Polityka ochrony danych osobowych Administrator: Placówka oświatowa ………………………………………………… Data przyjęcia: ………………………… I. Wprowadzenie Załącznik: Instrukcja zarządzania systemem informatycznym II. Definicje III. Dane osobowe IV. Przetwarzanie danych osobowych Załącznik: Procedura dotycząca zgody Załącznik: Wzór umowy powierzenia Załącznik: Ewidencja umów powierzenia V. Administrator Załącznik: Wykaz czynności OSOD Załącznik: Rejestr czynności przetwarzania Załącznik: Rejestr kategorii czynności przetwarzania Załącznik: Procedura – incydenty, naruszenia VI. Inspektor ochrony danych Zgłoszenie IOD-a VII. Administrator systemu informatycznego I Wprowadzenie Zgodnie z wymogami Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych – dalej Rozporządzenie UE) oraz Ustawy o ochronie danych osobowych administrator …………………….……………………………………………. (nazwa placówki oświatowej) zarządza procesem przetwarzania danych osobowych w ramach swojej organizacji, zgodnie z zasadami opartymi na obowiązujących przepisach w zakresie danych osobowych, które zostały zebrane w niniejszej Polityce ochrony danych osobowych. Polityka ochrony danych osobowych, zwana dalej Polityką, została sporządzona w związku z wymaganiami Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych – dalej RODO) oraz Ustawy o ochronie danych osobowych. W ramach tego dokumentu zebrano wszystkie informacje na temat dokumentacji, o której mowa w Rozporządzeniu, a także o przyjętych w ………………………………………………………… (nazwa placówki oświatowej) zasadach i procedurach przetwarzania danych osobowych. Jeśli w trakcie działania organizacji będą zachodziły zmiany w niniejszych regulacjach (zarówno w oparciu o przepisy prawa, jak również w związku ze zmianami i zapotrzebowaniem wynikającym z bieżącego funkcjonowania organizacji), będą one znajdowały odzwierciedlenie w niniejszej Polityce, w formie nowych załączników lub aktualizacji treści załączników uwzględnionych w niej obecnie. Zakres przedmiotowy stosowania Polityki Ochrony Danych Osobowych obejmuje wszystkie czynności przetwarzania danych osobowych realizowane przez Administratora zarówno wewnątrz jak i na zewnątrz Organizacji, z wykorzystaniem danych zapisanych w formie elektronicznej jak i papierowej. Zakres podmiotowy niniejszej dokumentacji obejmuje wszystkich pracowników i współpracowników Administratora, realizujące w jego imieniu i na jego rzecz czynności przetwarzania danych osobowych przez niego administrowanych. Podstawa prawna Zasady przetwarzania danych osobowych w szczególności regulują: • Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE • Ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2018 r. poz. 1000) • Ustawa o zmianie niektórych ustaw w związku z zapewnieniem stosowania rozporządzenia 2016/679 (obecnie jeszcze w fazie projektu). Polityka ochrony danych osobowych jest dokumentem poufnym i nie może być udostępniana podmiotom trzecim bez wcześniejszej zgody administratora. Celem Polityki ochrony danych osobowych jest ustalenie zasad bezpieczeństwa przetwarzania danych osobowych, których przestrzeganie i realne stosowane przez wszystkich pracowników i współpracowników Organizacji. Ma to zapewnić bezpieczeństwo danych osobowych w niej przetwarzanych. Polityka określa zasady pracy z wykorzystaniem zbiorów danych osobowych przetwarzanych tradycyjnie w postaci papierowej, jak również w systemach informatycznych. Zgodnie z wytycznymi wynikającymi z Rozporządzenia, administrator stosuje w procesie przetwarzania tzw. podejście oparte na ryzyku (risk based approach). Wiąże się to z dokonywaniem ciągłej oceny ryzyka i w sytuacjach, gdy ADO wprowadza zmiany do procesu przetwarzania danych lub wynikają one z zewnętrznych czynników, każdorazowo z przeprowadzeniem analizy ryzyka. Należy w niej uwzględnić ryzyko naruszenia praw i wolności osób, których dane administrator przetwarza, jak również ryzyko, jakie niesie to dla organizacji. W wyniku tej analizy administrator podejmie decyzje o rodzaju wdrażanych organizacyjnych i technicznych środków ochrony danych osobowych i konieczności przeprowadzenia pogłębionej analizy ryzyka tzw. oceny skutków dla ochrony danych osobowych. Rodzaj wdrożonych zabezpieczeń poza zidentyfikowanym poziomem ryzyka uzależniony jest od dostępności najnowszych rozwiązań technologicznych i możliwości budżetowych ADO. Szczegółowe wytyczne dotyczące stosowanych przez administratora zabezpieczeń systemu informatycznego służącego do przetwarzania danych osobowych zawiera Załącznik: Instrukcja zarządzania systemem informatycznym. II Definicje Organizacja – podmiot wskazany na pierwszej tytułowej stronie Polityki, dla celów którego niniejsza Polityka zostaje opracowana i wdrożona. Polityka – niniejszy dokument Polityki bezpieczeństwa danych osobowych. ADO – administrator danych osobowych; osoba fizyczna lub prawna, organ publiczny, jednostka organizacyjna lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i środki przetwarzania danych osobowych. IOD – inspektor ochrony danych, wyznaczony spośród pracowników administratora lub współpracujący z administratorem na zasadach outsourcingu specjalista nadzorujący stosowanie środków technicznych i organizacyjnych zapewniających ochronę przetwarzanych danych osobowych dobranych stosownie do zagrożeń oraz kategorii danych objętych ochroną. ASI – administrator systemu informatycznego, wyznaczony przez administratora danych osobowych specjalista odpowiedzialny za prawidłowe funkcjonowanie sprzętu, oprogramowania i ich konserwację, w zakresie wskazanym przez ADO. (RODO nie wskazuje na konieczność wyznaczenia ASI, w wielu organizacjach został on już powołany na bazie poprzedniej Ustawy o ochronie danych osobowych, warto więc to wykorzystać. Dobrze jest mieć w organizacji jedną osobę nadzorującą funkcjonowanie działu IT). PUODO – Prezes Urzędu Ochrony Danych Osobowych, będący organem powołanym do spraw z zakresu ochrony danych osobowych. UODO – organ nadzorczy – Urząd Ochrony Danych Osobowych. Odbiorca – osoba fizyczna lub prawna, organ publiczny, jednostka lub inny podmiot, któremu ujawnia się dane osobowe w oparciu m.in. o umowę powierzenia. Strona trzecia – osoba fizyczna lub prawna, organ publiczny, jednostka lub podmiot inny niż osoba, której dane dotyczą, które z upoważnienia administratora danych osobowych mogą przetwarzać dane osobowe. Podmiot przetwarzający (procesor) – oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który przetwarza dane osobowe w imieniu administratora. Użytkownik – osoba korzystająca w procesie realizacji zadań z systemu informatycznego administratora, posiadająca indywidualny login i hasło do systemu, rozpoczynająca w nim pracę uwierzytelnieniem. Ustawa – Ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz.U. z 2018 r. poz. 1000). RODO – Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE /Dz. Urz. UE.L nr 119. Dane osobowe zwykłe – wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej; możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej. Dane szczególnie chronione – dane ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych, dane genetyczne, dane biometryczne przetwarzane w celu jednoznacznego zidentyfikowania osoby fizycznej, dane dotyczące zdrowia, seksualności lub orientacji seksualnej oraz dane dotyczące wyroków skazujących oraz naruszeń prawa lub powiązanych środków bezpieczeństwa. Zbiór danych osobowych – uporządkowany zestaw danych osobowych dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest scentralizowany, zdecentralizowany czy rozproszony funkcjonalnie lub geograficznie. Przetwarzane danych – operacja lub zestaw operacji wykonywanych na danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, takich jak zbieranie, utrwalanie, przechowywanie, opracowywanie, łączenie, przesyłanie, zmienianie, udostępnianie i usuwanie, niszczenie itd. OSOD – DPIA (Data Protection Impact Assessment) – ocena skutków dla ochrony danych. Proces pozwalający ocenić, czy przetwarzanie danych w ramach określonej czynności niesie za sobą wysokie ryzyko, czy wdrożone środki ochrony pozwolą je zniwelować. System informatyczny – zespół współpracujących ze sobą urządzeń, programów, procedur przetwarzania informacji i narzędzi programowych zastosowanych w celu przetwarzania danych osobowych. System tradycyjny – zespół procedur organizacyjnych, związanych z mechanicznym przetwarzaniem informacji oraz wyposażenie i środki trwałe wykorzystywane w celu przetwarzania danych osobowych na papierze. Zabezpieczenie danych w systemie informatycznym – wdrożenie i eksploatacja stosownych środków technicznych i organizacyjnych zapewniających ochronę danych przed ich nieuprawnionym przetwarzaniem. Identyfikator użytkownika (login) – identyfikujący użytkownika systemów informatycznych ciąg znaków literowych, cyfrowych lub innych. Hasło – ciąg znaków literowych, cyfrowych lub innych, przypisany do identyfikatora użytkownika, znany jedynie osobie uprawnionej do pracy w systemie informatycznym. Usuwanie danych – zniszczenie danych osobowych lub ich modyfikacja, która uniemożliwia ustalenie tożsamości osoby, której dane dotyczą. Zabezpieczenie danych w systemie informatycznym – wdrożenie i eksploatacja stosownych środków technicznych i organizacyjnych, zapewniających ochronę danych przed ich nieuprawnionym przetwarzaniem. Zgoda osoby, której dane dotyczą – dobrowolne, konkretne, świadome i jednoznaczne okazanie woli, którym osoba, której dane dotyczą, w formie oświadczenia lub wyraźnego działania potwierdzającego, przyzwala na przetwarzanie dotyczących jej danych osobowych. III Dane osobowe 3.1. Zgodnie z definicją zapisaną w RODO dane osobowe oznaczają wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej, czyli osobie, której dane dotyczą. Możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora, takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej. Przy rozstrzyganiu, czy określona informacja lub informacje stanowią dane osobowe, administrator dokonuje zindywidualizowanej oceny, przy uwzględnieniu konkretnych okoliczności oraz rodzaju środków czy metod potrzebnych w określonej sytuacji do identyfikacji osoby. 3.2. Osobą możliwą do zidentyfikowania jest osoba, której tożsamość można określić bezpośrednio lub pośrednio, np. przez odwołanie się do konkretnego numeru identyfikacyjnego lub specyficznych czynników określających cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne danej osoby. Danymi osobowymi będą zarówno takie dane, które pozwalają na określenie tożsamości konkretnej osoby, jak i takie, które nie pozwalają na jej natychmiastową identyfikację, ale są, przy pewnym nakładzie kosztów, czasu i działań wystarczające do jej ustalenia. 3.3 Wyróżniamy dane osobowe zwykłe i dane osobowe wymagające szczególnej ochrony. Do tych zalicza się dane ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych oraz przetwarzania danych genetycznych, danych biometrycznych w celu jednoznacznego zidentyfikowania osoby fizycznej lub danych dotyczących zdrowia, czyli informacji o zdrowiu fizycznym lub psychicznym osoby fizycznej – w tym o korzystaniu z usług opieki zdrowotnej, dane dotyczące seksualności lub orientacji seksualnej osoby, do której należą. IV Przetwarzanie danych osobowych 4.1. Zasady przetwarzania danych osobowych w organizacji 1) Legalność – zapewnienie ochrony prywatności i przetwarzania danych zgodnie z prawem. 2) Bezpieczeństwo – dobranie odpowiedniego poziomu bezpieczeństwa danych do zidentyfikowanych zagrożeń i stałe działania monitorujące w tym zakresie. Zastosowane środki techniczne i organizacyjne do ochrony przetwarzanych danych osobowych w szczególności mają zabezpieczyć dane przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem. 3) Realizacja praw podmiotów danych – organizacja zapewnia przestrzeganie i realizację praw przysługujących osobom fizycznym, których dane przetwarza. 4) Rozliczalność – organizacja dokumentuje sposób realizacji obowiązków łączących się z przetwarzaniem danych osobowych i praw podmiotów danych, aby w każdej chwili móc wykazać zgodność. 5) Rzetelność i transparentność – w ramach organizacji wykazuje się dbałość o rzetelną i przejrzystą komunikację z osobami, których dane są przez nią przetwarzane. 6) Minimalizm – organizacja pozyskuje dane tylko w określonych przez siebie celach w zakresie niezbędnym do ich realizacji. 7) Prawidłowość – w procesie przetwarzania danych osobowych wykazywana jest dbałość o prawidłowość przetwarzanych danych i ich aktualizację. 8) Retencja danych – przechowywanie danych w postaci umożliwiającej identyfikację osób, których dotyczą, nie dłużej niż jest to niezbędne do osiągnięcia celu przetwarzania. 4.2. Dodatkowe zasady zapewniające bezpieczeństwo danych i informacji w organizacji: 1) Poufność informacji – informacje nie są udostępniane lub wyjawiane osobom nieupoważnionym, osoby nieuprawnione nie mają dostępu do danych. 2) Integralność informacji – informacje są kompletne i niezmieniane w sposób nieuprawniony. 3) Rozliczalność działań – wszystkie istotne czynności wykonane przy przetwarzaniu danych zostały zarejestrowane i jest możliwe zidentyfikowanie osoby, która daną czynność wykonała. 4) Niezawodność działań – wykonywane czynności prowadzą do zamierzonych skutków. 4.3. Zgodnie z zasadą legalności przetwarzanie danych osobowych jest dopuszczalne jedynie w sytuacjach, gdy administrator może powołać się na podstawę prawną do ich przetwarzania. Ogólne rozporządzenie o ochronie danych definiuje możliwe podstawy przetwarzania w art. 6, art. 9 i art. 10 RODO. Możemy wśród nich wyróżnić następujące sytuacje: 1) Dane zwykłe: a) osoba, której dane dotyczą, wyraziła zgodę na ich przetwarzanie (nie dotyczy to czynności usunięcia jej danych z przetwarzanych zbiorów), b) jest to konieczne do realizacji umowy, gdy osoba, której dane dotyczą, jest jej stroną, lub gdy jest to niezbędne do podjęcia działań przed zawarciem umowy na żądanie osoby, której dane dotyczą, c) jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa, d) jest niezbędne do wykonania określonych prawem zadań realizowanych dla dobra publicznego, e) przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi, f) jest to niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratora albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą. 2) Dane szczególnie chronione: a) osoba, której dane dotyczą, wyraziła wyraźną zgodę na przetwarzanie tych danych osobowych w jednym lub kilku konkretnych celach, chyba że prawo Unii lub prawo państwa członkowskiego przewidują, iż osoba, której dane dotyczą, nie może uchylić zakazu, o którym mowa w art. 9 ust. 1 RODO, b) przetwarzanie jest niezbędne do wypełnienia obowiązków i wykonywania szczególnych praw przez administratora lub osobę, której dane dotyczą, w dziedzinie prawa pracy, zabezpieczenia społecznego i ochrony socjalnej, o ile jest to dozwolone prawem Unii lub prawem państwa członkowskiego, lub porozumieniem zbiorowym na mocy prawa państwa członkowskiego, przewidującymi odpowiednie zabezpieczenia praw podstawowych i interesów osoby, której dane dotyczą, c) przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej, a osoba, której dane dotyczą, jest fizycznie lub prawnie niezdolna do wyrażenia zgody, d) przetwarzania dokonuje się w ramach uprawnionej działalności prowadzonej z zachowaniem odpowiednich zabezpieczeń przez fundację, stowarzyszenie lub inny niezarobkowy podmiot o celach politycznych, światopoglądowych, religijnych lub związkowych, pod warunkiem, że przetwarzanie dotyczy wyłącznie członków lub byłych członków tego podmiotu lub osób utrzymujących z nim stałe kontakty w związku z jego celami oraz że dane osobowe nie są ujawniane poza tym podmiotem bez zgody osób, których dane dotyczą, e) przetwarzanie dotyczy danych osobowych w sposób oczywisty upublicznionych przez osobę, której dane dotyczą, f) przetwarzanie jest niezbędne do ustalenia, dochodzenia lub obrony roszczeń lub w ramach sprawowania wymiaru sprawiedliwości przez sądy, g) przetwarzanie jest niezbędne ze względów związanych z ważnym interesem publicznym, na podstawie prawa Unii lub prawa państwa członkowskiego, które są proporcjonalne do wyznaczonego celu, nie naruszają istoty prawa do ochrony danych i przewidują odpowiednie i konkretne środki ochrony praw podstawowych i interesów osoby, której dane dotyczą, h) przetwarzanie jest niezbędne do celów profilaktyki zdrowotnej lub medycyny pracy, do oceny zdolności pracownika do pracy, diagnozy medycznej, zapewnienia opieki zdrowotnej lub zabezpieczenia społecznego, leczenia lub zarządzania systemami i usługami opieki zdrowotnej lub zabezpieczenia społecznego na podstawie prawa Unii lub prawa państwa członkowskiego, lub zgodnie z umową z pracownikiem służby zdrowia i z zastrzeżeniem przestrzegania określonych warunków i zabezpieczeń; należą do nich: przetwarzanie danych przez lub na odpowiedzialność – pracownika podlegającego obowiązkowi zachowania tajemnicy zawodowej na mocy prawa Unii lub prawa państwa członkowskiego, lub przepisów ustanowionych przez właściwe organy krajowe, lub przez inną osobę również podlegającą obowiązkowi zachowania tajemnicy zawodowej na mocy prawa Unii lub prawa państwa członkowskiego, lub przepisów ustanowionych przez właściwe organy krajowe, i) przetwarzanie jest niezbędne ze względów związanych z interesem publicznym w dziedzinie zdrowia publicznego, takich jak ochrona przed poważnymi transgranicznymi zagrożeniami zdrowotnymi lub zapewnienie wysokich standardów jakości i bezpieczeństwa opieki zdrowotnej oraz produktów leczniczych lub wyrobów medycznych, na podstawie prawa Unii lub prawa państwa członkowskiego, które przewidują odpowiednie, konkretne środki ochrony praw i wolności osób, których dane dotyczą, w szczególności tajemnicę zawodową, j) przetwarzanie jest niezbędne do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych, lub do celów statystycznych zgodnie z art. 89 ust. 1, na podstawie prawa Unii lub prawa państwa członkowskiego, które są proporcjonalne do wyznaczonego celu, nie naruszają istoty prawa do ochrony danych i przewidują odpowiednie, konkretne środki ochrony praw podstawowych i interesów osoby, której dane dotyczą. Przetwarzania danych osobowych dotyczących wyroków skazujących oraz naruszeń prawa lub powiązanych środków bezpieczeństwa na podstawie art. 6 ust. 1 wolno dokonywać wyłącznie pod nadzorem władz publicznych lub jeżeli przetwarzanie jest dozwolone prawem Unii lub prawem państwa członkowskiego przewidującymi odpowiednie zabezpieczenia praw i wolności osób, których dane dotyczą. Wszelkie kompletne rejestry wyroków skazujących są prowadzone wyłącznie pod nadzorem władz publicznych. 4.4. Szczególne wymogi co do podstaw przetwarzania: 1) Zgoda na przetwarzanie danych osobowych nie może być domniemana lub dorozumiana z oświadczenia woli o innej treści. Zgoda na przetwarzanie danych osobowych może obejmować również przetwarzanie danych w przyszłości, jeżeli nie zmienia się cel przetwarzania. 2) Zgoda na przetwarzanie danych osobowych może zostać odwołana w każdym czasie. W przypadku odwołania zgody na przetwarzanie danych osobowych administrator obowiązany jest usunąć wszystkie dane osobowe osoby, która zgodę cofnęła, chyba że istnieje inna podstawa prawna upoważniająca administratora do dalszego przetwarzania tych danych dla innych celów niż wskazany w cofniętej zgodzie. 3) Zaleca się odbieranie zgody w postaci możliwej do późniejszego udowodnienia (np. pisemnie lub z użyciem tzw. double-opt-in w ramach systemu informatycznego, czyli dwustopniowego potwierdzania udzielenia zgody, w formie nagrania rozmowy po uprzednim poinformowaniu rozmówcy o jej rejestrowaniu). 4) W przypadku powzięcia jakichkolwiek wątpliwości co do ewentualnej zgodności z prawem planowanych działań w zakresie przetwarzania danych, należy zwrócić się inspektora ochrony danych z wnioskiem o rozstrzygnięcie wątpliwości. Do momentu uzyskania odpowiedzi administrator powinien wstrzymać się z przetwarzaniem tych danych, co do których istnieją wątpliwości. Ostateczną decyzję na temat dalszego przetwarzania podejmuje administrator. Załącznik: Procedura dotycząca zgody 5) Uzasadniony interes administratora to najczęściej: prawo dochodzenia roszczeń z tytułu prowadzonej działalności oraz marketing bezpośredni własnych produktów lub usług, przy czym przy podejmowaniu działań marketingowych za pomocą środków komunikacji elektronicznej należy stosować przepisy Ustawy z dnia 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną oraz Ustawy z dnia 16 lipca 2004 r. Prawo telekomunikacyjne, które przewidują dalej idącą ochronę. 4.5. Powierzenie przetwarzania danych 1) Administrator w razie konieczności może powierzyć innemu podmiotowi przetwarzanie danych osobowych na potrzeby usług świadczonych dla administratora danych osobowych. Powierzenie przetwarzania odbywa się na podstawie umowy lub innego instrumentu prawnego, które podlegają prawu Unii lub prawu państwa członkowskiego i wiążą podmiot przetwarzający i administratora, określają przedmiot i czas trwania przetwarzania, charakter i cel przetwarzania, rodzaj danych osobowych oraz kategorie osób, których dane dotyczą, obowiązki i prawa administratora. 2) Administrator danych osobowych prowadzi dokument Ewidencji podmiotów, którym podmiot powierza dane osobowe w drodze umowy zawartej na piśmie, przetwarzanie danych. 3) Procesor będący podmiotem przetwarzającym może przetwarzać dane wyłącznie w zakresie i w celu przewidzianym w umowie. 4) Procesor obowiązany jest przed rozpoczęciem przetwarzania danych podjąć środki zabezpieczające przetwarzanie danych, o których mowa w Ustawie oraz w Rozporządzeniu. Załącznik: Wzór umowy powierzenia Załącznik: Ewidencja umów powierzenia 4.6. Udostępnianie danych 1) Udostępnianie danych osobowych, jest jedną z form ich przetwarzania. Udostępnianie danych osobowych można określić jako wszelkie działania umożliwiające innym niż administrator podmiotom zapoznanie się z nimi. 2) Nie jest istotne, czy udostępnianie danych ma charakter odpłatny czy nie, aby czynność była uznana za udostępnianie. Nie jest istotne, czy udostępnianie następuje w formie przekazu ustnego, pisemnego, za pomocą powszechnych środków przekazu lub poprzez sieć komputerową itd., aby czynność była uznana za udostępnianie. 3) Udostępnianie danych osobowych osobom lub podmiotom uprawnionym do ich otrzymania odbywa się na mocy przepisów prawa. 4) Udostępnione dane osobowe można wykorzystać wyłącznie zgodnie z przeznaczeniem, dla którego zostały udostępnione. 5) Administrator danych osobowych lub osoba przez niego upoważniona prowadzi dokument ewidencji podmiotów, którym podmiot udostępnia dane osobowe. Dokument zawiera informacje o udostępnieniu danych osobowych na rzecz wszystkich podmiotów, z wyłączeniem: a) osób upoważnionych do przetwarzania danych osobowych, b) osób, których dane dotyczą, c) organów państwowych lub samorządu terytorialnego, którym dane osobowe są udostępniane w związku z prowadzonym postępowaniem. Załącznik: Ewidencja podmiotów, którym przekazano dane V Administrator – obowiązki administratora danych osobowych 5.1. Wprowadza procedury zapewniające prawidłowe przetwarzanie danych osobowych. Uwzględnia w nich te omówione poniżej. 1) Privacy by design – ochrona danych w fazie projektowania, czyli tzw. domyślna ochrona danych. Zasada ta wymaga, by jeszcze przed rozpoczęciem realizowania danej czynności przetwarzania przewidywać miejsca zagrożeń dla danych osobowych i tak projektować działania, aby od początku poprzez wdrożenie odpowiednich środków ochrony, względnie modyfikację procesów przetwarzania, modyfikować zidentyfikowane ryzyka. 2) Ciągłe monitorowanie procesów przetwarzania i identyfikowanie potrzeb modyfikowania zastosowanych technicznych i organizacyjnych środków ochrony. 3) OSOD – ocena skutków dla ochrony danych osobowych. Procesy, które w trakcie przetwarzania danych osobowych w organizacji niosą za sobą wysokie ryzyko naruszenia praw i wolności osób, których dane są w nich przetwarzane, wymagają przeprowadzenia oceny. Organ nadzorczy (UODO) wskaże czynności przetwarzania, przy których z pewnością trzeba będzie przeprowadzić OSOD. Ogłoszona przez Urząd lista jest jeszcze procedowana. Załącznik: Wykaz czynności OSOD 4) Uprzednie konsultacje. Jeżeli ocena skutków dla ochrony danych wykaże wysokie ryzyko naruszenia praw i wolności osób, których dane przetwarza administrator, a próby zmniejszenia tego ryzyka poprzez zastosowanie różnych środków ochrony okażą się nieskuteczne, wówczas administrator jest zobowiązany skonsultować się z organem nadzorczym. Do czasu otrzymania opinii musi zawiesić czynności przetwarzania obarczone tym ryzykiem. Wzór wniosku, jaki trzeba wysłać do UODO (organu nadzorczego), znajduje się na stronie urzędu. Należy go dostarczyć w formie dokumentu elektronicznego opatrzonego bezpiecznym podpisem elektronicznym lub podpisem potwierdzonym profilem zaufanym ePUAP (art. 63 § 3a pkt 1 Kodeksu postępowania administracyjnego). Do wniosku trzeba dołączyć pełną ocenę skutków dla ochrony danych dotyczącą przetwarzania, którego dotyczy wniosek. Załącznik: Wniosek o uprzednie konsultacje 5.2. Szczegółowe obowiązki związane z przetwarzaniem danych osobowych 1) Bezpieczeństwo danych. W ramach inwentaryzacji danych administrator wyodrębnia miejsca i procesy, w których przetwarzane są dane osobowe, określa kategorie przetwarzanych danych i czynności, w jakich te dane są przetwarzane. Istotne jest wyodrębnienie w tych procesach danych szczególnie chronionych zgodnie z art. 9 i 10 RODO, a także zgodnie z art. 8 miejsc, gdzie przetwarzane są dane osobowe dzieci. Administrator ustala, czy dane osobowe podlegają profilowaniu i czy w oparciu o nie w stosunku do osób, których te dane dotyczą są podejmowane decyzje/działania rodzące skutki prawne. Wreszcie ustala, czy zachodzą procesy współadministrowania bądź powierzania przetwarzania danych osobowych. Istotne, aby administrator weryfikował i identyfikował sytuacje, gdy ma do czynienia z transgranicznym przetwarzaniem danych osobowych. Ważne, by prawidłowo ustalał wiodący organ nadzorczy i główną jednostkę organizacyjną zgodnie z wytycznymi RODO. ADO wdraża w organizacji zasady weryfikacji, czy w ramach procesów przetwarzania danych osobowych nie przekazuje się danych do państw trzecich (czyli poza Unię Europejską, Norwegię, Lichtenstein, Islandię) lub do organizacji międzynarodowych. W przypadku zaistnienia takiego przekazywania administrator wdraża odpowiednie zabezpieczenia i warunki takiego przekazywania. ADO odpowiada też za weryfikację i kontrolę wdrożonych środków ochrony, tak, by w sytuacji zmian, wdrażania nowych rozwiązań lub zmian przepisów były one poddawane przeglądom i uaktualnieniom. Jeśli w organizacji wyznaczono inspektora ochrony danych, to jest on w tym aspekcie dużym wsparciem ADO. 2) Prowadzenie Rejestru czynności przetwarzania. Administrator opracowuje, prowadzi i utrzymuje Rejestr czynności danych osobowych wykonywanych w organizacji. Rejestr ten jest narzędziem rozliczania zgodności przetwarzania danych z przepisami i regułami ochrony danych w organizacji. W Rejestrze odnotowuje podstawy prawne przetwarzania danych, dane na temat retencji danych i odpowiednio dobranych zabezpieczeniach. W Rejestrze odnotowuje się każdą czynność przetwarzania danych wyodrębnioną w procesie przetwarzania danych realizowanym w organizacji. Opisując te czynności, odnotowuje się co najmniej: a) nazwę czynności, b) cel przetwarzania, c) opis kategorii osób, d) opis kategorii danych, e) podstawę prawną przetwarzania, wraz z wyszczególnieniem kategorii uzasadnionego interesu spółki, jeśli podstawą jest uzasadniony interes, f) sposób zbierania danych, g) opis kategorii odbiorców danych (w tym przetwarzających), h) informację o przekazaniu poza EU/EOG, i) ogólny opis technicznych i organizacyjnych środków ochrony danych. Administrator może uwzględnić dodatkowe informacje wpływające na procesy zapewnienia właściwej ochrony danym osobowych, które przetwarza, a także umożliwić rozliczenie się z realizacji obowiązków wynikających z Rozporządzenia. Rejestr czynności przetwarzania jest podstawą do tworzenia pozostałych procedur i realizacji obowiązków, jakie ADO musi spełnić w związku z ochroną danych osobowych. Załącznik: Rejestr czynności przetwarzania 3) Prowadzenie Rejestru kategorii czynności przetwarzania. Obowiązek prowadzenia rejestrów kategorii czynności spoczywa na podmiotach przetwarzających, a wiec osób fizycznych lub prawnych, organów publicznych, jednostek lub innych podmiotów, które przetwarzają dane osobowe należące do administratora. Jeśli w organizacji będą realizowane zadania z wykorzystaniem danych osobowych wskazane przez innego administratora, wówczas takie czynności będą odnotowane w Rejestrze. W takich przypadkach organizacja nie będzie administratorem danych, a procesorem. Załącznik: Rejestr kategorii czynności przetwarzania 4) Obsługa praw jednostki. Administrator jest zobowiązany do stworzenia procedur związanych z realizacją praw podmiotów danych, czyli osób, których dane dotyczą. Procedury, jakie wdraża, mają zapewnić terminowe i zgodne z prawem realizowanie praw osób, których dane są przetwarzane w organizacji. Proces realizacji musi być odpowiednio udokumentowany, aby umożliwić ich rozliczenie i realizację. Administrator musi zapewnić jasną i czytelną komunikację z osobami, których dane przetwarza, szczególnie w zakresie realizowania ich praw. Osoby te muszą mieć możliwość łatwego skomunikowania się z ADO za pomocą adresu email, telefonu, formularza online dostępnego poprzez link umieszczony w odpowiednich miejscach na stronie internetowej administratora. 5.3. Prawa podmiotów danych 1) Dostęp do danych. Na żądanie osoby dotyczące dostępu do jej danych, należy potwierdzić, czy w organizacji są przetwarzane dane tej osoby czy też nie. Następnie, zgodnie z procedurą obowiązku informacyjnego w odniesieniu do art. 15 RODO, trzeba przekazać szczegóły przetwarzania jej danych. Dane mogą zostać przekazane osobie, której dotyczą, poprzez wydanie ich kopii. Nie ma wytycznych, w jakiej formie ma być przygotowana ta kopia. Pierwsze wydanie informacji jest bezpłatne, kolejna kopia może być udostępniona za opłatą uwzględniającą koszt przygotowania informacji. Aby móc zidentyfikować, czy to pierwsza czy kolejna kopia, administrator prowadzi w organizacji adnotacje w Rejestrze zgłoszeń dotyczących praw podmiotów danych. 2) Sprostowanie danych. Podmiot danych może dokonać sprostowania nieprawidłowych danych, które go dotyczą. Jeśli osoba dokonująca sprostowania zażąda podania odbiorców jej danych, administrator jest zobowiązanych udzielić jej stosownych informacji. 3) Uzupełnienie danych. Administrator umożliwia podmiotom danych aktualizowanie informacji, które ich dotyczą. Administrator ma jednak prawo odmówić realizacji takiego żądania, jeśli naruszałoby to zgodność z obowiązującymi przepisami (np. dotyczącymi minimalizacji danych). Administrator może wprowadzić procedury weryfikujące prawidłowość oświadczenia osoby, której dane dotyczą. 4) Usunięcie danych, tzw. prawo do zapomnienia. Możliwe jest dopiero po zweryfikowaniu, czy dane nie są niezbędne do celów, w których zostały zebrane ani czy nie są przetwarzane w innych celach oraz czy zgoda na ich przetwarzanie została cofnięta, a nie ma innej podstawy prawnej przetwarzania. Należy też sprawdzić, czy osoba, której te dane dotyczą, wniosła skuteczny sprzeciw względem przetwarzania tych danych bądź czy dane te były przetwarzane niezgodnie z prawem lub konieczność ich usunięcia wynika z obowiązku prawnego. Jeśli administrator decyduje się usunąć dane, zapewnia efektywną realizację tego prawa przy poszanowaniu wszystkich zasad ochrony danych, w tym bezpieczeństwa. Administrator weryfikuje też, czy nie zachodzą następujące wyjątki: a) korzystanie z prawa do wolności wypowiedzi i informacji, b) korzystanie z prawa do wywiązania się z prawnego obowiązku wymagającego przetwarzania danych na mocy prawa Unii lub prawa państwa członkowskiego, któremu podlega administrator, lub do wykonania zadania realizowanego w interesie publicznym, lub w ramach sprawowania władzy publicznej powierzonej administratorowi, c) przetwarzanie danych nie wynika z uwagi na względy interesu publicznego w dziedzinie zdrowia publicznego zgodnie z art. 9 ust. 2 lit. h) oraz i) i art. 9 ust. 3, lub nie służy celom archiwalnym w interesie publicznym, nie jest niezbędne do celów badań naukowych lub historycznych lub do celów statystycznych zgodnie z art. 89 ust. 1, o ile prawdopodobne jest, że prawo do bycia zapomnianym uniemożliwi lub poważnie utrudni realizację celów takiego przetwarzania, d) korzystanie z prawa do ustalenia, dochodzenia lub obrony roszczeń. Jeżeli administrator upublicznił dane podlegające usunięciu, to podejmuje rozsądne działania, w tym środki techniczne, by poinformować innych administratorów przetwarzających te dane osobowe o potrzebie usunięcia danych i dostępu do nich. 5) Ograniczenie przetwarzania, jest możliwe do zastosowania, gdy: a) osoba kwestionuje prawidłowość danych – na okres pozwalający sprawdzić ich prawidłowość, b) przetwarzanie jest niezgodne z prawem, a osoba, której dane dotyczą, sprzeciwia się usunięciu danych osobowych, żądając w zamian ograniczenia ich wykorzystywania, c) administrator nie potrzebuje już tych danych osobowych, ale są one potrzebne osobie, której dotyczą, do ustalenia, dochodzenia lub obrony roszczeń, d) osoba wniosła sprzeciw względem przetwarzania z przyczyn związanych z jej szczególną sytuacją – do czasu stwierdzenia, czy po stronie administratora zachodzą prawnie uzasadnione podstawy nadrzędne wobec podstaw sprzeciwu. W trakcie ograniczenia przetwarzania administrator jedynie przechowuje dane, nie mogą być one użyte w ramach innych czynności przetwarzania, chyba że w celu ustalenia, dochodzenia lub obrony roszczeń, lub w celu ochrony praw innej osoby fizycznej albo prawnej, lub z uwagi na ważne względy interesu publicznego. 6) Przenoszenie danych. Na żądanie osoby administrator jest zobowiązany wydać jej w postaci ustrukturyzowanego zbioru w powszechnie używanym formacie nadającym się do odczytu maszynowego dane, które jej dotyczą, lub przekazać je innemu, wskazanemu przez tą osobę administratorowi. Zakres przekazywanych danych obejmuje wszystkie dane, jakie osoba, której one dotyczą, dostarczyła administratorowi w związku z realizacją umowy lub na podstawie udzielonej zgody. 7) Sprzeciw w szczególnej sytuacji. Jeżeli osoba zgłosi umotywowany jej szczególną sytuacją sprzeciw względem przetwarzania jej danych, a te przetwarzane są przez administratora w oparciu o jego uzasadniony interes lub o powierzone w interesie publicznym zadanie, może on uwzględnić sprzeciw, o ile nie zajdą po jego stronie ważne, prawnie uzasadnione podstawy do przetwarzania, nadrzędne wobec interesów, praw i wolności osoby zgłaszającej sprzeciw, lub podstawy do ustalenia, dochodzenia lub obrony roszczeń. 8) Sprzeciw przy badaniach naukowych, historycznych lub celach statystycznych. Administrator, prowadząc badania naukowe, historyczne lub realizując cele statystyczne, może uwzględnić wniesiony przez podmiot danych sprzeciw wobec przetwarzania jego danych, chyba że przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym. 9) Sprzeciw względem marketingu bezpośredniego. Jeżeli osoba zgłosi sprzeciw względem przetwarzania jej danych przez administratora w celach marketingu bezpośredniego (w tym profilowania), administrator jest zobowiązany go uwzględnić. 10) Prawo sprzeciwu wobec profilowania i automatycznego podejmowania decyzji. Jeśli w organizacji dane przetwarzane są w sposób automatyczny, następuje profilowanie, w oparciu o które podejmowane są względem podmiotu danych automatyczne decyzje wywołujące skutki prawne lub inaczej w istotny sposób wpływające na daną osobę. Administrator zapewnia jej możliwość odwołania się od takiego przetwarzania. Skutkiem powinna być analiza sytuacji podmiotu danych i podjęcie decyzji w jego sprawie przez człowieka. Wyjątkiem mogą być sytuacje, gdy taka automatyczna decyzja jest niezbędna do zawarcia lub wykonania umowy lub wynika z przepisów prawa; jest wynikiem wyraźniej zgody osoby, której dane dotyczą. 5.4. Obowiązki informacyjne Klauzula informacyjna zawiera podstawowe informacje dotyczące tego, jakie dane osobowe należące do podmiotu danych, w jakich celach i na jakich zasadach przetwarza administrator. W zależności od sytuacji w ramach organizacji realizowane są obowiązki informacyjne wynikające z art. 13–15 RODO. W Organizacji wdraża się odpowiednie działania, które pomagają administratorowi wywiązać się z tych obowiązków, odpowiednio w sytuacjach pozyskiwania danych osobowych bezpośrednio od osób, których dotyczą, od osób trzecich oraz na prośbę podmiotu danych, którego dane są przetwarzane. Szczegóły tego procesu opisuje Procedura – obowiązek informacyjny. Załącznik: Procedura – obowiązek informacyjny 5.5. Pozostałe zobowiązania informacyjne w stosunku do podmiotów danych Administrator zobowiązany jest każdorazowo spełnić obowiązek: a) poinformowania o przedłużeniu ponad jeden miesiąc terminu na rozpatrzenie żądania związanego z uprawnieniami tej osoby, b) poinformowania wszystkich osób, których dane administrator chce zacząć przetwarzać w innym niż dotychczasowy celu o jego zmianie, c) bezzwłocznego poinformowania wszystkich osób o wystąpieniu naruszenia ochrony ich danych osobowych, powodującego wysokie ryzyko wystąpienia negatywnych konsekwencji dla tych osób, d) poinformowania o stosowaniu monitoringu wizyjnym z użyciem odpowiednich tablic i znaków ikonograficznych. Załącznik: Regulamin monitoringu1 5.6. Obowiązki informacyjne w stosunku do odbiorców danych Administrator niezwłocznie informuje odbiorców danych o sprostowaniu, usunięciu lub ograniczeniu przetwarzania danych (chyba że będzie to wymagało niewspółmiernie dużego wysiłku lub będzie niemożliwe). Administrator Danych jest zobowiązany wdrożyć odpowiednie procedury, które pomogą mu zrealizować obowiązek zawiadomienia o naruszeniach, a zatem poinformowania podmioty danych o naruszeniu ochrony ich danych osobowych, przeprowadzić ocenę wagi naruszenia i dokonać analizy ryzyka, jakie ono niesie dla osób, których dane dotyczą. Natomiast w przypadku stwierdzenia wysokiego ryzyka dla podmiotów danych procedury 1 W chwili publikacji materiału UODO prowadzi spotkania konsultacyjne, w tym dotyczące monitoringu wizyjnego. W najbliższym czasie wskazówki UODO dotyczące tego zagadnienia mają być zaktualizowane. 2 W obecnych przepisach dotyczących ochrony danych osobowych nie pojawia się żadne odwołanie do administratora systemu informatycznego. Tymczasem, bez względu na formalną nazwę stanowiska, osoba nadzorująca funkcjonowanie systemu informatycznego w organizacji jest niezmiernie ważną postacią. W zależności od nazwy stanowiska osoby sprawującej taką funkcję w organizacji można wprowadzić odpowiedni te pozwolą wywiązać się z obowiązku dokonania zgłoszenia naruszenia do organu nadzorczego (UODO) w terminie 72 godzin od ustalenia naruszenia. Załącznik: Procedura – incydenty, naruszenia VI Inspektor ochrony danych Administrator przeprowadza w organizacji analizę zakresu przetwarzania danych osobowych, kategorii przetwarzanych danych i przepisów. Po jej zakończeniu podejmuje decyzję o powołaniu lub nie inspektora danych osobowych. W przypadkach, gdy przepisy zobowiązują administratora do powołania IOD-a, wystarczy w ramach wspomnianej analizy powołać się na obowiązek prawny. Dokumentację przeprowadzenia analizy i wnioski są włączone do dokumentacji przetwarzania danych osobowych w organizacji (zasada rozliczalności). Inspektor wspiera administratora w dążeniu do jak najlepszego zabezpieczenia danych osobowych, realizując następujące zadania: 1) informuje administratora, jak również podmiotu przetwarzającego oraz pracowników, przetwarzających dane osobowe, o obowiązkach, jakie nakłada na nich RODO i inne przepisy Unii lub państw członkowskich o ochronie danych, i doradzanie im w kwestiach ich wypełniania, 2) monitoruje przestrzeganie Rozporządzenia i innych przepisów Unii lub państw członkowskich o ochronie danych oraz polityk administratora lub procesora w dziedzinie ochrony danych osobowych, w tym podział obowiązków, działania zwiększające świadomość, szkolenia personelu uczestniczącego w operacjach przetwarzania oraz powiązane z tym audyty, 3) administrator lub procesor konsultuje z inspektorem konieczność przeprowadzenia oceny skutków dla ochrony danych; sposobu przeprowadzenia tej oceny, możliwości przeprowadzenia tej oceny w ramach organizacji bądź zlecenia na zewnątrz, a także dostosowania zabezpieczeń (w tym środków technicznych i organizacyjnych), stosowanych do łagodzenia wszelkich zagrożeń praw i interesów osób, których dane dotyczą, 4) stanowi punkt kontaktowy pomiędzy: a) organem nadzorczym i administratorem lub procesorem, b) osobami, których dane dotyczą, a administratorem lub procesorem, 5) weryfikuje zgodności przetwarzania danych osobowych z przepisami z zakresu ochrony danych osobowych, 6) nadzoruje opracowywanie i aktualizację dokumentacji ochrony danych osobowych 7) szkoli osoby upoważnione do przetwarzania danych z zasad ich przetwarzania, przepisów i wewnętrznych procedur obowiązujących w organizacji. Inspektor ochrony danych jest wyznaczany na podstawie kwalifikacji zawodowych, a w szczególności wiedzy fachowej na temat prawa i praktyk w dziedzinie ochrony danych, oraz umiejętności wypełnienia zadań, o których mowa w art. 39 RODO. Inspektorem może być pracownik administratora lub procesora bądź podmiot wykonujący zadania na podstawie umowy o świadczenie usług. IOD podczas weryfikacji przez administratora wykazuje się znajomością przepisów dotyczących ochrony danych osobowych prawa krajowego i europejskiego, jak również stosowanych w tym zakresie praktyk. Orientuje się również w przepisach sektorowych, którym podlega administrator. Administrator jest zobowiązany zapewnić IOD-owi możliwości i środki do ciągłego doszkalania się w dziedzinie ochrony danych osobowych. Podmiot wyznaczający inspektora ma obowiązek zgłoszenia go do organy nadzorczego w formie specjalnego dokumentu elektronicznego dostępnego na stronie Urzędu: https://uodo.gov.pl. Tam też znajdują się pozostałe wnioski dotyczące zmiany IOD-a czy zmiany danych kontaktowych IOD-a. Załącznik: Zgłoszenie IOD-a VII Administrator systemu informatycznego2 Administrator systemu informatycznego posiada wiedzę niezbędną do utrzymania ciągłości działania systemu, wdrożenia rozwiązań niezbędnych do zapewnienia bezpieczeństwa systemu i zgromadzonych w nim zasobów. ASI jest dużą podporą dla administratora. Działając wespół z IOD-em, organizuje i tworzy bezpieczny system informatyczny. Główne zadania administratora systemów informatycznych to zapewnienie ciągłości działania systemu i bezpieczeństwa danych osobowych zgromadzonych w systemie. Administrator systemu informatycznego odpowiada za monitorowanie pracy systemu i prawidłowe działanie zabezpieczeń. Do zakresu jego obowiązków należy też monitorowanie nowych rozwiązań pojawiających się na rynku i rozwój infrastruktury informatycznej w ramach systemu informatycznego działającego w organizacji. ASI odpowiada również za konfigurację sieci, zarządzanie uprawnieniami i dostępami użytkowników oraz aktualizację systemów i aplikacji wykorzystywanych w systemie administratora. 2 W obecnych przepisach dotyczących ochrony danych osobowych nie pojawia się żadne odwołanie do administratora systemu informatycznego. Tymczasem, bez względu na formalną nazwę stanowiska, osoba nadzorująca funkcjonowanie systemu informatycznego w organizacji jest niezmiernie ważną postacią. W zależności od nazwy stanowiska osoby sprawującej taką funkcję w organizacji można wprowadzić odpowiedni opis do dokumentacji, np. zastępując ASI – dyrektorem, kierownikiem czy koordynatorem działu IT.