Kontakt
Menu
Kontakt
Menu
STRONA GŁÓWNA / Administrator danych osobowych? – definicja i zadania

Administrator danych osobowych? – definicja i zadania

Administrator danych osobowych

Czy kiedykolwiek zastanawiałeś się, kto tak naprawdę odpowiada za bezpieczeństwo Twojego nazwiska, adresu czy numeru telefonu, które zostawiasz w sklepie internetowym, u lekarza, a nawet w urzędzie? W erze cyfrowej, gdzie dane dotyczą każdego z nas, nic nie dzieje się przypadkiem. Za każdym procesem zbierania i wykorzystywania informacji stoi konkretny podmiot – Administrator danych osobowych. To on, niczym kapitan statku na wzburzonym morzu przepisów prawa, wyznacza kurs, decyduje o celu podróży i bierze pełną odpowiedzialność za to, co dzieje się z załogą – czyli z Twoimi danymi. W tym artykule rozłożymy na czynniki pierwsze definicję, zadania i obowiązki administratora, posługując się językiem prawnym, ale bez zbędnej egzaltacji. Zrobimy to krok po kroku, abyś Państwo mógł poczuć się pewnie w gąszczu regulacji RODO. Gotowy na tę podróż? Zacznijmy od podstaw.

Kim jest administrator danych osobowych?

Definicja administratora danych według rozporządzenia o ochronie danych

Sięgnijmy do źródła, czyli do art. 4 pkt 7 ogólnego rozporządzenia o ochronie danych (RODO). Znajdziemy tam kluczową definicję: Administrator danych to osoba fizyczna lub prawna, organ publiczny, jednostka lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych. Brzmi skomplikowanie? Spójrzmy na to z lotu ptaka. Wyobraź sobie restaurację. Administrator to szef kuchni, który decyduje, jakie dania znajdą się w menu (cel), jakie składniki zostaną użyte i w jaki sposób będą przygotowane (sposoby przetwarzania). Kelnerzy, dostawcy czy zmywak – to wykonawcy. To administrator ponosi główną odpowiedzialność za to, czy danie jest bezpieczne i czy spełnia normy. W praktyce oznacza to, że to właśnie administrator, a nie przypadkowy pracownik, będzie tłumaczył się przed Prezesem Urzędu Ochrony Danych Osobowych (UODO) z każdej decyzji dotyczącej Pana/i danych.

Różnica między administratorem a podmiotem przetwarzającym dane osobowe

To absolutny klasyk i źródło wielu nieporozumień. Administrator to ten, który „ustala cele i sposoby”. Podmiot przetwarzający (procesor) to ten, który wykonuje czynności na zlecenie administratora. Różnica jest fundamentalna. Administrator ponosi ostateczną odpowiedzialność wobec osoby, której dane dotyczą. Podmiot przetwarzający odpowiada natomiast bezpośrednio przed administratorem. Przykład? Jeśli prowadzisz sklep internetowy (jesteś administratorem) i zatrudniasz firmę zewnętrzną do wysyłki newslettera, ta firma staje się podmiotem przetwarzającym. To Ty decydujesz, komu wysłać mailing i z jaką częstotliwością. Firma jedynie realizuje Twoje polecenie. Pamiętaj, że nie można tej roli dowolnie mieszać – błędna kwalifikacja może skutkować poważnymi konsekwencjami prawnymi, włącznie z karami finansowymi.

Kiedy podmiot publiczny staje się administratorem danych osobowych?

W przypadku jednostek sektora publicznego sprawa wydaje się oczywista, ale diabeł tkwi w szczegółach. Urząd gminy, szpital publiczny, szkoła – każdy z nich działa w oparciu o przepisy prawa, które często precyzyjnie określają cele przetwarzania (np. realizacja zadań własnych). Czy to oznacza, że urzędnik ma wolną rękę? Absolutnie nie. Nawet jeśli cel jest narzucony ustawowo, to konkretne zasad ochrony danych osobowych i sposób ich realizacji (np. wybór systemu teleinformatycznego, okres przechowywania) leżą już po stronie danego podmiotu publicznego. To on, a nie ustawodawca, decyduje o tym, czy wprowadzić dodatkowe zabezpieczenia, jak szkolić pracowników i jak reagować na wnioski obywateli. Podmiot publiczny staje się administratorem w momencie, gdy ma swobodę decyzyjną w zakresie „jak” przetwarzać dane, oczywiście w granicach wyznaczonych przez prawo. Brak tej świadomości to prosta droga do naruszeń.

Jakie są najważniejsze obowiązki administratora danych osobowych?

Obowiązek zapewnienia środków technicznych i organizacyjnych ochrony danych

To serce całego systemu ochrony danych. Obowiązek wynikający wprost z art. 24 RODO nakłada na administratora ciężar wdrożenia odpowiednich środków. Co to znaczy „odpowiednich”? Tu nie ma jednego przepisu na wszystko. Chodzi o środki adekwatne do ryzyka naruszenia praw lub wolności osób fizycznych. Dla małej firmy usługowej może to być solidne hasło i szyfrowanie dysku laptopa. Dla dużego banku – zaawansowane systemy detekcji włamań, ciągły monitoring i separacja środowisk. Środki techniczne to np. firewalle, antywirusy, szyfrowanie, ale i proste rzeczy jak blokada ekranu po minucie bezczynności. Środki organizacyjne to z kolei procedury, regulaminy, szkolenia dla pracowników, a także powołanie inspektora ochrony danych jeśli wymagają tego przepisy. Administrator musi udowodnić (zasada rozliczalności), że nie tylko wdrożył te środki, ale też regularnie testuje ich skuteczność. To jak posiadanie nie tylko zamka w drzwiach, ale i systemu alarmowego oraz ubezpieczenia. Aby prawidłowo wdrożyć te obowiązki, warto skorzystać z profesjonalnego wdrożenia RODO, które kompleksowo zabezpieczy Państwa firmę.

Obowiązki administratora w zakresie przetwarzania danych osobowych zgodnie z art. RODO

Konkretne artykuły RODO rysują twarde ramy działania. Art. 5 mówi o zasadach: legalność, rzetelność, przejrzystość, minimalizacja danych, celowość, prawidłowość, ograniczenie przechowywania (czasowe) i integralność. Art. 6 i 9 wskazują podstawy prawne – bez nich przetwarzanie jest bezprawne. Art. 12-22 to prawa osób, których dane dotyczą (o nich za chwilę). Administrator ma obowiązek wdrożyć procedury umożliwiające realizację tych praw. Czy wiesz, że na żądanie osoby, administrator ma obowiązek w ciągu miesiąca udzielić informacji o tym, jakie dane przetwarza? A w uzasadnionych przypadkach – usunąć je (prawo do bycia zapomnianym)? To nie są tylko teoretyczne zapisy. To realne obowiązki, których niedopełnienie skutkuje natychmiastową interwencją UODO. Administrator musi więc działać jak dobrze naoliwiona maszyna, gdzie każda śrubka – od zgody na newsletter po przekazanie danych do biura rachunkowego – jest dokładnie udokumentowana.

Dokumentowanie celów i sposobów przetwarzania danych osobowych

Jeśli nie masz tego na piśmie – nie istnieje. To brutalna, ale prawdziwa zasada w ochronie danych osobowych. Administrator ma obowiązek prowadzenia rejestru czynności przetwarzania (art. 30 RODO). W zależności od wielkości podmiotu, rejestr ten może być mniej lub bardziej szczegółowy, ale zawsze musi zawierać: cele przetwarzania, kategorie danych, kategorie osób, odbiorców dane, terminy ich przechowywania, a także informacje o zabezpieczeniach. Rejestr jest Twoją mapą nawigacyjną. Bez niego szybko zgubisz się w tym, kto, gdzie i po co używa danych osobowych w Twojej organizacji. Prowadzenie go w formie elektronicznej, z systemem wersjonowania, to dziś standard. Pamiętaj – w przypadku kontroli UODO, pierwsze pytanie często brzmi: „Proszę o udostępnienie rejestru czynności przetwarzania”. Jeżeli go nie masz, albo jest on fikcją, stajesz od razu na straconej pozycji. Dokumentowanie to nie biurokracja dla samej biurokracji – to fundament świadomego i bezpiecznego zarządzania danymi. Regularny audyt RODO pomoże Państwu zweryfikować, czy dokumentacja jest kompletna i czy nie ma w niej luk.

Zobacz więcej:  Analiza ryzyka zgodnie z RODO - co naprawdę trzeba zrobić?

Kiedy administrator ma obowiązek wyznaczenia inspektora ochrony danych?

Przesłanki wyznaczenia inspektora ochrony danych osobowych

Inspektor Ochrony Danych (IOD) to nie jest kolejny etat na pokaz. Art. 37 RODO wymienia trzy główne przesłanki, które zmuszają administratora do powołanie inspektora ochrony danych:

  1. Przetwarzanie danych przez podmiot publiczny (poza sądami w ramach ich działalności orzeczniczej).
  2. Gdy główna działalność administratora polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą na dużą skalę (np. platformy e-commerce, firmy telekomunikacyjne, banki).
  3. Gdy główna działalność polega na przetwarzaniu na dużą skalę szczególnych kategorii danych (wrażliwych – np. o zdrowiu, pochodzeniu rasowym, poglądach politycznych) lub danych dotyczących wyroków skazujących i naruszeń prawa.

To, co Państwo musi zapamiętać, to kluczowe pojęcie „duża skala”. UODO wskazuje, że nie chodzi tu tylko o liczbę osób, ale także o wolumen danych, czas trwania przetwarzania czy geograficzny zasięg. Dla przeciętnego osiedlowego sklepu spożywczego, który zbiera dane jedynie dla celów księgowych, wyznaczanie IOD na etacie jest raczej zbędne, choć może to zrobić dobrowolnie.

Sytuacje wymagające wyznaczyć inspektora zgodnie z rozporządzeniem

Poza literalnymi przesłankami z art. 37, praktyka i stanowiska organów nadzorczych podpowiadają, kiedy rozsądek nakazuje powołanie IOD, nawet jeśli nie ma takiego bezwzględnego obowiązku. Mowa o sytuacjach, gdzie przetwarzanie wiąże się z wysokim ryzykiem dla praw i wolności osób. Przykład? Szpital przetwarza dane o stanie zdrowia – to przesłanka 3, duża skala, IOD jest obowiązkowy. Ale już gabinet fizjoterapeutyczny z kilkoma pacjentami dziennie? Tu obowiązku nie ma, ale ryzyko jest. Co wtedy? Administrator może dobrowolnie wyznaczyć IOD (to tzw. outsourcing Inspektora Ochrony Danych Osobowych – często korzystniejsze rozwiązanie) lub udokumentować, dlaczego nie wyznacza i w jaki sposób inaczej zarządza ryzykiem. Pamiętaj: brak IOD nie zwalnia z obowiązków. To Ty, jako administrator, przejmujesz na siebie wszystkie zadania, które normalnie wykonywałby IOD – w tym doradztwo, monitorowanie i współpracę z organem nadzorczym.

Rola inspektora ochrony danych w organizacji

IOD to nie urząd do sprawdzania, czy pracownicy myją kubki po kawie. To kluczowy strażnik zgodności. Jego rola jest doradcza, monitorująca i kontrolna, ale uwaga – nie ponosi on osobistej odpowiedzialności za niezgodność. To wciąż odpowiedzialność administratora. IOD informuje, doradza, monitoruje przestrzeganie RODO, przeprowadza audyt RODO, szkoli personel i współpracuje z UODO. Jest jak system ostrzegania w samolocie – nie przejmuje sterów, ale sygnalizuje każdą groźną turbulencję. Niezwykle istotne jest, że IOD musi być niezależny. Nie może otrzymywać poleceń dotyczących wykonywania swoich zadań. Administrator nie może go zwolnić ani ukarać za prawidłowe wypełnianie obowiązków. To gwarantuje, że IOD może mówić niewygodną prawdę. W praktyce często IOD jest pierwszą osobą, która dowiaduje się o naruszeniu. I to on decyduje o tym, czy trzeba zgłosić je do UODO.

Jak administrator danych powinien reagować na naruszenia ochrony danych osobowych?

Obowiązek zgłaszania naruszenia ochrony danych osobowych do organu nadzorczego

Naruszenie ochrony danych to nie jest hipotetyczna groźba. To incydent, który prowadzi do przypadkowego lub niezgodnego z prawem zniszczenia, utraty, zmodyfikowania, nieuprawnionego ujawnienia lub dostępu do danych osobowych. Tu liczy się czas. Art. 33 RODO daje administratorowi maksymalnie 72 godziny od momentu powzięcia informacji o naruszeniu, aby zgłosić je do Prezesa UODO. Nie od momentu jego wystąpienia, ale od momentu, gdy administrator (np. jego pracownik lub IOD) dowiedział się o zdarzeniu. Zgłoszenie musi zawierać: charakter naruszenia, kategorie danych i osób, prawdopodobne konsekwencje oraz podjęte działania zaradcze. Co, jeśli nie zdążysz? Musisz przedstawić uzasadnienie opóźnienia. Brak zgłoszenia może skutkować karą do 10 mln euro lub 2% rocznego światowego obrotu. Czy to dużo? To jakby za zapomnienie o włączeniu świateł w samochodzie dostać karę równą wartości połowy domu. Większość naruszeń wynika z błędu ludzkiego – wysłanie maila do złej osoby, zgubienie pendrive’a, atak hakerski. Dlatego kluczowa jest procedura i przeszkolenie upoważnione do przetwarzania danych osobowych personelu.

Procedury powiadamiania przed rozpoczęciem przetwarzania danych osobowych

To często pomijany, a niezwykle ważny element. Nie chodzi tu o zgłaszanie naruszenia, ale o realizację obowiązku informacyjnego wobec osoby, której dane dotyczą (art. 13 i 14 RODO). Zanim zaczniesz przetwarzać dane, musisz powiadomić daną osobę o tym, że jej dane będą przetwarzane, po co, na jakiej podstawie, jak długo i jakie ma ona prawa. To nie może być ukryty zapis w regulaminie. To musi być jasna, zrozumiała i łatwo dostępna informacja. Wyobraź sobie, że ktoś zabiera Ci samochód, a Ty nie masz pojęcia, dokąd jedzie, kto prowadzi i kiedy go odzyskasz. Tak samo czuje się osoba, która nie otrzymała rzetelnej informacji o przetwarzaniu jej danych. Obowiązek informacyjny to pierwszy test, czy administrator traktuje poważnie prawa jednostki. Musi być spełniony w momencie zbierania danych – przy formularzu rejestracyjnym, podczas rozmowy telefonicznej, na stronie internetowej. To fundament przejrzystości, której wymaga RODO.

Współpraca z Prezesem Urzędu Ochrony Danych Osobowych

Prezes UODO to nie wróg administratora. To organ nadzorczy, który ma dbać o przestrzeganie prawa. Art. 31 RODO nakłada na administratora obowiązek ścisłej współpracy. Co to znaczy w praktyce? Odpowiadanie na pytania, udostępnianie dokumentów (w tym rejestrów), umożliwianie kontroli na terenie Twojej siedziby, a także – w razie potrzeby – stosowanie się do zaleceń i decyzji. Współpraca oznacza też, że nie powinieneś utrudniać postępowania. Jeśli UODO poprosi o wyjaśnienia w ciągu 7 dni, a Ty odpowiesz po miesiącu, to już jest brak współpracy. Pamiętaj też o zasadzie „one stop shop” – jeśli działasz w wielu krajach UE, Twoim głównym organem nadzorczym jest ten z Twojej głównej siedziby. Ale Prezes UODO i tak może być zaangażowany. W praktyce, dobra współpraca często kończy się na zaleceniach pokontrolnych i możliwości dobrowolnego usunięcia nieprawidłowości, zamiast od razu nakładania kar. Wrogość i utrudnianie to najkrótsza droga do maksymalnej sankcji.

Zobacz więcej:  Zgoda na przetwarzanie danych osobowych a zgodność z RODO

Czym jest umowa powierzenia przetwarzania danych osobowych?

Kiedy konieczne jest powierzenie przetwarzania danych podmiotowi przetwarzającemu?

Gdy potrzebujesz zewnętrznej firmy do obsługi danych, a nie chcesz (lub nie możesz) samodzielnie wykonać wszystkich czynności. Klasyczne przypadki: outsourcing serwera (hosting), usługi księgowe, obsługa prawna, firma kurierska, dostawca systemu CRM. Pamiętaj jednak – powierzenie jest dozwolone tylko wtedy, gdy nie stoją na przeszkodzie przepisy szczególne (np. tajemnica zawodowa adwokata) i gdy podmiot przetwarzający daje wystarczające gwarancje stosowania odpowiednich środków ochrony. Samo „chcemy zaoszczędzić” to nie jest argument. Administrator nie może powierzyć przetwarzania „byle komu”. Musi wybrać podmiot, który zapewni zgodność z RODO. To tak, jakbyś oddał klucze do swojego domu firmie sprzątającej – sprawdziłbyś, czy ma ubezpieczenie i czy jej pracownicy są godni zaufania. Analogia jest tu w 100% trafna. Powierzenie nie zwalnia administratora z odpowiedzialności. Jeśli podmiot przetwarzający naruszy dane, to Ty, jako administrator, tłumaczysz się przed UODO.

Wymagania dotyczące umowy powierzenia przetwarzania danych osobowych

Art. 28 RODO precyzyjnie określa, co musi zawierać tzw. umowa powierzenia (lub inny akt prawny). To nie może być ustne porozumienie czy lapidarny e-mail. Umowa musi określać: przedmiot i czas trwania przetwarzania, charakter i cel, rodzaj danych, kategorie osób, a przede wszystkim – obowiązki i prawa administratora. Podmiot przetwarzający może działać TYLKO na udokumentowane polecenie administratora. Nie może zatrudnić innego podprocesora (subprocesora) bez zgody administratora. Musi zapewnić poufność swoim pracownikom, pomóc administratorowi w realizacji praw osób, a po zakończeniu umowy – zwrócić lub usunąć wszystkie dane. Umowa musi być zawarta na piśmie (w formie elektronicznej też, jeśli można ją zachować). Brak takiej umowy to jednoznaczne naruszenie RODO. Wyobraź sobie, że przekazujesz dane klientów zewnętrznemu serwerowi, a umowa z hostingiem jest tylko na fakturze. To proszenie się o kłopoty. Nie zostawiaj tego przypadkowi.

Bezpieczeństwo danych osobowych przy powierzeniu przetwarzania

To nie kończy się na podpisaniu umowy. Administrator ma obowiązek regularnie monitorować, czy podmiot przetwarzający faktycznie stosuje zabezpieczenia, o których mówił przed podpisaniem kontraktu. Możesz tego dokonać poprzez audyty, żądanie aktualnych certyfikatów (np. ISO 27001), raportów z testów penetracyjnych, czy chociażby wypełnianych przez podmiot kwestionariuszy bezpieczeństwa. Pamiętaj, że jeśli dojdzie do naruszenia u procesora, to on ma obowiązek niezwłocznie poinformować o tym administratora (art. 33 ust. 2 RODO). A Ty, jako administrator, i tak musisz ocenić ryzyko dla osób i zdecydować o zgłoszeniu do UODO. Często w umowach powierzenia warto zawrzeć szczegółowe zapisy o karach umownych za brak zgłoszenia naruszenia przez procesora. To nie jest brak zaufania – to zdrowy rozsądek. Dane osobowe to nie towar, który można lekceważyć. Każde powierzenie powinno być poprzedzone analizą ryzyka i starannym wyborem partnera. Nie idź na łatwiznę – sprawdź, z kim dzielisz się odpowiedzialnością.

Kiedy wymagana jest ocena skutków dla ochrony danych?

Sytuacje wymagające przeprowadzenia oceny skutków dla ochrony danych

Ocena skutków dla ochrony danych (DPIA – Data Protection Impact Assessment) to zaawansowane narzędzie zarządzania ryzykiem. Art. 35 RODO nakazuje jej przeprowadzenie, gdy dany rodzaj przetwarzania – zwłaszcza przy użyciu nowych technologii – może skutkować wysokim ryzykiem naruszenia praw lub wolności osób fizycznych. Kiedy konkretnie? Europejska Rada Ochrony Danych (EDPB) wskazuje dziewięć kryteriów, m.in.: przetwarzanie na dużą skalę danych wrażliwych, systematyczne monitorowanie miejsc publicznych (np. monitoring CCTV na lotnisku), ocena cech osobowych (profilowanie mogące mieć skutki prawne, np. scoring kredytowy), przetwarzanie danych dzieci do celów marketingowych, czy innowacyjne rozwiązania (np. biometryka, Internet Rzeczy). DPIA to nie jest dodatkowa biurokracja. To dokument, który pomaga Ci odpowiedzieć na pytanie: „Czy nasze działanie jest bezpieczne dla ludzi, zanim jeszcze zaczniemy je realizować?”. Jeśli stwierdzisz, że ryzyko jest wysokie i nie da się go zmniejszyć, musisz skonsultować się z UODO przed rozpoczęciem przetwarzania.

Przetwarzanie szczególnych kategorii danych osobowych przetwarzanych w ramach organizacji

Dane szczególne kategorii (wrażliwe) – o zdrowiu, pochodzeniu rasowym lub etnicznym, poglądach politycznych, przekonaniach religijnych, światopoglądowych, przynależności do związków zawodowych, dane genetyczne, biometryczne w celu jednoznacznego zidentyfikowania osoby, dane o życiu seksualnym lub orientacji seksualnej – podlegają szczególnie rygorystycznym zasadom. Art. 9 RODO generalnie zakazuje ich przetwarzania. Wyjątki? Są, ale wąskie: wyraźna zgoda osoby, obowiązek prawny (np. w zatrudnieniu – dane o niepełnosprawności), ochrona żywotnych interesów, cele profilaktyki zdrowotnej, archiwalne w interesie publicznym. Jeśli administrator decyduje się na ich przetwarzanie, musi wdrożyć dodatkowe środki. Często będzie wymagana DPIA. I pamiętaj – zgoda musi być wyraźna (explicit consent), nie domniemana. Nie możesz ukryć zgody na dane wrażliwe w długim regulaminie. To musi być osobne, świadome potwierdzenie. W praktyce, w organizacjach najczęściej spotykane są dane o stanie zdrowia (u pracodawcy – zaświadczenia lekarskie, w firmach ubezpieczeniowych) oraz dane biometryczne (systemy kontroli dostępu na podstawie odcisku palca). Każdy taki przypadek wymaga analizy prawnej.

Przekazywanie danych osobowych do państw trzecich – obowiązki administratora

Co, gdy Twoja firma korzysta z amerykańskiego chmurowego serwera (np. AWS, Google Cloud, Microsoft Azure) albo zatrudnia podwykonawcę z Chin? To jest właśnie przekazywanie danych do państwa trzeciego (poza EOG). RODO nie zabrania tego, ale stawia rygorystyczne warunki (rozdział V). Administrator ma obowiązek upewnić się, że państwo trzecie zapewnia odpowiedni stopień ochrony (decyzja Komisji Europejskiej o odpowiednim stopniu ochrony – tzw. „adequacy decision”) lub – jeśli nie – zastosować odpowiednie zabezpieczenia, np. standardowe klauzule umowne (SCC) lub wiążące reguły korporacyjne (BCR). Dla USA, po wyroku Schrems II, zwykłe SCC nie wystarczą. Potrzebujesz dodatkowej oceny i wdrożenia uzupełniających środków (np. szyfrowanie end-to-end, anonimizacja). Przekazywanie danych bez tych zabezpieczeń jest nielegalne. A kary? Takie samo jak za inne naruszenia. To jak wysłanie listu z tajemnicami firmy pocztą, która nie gwarantuje, że list nie zostanie otwarty. Nie ryzykuj. Zawsze dokumentuj podstawę przekazania i przeprowadź ocenę ryzyka dla praw osób, których dane dotyczą.

Zobacz więcej:  Profilowanie danych osobowych - jak robić to legalnie i odpowiedzialnie?

Jakie przepisy regulują działalność administratora danych?

Ogólne rozporządzenie o ochronie danych (RODO) – kluczowe przepisy

RODO, czyli rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r., to fundament. Jest bezpośrednio stosowane we wszystkich państwach członkowskich UE od 25 maja 2018 r. Kluczowe artykuły dla administratora to:

  • Art. 5 – zasady przetwarzania,
  • Art. 6 – przesłanki legalności,
  • Art. 7 – warunki zgody,
  • Art. 12-22 – prawa osób,
  • Art. 24 – odpowiedzialność administratora,
  • Art. 28 – umowa powierzenia,
  • Art. 30 – rejestr czynności,
  • Art. 32 – bezpieczeństwo,
  • Art. 33-34 – zgłaszanie naruszeń,
  • Art. 35 – DPIA,
  • Art. 37 – inspektor ochrony danych,
  • Art. 44-49 – przekazywanie do państw trzecich.

RODO jest jak konstytucja ochrony danych. Nie można go ignorować. Każdy administrator powinien mieć przynajmniej podstawową znajomość tych przepisów. Polecam zacząć od wdrożenie RODO – to proces, nie jednorazowa akcja.

Ustawa o ochronie danych osobowych – przepisy krajowe

10 maja 2018 r. weszła w życie nowa ustawa o ochronie danych osobowych (Dz.U. z 2019 r. poz. 1781 ze zm.), która uzupełnia RODO. Nie jest to już stara ustawa z 1997 roku. Nowa ustawa reguluje przede wszystkim sprawy proceduralne przed Prezesem UODO, kwestie postępowań w sprawie naruszeń, a także wprowadza przepisy o karach pieniężnych (choć te głównie wynikają z RODO). Ustawa określa też m.in. zadania inspektora ochrony danych w kontekście krajowym, a także wprowadza przepisy szczególne dotyczące przetwarzania danych w celach archiwalnych, naukowych, statystycznych i planistycznych. Co ważne, ustawa krajowa może uszczegóławiać pewne obszary, ale nie może obniżać standardu ochrony wynikającego z RODO. Przykład? Ustawa wskazuje, że Prezes UODO może nałożyć karę pieniężną na podmiot publiczny, ale tylko w ograniczonym zakresie. Administrator musi śledzić obie te regulacje – europejską i krajową. To jak gra na dwóch fortepianach jednocześnie.

Obowiązki administratora danych osobowych wynikające z art. rozporządzenia

Podsumowując, obowiązki administratora można podzielić na kilka grup: obowiązek informacyjny (art. 13,14), obowiązek dbania o jakość danych (art. 5 lit. d), obowiązek minimalizacji (art. 5 lit. c), obowiązek rozliczalności (art. 5 ust. 2, art. 24), obowiązek prowadzenia dokumentacji (art. 30), obowiązek zapewnienia bezpieczeństwa (art. 32), obowiązek zgłaszania naruszeń (art. 33,34), obowiązek przeprowadzania DPIA (art. 35) i obowiązek wyznaczenia IOD (art. 37). Każdy z tych obowiązków ma charakter ciągły, a nie jednorazowy. To oznacza, że administrator nie może „wdrożyć RODO” i zapomnieć. Musi regularnie weryfikować, czy procedury są aktualne, czy pracownicy pamiętają o zasadach, czy umowy powierzenia są podpisane, a rejestry czynności uzupełniane. W praktyce, jeśli Państwo prowadzicie firmę i czujecie się przytłoczeni tym zakresem obowiązków, rozważcie skorzystanie z outsourcing Inspektora Ochrony Danych Osobowych lub profesjonalnego doradztwa. To często tańsze i skuteczniejsze niż samodzielne błądzenie w gąszczu przepisów.

Podsumowanie

Rola administratora danych osobowych to nie tylko tytuł czy formalne wyznaczenie w regulaminie. To przede wszystkim realna odpowiedzialność i konkretne zadania, które wpływają na codzienne funkcjonowanie każdej organizacji – od jednoosobowej działalności gospodarczej po międzynarodowy koncern. Administrator ustala cele i sposoby przetwarzania, odpowiada za bezpieczeństwo, dokumentację, realizację praw osób, których dane dotyczą, a także za reagowanie na naruszenia i współpracę z UODO. Pamiętaj, że RODO nie jest karą – jest narzędziem, które pomaga budować zaufanie między Tobą a klientami, pacjentami czy kontrahentami. Zaniedbania w tym obszarze to nie tylko ryzyko finansowe (kary do 20 mln euro lub 4% rocznego obrotu), ale przede wszystkim utrata reputacji, która w dzisiejszych czasach bywa nie do odratowania. Traktuj ochronę danych poważnie. Jeśli czujesz, że potrzebujesz wsparcia, nie odkładaj tego na później – skonsultuj się z ekspertem. W końcu lepiej zapobiegać, niż leczyć skutki wycieku danych. A wyciek danych potrafi zniszczyć firmę w ciągu jednej nocy.

FAQ

  1. Czy każda firma musi mieć administratora danych osobowych?Tak, każda firma przetwarzająca dane osobowe musi wyznaczyć administratora. Może nim być właściciel, wspólnik lub wyznaczona osoba. Nie trzeba go „zatrudniać na etat” – rola może być łączona z innymi funkcjami, o ile nie ma konfliktu interesów. Obowiązek wyznaczenia IOD dotyczy tylko niektórych podmiotów (z art. 37 RODO).
  2. Jakie są konsekwencje braku wyznaczenia inspektora ochrony danych, mimo obowiązku?Konsekwencje mogą być dotkliwe. Prezes UODO może nałożyć karę administracyjną – zgodnie z art. 83 RODO, naruszenie obowiązku wyznaczenia IOD podlega karze do 10 mln euro lub 2% rocznego obrotu. Dodatkowo, w przypadku kontroli, brak IOD jest traktowany jako brak podstawowego środka organizacyjnego.
  3. Czy administrator danych osobowych może przetwarzać dane bez zgody osoby?Owszem, i to bardzo często. Zgoda to tylko jedna z sześciu podstaw prawnych z art. 6 RODO. Inne to: niezbędność do wykonania umowy, obowiązek prawny, ochrona żywotnych interesów, zadanie w interesie publicznym lub prawnie uzasadniony interes administratora. W wielu przypadkach (np. dane pracownicze, księgowe) nie potrzebujesz zgody, a jedynie wskazania innej podstawy.
  4. Czym różni się audyt RODO od zwykłej kontroli?Audyt RODO to systematyczne i udokumentowane badanie zgodności procesów przetwarzania z przepisami. Może być wewnętrzny lub zewnętrzny. Jego celem jest identyfikacja luk i ryzyk. Zwykła kontrola (np. sanepidu czy UODO) to działanie zewnętrzne, które może zakończyć się sankcjami. Audyt jest dobrowolny, ale wysoce zalecany – pozwala uniknąć nieprzyjemnych niespodzianek podczas kontroli. Zachęcamy do skorzystania z profesjonalnego audytu RODO.
  5. Kiedy administrator musi zgłosić naruszenie do UODO?W ciągu 72 godzin od momentu dowiedzenia się o naruszeniu, chyba że jest mało prawdopodobne, że naruszenie skutkuje ryzykiem naruszenia praw lub wolności osób fizycznych. Jeśli nie zgłosisz w terminie, musisz podać uzasadnienie opóźnienia. W razie wątpliwości – lepiej zgłosić. Niezgłoszenie może być uznane za celowe zaniedbanie i skutkować wyższą karą.

Spis treści

Spis treści
Artykuły w tym temacie:

Inne artykuły w tym temacie

Anonimizacja i pseudonimizacja
13 min
Anonimizacja i pseudonimizacja – skuteczne sposoby ochrony danych osobowych
Anonimizacja to proces trwałego i nieodwracalnego pozbawienia danych osobowych cech pozwalających na zidentyfikowanie osoby fizycznej. Zgodnie z motywem 26 preambuły RODO, zasady ochrony danych nie powinny mieć zastosowania do informacji anonimowych, czyli takich, które nie wiążą się ze zidentyfikowaną lub możliwą do zidentyfikowania osobą fizyczną.

Czytaj wpis
Raport EDPB
11 min
Co zmienia nowy raport EDPB w sprawie plików cookies, zgód i RODO?
Początek 2026 roku przyniósł przedsiębiorcom i administratorom danych kolejne wyzwania z zakresu compliance. Najnowszy raport Europejskiej Rady Ochrony Danych (EDPB - European Data Protection Board) rzuca nowe światło na praktyki związane ze zbieraniem zgód na pliki cookie. Zmiany te nie są jedynie kosmetyką interfejsów użytkownika, lecz głęboką ingerencją w to, jak organizacje muszą podchodzić do transparentności i bezpieczeństwa informacji. Przyjrzyjmy się szczegółowo, co dokładnie oznaczają te wytyczne w praktyce.

Czytaj wpis
CNIL i sztuczna inteligencja
12 min
CNIL i sztuczna inteligencja – nowe narzędzia do zgodnego z RODO rozwoju AI
Dynamiczny rozwój systemów sztucznej inteligencji nie zwalnia organizacji z obowiązku przestrzegania praw podstawowych, w tym bezwzględnego prawa do prywatności. Wytyczne i narzędzia udostępniane przez francuski organ nadzorczy (CNIL) stanowią nieoceniony drogowskaz dla administratorów danych, pozwalający na bezpieczne nawigowanie na skomplikowanym styku przepisów RODO oraz nowego rozporządzenia AI Act.

Czytaj wpis
Jeśli skorzystasz z opcji umówienia konsultacji, będę przetwarzać Twoje dane w celu organizacji spotkania i ewentualnie dalszej korespodencji. Więcej informacji znajdziesz w  Polityce prywatności.
Spotkajmy się

Umów bezpłatną konsultację

Nie wiesz, czy potrzebujesz audytu, dokumentacji, a może po prostu jednej opinii? Nie musisz wybierać usługi na początku — najpierw porozmawiajmy.

Skorzystaj z 30-minutowej, niezobowiązującej bezpłatnej konsultacji. Omówimy Twoją sytuację i podpowiem, jakie działania mają sens w Twoim przypadku — czy chodzi o RODO, e-commerce, bezpieczeństwo danych, czy coś zupełnie innego.

Wybierz dogodny termin w kalendarzu obok — resztą zajmę się ja.

Logotyp Orlicki
Al. Stanów Zjednoczonych 20/89
03-964 Warszawa
NIP: 799 ​​197​34​​ 91
Numer wpisu: WAW/ADW/11630
+48 790 703 900 kontakt@adwokat-orlicki.pl
Umów bezpłatną konsultację

Najważniejsze strony

RODO

Bezpieczeństwo informacji

E-commerce

Prawna obsługa biznesu

Obsługa osób fizycznych

Linkedin

© 2026 Adwokat Orlicki

|

Polityka prywatności

Projekt i wdrożenie: korg.software
Zamknięcie
Kontakt
Facebook
Instagram
Linkedin