Administrator Danych to pojęcie często pojawiające się w kontekście RODO. Niewiele osób zdaje sobie jednak sprawę, kim tak naprawdę jest ten podmiot i czym się zajmuje. Dodatkowo trudność może sprawiać rozróżnienie Administratora Danych oraz osoby przetwarzającej dane. Wyjaśniamy zatem wszelkie wątpliwości.
Formalną definicję Administratora Danych można znaleźć w przepisach RODO. Zgodnie z ich treścią Administratorem Danych jest osoba fizyczna lub prawna, organ publiczny, jednostka lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych. Nie jest zatem tak, że tylko osoba fizyczna – konkretny człowiek – może administrować danymi. Równie dobrze Administratorem Danych może stać się określony urząd skarbowy, urząd miasta albo spółka z ograniczoną odpowiedzialnością. Ta kwestia jest niezwykle istotna ze względu na odpowiedzialność za ewentualne naruszenia.
Aby odpowiednio zrozumieć ideę Administratora Danych, należy zrozumieć również to, czym właściwie zajmuje się taki podmiot. Administrator Danych ustala cele przetwarzania danych osobowych oraz sposoby przetwarzania danych. Dla przykładu Administratorem Danych Osobowych w danym przedsiębiorstwie, prowadzonym w formie jednoosobowej działalności gospodarczej, będzie po prostu jej właściciel. Z kolei za administrowanie danymi osobowymi w danym urzędzie wojewódzkim będzie odpowiadał nie kto inny, jak właściwy wojewoda. To, jaki zakres obowiązków posiada każdorazowo Administrator Danych, zależy natomiast od indywidualnej sytuacji. Możliwych jest w tym zakresie wiele różnych konfiguracji.
Co również istotne, czasem dana osoba przetwarza dane nie jako Administrator Danych, ale jako podmiot przetwarzający dane, czyli tak zwany procesor. Czym to się różni? Warto tę kwestię przedstawić na przykładzie. Jeżeli osoba prowadząca działalność gospodarczą zatrudnia pracowników, to w odniesieniu do danych osobowych tych osób będzie Administratorem Danych. Z kolei ta osoba będzie wyłącznie procesorem, jeżeli dane osobowe przetwarzane będą na polecenie podmiotu zewnętrznego. Z taką sytuacją możemy mieć do czynienia chociażby przy realizacji określonej usługi, przy wykonywaniu której przetwarzane będą dane osobowe przekazane przez podmiot zlecający.