Definicja administratora została określona w art. 4 pkt 7 RODO. Administrator danych osobowych na to podmiot, który samodzielnie lub wspólnie z innymi określa cele oraz sposób przetwarzania danych osobowych.
Kto jest administratorem danych osobowych?
Status administratora danych osobowych w ujęciu RODO przysługuje, osobie fizycznej lub prawnej, organowi publicznemu, jednostce lub innemu podmiotowi. Administrator danych osobowych może zatem być przykładowo: spółką akcyjną, związkiem wyznaniowym, stowarzyszeniem, przedsiębiorstwem, spółdzielnią, fundacją, spółką jawną lub osobą prowadzącą jednoosobową działalność gospodarczą. Powyższy spis stanowi katalog otwarty.
Z zakresu podmiotowego tego pojęcia wykluczyć należy natomiast osoby fizyczne, które przetwarzają dane osobowe w ramach czynności o czysto osobistym lub domowym charakterze. Jest to wyjątek wynikający z art. 2 ust. 2 lit. c RODO.
Administrator danych osobowych a współadministrowanie
Zgodnie z definicją przywołaną powyżej, administrator danych osobowych samodzielnie określa cele i sposoby przetwarzania danych osobowych. Istnieje jednak możliwość współpracy między dwoma ( lub więcej) administratorami na równych zasadach. Jeśli podmioty wspólnie uzgadniają cele przetwarzania, taką współpracę nazywamy współadministrowaniem danymi osobowymi. Niezbędna jest Ww takim przypadku niezbędne jest zawarcie umowy o współadministrowaniu pomiędzy podmiotami decydującymi o celach i sposobach przetwarzania danych osobowych.
Obowiązki administratora ochrony danych osobowych
Administrator danych osobowych pełni funkcję kluczową w procesie przetwarzania danych. To on jest podmiotem odpowiadającym za właściwe przetwarzanie danych oraz odpowiednie ich zabezpieczenie. Jest adresatem większości obowiązków wynikających z RODO. Wśród nich wymienić należy przede wszystkim obowiązek przetwarzania danych zgodnie z podstawowymi zasadami ujętymi w art. 5 RODO, czyli:
- zapewnienie, że w procesie przetwarzania danych osobowych respektowane będą zasada zgodności z prawem,
- zasada ograniczenia celu,
- zasada minimalizacji danych, zasada prawidłowości
- zasada ograniczenia celu.
Obowiązki administratora danych osobowych związane są także z zapewnieniem właściwej podstawy legalności przetwarzania danych, określonych w art. 6 lub art. 9 RODO.
Z kolei art. 24 RODO wprost wskazuje, że administrator ochrony danych osobowych zobowiązany jest do wdrożenia odpowiednich środków technicznych i organizacyjnych, aby przetwarzanie odbyło się zgodnie z przepisami. Do wspomnianych środków należy zaliczyć także wdrożenie odpowiednich polityk i procedur ochrony danych.
Wspomniane środki techniczne i organizacyjne powinny zostać wdrożone z uwzględnieniem charakteru, zakresu, kontekstu i celów przetwarzania, jak również ryzyka naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze. Ponadto administrator musi być w stanie zapewnić stopień bezpieczeństwa danych odpowiadający ryzyku naruszenia praw lub wolności osób, których dane przetwarza.
Jak wynika z treści art. 30 RODO administrator danych osobowych odpowiedzialny jest również za prowadzenie we właściwy sposób rejestru przetwarzania danych osobowych.
Administrator ochrony danych osobowych odpowiada także za dane, które powierzył innemu podmiotowi. tzw. podmiotowi przetwarzającemu. W przypadku administrator powinien nie tylko zawierzać stosowną umowę powierzenia przetwarzania danych, lecz także upewnić się, że podmiot przetwarzający zapewniać bezpieczeństwo tych danych.
Kolejne obowiązki administratora wynikające z RODO współpraca z organem nadzorczym, spełnienie obowiązków informacyjnych wobec osób, których dane dotyczą, czy realizacja praw podmiotów danych ujętych w art. 15-22 RODO, prowadzenie rejestrów czynności przetwarzania i rejestrów kategorii czynności przetwarzania. Nie należy zapominać również o realizacji tzw. zasady rozliczalności . W przypadku wszczęcia postępowania wyjaśniającego przed UODO lub w trakcie kontroli inspektorów UODO, to administrator ochrony danych osobowych będzie musiał udowodnić, że przetwarza dane zgodnie z wymogami RODO. Wreszcie administrator ponosi odpowiedzialność za wszelkie nieprawidłowości w procesie przetwarzania danych osobowych. Do niego należy podjęcie działań w przypadku wystąpienia incydentu lub naruszenia, minimalizacja skutków, a w razie potrzeby także notyfikacja do UODO, czy powiadomienie o incydencie osoby, której dane dotyczą.
W rezultacie określanie, kto jest administratorem danych osobowych powinno opierać się na tym kto faktycznie podejmuje decyzje w kwestii przetwarzania danych osobowych, czyli ustala cele i środki przetwarzania danych. W praktyce rozróżnienie to nie jest jednak tak oczywiste bowiem może zdarzyć się, że administrator danych osobowych jest jednocześnie podmiotem przetwarzającym.