Współadministrowanie danymi – jak uregulować współpracę między administratorami

Marcin Sarna

Autor: Marcin Sarna

Dodano: 28 maja 2018
Współadministrowanie danymi – jak uregulować współpracę między administratorami

W RODO pojawiło się nowe pojęcie współadministratora danych. Sprawdź, co oznacza to pojęcie i dowiedz się, kiedy mamy do czynienia ze współadministrowaniem danych i co z tego dla Ciebie wynika.

Aby zrozumieć pojęcie współadministratora najpierw należy wiedzieć, kim jest administrator danych (ADO). Zgodnie z rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (tzw. ogólne rozporządzenie o ochronie danych, RODO) administratorem jest osoba fizyczna lub prawna, organ publiczny, jednostka lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych.

Zasadniczo więc administratorzy danych to podmioty, które przetwarzają dane osobowe w związku ze swoją działalnością. W przypadku osoby prawnej to ta osoba prawna (np. spółka) będzie administratorem danych, a nie jej organy czy osoby ją reprezentujące. Czyli na pewno ADO nie może być rektor, prezes czy dyrektor danego podmiotu. Konkretny administrator danych osobowych pozostaje tym administratorem niezależnie od tego, czy powierzy przetwarzanie danych osobowych w drodze umowy innemu podmiotowi, czy też zostanie wyznaczony pracownik odpowiedzialny za przetwarzanie danych osobowych w strukturze administratora.

Administrator jest więc administratorem wyłącznie tych danych, które sam przetwarza i w zakresie przetwarzania danych osobowych ponosi wyłączną i samodzielną odpowiedzialność. Działania administratora nie wpływają zasadniczo na prawa i obowiązki innych administratorów.

Współadministrator danych – czyli kto

RODO wprowadziło w art. 26 instytucję współadministratorów. Jeżeli co najmniej dwóch administratorów wspólnie ustala cele i sposoby przetwarzania, są oni współadministratorami.

W drodze wspólnych uzgodnień współadministratorzy w przejrzysty sposób określają odpowiednie zakresy swojej odpowiedzialności dotyczącej wypełniania obowiązków wynikających z RODO. Chodzi tu w szczególności o:

  • sposób reakcji na wykonywanie przez podmiot danych (tj. osobę, której dane dotyczą) swoich praw,
  • wykonywanie obowiązków informacyjnych określonych w art. 13 i 14 RODO.

W uzgodnieniach należy też wskazać punkt kontaktowy dla osób, których dane dotyczą. Uzgodnienia powinny też należycie odzwierciedlać odpowiednie zakresy obowiązków współadministratorów oraz relacje pomiędzy nimi a podmiotami danych. W uzgodnieniach można na przykład ustalić szczegóły dotyczące wykonywania obowiązku informacyjnego czy wdrażania odpowiednich środków ochrony danych osobowych. Uzgodnień nie dokonuje się w zakresie, w jakim obowiązki i ich zakres przypadające poszczególnym współadministratorom określa prawo Unii lub prawo państwa członkowskiego, któremu dany administrator podlega.

RODO przewiduje także, że „zasadnicza” treść uzgodnień jest udostępniania podmiotom, których dane dotyczą. Trudno powiedzieć, co obejmuje „zasadnicza” treść, ale bez wątpienia będzie to informacja o punkcie kontaktowym, o którego istnieniu podmiot danych musi przecież wiedzieć, skoro ma z niego korzystać. Wydaje się, że współadministratorzy mogą pominąć ustalenia stricte organizacyjne, a zwłaszcza objęte know-how czy tajemnicą przedsiębiorstwa.

RODO nie wskazuje, w jakim momencie i w jaki sposób ma nastąpić udostępnienie. Jednocześnie należy zauważyć, że treść uzgodnień będzie zapewne taka sama dla całej gamy sytuacji, w których współadministratorzy przetwarzają dane osobowe. Z tych powodów uważam, że możliwe jest w szczególności upublicznienie zasadniczej treści uzgodnień na stronie internetowej każdego ze współadministratorów i wskazywanie linka do tej strony na przykład w klauzuli informacyjnej z art. 13 lub 14 ROO.

Niezależnie od treści uzgodnień, podmiot danych może wykonywać przysługujące mu prawa wynikające z RODO wobec każdego z administratorów. Mówiąc wprost, administratorzy nie są wstanie w drodze uzgodnień pogorszyć sytuacji prawnej podmiotu danych, który zawsze może wykonywać swoje prawa tak, jak gdyby w ogóle nie występowało współadministrowanie jego danymi osobowymi. Na przykład mimo wyznaczenia w uzgodnieniach punktu kontaktowego podmiot danych może wystosować sprzeciw lub żądanie do „bycia zapomnianym” bezpośrednio w stosunku do danego administratora lub wyznaczonego przez niego inspektora ochrony danych.

Czy trzeba informować o współadministrowaniu

Każdy administrator danych ma obowiązek wskazywać w prowadzonym przez siebie rejestrze czynności przetwarzania danych osobowych danych kontaktowych wszystkich współadministratorów. Także kontaktując się z organem nadzorczym w toku uprzednich konsultacji dla oceny skutków dla ochrony danych (DPIA), administrator powinien przedstawić mu odpowiednie obowiązki współadministratorów. Chodzi tu o umożliwienie organowi nadzorczemu oceny, czy i jaki będzie wpływ istnienia współadministratora na ryzyko przetwarzania danych. W mojej ocenie wskazane jest wówczas udostępnienie organowi nadzorczemu całej (a nie tylko „zasadniczej”) treści uzgodnień dokonanych przez współadministratorów. Będzie to działaniem także w interesie samych współadministratorów uczestniczących w ocenie skutków dla ochrony danych.

Współadministrator to szczególny rodzaj administratora

W tym miejscu powinno być już jasne, dlaczego na początku artykułu przytoczyłem definicję administratora. Aby móc kogoś nazwać współadministratorem danych, najpierw musi on spełniać definicję administratora danych. Współadministrator to szczególna kategoria administratora danych – taki administrator, który wspólnie z innych administratorem ustala cele i sposoby przetwarzania konkretnych danych osobowych. Wynika to przede wszystkim z tego, że zgodnie z definicją administratora danych z RODO administratorem może być między innymi podmiot, który wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych. Europejski prawodawca zawarł więc definicję współadministratora danych w definicji administratora danych.

Tym samym nie można być współadministratorem, jeżeli nie można być administratorem danych. Skoro zaś na przykład prezes sądu czy dyrektor przedszkola nie jest administratorem danych, to nie może być także współadministratorem. Administratorami lub współadministratorami mogą być za to dwa sądy lub trzy przedszkola.

To kiedy jestem współadministratorem

O współadministrowaniu można mówić, gdy dwóch administratorów wspólnie ustala cele i sposoby przetwarzania danych osobowych.

PRZYKŁAD

Współadministrowanie danymi kupujących okna

W ramach grupy kapitałowej Dobre Okna istnieje kilka spółek. Wśród nich istotną rolę odgrywa:

  • Dobre Okna Sprzedaż sp. z o.o. będąca spółką sprzedażową i posiadająca bazę danych klientów, którzy zakupili okna;
  • Dobre Okna Serwis sp. z o.o. sp. k. będąca spółką świadczącą usługi serwisu i napraw gwarancyjnych oraz pogwarancyjnych, posiadająca bazę danych klientów korzystających z jej usług.

Oba te podmioty, dążąc do zmniejszenia kosztów oraz polepszenia wymiany informacji, zdecydowały o utworzeniu wspólnej bazy danych klientów. W bazie tej znajdą się dane wszystkich klientów – którzy okna tylko zakupili, którzy okna tylko serwisowali, którzy okna zarówno zakupili, jak i serwisowali. W takim przypadku, jeżeli dwie spółki w ramach współpracy tworzą wspólną bazę danych klientów, uzgadniają między sobą kwestie związane z przetwarzaniem ich danych osobowych (cele i sposoby) i sprawują nad tą bazą wspólną kontrolę, to można uznać je za współadministratorów tych danych osobowych.

Jak wprowadzić współadministrowanie

We wskazanym przykładzie droga do współadministrowania danymi została jedynie zarysowana. Jak pamiętamy, aby stać się współadministratorem konieczne jest bycie administratorem danych. Oznacza to, że każdy z administratorów musi mieć własną podstawę prawną przetwarzania danych osobowych z art. 6 lub 9 RODO dotyczącą wszystkich osób, których dane będą przetwarzane wspólnie. I tak np. spółka sprzedażowa sprzedając okna, powinna zacząć pobierać od klientów zgodę na to, aby administratorem danych klientów była także spółka serwisowa. Należy zaznaczyć, że zarówno udostępnienie danych, jak i ich powierzenie nie czyni podmiotu otrzymującego dane administratorem, więc obu tych metod pozyskania danych nie da się zastosować przy wdrażaniu współadministrowania danymi osobowymi.

Drugą czynnością jest dokonanie uzgodnień. Nic nie stoi na przeszkodzie, aby odrębną umową cywilnoprawną (np. porozumieniem o wdrożeniu współadministrowania danymi osobowymi klientów) określić tryb wypracowania uzgodnień czy podział kosztów związanych z dokonaniem uzgodnień oraz utworzeniem i utrzymywaniem wspólnej bazy danych (w tym prac informatycznych).

Należy ponadto na bieżąco dokonywać oceny ryzyka dla procesu przetwarzania danych osobowych. Mając na przykład na uwadze wzrost ilości przetwarzanych danych osobowych, można się zastanowić, czy administratorzy nie muszą ustanowić inspektora ochrony danych. W niektórych przypadkach będzie zapewne potrzeba przeprowadzenia oceny skutków dla ochrony danych (DPIA).

Przykładowe zapisy porozumienia pomiędzy przyszłymi współadministratorami

  1. Każda ze stron zobowiązuje się w dobrej wierze do negocjacji i dokonania uzgodnień, o których mowa w art. 26 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 roku w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE.
  2. Każda ze stron będzie ponosiła koszty związane z jej pracami nad uzgodnieniami oraz koszty dotyczące wdrożenia zmian w jej systemach informatycznych oraz inne koszty związane ze współadministrowaniem. Pozostałe koszty strony podzielą między siebie po połowie.
  3. Współadministrujący jest samodzielnie odpowiedzialny za spełnienie przesłanek przetwarzania danych osobowych oraz wdrożenie odpowiednich środków ochrony danych osobowych.
Marcin Sarna

Autor: Marcin Sarna

Radca prawny, ekspert z zakresu ochrony danych osobowych. Specjalizuje się również w kompleksowej obsłudze prawnej podmiotów gospodarczych, w szczególności świadcząc pomoc prawną dla producentów maszyn i urządzeń, przedsiębiorców funkcjonujących w branży usługowej i w sektorze energetycznym.

Czytelnicy tego artykułu skorzystali również z poniższych narzędzi

Biblioteka ABI

Nasi partnerzy i zdobyte nagrody


© Portal Poradyodo.pl
Strona używa plików cookies. Korzystając ze strony użytkownik wyraża zgodę na używanie plików cookies.

Sprawdź nasz portal - testuj przez 24h za darmo

Aktualności i porady ekspertów

Listy kontrolne

Wzory dokumentów

Załóż konto na próbę x
wiper-pixel