Artykuły eksperckie

Ogólne rozporządzenie o ochronie danych osobowych (RODO) posługuje się wieloma pojęciami, które mogą się przedsiębiorcom, którzy nie interesowali się tym obszarem, mylić. Do takich terminów należy z pewnością administrator (zwany także administratorem danych lub administratorem danych osobowych). W naszej praktyce prawniczej często spotykamy się z pytaniami kto tak naprawdę nim jest w organizacji danego przedsiębiorcy. W potocznym rozumieniu termin „administrator danych” może mylić się na przykład z „podmiotem przetwarzającym” czy też z „inspektorem ochrony danych”, które również są używane w RODO. Każde z nich oznacza inny podmiot lub osobę.

Definicja administratora danych osobowych

Pojęcie administratora danych osobowych jest jednym z najczęściej przywoływanych terminów w kontekście przepisów RODO. Mimo to ustalenie podmiotu posiadającego status ADO nie zawsze będzie proste, a określenie zakresu obowiązków bywa jeszcze trudniejsze.

Definicja administratora znalazła się w art. 4 pkt 7 rozporządzenia RODO. Pod tym pojęciem należy rozumieć osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych.

Co to oznacza w praktyce? Administrator decyduje:

• dlaczego dane są przetwarzane (cel przetwarzania)
• w jaki sposób cel ten zostanie osiągnięty (środki przetwarzania)

Innymi słowy, administrator to podmiot, który ma faktyczne władztwo nad danymi osobowymi i podejmuje kluczowe decyzje dotyczące:

• jakie dane będą przetwarzane?
• jak długo będą przechowywane?
• kto będzie miał do nich dostęp?
• czyje dane będą gromadzone?

Już na pierwszy rzut oka widać więc, że sam fakt przetwarzania danych osobowych nie wystarcza, aby firma otrzymała status ADO. Taką funkcję może pełnić np. podmiot przetwarzający dane osobowe na zlecenie administratora (procesor). Niezbędne jest, aby ADO mógł określać w jakim celu oraz w jaki sposób dane osobowe mają być przetwarzane. Co rozumieć poprzez cel i sposób przetwarzania?

Cel udziela odpowiedzi na pytanie – „Po co?” Dane osobowe mogą być przetwarzane np. w celach marketingowych, związanych ze świadczeniem zakontraktowanych usług czy realizacji obowiązków ustawowych ciążących na administratorze.

Z kolei sposób przetwarzania danych osobowych odpowiada na pytanie „Jak?” W celu określenia możliwych sposobów przetwarzania danych warto odwołać się do brzmienia art. 4 ust. 2 RODO, zgodnie z którym dane osobowe mogą być przetwarzane w sposób zautomatyzowany lub niezautomatyzowany, m.in. poprzez ich zbieranie, utrwalanie, organizowanie, porządkowanie, modyfikowanie, pobieranie czy usuwanie. Tak naprawdę każda operacja mająca za przedmiot dane osobowe będzie formą ich przetwarzania, chociażby polegała wyłącznie na ich przechowywaniu w chmurze czy przeglądaniu.

Administrator może przetwarzać dane osobowe samodzielnie, jak i przy współudziale innych podmiotów. W tym drugim przypadku mówi się o współadministrowaniu.

Sprawdź również: Audyt zgodności z RODO – jak go przeprowadzić?

Współadministratorzy danych

RODO przewiduje również sytuację, w której dwa lub więcej podmioty wspólnie ustalają cele i sposoby przetwarzania – stają się wtedy współadministratorami. W takiej sytuacji powinni oni w przejrzysty sposób określić swoje obowiązki, zwłaszcza dotyczące realizacji praw osób, których dane dotyczą.

Czy administrator danych osobowych musi przetwarzać dane osobowe?

Często jest tak, że administrator danych osobowych będzie je jednocześnie przetwarzał. Możliwa jest jednak sytuacja, kiedy określi on jedynie cele i sposoby przetwarzania, ale całym procesem będzie zajmował się zupełnie inny podmiot. W takiej sytuacji nadal jednak na ADO ciążą obowiązki charakterystyczne dla administratora. Podmiot przetwarzający nie może – bez ryzyka odpowiedzialności prawnej – poza wytyczone granice operacji na danych wykroczyć.

Administrator a podmiot przetwarzający (procesor)

Podmiot przetwarzający (często określany jako procesor) to osoba fizyczna lub prawna, organ publiczny, jednostka lub inny podmiot, który przetwarza dane osobowe w imieniu administratora. Kluczowa różnica polega na tym, że procesor działa na polecenie administratora i nie decyduje samodzielnie o celach i sposobach przetwarzania.

Przykłady podmiotów przetwarzających:

• firma hostingowa przechowująca dane klientów sklepu internetowego;
• zewnętrzna księgowość przetwarzająca dane pracowników;
• dostawca usługi chmurowej, w której przechowywane są dokumenty zawierające dane osobowe.

Zgodnie z art. 28 RODO: „Jeżeli przetwarzanie ma być dokonywane w imieniu administratora, korzysta on wyłącznie z usług takich podmiotów przetwarzających, które zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi niniejszego rozporządzenia i chroniło prawa osób, których dane dotyczą.”

Z tego przepisu wynikają istotne konsekwencje dla administratorów:

1. Odpowiedzialność za wybór odpowiedniego procesora spoczywa na administratorze
2. Administrator musi upewnić się, że procesor gwarantuje bezpieczeństwo danych
3. Relacja między administratorem a procesorem powinna być uregulowana umową powierzenia przetwarzania danych

Relacja administrator-procesor może być złożona, zwłaszcza gdy procesor korzysta z usług podprocesorów. W takiej sytuacji procesor musi uzyskać uprzednią zgodę administratora na korzystanie z usług innych podmiotów.

Kto konkretnie może być administratorem?

Status administratora danych może przysługiwać:

• osobie fizycznej,
• osobie prawnej (np. spółce z o.o., spółce akcyjnej),
• organowi publicznemu,
• jednostce organizacyjnej,
• innemu podmiotowi.

Warto podkreślić, że jest to katalog otwarty, a bycie administratorem nie jest związane z posiadaniem osobowości prawnej.

Udzielenie odpowiedzi na pytanie o to, kto tak naprawdę wykonuje obowiązki administratora danych osobowych wymaga przyjrzenia się bliżej strukturze podmiotu posiadającemu status ADO. O ile administratorem zawsze jest dany podmiot występujący na rynku (np. spółka akcyjna, spółka jawna), obowiązki w tym zakresie zawsze podejmują osoby uprawnione do jego reprezentacji zgodnie z treścią umowy lub statutu. W zależności od formy organizacyjnoprawnej mogą to być np.:

• członkowie zarządu w spółce kapitałowej;
• komplementariusze w spółce komandytowej czy komandytowo-akcyjnej;
• wspólnicy w spółce jawnej;
• indywidualni przedsiębiorcy prowadzący JDG.

Z samego faktu odwołania członka zarządu czy zmiany składu osobowego w spółce jawnej nie wynika jednak zmiana administratora.

Sprawdź również: Outsourcing funkcji Inspektora Ochrony Danych. Jak możemy Ci pomóc?

Obowiązki administratora danych osobowych

Podmiot będący ADO musi wypełnić cały szereg obowiązków wymienionych w RODO. Które z nich są szczególnie istotne?

Przede wszystkim administrator zapewnia, że dane osobowe są przetwarzane na podstawie przynajmniej jednej spośród przesłanek legalizacyjnych. W przypadku danych „zwykłych” warunki te wymienia art. 6 RODO, w przypadku danych szczególnych – art. 9 rozporządzenia. Brak możliwości wykazania legalności oznacza, że dane są przetwarzane bez podstawy prawnej.

Co więcej ADO zapewnia także, że przetwarzanie zachodzi w sposób zgodny z zasadami RODO, czyli regułą:

• zgodności z prawem, rzetelności i przejrzystości;
• ograniczenia celu;
• minimalizacji przetwarzania;
• prawidłowości;
• ograniczenia przechowywania;
• integralności i poufności.

Tę zgodność należy dokumentować w sposób, który w razie ewentualnej kontroli pozwala na odwołanie się do zasady rozliczalności. Zakłada ona, że za przetwarzanie danych zgodne z RODO uważa się działania uzasadnione i wystarczające w danym kontekście dla ochrony informacji. Zasada rozliczalności wiąże się nierozerwalnie z obowiązkiem wdrożenia (i sfinansowania) odpowiednich zabezpieczeń technicznych i organizacyjnych.

Administrator danych ma obowiązek poinformować osobę, której dane dotyczą, m.in. o: celu przetwarzania, podstawie prawnej przetwarzania, danych kontaktowych ADO, danych kontaktowych Inspektora Ochrony Danych Osobowych (jeżeli został powołany) oraz zamiarze przekazania danych do państwa trzeciego.

ADO czuwa także nad samym procesem przetwarzania, w tym:

• szacuje ryzyko naruszenia;
• przeprowadza ocenę DPIA;
• prowadzi Rejestr Czynności Przetwarzania;
• współpracuje z organem nadzorczym w razie kontroli lub wystąpienia incydentu;
• zapewnia osobom, których dane dotyczą, możliwość realizacji swoich uprawnień (np. prawa do bycia zapomnianym);
• powołuje IOD, jeżeli jest to wymagane przez przepisy prawa;
• zawiera umowy związane z przetwarzaniem danych osobowych z podmiotami trzecimi.

Warto pamiętać, że nie ma jednolitego schematu postępowania, który pozwalałby na „odhaczenie” wszystkich obowiązków ADO za jednym zamachem. Ze względu na ich rozległość, ale także zróżnicowanie sposobu, w jaki funkcjonują poszczególne podmioty obecne na rynku, niezbędne jest kazuistyczne podejście do tematu i opracowywanie zasad działania administratora za każdym razem osobno. Nic w tym dziwnego, skoro skala (a często i cele) przetwarzania danych będą wyglądały zupełnie inaczej w małej agencji marketingowej niż w dużej spółce akcyjnej.

Administrator a inspektor ochrony danych – zasadnicze różnice

Inspektor ochrony danych (IOD) to zupełnie inna funkcja niż administrator. IOD jest wyznaczany przez administratora lub podmiot przetwarzający w określonych przypadkach (np. gdy przetwarzanie prowadzi organ publiczny lub gdy główna działalność polega na przetwarzaniu danych na dużą skalę).

Inspektor pełni rolę doradczą i kontrolną, a jego główne zadania obejmują:

• informowanie o obowiązkach wynikających z RODO;
• monitorowanie zgodności z przepisami o ochronie danych;
• udzielanie zaleceń co do oceny skutków dla ochrony danych;
• współpracę z organem nadzorczym.

Co istotne, zgodnie z orzecznictwem Naczelnego Sądu Administracyjnego z lutego 2025 r., nawet jeśli administrator wyznacza konkretną osobę odpowiedzialną za zapewnienie zgodności z RODO, osoba ta nie staje się automatycznie administratorem danych – pozostaje nim podmiot, w imieniu którego działa.

Jak wygląda odpowiedzialność Administratora Danych Osobowych?

Odpowiedzialność ADO została określona w art. 82 rozporządzenia. Zgodnie z tym przepisem każda osoba, która poniosła szkodę majątkową lub niemajątkową w wyniku naruszenia RODO, ma prawo uzyskać od administratora lub podmiotu przetwarzającego odszkodowanie za poniesioną szkodę. Jeżeli administrator uczestniczy w przetwarzaniu danych odpowiada także za szkody wyrządzone tym przetwarzaniem. Zwolnienie ADO z odpowiedzialności jest możliwe, ale musi on wykazać, że w żaden sposób nie ponosi odpowiedzialności za zdarzenie wywołujące szkodę. Równolegle z odpowiedzialnością cywilnoprawną RODO przewiduje dotkliwe sankcje administracyjne, gdzie kara może sięgnąć nawet równowartości 20 milionów euro.

Praktyczne przykłady wynikające z orzecznictwa

Orzecznictwo dostarcza praktycznych wskazówek dotyczących ustalenia, kto jest administratorem danych:

1. W przypadku spółki cywilnej status administratora przypisywany jest wspólnikom spółki, a nie samej spółce – wynika to z faktu, że spółka cywilna nie posiada osobowości prawnej i jest jedynie umową o wspólnym prowadzeniu działalności.
2. Pracownik podmiotu, który tylko wykonuje zadania związane z przetwarzaniem danych, ale nie ma uprawnień do podejmowania decyzji o celach i środkach przetwarzania, nie jest administratorem – pozostaje nim podmiot, dla którego pracownik wykonuje zadania.
3. Administratorem nie jest każdy, kto dysponuje danymi osobowymi, ale tylko ten, kto faktycznie decyduje o celach i środkach ich przetwarzania.

Prawnik RODO/GDPR – Kancelaria After Legal

Realizacja zadań z zakresu ochrony danych osobowych jest możliwa tylko przy wykorzystaniu odpowiednich mechanizmów prawnych i technologicznych. Jako doświadczona kancelaria RODO, jesteśmy w stanie Ci pomóc. W zespole Kancelarii After Legal znajdziesz ekspertów z dziedziny ochrony danych osobowych, którzy świadczą kompleksową pomoc prawną i stale dbają o to, aby wszelkie działania były zgodne z literą prawa.