Administrator Danych to pojęcie często pojawiające się w kontekście RODO. Niewiele osób zdaje sobie jednak sprawę, kim tak naprawdę jest ten podmiot i czym się zajmuje. Dodatkowo trudność może sprawiać rozróżnienie Administratora Danych oraz osoby przetwarzającej dane. Wyjaśniamy zatem wszelkie wątpliwości.
Formalną definicję Administratora Danych można znaleźć w przepisach RODO. Zgodnie z ich treścią Administratorem Danych jest osoba fizyczna lub prawna, organ publiczny, jednostka lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych. Nie jest zatem tak, że tylko osoba fizyczna – konkretny człowiek – może administrować danymi. Równie dobrze Administratorem Danych może stać się określony urząd skarbowy, urząd miasta albo spółka z ograniczoną odpowiedzialnością. Ta kwestia jest niezwykle istotna ze względu na odpowiedzialność za ewentualne naruszenia.
Aby odpowiednio zrozumieć ideę Administratora Danych, należy zrozumieć również to, czym właściwie zajmuje się taki podmiot. Administrator Danych ustala cele przetwarzania danych osobowych oraz sposoby przetwarzania danych. Dla przykładu Administratorem Danych Osobowych w danym przedsiębiorstwie, prowadzonym w formie jednoosobowej działalności gospodarczej, będzie po prostu jej właściciel. Z kolei za administrowanie danymi osobowymi w danym urzędzie wojewódzkim będzie odpowiadał nie kto inny, jak właściwy wojewoda. To, jaki zakres obowiązków posiada każdorazowo Administrator Danych, zależy natomiast od indywidualnej sytuacji. Możliwych jest w tym zakresie wiele różnych konfiguracji.
Co również istotne, czasem dana osoba przetwarza dane nie jako Administrator Danych, ale jako podmiot przetwarzający dane, czyli tak zwany procesor. Czym to się różni? Warto tę kwestię przedstawić na przykładzie. Jeżeli osoba prowadząca działalność gospodarczą zatrudnia pracowników, to w odniesieniu do danych osobowych tych osób będzie Administratorem Danych. Z kolei ta osoba będzie wyłącznie procesorem, jeżeli dane osobowe przetwarzane będą na polecenie podmiotu zewnętrznego. Z taką sytuacją możemy mieć do czynienia chociażby przy realizacji określonej usługi, przy wykonywaniu której przetwarzane będą dane osobowe przekazane przez podmiot zlecający.
Przejęcie roli Administratora Danych niesie za sobą również pewne zobowiązania i odpowiedzialność. Osoba administrująca dane osobowe ma obowiązek przestrzegania przepisów RODO dotyczących ochrony danych osobowych oraz zapewnienia, że przetwarzanie danych odbywa się zgodnie z przepisami prawa. Administrator musi dbać o bezpieczeństwo danych, zapobiegać ich utracie, nieuprawnionemu dostępowi lub nieautoryzowanemu ujawnieniu. W przypadku naruszenia bezpieczeństwa danych, Osoba zajmująca się administrowaniem danych osobowych obowiązek zgłosić incydent organowi nadzorczemu oraz poinformować osoby, których dane dotyczą.
W niektórych przypadkach osoba administrująca dane osobowe jest zobowiązana do wyznaczenia Inspektora Ochrony Danych (IOD), zwłaszcza gdy przetwarzane są duże ilości danych osobowych lub dane są przetwarzane w sposób systematyczny i regularny. Inspektor Ochrony Danych pełni rolę nadzoru nad przestrzeganiem przepisów o ochronie danych osobowych w organizacji. Jego obowiązkiem jest monitorowanie procesów przetwarzania danych, udzielanie porad i instrukcji oraz współpraca z organem nadzorczym.
W niektórych sytuacjach podczas administracji danych osobowych potrzebna może okazać się pomoc podmiotów przetwarzających, takich jak zewnętrzne firmy IT, dostawcy usług hostingowych czy outsourcingowe centra obsługi klienta. W takich przypadkach Administrator Danych musi podpisać umowę powierzenia przetwarzania danych osobowych, w której określone są obowiązki i odpowiedzialność podmiotu przetwarzającego. Osoba zajmująca się administracją danych osobowych może być odpowiedzialna za przestrzeganie przepisów o ochronie danych osobowych, nawet jeśli dane są przetwarzane przez podmiot zewnętrzny.