W praktyce stosowania przepisów o ochronie danych osobowych jednym z najczęściej pojawiających się pytań jest: kto tak naprawdę jest administratorem danych osobowych? Od odpowiedzi na to pytanie zależy bowiem, kto ponosi odpowiedzialność za przestrzeganie RODO, kto decyduje o celach przetwarzania danych i jakie obowiązki ciążą na poszczególnych podmiotach.
To zagadnienie dotyczy nie tylko dużych firm i instytucji, ale także małych przedsiębiorców, organizacji społecznych czy wspólnot mieszkaniowych. Jeśli prowadzisz działalność gospodarczą, zatrudniasz pracowników, wysyłasz newslettery lub prowadzisz sklep internetowy – temat administratora danych dotyczy bezpośrednio Ciebie.
Kim jest administrator danych osobowych według RODO?
Zgodnie z art. 4 pkt 7 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 (RODO):
„Administrator oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych.”
Kluczowe elementy tej definicji to:
- „osoba fizyczna lub prawna, organ publiczny, jednostka lub inny podmiot” – oznacza to, że administratorem może być praktycznie każdy podmiot, ale w praktyce są to najczęściej organizacje, a nie osoby indywidualne,
- „ustala” – administrator podejmuje kluczowe decyzje dotyczące przetwarzania danych,
- „samodzielnie lub wspólnie z innymi” – możliwe jest współadministrowanie, gdy kilka podmiotów wspólnie ustala cele i sposoby przetwarzania,
- „cele i sposoby” – administrator określa „dlaczego” dane są przetwarzane i „jak” to przetwarzanie przebiega,
- „przetwarzania danych osobowych” – chodzi o każdą operację dokonywaną na danych osobowych, od ich zbierania po usuwanie.
Administrator to nie osoba w firmie
Warto podkreślić, że administratorem nie jest kierownik działu, członek zarządu czy pracownik zajmujący się danymi osobowymi. Nawet jeśli dana osoba faktycznie nadzoruje procesy przetwarzania danych, to administratorem pozostaje podmiot (firma, instytucja, urząd), w imieniu którego ta osoba działa.
Przykład:
- Spółka „AlfaTech” powołała inspektora ochrony danych, który odpowiada za przestrzeganie RODO. Jednak administratorem danych nadal pozostaje spółka „AlfaTech”, a nie inspektor czy prezes zarządu.
Jak rozpoznać administratora danych?
Administrator zawsze decyduje o najważniejszych elementach przetwarzania danych, w tym:
✔ jakie dane będą zbierane,
✔ w jakim celu będą przetwarzane,
✔ przez jaki okres będą przechowywane,
✔ kto będzie ich odbiorcą (np. kontrahenci, podwykonawcy, organy publiczne),
✔ jakie kategorie osób obejmuje przetwarzanie (np. klienci, pracownicy, pacjenci).
Z kolei podmiot przetwarzający (np. firma IT, zewnętrzne biuro rachunkowe, call center) działa na podstawie umowy z administratorem i realizuje jego wytyczne. Może samodzielnie dobierać narzędzia techniczne (np. wybór serwera, oprogramowania), ale nie decyduje o tym, „po co” dane są przetwarzane.
Przykłady z praktyki
📌 Przykład 1: Urząd gminy
Zgodnie z ustawą o pomocy społecznej, gmina ma obowiązek udzielać świadczeń mieszkańcom znajdującym się w trudnej sytuacji finansowej. Aby to zrobić, gromadzi dane o dochodach, liczbie osób w rodzinie, miejscu zamieszkania.
➡️ Administratorem danych jest urząd gminy, ponieważ to on ustala cel (świadczenia socjalne) oraz sposób ich realizacji (procedury administracyjne).
📌 Przykład 2: Newsletter w sklepie internetowym
Firma „Market24” prowadzi sklep online i gromadzi adresy e-mail klientów, aby wysyłać newslettery. Zleca techniczną obsługę wysyłki firmie „MailPro”.
➡️ Mimo że „MailPro” faktycznie wysyła wiadomości, administratorem danych pozostaje „Market24”, ponieważ to ona decyduje o tym, w jakim celu dane są zbierane (marketing) i jak długo będą wykorzystywane. „MailPro” jest tylko podmiotem przetwarzającym.
Współadministrator – kiedy występuje?
Zdarza się, że dwa lub więcej podmiotów wspólnie decydują o przetwarzaniu danych. Wtedy mówimy o współadministrowaniu. Przykład: bank i firma ubezpieczeniowa wspólnie prowadzą program lojalnościowy, ustalają warunki promocji i sposób zbierania danych klientów. W takiej sytuacji obie instytucje są współadministratorami.
Podsumowanie – jak nie pomylić ról?
- Administrator ➝ decyduje o celach i sposobach przetwarzania danych.
- Podmiot przetwarzający ➝ działa na zlecenie administratora i nie ustala, po co dane są zbierane.
- Osoby w organizacji (np. inspektor ochrony danych, kierownik IT) ➝ wykonują obowiązki w imieniu administratora, ale nie stają się nim osobiście.
- Współadministratorzy ➝ wspólnie decydują o przetwarzaniu i ponoszą współodpowiedzialność.
Podstawa prawna
- art. 4 pkt 7 – Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 (RODO)
Tematy porad zawartych w poradniku
- kto jest administratorem danych RODO
- różnica administrator a podmiot przetwarzający
- odpowiedzialność administratora danych osobowych
- współadministrowanie danymi RODO
Przydatne linki
- Urząd Ochrony Danych Osobowych: https://uodo.gov.pl
- Europejska Rada Ochrony Danych: https://edpb.europa.eu
- Tekst RODO w języku polskim: https://eur-lex.europa.eu/legal-content/PL/TXT/?uri=CELEX%3A32016R0679