Zgodnie z definicją znajdującą się w RODO administrator oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych.

Z kolei podmiot przetwarzający oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który przetwarza dane osobowe w imieniu administratora. Krótki komentarz przedstawię do obu tych definicji, a to dlatego, że ważne jest aby oba te podmioty umieć rozróżnić, a najlepiej wyjaśnić to będzie na przykładzie:

Szkoła, jest administratorem danych swoich uczniów, ich rodziców, nauczycieli itp. Zaś firma dostarczająca aplikację obsługującą dziennik elektroniczny będzie podmiotem przetwarzającym. Czym różni się jeden od drugiego? Szkoła decyduje o tym jakie dane zbiera, od kogo i w jakim celu je przetwarza. Zaś firma tworząca aplikację nie decyduje o niczym, a jedynie wykonuje na powierzonych jej danych zlecone czynności.

Dlaczego zdefiniowanie obu tych podmiotów jest tak ważne? Ponieważ pełniona rola i funkcje każdego z nich są inne. Ważne jest również to, że obie strony powinna łączyć umowa na powierzenie przetwarzania danych. Ponadto RODO niezwykle rygorystycznie podchodzi do kwestii przekazywania danych osobowych przez administratorów danych innym jednostkom.

W treści art. 28 RODO znajduje się regulacja, zgodnie z którą, jeżeli przetwarzanie ma być dokonywane w imieniu administratora, korzysta on wyłącznie z usług takich podmiotów przetwarzających, które zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi niniejszego rozporządzenia i chroniło prawa osób, których dane dotyczą. W związku z tym, jeżeli administrator danych zdecyduje się na powierzenie danych innej jednostce to powinien korzystać jedynie i wyłącznie z usług takich podmiotów, które przetwarzają dane zgodnie z RODO.