Administrator danych

Obowiązki administratora danych – co wynika z art. 24–39 RODO

Aktualizacja: 5 czerwca 2026 Podstawa: Rozporządzenie 2016/679 (RODO) Autor: redakcja Vatalnol.eu
Mapa Europy z symbolem regulacji ochrony danych RODO

Administratorem danych w rozumieniu RODO jest osoba fizyczna lub prawna, organ publiczny, jednostka lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych. Przepisy rozdziału IV rozporządzenia nakładają na administratora szereg konkretnych obowiązków organizacyjnych i technicznych.

Kim jest administrator danych? Definicja z art. 4 pkt 7 RODO: podmiot, który ustala cele i sposoby przetwarzania danych. Określenie „wspólnie z innymi" wskazuje na możliwość istnienia współadministratorów – każdy z nich odpowiada za przestrzeganie swoich obowiązków wynikających z RODO.

1. Odpowiedzialność i rozliczalność (art. 24 i 5 ust. 2 RODO)

Centralną zasadą RODO jest rozliczalność (accountability). Administrator nie tylko musi przestrzegać zasad przetwarzania danych wymienionych w art. 5 ust. 1, ale jest zobowiązany wykazać, że je przestrzega. W praktyce oznacza to konieczność dokumentowania:

  • podstaw prawnych każdej operacji przetwarzania
  • wdrożonych środków technicznych i organizacyjnych
  • polityk ochrony danych i procedur wewnętrznych
  • szkoleń pracowników upoważnionych do przetwarzania

2. Rejestr czynności przetwarzania (art. 30 RODO)

Każdy administrator jest zobowiązany do prowadzenia rejestru czynności przetwarzania. Wymóg ten dotyczy podmiotów zatrudniających co najmniej 250 pracowników lub – niezależnie od liczby pracowników – przetwarzających dane wiążące się z ryzykiem naruszenia praw lub wolności osób fizycznych, przetwarzających dane szczególnych kategorii lub dane o wyrokach skazujących.

Rejestr powinien zawierać co najmniej:

  1. nazwę i dane kontaktowe administratora
  2. cele przetwarzania
  3. opis kategorii osób, których dane dotyczą
  4. opis kategorii danych osobowych
  5. informacje o odbiorcach danych, w tym w państwach trzecich
  6. planowane terminy usunięcia poszczególnych kategorii danych
  7. ogólny opis technicznych i organizacyjnych środków bezpieczeństwa

Rejestr musi mieć formę pisemną, w tym elektroniczną, i być udostępniany organowi nadzorczemu na żądanie.

3. Ocena skutków dla ochrony danych – DPIA (art. 35 RODO)

Jeżeli rodzaj przetwarzania może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, administrator – przed rozpoczęciem przetwarzania – zobowiązany jest przeprowadzić ocenę skutków planowanych operacji przetwarzania dla ochrony danych osobowych (ang. Data Protection Impact Assessment, DPIA).

RODO wskazuje trzy przypadki wymagające obowiązkowego DPIA:

  • systematyczna i kompleksowa ocena aspektów osobowych osób fizycznych oparta na zautomatyzowanym przetwarzaniu, w tym profilowaniu
  • przetwarzanie na dużą skalę danych szczególnych kategorii (art. 9) lub danych o wyrokach skazujących (art. 10)
  • systematyczne monitorowanie na dużą skalę miejsc dostępnych publicznie

Prezes UODO opublikował wykaz rodzajów operacji przetwarzania wymagających DPIA w Polsce. Obejmuje on m.in. przetwarzanie danych biometrycznych, danych genetycznych, profilowanie klientów przez instytucje finansowe oraz monitorowanie pracowników.

4. Inspektor ochrony danych – IOD (art. 37–39 RODO)

Wyznaczenie inspektora ochrony danych jest obowiązkowe dla:

  • organów i podmiotów publicznych (z wyjątkiem sądów w zakresie sprawowania wymiaru sprawiedliwości)
  • administratorów, których główna działalność polega na operacjach przetwarzania wymagających regularnego i systematycznego monitorowania osób na dużą skalę
  • administratorów, których główna działalność polega na przetwarzaniu na dużą skalę danych szczególnych kategorii lub danych o wyrokach skazujących

Inspektor może być pracownikiem administratora lub wykonywać zadania na podstawie umowy o świadczenie usług. Musi posiadać wiedzę fachową z dziedziny prawa i praktyk w zakresie ochrony danych. Dane kontaktowe IOD należy publikować i zgłaszać do organu nadzorczego.

72 h
Maksymalny czas na zgłoszenie naruszenia ochrony danych do organu nadzorczego (art. 33 RODO)
1 mies.
Standardowy termin odpowiedzi na wniosek osoby, której dane dotyczą (art. 12 RODO)
20 mln €
Maksymalna administracyjna kara pieniężna za naruszenie podstawowych obowiązków (art. 83 ust. 4 RODO)

5. Zgłaszanie naruszeń ochrony danych (art. 33–34 RODO)

W przypadku stwierdzenia naruszenia ochrony danych osobowych administrator bez zbędnej zwłoki – jeżeli jest to wykonalne, nie później niż w ciągu 72 godzin po stwierdzeniu naruszenia – zgłasza je właściwemu organowi nadzorczemu (w Polsce: Prezesowi UODO). Jeżeli zgłoszenie nie nastąpiło w tym terminie, dołącza się wyjaśnienie przyczyn opóźnienia.

Zgłoszenie musi zawierać:

  • opis charakteru naruszenia, w tym kategorie i przybliżoną liczbę osób i rekordów
  • dane kontaktowe inspektora ochrony danych lub innego punktu kontaktowego
  • opis możliwych konsekwencji naruszenia
  • opis środków zastosowanych lub proponowanych w celu zaradzenia naruszeniu

Jeżeli naruszenie może powodować wysokie ryzyko dla praw i wolności osób fizycznych, administrator bez zbędnej zwłoki zawiadamia o naruszeniu także osobę, której dane dotyczą.

6. Umowa powierzenia przetwarzania (art. 28 RODO)

Administrator, który korzysta z zewnętrznych podmiotów przetwarzających dane (procesorów), jest zobowiązany zawrzeć z nimi umowę powierzenia przetwarzania danych. Umowa musi być zawarta w formie pisemnej (w tym elektronicznej) i określać m.in.: przedmiot i czas trwania przetwarzania, charakter i cel przetwarzania, rodzaj danych osobowych, kategorie osób, których dane dotyczą, a także prawa i obowiązki administratora.

W praktyce umowy powierzenia zawierane są np. z firmami hostingowymi, dostawcami systemów CRM, biurami rachunkowymi obsługującymi kadry oraz firmami kurierskimi otrzymującymi dane adresowe klientów.

Środki techniczne i organizacyjne – zasada privacy by design

Art. 25 RODO wprowadza zasadę uwzględniania ochrony danych w fazie projektowania (privacy by design) oraz domyślnej ochrony danych (privacy by default). Administrator jest zobowiązany już na etapie planowania systemu lub procesu wdrożyć odpowiednie środki techniczne i organizacyjne. Domyślne ustawienia systemów powinny zapewniać przetwarzanie tylko tych danych, które są niezbędne dla konkretnego celu.

Powiązane artykuły

Więcej na temat RODO

Prawa osób

Prawa osób, których dane dotyczą – katalog uprawnień wynikających z RODO

Prawo dostępu, sprostowania, usunięcia, ograniczenia przetwarzania i sprzeciwu – omówienie art. 15–22 RODO.

Czytaj Bezpieczeństwo danych

Pseudonimizacja i szyfrowanie jako środki ochrony danych osobowych

Techniczne środki zabezpieczeń wymienione w RODO – jak stosować pseudonimizację i szyfrowanie w organizacji.

Czytaj

Treści zamieszczone na portalu mają charakter wyłącznie informacyjny i edukacyjny. Nie stanowią porady prawnej ani interpretacji przepisów prawa.