorie danych osobowych, o których mowa w art. 9 ust. 1 RODO, oraz danych osobowych dotyczących wyroków skazujących i naruszeń prawa, o czym mowa w art. 10 RODO.
Jak widać rola i obowiązki administratora wynikające z RODO rysują się dość szeroko. Nie może być inaczej, gdyż jest on jednym z istotniejszych podmiotów, bez którego rozporządzenie straciłoby swój pierwotny charakter.
Autor: Radosław Aniszczyk