Współadministrowanie danymi – jak uregulować współpracę między administratorami

Aby zrozumieć pojęcie współadministratora najpierw należy wiedzieć, kim jest administrator danych (ADO). Zgodnie z rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (tzw. ogólne rozporządzenie o ochronie danych, RODO) administratorem jest osoba fizyczna lub prawna, organ publiczny, jednostka lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych.

Zasadniczo więc administratorzy danych to podmioty, które przetwarzają dane osobowe w związku ze swoją działalnością. W przypadku osoby prawnej to ta osoba prawna (np. spółka) będzie administratorem danych, a nie jej organy czy osoby ją reprezentujące. Czyli na pewno ADO nie może być rektor, prezes czy dyrektor danego podmiotu. Konkretny administrator danych osobowych pozostaje tym administratorem niezależnie od tego, czy powierzy przetwarzanie danych osobowych w drodze umowy innemu podmiotowi, czy też zostanie wyznaczony pracownik odpowiedzialny za przetwarzanie danych osobowych w strukturze administratora.

Administrator jest więc administratorem wyłącznie tych danych, które sam przetwarza i w zakresie przetwarzania danych osobowych ponosi wyłączną i samodzielną odpowiedzialność. Działania administratora nie wpływają zasadniczo na prawa i obowiązki innych administratorów.

RODO wprowadziło w art. 26 instytucję współadministratorów. Jeżeli co najmniej dwóch administratorów wspólnie ustala cele i sposoby przetwarzania, są oni współadministratorami.

W drodze wspólnych uzgodnień współadministratorzy w przejrzysty sposób określają odpowiednie zakresy swojej odpowiedzialności dotyczącej wypełniania obowiązków wynikających z RODO. Chodzi tu w szczególności o:

• sposób reakcji na wykonywanie przez podmiot danych (tj. osobę, której dane dotyczą) swoich praw,
• wykonywanie obowiązków informacyjnych określonych w art. 13 i 14 RODO.

W uzgodnieniach należy też wskazać punkt kontaktowy dla osób, których dane dotyczą. Uzgodnienia powinny też należycie odzwierciedlać odpowiednie zakresy obowiązków współadministratorów oraz relacje pomiędzy nimi a podmiotami danych. W uzgodnieniach można na przykład ustalić szczegóły dotyczące wykonywania obowiązku informacyjnego czy wdrażania odpowiednich środków ochrony danych osobowych. Uzgodnień nie dokonuje się w zakresie, w jakim obowiązki i ich zakres przypadające poszczególnym współadministratorom określa prawo Unii lub prawo państwa członkowskiego, któremu dany administrator podlega.

RODO przewiduje także, że „zasadnicza” treść uzgodnień jest udostępniania podmiotom, których dane dotyczą. Trudno powiedzieć, co obejmuje „zasadnicza” treść, ale bez wątpienia będzie to informacja o punkcie kontaktowym, o którego istnieniu podmiot danych musi przecież wiedzieć, skoro ma z niego korzystać. Wydaje się, że współadministratorzy mogą pominąć ustalenia stricte organizacyjne, a zwłaszcza objęte know-how czy tajemnicą przedsiębiorstwa.

RODO nie wskazuje, w jakim momencie i w jaki sposób ma nastąpić udostępnienie. Jednocześnie należy zauważyć, że treść uzgodnień będzie zapewne taka sama dla całej gamy sytuacji, w których współadministratorzy przetwarzają dane osobowe. Z tych powodów uważam, że możliwe jest w szczególności upublicznienie zasadniczej treści uzgodnień na stronie internetowej każdego ze współadministratorów i wskazywanie linka do tej strony na przykład w klauzuli informacyjnej z art. 13 lub 14 ROO.

Niezależnie od treści uzgodnień, podmiot danych może wykonywać przysługujące mu prawa wynikające z RODO wobec każdego z administratorów. Mówiąc wprost, administratorzy nie są wstanie w drodze uzgodnień pogorszyć sytuacji prawnej podmiotu danych, który zawsze może wykonywać swoje prawa tak, jak gdyby w ogóle nie występowało współadministrowanie jego danymi osobowymi. Na przykład mimo wyznaczenia w uzgodnieniach punktu kontaktowego podmiot danych może wystosować sprzeciw lub żądanie do „bycia zapomnianym” bezpośrednio w stosunku do danego administratora lub wyznaczonego przez niego inspektora ochrony danych.

Każdy administrator danych ma obowiązek wskazywać w prowadzonym przez siebie rejestrze czynności przetwarzania danych osobowych danych kontaktowych wszystkich współadministratorów. Także kontaktując się z organem nadzorczym w toku uprzednich konsultacji dla oceny skutków dla ochrony danych (DPIA), administrator powinien przedstawić mu odpowiednie obowiązki współadministratorów. Chodzi tu o umożliwienie organowi nadzorczemu oceny, czy i jaki będzie wpływ istnienia współadministratora na ryzyko przetwarzania danych. W mojej ocenie wskazane jest wówczas udostępnienie organowi nadzorczemu całej (a nie tylko „zasadniczej”) treści uzgodnień dokonanych przez współadministratorów. Będzie to działaniem także w interesie samych współadministratorów uczestniczących w ocenie skutków dla ochrony danych.

W tym miejscu powinno być już jasne, dlaczego na początku artykułu przytoczyłem definicję administratora. Aby móc kogoś nazwać współadministratorem danych, najpierw musi on spełniać definicję administratora danych. Współadministrator to szczególna kategoria administratora danych – taki administrator, który wspólnie z innych administratorem ustala cele i sposoby przetwarzania konkretnych danych osobowych. Wynika to przede wszystkim z tego, że zgodnie z definicją administratora danych z RODO administratorem może być między innymi podmiot, który wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych. Europejski prawodawca zawarł więc definicję współadministratora danych w definicji administratora danych.

Tym samym nie można być współadministratorem, jeżeli nie można być administratorem danych. Skoro zaś na przykład prezes sądu czy dyrektor przedszkola nie jest administratorem danych, to nie może być także współadministratorem. Administratorami lub współadministratorami mogą być za to dwa sądy lub trzy przedszkola.

O współadministrowaniu można mówić, gdy dwóch administratorów wspólnie ustala cele i sposoby przetwarzania danych osobowych.

We wskazanym przykładzie droga do współadministrowania danymi została jedynie zarysowana. Jak pamiętamy, aby stać się współadministratorem konieczne jest bycie administratorem danych. Oznacza to, że każdy z administratorów musi mieć własną podstawę prawną przetwarzania danych osobowych z art. 6 lub 9 RODO dotyczącą wszystkich osób, których dane będą przetwarzane wspólnie. I tak np. spółka sprzedażowa sprzedając okna, powinna zacząć pobierać od klientów zgodę na to, aby administratorem danych klientów była także spółka serwisowa. Należy zaznaczyć, że zarówno udostępnienie danych, jak i ich powierzenie nie czyni podmiotu otrzymującego dane administratorem, więc obu tych metod pozyskania danych nie da się zastosować przy wdrażaniu współadministrowania danymi osobowymi.

Drugą czynnością jest dokonanie uzgodnień. Nic nie stoi na przeszkodzie, aby odrębną umową cywilnoprawną (np. porozumieniem o wdrożeniu współadministrowania danymi osobowymi klientów) określić tryb wypracowania uzgodnień czy podział kosztów związanych z dokonaniem uzgodnień oraz utworzeniem i utrzymywaniem wspólnej bazy danych (w tym prac informatycznych).

Należy ponadto na bieżąco dokonywać oceny ryzyka dla procesu przetwarzania danych osobowych. Mając na przykład na uwadze wzrost ilości przetwarzanych danych osobowych, można się zastanowić, czy administratorzy nie muszą ustanowić inspektora ochrony danych. W niektórych przypadkach będzie zapewne potrzeba przeprowadzenia oceny skutków dla ochrony danych (DPIA).

Pobierz >>