iSecure logo
  • pl
  • en
    • Blog

    Kilka słów o współadministrowaniu danymi osobowymi

    Agnieszka Rapcewicz
    Kategorie

    Pojęcie współadministrowania danymi osobowymi nie występowało w polskiej ustawie o ochronie danych osobowych z 1997 r., mimo że dyrektywa 95/46/WE definiowała administratora danych podobnie jak aktualnie RODO. Chodziło więc o podmiot, który samodzielnie lub wspólnie z innymi podmiotamiokreśla cele i sposoby przetwarzania danych osobowych. Dopiero RODO wprowadziło wyraźną regulację dotyczącą współadministrowania i określiło, jakie obowiązki spoczywają na podmiotach wspólnie przetwarzających dane osobowe.

    Aktualnie, mimo istnienia wyraźnej regulacji prawnej, w praktyce nie jest wcale łatwo ustalić, kiedy w konkretnym przypadku mamy do czynienia ze współadministrowaniem. Problemy w tym zakresie wynikają po pierwsze ze złożoności np. stosunków gospodarczych łączących różne podmioty. Po drugie, mimo (jakby się wydawało na pierwszy rzut oka) relatywnie jasnych kryteriów ustalania relacji współadministrowania wynikających wprost z RODO oraz prezentowanych w doktrynie prawa, nieco zamieszania w odniesieniu do interpretacji omawianego pojęcia wprowadziły wyroki Trybunału Sprawiedliwości Unii Europejskiej (TSUE).

    Kiedy można mówić o współadministratorach?

    Możliwość współadministrowania danymi osobowymi wynika już z samej definicji administratora, wskazanej w art. 4 pkt 7 RODO. Szczegółowo do instytucji współadministrowania odnosi się natomiast art. 26 RODO. Co do zasady ze współadministrowaniem mamy więc do czynienia, gdy co najmniej dwa podmioty działają wspólnie przy określaniu celów i sposobów przetwarzania danych osobowych. Co istotne i odróżniające od innych relacji związanych z przetwarzaniem danych osobowych, każdy z podmiotów jest administratorem, a więc przetwarza dane we własnym imieniu, a nie w imieniu innego podmiotu(jak ma to miejsce w przypadku powierzenia przetwarzania danych osobowych). Każdy z tych podmiotów uczestniczy w określaniu zarówno celów, jak i sposobów przetwarzania danych osobowych, i jest to dokonywane wspólnie. Podobnie jak w przypadku określania, kto jest administratorem, a kto podmiotem przetwarzającym, dla ustalenia stosunku współadministrowania liczy się wyłącznie stan faktyczny i obiektywna ocena. Oznacza to, że relacja współadministrowania istnieje niezależnie od tego, jak współpracujące podmioty opiszą łączące je stosunki np. w umowie.

    Obowiązki wynikające ze współadministrowania

    Stosunki, z których wynika współadministrowanie danymi, często są dość skomplikowane. Należy pamiętać, że RODO przewiduje, iż współadministratorzy muszą w przejrzysty sposób określić zakresy odpowiedzialności każdego z nichza wypełnianie obowiązków wynikających z RODO. W szczególności chodzi o wykonywanie praw przysługujących podmiotom danych, jak również o realizację obowiązków informacyjnych względem osób, których dane dotyczą. Co jednak istotne, RODO pozwala podmiotom danych na wykonywanie swoich uprawnień w stosunku do każdego z administratorów, niezależnie od dokonanego między nimi podziału obowiązków.

    Współadministrowanie wcale nie oznacza, iż każdy z podmiotów będzie miał tyle samo obowiązków. Żaden przepis RODO tego nie wymaga, więc proporcje w rozkładzie obowiązków mogą być różne. Aby można było mówić o współadministrowaniu, każdy z podmiotów musi natomiast mieć jakiś udział w określaniu obu elementów, tj. celów i sposobów przetwarzania.

    Wspólne uzgodnienia

    Określenie podziału obowiązków co do zasady ma nastąpić „w drodze wspólnych uzgodnień”. Przepisy RODO nie precyzują jak powinny wyglądać te uzgodnienia. Należy jednak uznać, iż dla realizacji zasady rozliczalności, a więc udowodnienia, że podmioty wywiązały się ze swoich obowiązków, uzgodnienia te powinny być udokumentowane. W razie kontroli podmioty współadministrujące danymi muszą być w stanie wykazać, który z nich za co odpowiada. Zazwyczaj podmioty zawierają umowę o współadministrowanie, która ma formę pisemną lub została utrwalona w formie elektronicznej. Jak wynika z RODO, zakres obowiązków współadministratorów mogą jednak także określać wprost przepisy prawa.

    Umowa o współadministrowanie nie musi stanowić odrębnego dokumentu. Może być częścią umowy głównej dotyczącej współpracy np. tworzenia wspólnych usług czy produktu. Umowa o współadministrowanie danymi osobowymi powinna co do zasady określać m.in.:

    • po co i w jaki sposób dane osobowe będą przetwarzane,
    • kto za co odpowiada w związku z przetwarzaniem danych osobowych,
    • jak będą obsługiwane żądania podmiotów danych,
    • kto będzie wypełniał obowiązki informacyjne względem podmiotów danych,
    • jak dane osobowe będą zabezpieczane przez każdy z podmiotów,
    • czy dopuszczalne będzie powierzenie przetwarzania danych osobowych,
    • jak będzie wyglądała odpowiedzialność poszczególnych podmiotów.

    Ponadto współadministratorzy mogą wskazać punkt kontaktowy dla realizacji praw podmiotów danych. Należy pamiętać, że wspólne uzgodnienia dotyczące współadministrowania nie wyłączają obowiązków ciążących indywidualnie na każdym ze współpracujących podmiotów. Każdy z tych podmiotów będzie musiał np. odpowiednio dbać o zabezpieczenie danych osobowych, czy prowadzić własny rejestr czynności przetwarzania.

    Podmioty będące współadministratorami, na podstawie poczynionych uzgodnień, mogą przekazywać sobie dane osobowe i nie potrzebują do tego żadnej dodatkowej podstawy prawnej.Odróżnia to współadministrowanie od przypadku udostępniania danych osobowych. W tej drugiej sytuacji dochodzi do przekazania danych osobowych przez jednego administratora innemu podmiotowi, który również staje się administratorem danych osobowych i będzie je przetwarzał we własnych celach. Aby mogło dojść do udostępnienia, po stronie administratora udostępniającego dane osobowe musi istnieć jedna z podstaw wskazanych w art. 6 ust. 1 lub art. 9 ust. 2 RODO (np. podmiot danych wyraził zgodę na udostępnienie danych innemu administratorowi albo przepis prawa zobowiązuje administratora do udostępnienia danych innemu administratorowi). Administrator – odbiorca również musi mieć podstawę prawną do przetwarzania danych osobowych na własne potrzeby.

    Udostępnianie treści uzgodnień

    Jak wynika z treści art. 26 RODO, współadministratorzy powinni udostępnić podmiotom, których dane osobowe przetwarzają, zasadniczą treść uzgodnień. RODO nie określa sposobu, w jaki ma to nastąpić, ani co ma zawierać „zasadnicza treść” uzgodnień. Przyjmując wykładnię przepisów najbardziej korzystną dla podmiotów danych należy uznać, iż chodzi o informacje, które pozwolą podmiotowi danych na realizację jego praw. Rekomendowane jest możliwe najszersze udostępnianie treści takich uzgodnień różnymi kanałami. W mojej ocenie praktycznym rozwiązaniem jest przekazywanie treści uzgodnień wraz z realizacją obowiązku informacyjnego. Zasadnicza treść uzgodnień może zostać wówczas przekazana w całości lub poprzez zamieszczenie w treści klauzuli informacyjnej linku do strony internetowej, na której zostaną upublicznione uzgodnienia dotyczące współadministrowania danymi osobowymi. Zasadnicza treść uzgodnień może być udostępniana także za pośrednictwem punktu kontaktowego, przy czym takim punktem kontaktowym może być np. inspektor ochrony danych.

    Przykłady współadministrowania danymi osobowymi

    Nie ma reguły jasno określającej, że przy udziale w przetwarzaniu danych osobowych konkretnego rodzaju podmiotów będzie dochodziło do współadministrowania lub nie. Dla zaistnienia relacji współadministrowania nie musi między danymi podmiotami występować powiązanie organizacyjne czy finansowe. Mogą to być całkowicie niezależne od siebie jednostki.

    Jak więc sobie w praktyce poradzić z tym tematem?

    Zabrzmi to banalnie, ale każdy przypadek powinien być indywidualnie rozpatrywany. Pomocna przy ustalaniu relacji między podmiotami uczestniczącymi w przetwarzaniu danych osobowych może być wydana jeszcze przed wejściem w życie RODO opinia Grupy Roboczej art. 29 (WP169) 1/2010 w sprawie pojęć „administrator danych” i „przetwarzający” (Opinia). Mimo przyjęcia dokumentu w 2010 r., pozostaje on nadal aktualny w omawianym zakresie. Jak wynika z Opinii, gdy mamy kilka podmiotów, mogą one występować w zupełnie różnych konfiguracjach i nie możemy automatycznie przyjąć, iż zachodzi współadministrowanie.

    Przykład:

    Takim przypadkiem opisanym w Opinii jest relacja łącząca biuro podróży, linie lotnicze i sieć hoteli. W sytuacji, gdy biuro podróży przekazuje dane klientów do linii lotniczych i hoteli w celu rezerwacji miejsc, następnie linie lotnicze i hotel potwierdzają dostępność miejsc, a biuro podróży wystawia potwierdzenia dla swoich klientów – każdy z podmiotów jest niezależnym administratorem danych osobowych. Inaczej byłoby, gdyby te trzy podmioty założyły wspólną platformę internetową w celu dokonywania rezerwacji turystycznych. Mielibyśmy już wówczas do czynienia ze współadministrowaniem, ale oczywiście wyłącznie w zakresie świadczenia usług klientom w ramach tej platformy.

    Co do zasady można uznać, że współadministrowanie będzie występowało, gdy kilka podmiotów tworzy wspólny produkt lub usługę. Inne przykłady to np. wspólne organizowanie konkursu, wspólne prowadzenie w ramach kilku spółek bazy kandydatów na potrzeby przyszłych rekrutacji, wspólny CRM dla kilku podmiotów, czy choćby wspólne reprezentowanie klienta przed sądem przez radców prawnych.

    Co wynika z orzeczeń TSUE?

    Niestety, kryteria pozwalające na uznanie, czy mamy w danym przypadku do czynienia ze współadministrowaniem danymi osobowymi, komplikuje TSUE. Wydał on dwa istotne orzeczenia, w których dokonał interpretacji pojęcia współadministrowania. W sprawie C-210/16 TSUE uznał, iż podmiot prowadzący fanpage na Facebooku współadministruje danymi osobowymi razem z Facebookiem. Z kolei w wydanym niedawno wyroku w sprawie C-40/17 TSUE uznał, że podmiot zamieszczający na swojej stronie internetowej przycisk „Lubię to” Facebooka, współadministruje danymi osobowymi łącznie z tym podmiotem.

    Z powyższych rozstrzygnięć wynika, że ze współadministrowaniem będziemy mieli do czynienia nie tylko wtedy, gdy podmioty dokonują wszelkich ustaleń wspólnie w odniesieniu do celów i sposobów przetwarzania danych osobowych, lecz również wtedy, gdy oddzielne decyzje każdego z podmiotów będą łącznie budowały cały proces przetwarzania danych osobowychw konkretnym przypadku. Można się z tymi rozstrzygnięciami zgadzać lub nie. Szczegółowa analiza wydanych orzeczeń to jednak temat na odrębny artykuł. Z pewnością jednak wszelkie podmioty przetwarzające dane osobowe, zwłaszcza zamierzające prowadzić fanpage na Facebooku czy udostępniać na swoich stronach internetowych wtyczki do portali społecznościowych, powinny zwrócić szczególną uwagę na omówione rozstrzygnięcia TSUE przy projektowaniu swoich usług i działań.

    iSecure Signet

    iSecure to firma doradcza, której działalność skoncentrowana jest na zagadnieniach związanych z ochroną danych osobowychbezpieczeństwem informacji, w tym kompleksowym wdrażaniem RODO, przygotowywaniu planów działań w sytuacjach szczególnych zagrożeń, przeprowadzaniu testów penetracyjnych, wdrażaniu normy ISO 27001 i obsłudze prawnej firm działających w Internecie. Eksperci iSecure przeprowadzają także szkolenia oraz są autorami licznych publikacji i wystąpień.

    Podobne wpisy:

    RODO na Weselu
    Michał Komarnicki

    RODO na Weselu

    Od czasu obowiązywania RODO w polskiej rzeczywistości upłynęło już trochę czasu . Wprowadziło ono nie mało zamieszania do naszego mało skomplikowanego życia
    i codziennego funkcjonowania. RODO odcisnęło piętno na każdym aspekcie naszej egzystencji. Jego skutki odczuwalne są wszędzie tam, gdzie jest to możliwe. Idąc do przychodni nie jesteśmy już pacjentem ale numerem w poczekalni, który zyskuje „twarz” i osobowość dopiero z momentem spotkania z lekarzem w gabinecie.

    Czytaj więcej
    Obowiązki informacyjne przedsiębiorcy zawierającego umowy na odległość drogą elektroniczną…
    Agnieszka Rapcewicz

    Kiedy procesor staje się administratorem?

    Czy w toku obowiązywania umowy powierzenia przetwarzania danych osobowych procesor może jednocześnie pełnić rolę administratora? Czy po rozwiązaniu umowy powierzenia procesor może stać się administratorem danych osobowych, które wcześniej przetwarzał wyłącznie w imieniu innego podmiotu? Odpowiedzi na te pytania mają istotne znaczenie dla określenia obowiązków i potencjalnej odpowiedzialności podmiotów biorących udział w procesie przetwarzania danych osobowych. […]

    Czytaj więcej
    Agnieszka Rapcewicz

    Prywatne dane kontaktowe pracownika – na jakich zasadach można je przetwarzać

    Dzisiaj bierzemy na warsztat temat przetwarzania prywatnych danych kontaktowych pracownika, czyli w szczególności jego prywatnego numeru telefonu i adresu e-mail. Na pierwszy rzut oka mogłoby się wydawać, że nie ma o czym mówić. Możliwe, że sporo pracodawców przetwarza na co dzień takie informacje – przecież nasz pracownik, jeszcze na etapie rekrutacji przekazał swoje dane kontaktowe, […]

    Czytaj więcej
    Zapis do newslettera
    Dodanie e-maila i potwierdzenie "Zapisz się" oznacza zgodę na przetwarzanie przez iSecure Sp. z o.o. podanego adresu e-mail w celu wysyłania newslettera o usługach, wydarzeniach, czy innych działaniach dotyczących naszej Spółki