Administratorem  jest podmiot, który decyduje w jakim celu i w jaki sposób będzie korzystał z gromadzonych danych. Może być jednak tak, że administratorów jest dwóch lub więcej. Współadministratorami danych są np. powiązane ze sobą spółki lub ściśle współpracujące ze sobą firmy. Aby mówić o współadministrowaniu danymi, musi zajść sytuacja, w której dwóch lub więcej administratorów wspólnie ustala cele i sposoby przetwarzania danych. Nie ma to wpływu na sytuację osoby, której dane osobowe dotyczą. Współadministratorzy zaś, na których RODO nakłada szereg obowiązków w stosunku do powierzanych danych osobowych, muszą  w sposób jasny i przejrzysty „podzielić się” nimi, czyli ustalić kto odpowiada za bezpieczeństwo danych, udzielenie informacji zainteresowanym itd. Co ciekawe, RODO milczy na temat formy takich uzgodnień, nie jest więc wymagane zawarcie umowy pisemnej między współadministratorami.

Bardziej skomplikowana jest sytuacja, kiedy administrator danych „przekazuje dane dalej” innemu podmiotowi, który przetwarza dane na jego zlecenie i w jego imieniu. Podmiot przetwarzający nie staje się administratorem, nie wykorzystuje danych do własnych potrzeb oraz  nie ustala celów  i sposobów przetwarzania tych danych.  Dobrym przykładem powierzenia danych osobowych jest sytuacja, kiedy firma nie posiada swojego prawnika, księgowego czy działu zajmującego się marketingiem, ale korzysta z usług zewnętrznych podmiotów. W tym celu musi im jednak przekazać szereg danych osobowych – pracowników, klientów, kontrahentów. Wtedy podmiot, któremu przekazano dane, staje się podmiotem przetwarzającym (zwanym również procesorem). Nie oznacza to jednak jego bierności. Ten podmiot także odpowiada za bezpieczeństwo danych i zapewnienie wszystkich niezbędnych środków technicznych i organizacyjnych, po to,  aby nie wpadły one w niepowołane ręce. RODO przyznaje administratorowi także możliwość kontroli podmiotu przetwarzającego, aby mógł on sprawdzić, czy wszystko odbywa się zgodnie z przepisami prawa oraz wymogami ochrony bezpieczeństwa danych. O tym, czy nasze dane są przekazywane przez administratora takim podmiotom, możemy się dowidzieć z klauzuli informacyjnej lub polityki prywatności. Nie ma więc powodów do obaw – podmiot przetwarzający jest zobowiązany dbać o bezpieczeństwo naszych danych tak samo jak administrator.

Co ważne, administrator i podmiot przetwarzający muszą zawrzeć na piśmie umowę, która będzie regulowała ich stosunki. RODO dokładnie określa, co powinno się znajdować w takiej umowie (szerzej niż robiła to ustawa o ochronie danych osobowych). Są to: przedmiot przetwarzania, czas trwania przetwarzania, charakter i cel przetwarzania, rodzaj danych osobowych, kategorię osób, których dane dotyczą, obowiązki i prawa administratora oraz obowiązki podmiotu przetwarzającego.

Podsumowując, odróżnienie współadministrowania od przekazania danych nie powinno nikomu sprawić problemu. Współadministratorzy wspólnie podejmują wszelkie decyzje związane z przetwarzaniem danych. Podmiot przetwarzający nie ma zaś takiego uprawnienia, a dane przetwarza w imieniu administratora. Niezależnie od tego, czy nasze dane przetwarza sam współadministrator czy także inne podmioty, którym powierzono to zadanie, należy zapamiętać, że są one obustronnie odpowiedzialne za ich bezpieczeństwo. Warto jednak czytać wszelkie klauzule informacyjne i polityki prywatności, aby wiedzieć w czyim posiadaniu mogą się znajdować nasze dane osobowe i znać swoje prawa. Natomiast podmioty, które w swojej działalności przetwarzają dane osobowe powinny się zastanowić czy w ich przypadku nie zachodzi współadministrowanie lub konieczność zawarcia umowy powierzenia przetwarzania danych osobowych. Wzory takich umów są powszechnie dostępne w Internecie, a wszelkie związane z tymi procesami wątpliwości rozwieje prawnik.