Odpowiedzialnym za legalność przetwarzania oraz za zapewnienie wymaganego prawem poziomu ochrony danych osobowych jest administrator danych osobowych (administrator).
prawnik w Kancelarii Prawnej GLN
Administratorem jest podmiot posiadający kompetencje do decydowania o celach i środkach przetwarzania danych osobowych. Będzie nim zatem spółka przetwarzająca dane osobowe, ale już nie dyrektor tej spółki, ani nie jej pracownik wyznaczony do wykonywania obowiązków związanych z ochroną danych. Dla przykładu, zgodnie z wyjaśnieniami generalnego inspektora ochrony danych Osobowych (dalej GIODO), administratorem danych nie jest agent ubezpieczeniowy uzyskujący dane osobowe od klientów towarzystwa ubezpieczeniowego, lecz właśnie to towarzystwo, gdyż to ono decyduje o celach i środkach przetwarzania zebranych danych. Podkreślenia wymaga fakt, iż ocenie podlegają faktyczne kompetencje do zarządzania przechowywanymi danymi, a nie ustalenia poczynione pomiędzy stronami. Może również upoważnić do przetwarzania danych swego pracownika lub osobę działającą na jego rzecz w oparciu o innego rodzaju pełnomocnictwo, a także powierzyć przetwarzanie danych w drodze umowy zawartej na piśmie innemu podmiotowi. W każdym jednak przypadku administrator pozostaje odpowiedzialny za zapewnienie bezpieczeństwa danych, zachowanie ich poufności i integralności oraz kontrolę ich przetwarzania zgodnie z przepisami prawa. Sankcjami za niedopełnienie obowiązków odpowiedniego zabezpieczenia danych osobowych jest kara grzywny, kara ograniczenia wolności albo kara pozbawienia wolności do roku lub – w przypadkach zawinionych – do dwóch lat. W tym kontekście należy zwrócić uwagę na niedawny wyrok Naczelnego Sądu Administracyjnego (sygn. I OSK 218/06) odnoszący się do interpretacji pojęcia zbioru danych osobowych. NSA uznał, że zbiorem danych osobowych jest taki zestaw danych, który pozwala na uzyskanie do nich dostępu przy wykorzystaniu co najmniej dwóch kryteriów wyszukiwawczych. Zbiory danych osobowych rejestrowane są przez GIODO na podstawie przedłożonego mu przez administratora danych lub jego przedstawiciela zgłoszenia rejestracyjnego, którego wzór określony został w rozporządzeniu ministra spraw wewnętrznych i administracji z dnia 29 kwietnia 2004 r. (Dz.U. z 2004 r. nr 100, poz. 1025). Adresatami obowiązku rejestracji nie są jednostki zajmujące się wyłącznie niszczeniem dokumentów (ponieważ nie działają samodzielnie, a na polecenie zlecającego wykonanie tej czynności) ani jednostki, którym administrator powierza w drodze pisemnej umowy przetwarzanie danych. Ustawa wymienia kategorie zbiorów, które zwolnione są z obowiązku rejestracji. Są nimi m.in. zbiory zawierające dane pracowników danego podmiotu lub osób w nim zrzeszonych, dane klientów korzystających z oferowanych przez dany podmiot usług medycznych lub prawnych, dane przetwarzane wyłącznie na potrzeby księgowości lub sprawozdawczości finansowej, dane powszechnie dostępne oraz dane przetwarzane w zakresie drobnych spraw życia codziennego.
Pozostało 98% treści
Wybierz pakiet i czytaj bez ograniczeń.
Bądź na bieżąco ze zmianami w prawie i podatkach.
Czytaj raporty, analizy i wyjaśnienia ekspertów.
Bądź na bieżąco ze zmianami w prawie i podatkach.
Czytaj raporty, analizy i wyjaśnienia ekspertów.
Pozostało 98% treści
Wybierz pakiet i czytaj bez ograniczeń.
Bądź na bieżąco ze zmianami w prawie i podatkach.
Czytaj raporty, analizy i wyjaśnienia ekspertów.
Bądź na bieżąco ze zmianami w prawie i podatkach.
Czytaj raporty, analizy i wyjaśnienia ekspertów.
Autopromocja
Autopromocja
Źródło: GP
Materiał chroniony prawem autorskim - wszelkie prawa zastrzeżone.
Dalsze rozpowszechnianie artykułu za zgodą wydawcy INFOR PL S.A. Kup licencję.