Home » Aktualności » Administrator danych osobowych – kim jest i jakie ma obowiązki?

Administrator danych osobowych – kim jest i jakie ma obowiązki?

Administrator danych osobowych – o czym należy pamiętać?

Zgodnie z art. 4 pkt 7 RODO, administratorem danych osobowych jest osoba fizyczna lub prawna, organ publiczny, jednostka lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych.

Mówiąc prościej: Administrator to ten, kto decyduje, po co i jak przetwarzane są dane osobowe.

Przykłady:

  • właściciel sklepu internetowego – administrator danych klientów,

  • producent filmowy – administrator danych osób zaangażowanych w produkcję filmową,

  • fundacja – administrator danych darczyńców i wolontariuszy.

Administrator danych a podmiot przetwarzający – różnice

W praktyce często myli się te dwa pojęcia.

  • Administrator danych – decyduje o celu i sposobie przetwarzania (np. prowadzenie newslettera, organizacja wydarzeń).

  • Podmiot przetwarzający (procesor) – przetwarza dane w imieniu administratora (np. firma hostingowa, biuro rachunkowe, agencja marketingowa).

💡 Przykład: Jeśli muzeum zleca drukarni wydruk zaproszeń z listą gości, drukarnia nie staje się administratorem – działa na zlecenie muzeum jako procesor.

Podstawowe obowiązki administratora danych osobowych

Każdy administrator ma konkretne obowiązki wynikające z RODO. Najważniejsze z nich to:

  1. Zasada legalności – dane muszą być przetwarzane na podstawie jednej z przesłanek z art. 6 RODO (np. zgoda, umowa, obowiązek prawny).

  2. Zasada minimalizacji danych – przetwarzaj tylko tyle danych, ile jest naprawdę potrzebne.

  3. Obowiązek informacyjny – poinformuj osoby o tym, kto przetwarza ich dane, w jakim celu, jak długo i jakie prawa im przysługują.

  4. Bezpieczeństwo danych – zabezpiecz systemy i dokumenty przed nieuprawnionym dostępem.

  5. Reagowanie na incydenty – jeśli dojdzie do naruszenia danych (np. utraty laptopa), administrator musi to zgłosić do UODO w ciągu 72 godzin.

Jakie dokumenty musi posiadać administrator danych?

Administrator danych powinien wdrożyć i aktualizować podstawowe dokumenty:

  • Politykę ochrony danych osobowych,

  • Rejestr czynności przetwarzania danych,

  • Procedurę zgłaszania naruszeń,

  • Upoważnienia do przetwarzania danych,

  • Umowy powierzenia przetwarzania danych z firmami zewnętrznymi,

  • Klauzule informacyjne dla osób, których dane dotyczą.

💡 Wskazówka praktyczna: Nie wystarczy mieć dokumentację „na półce”. Administrator musi faktycznie stosować wdrożone procedury – w razie kontroli UODO to praktyka, nie papier, ma znaczenie.

Administrator danych w instytucjach kultury

W instytucjach kultury, takich jak biblioteki, muzea czy domy kultury, administrator danych ma szczególne wyzwania:

  • przetwarza dane uczestników wydarzeń, artystów, kontrahentów i pracowników,

  • publikuje zdjęcia i materiały z wydarzeń, co często wiąże się z przetwarzaniem wizerunku,

  • współpracuje z wieloma partnerami – od sponsorów po media.

💡 Dla instytucji kultury: Zadbaj o czytelne klauzule informacyjne przy zapisach na wydarzenia i warsztaty. Nie wystarczy ogólna zgoda – osoba powinna wiedzieć, w jakim celu jej dane są zbierane i jak długo będą przechowywane.

Administrator danych a Inspektor Ochrony Danych (IOD)

Administrator może, a czasem musi, powołać Inspektora Ochrony Danych (IOD) – szczególnie jeśli jego działalność wiąże się z przetwarzaniem danych na dużą skalę lub dotyczy danych wrażliwych.

Inspektor:

  • doradza administratorowi,

  • monitoruje przestrzeganie RODO,

  • jest punktem kontaktowym dla osób, których dane dotyczą i dla UODO.

💡 Przykład: Szkoła, urząd lub muzeum publiczne mają obowiązek powołać IOD. Prywatna firma – w zależności od specyfiki działalności – zwykle będzie miałam w tym zakresie dobrowolność.

Odpowiedzialność administratora danych osobowych

Administrator odpowiada za zgodność przetwarzania danych z prawem – także wtedy, gdy powierza je innym podmiotom. Nie można „zrzucić winy” na procesora.

W przypadku naruszenia przepisów RODO, administrator może ponieść odpowiedzialność:

  • administracyjną (kary finansowe UODO – do 20 mln euro lub 4% obrotu),

  • cywilną (roszczenia osób, których prawa naruszono),

  • wizerunkową (utrata zaufania klientów lub opinii publicznej).

Jak administrator może się zabezpieczyć?

  1. Regularne audyty danych osobowych – sprawdź, czy dane są przetwarzane zgodnie z przepisami.

  2. Szkolenia pracowników – to oni najczęściej powodują nieumyślne naruszenia.

  3. Bezpieczne narzędzia IT – szyfrowanie, silne hasła, ograniczenia dostępu.

  4. Przejrzyste procedury – jasne zasady dla wszystkich osób mających kontakt z danymi.

Administrator danych osobowych to kluczowa rola w każdej organizacji. To on odpowiada za legalność, bezpieczeństwo i transparentność przetwarzania danych osobowych – niezależnie, czy chodzi o firmę, instytucję publiczną, czy organizację kulturalną.
Świadome działanie administratora to nie tylko obowiązek wynikający z przepisów, ale też sposób na budowanie zaufania i wiarygodności.