Kto jest administratorem danych w spółce z o.o.?

Jarosław Peplinski – radca prawny

Administratorem danych osobowych w spółce z ograniczoną odpowiedzialnością jest ta spółka. Na tym zdaniu mógłbym zasadniczo zakończyć artykuł, bo uzyskałeś właśnie odpowiedź na swoje pytanie. Nie zrobię tego jednak, bo ustalenie tożsamości administratora to dopiero pierwszy krok. Jest tak ze względu na obowiązki jakie ciążą na administratorze, a ten artykuł ma na celu przekazanie Ci najistotniejszych informacji w tym zakresie.

Kto realizuje obowiązki administratora?

Jak już ustaliliśmy, administratorem danych osobowych przetwarzanych w spółce z ograniczoną odpowiedzialnością jest ta spółka. Przetwarzaniu podlegać mogą różne dane, co zależy przede wszystkim od obszaru, w którym ta spółka działa. Śmiało można jednak założyć, że przetwarzane są dane osobowe pracowników i klientów spółki.

Obowiązki administratora będzie realizować zarząd spółki z o.o., a w swoich działaniach będzie korzystał z pomocy zatrudnionego personelu. Z uwagi na to, że ochrona danych osobowych stanowi jeden z elementów compliance, osobą biorącą czynny udział w czynnościach powinien być compliance officer, jeżeli funkcjonuje w spółce. Nawet najlepiej zaprojektowany system ochrony danych osobowych nie ma szansy funkcjonować bez jego przestrzegania na każdym poziomie struktury organizacyjnej przedsiębiorstwa.

Jakie obowiązki ciążą na administratorze?

Na początku zaznaczmy, że RODO jest neutralne technologicznie. Oznacza to, że dobór metod i środków ochrony danych osobowych zależy zasadniczo od administratora. Zgodnie z zasadą rozliczalności powinien natomiast móc wykazać zgodność z przepisami. Z uwagi na tę zasadę prowadzi się dokumentację ochrony danych osobowych.

Mówiąc o obowiązkach administratora rozpocząłbym od przeprowadzenia rzetelnej analizy ryzyka dla przetwarzania danych osobowych. Stanowi ona punkt wyjścia do dalszych działań. Na podstawie zidentyfikowanych w niej ryzyk możliwe będzie dobranie adekwatnych środków ochrony danych osobowych, w tym opracowanie niezbędnych procedur. Wśród nich wskazałbym przede wszystkich te związane z przetwarzaniem danych osobowych w ramach zatrudnienia, korzystania z urządzeń i systemów informatycznych, oceny i zgłaszania naruszeń, privacy by design i privacy by default.

Kolejnym istotnym punktem na liście jest zadbanie o cyberbezpieczeństwo. To chyba kluczowe zadanie w czasie rozwoju nowych technologii. Jeżeli korzystasz z rozwiązań opartych na sztucznej inteligencji, koniecznie rozważ możliwości jej zastosowania – przetwarzanie danych osobowych w jej ramach budzi wiele wątpliwości. W odniesieniu do Chat GPT toczy się na chwilę pisania tego artykułu postępowanie przed Prezesem UODO, a o jego wynikach z pewnością przeczytasz na naszym blogu.

Koniecznie zwróć uwagę na realizację obowiązku informacyjnego wobec klientów, czyli przekazanie im informacji o przetwarzaniu danych osobowych. Zadbaj też o wprowadzenie skutecznego systemu zgłaszania naruszeń ochrony danych osobowych w spółce, który umożliwi szybkie i sprawne działanie. Jeżeli naruszenie jest poważne, zgodnie z RODO powinno ono zostać zgłoszone do Prezesa UODO w terminie 72 godzin od jego stwierdzenia. Czas jest też kluczowy w odniesieniu do podjęcia środków naprawczych lub minimalizujących negatywne skutki naruszenia.

W niektórych przypadkach spółka powinna wyznaczyć inspektora ochrony danych, choć oczywiście może to zrobić nawet wtedy, gdy nie zaistnieją ku temu przesłanki. Z pewnością natomiast warto rozważyć wsparcie w tym zakresie.

Odpowiedzialność administratora

Odpowiedzialną za zapewnienie ochrony danych osobowych jest spółka. To ona będzie adresatem postepowań związanych z naruszeniami ochrony danych osobowych, realizacją praw osób fizycznych, kontroli czy kar administracyjnych nakładanych przez Prezesa UODO. W wymiarze wewnętrznym odpowiedzialność za podejmowane działania i ich skuteczność jest zarząd.

Należy w tym miejscu wspomnieć także o odpowiedzialności karnej z tytułu nieuprawnionego przetwarzania danych osobowych, która została uregulowana przepisem art. 107 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych. Zgodnie z nim, działanie takie może skutkować karą grzywny, ograniczenia lub pozbawienia wolności.

Jeżeli masz wątpliwości co do stopnia ochrony danych osobowych w Twojej spółce zachęcamy do kontaktu z naszą Kancelarią. Pomożemy Ci w przeprowadzeniu audytu zgodności i na jego podstawie doradzimy, jakie środki warto podjąć dla poprawienia sytuacji.