Współadministrowanie danymi osobowymi

Pomimo, że Ogólne rozporządzenie o ochronie danych stosowane jest już ponad dwa lata, w dalszym ciągu sporo tematów wzbudza niepewność w osobach trudniących się tą tematyką. Bez wątpienia jednym z takich tematów jest współadministrowanie danymi osobowymi.

W art. 26 RODO wprowadzono ciekawą, jedna nie do końca jednoznaczną konstrukcję współadministrowania. Jest to temat, który mam wrażenie jeszcze nie zakorzenił się na polskim rynku. W praktyce często spotkać można się z problemem określenia, kiedy będziemy mieć w istocie do czynienia z odrębnymi administratorami danych osobowych, współadministratorami danych lub może relacją administrator-procesor. W dzisiejszym artykule postaramy się przybliżyć i wyjaśnić Państwu ten temat z nieco bardziej praktycznej strony.

Współadministrowanie danych osobowych – czy to nowość?

Koncepcja współadministrowania na gruncie przepisów o ochronie danych osobowych nie jest nowością. Co prawda wcześniejsze polskie ustawodawstwo – ustawa o ochronie danych osobowych z 1997 roku, nie przewidywała takich postanowień we wprowadzonych przepisach. Nie można jednak zignorować faktu, że dyrektywa 95/46/WE przewidywała definicję administratora danych osobowych w sposób podobny do tej, która została ujęta w Ogólnym rozporządzeniu o ochronie danych.

Administrator danych oznaczał osobę fizyczną lub prawną, władzę publiczną, agencję lub inny organ, który samodzielnie lub wspólnie z innymi podmiotami określa cele i sposoby przetwarzania danych. Mając na uwadze ten zapis, o byciu współadministratorem decydowała wspólnota celów i środków przetwarzania danych. Co więcej, na gruncie dyrektywy nie było mowy o zawieraniu pomiędzy administratorami porozumienia, które w którym należałoby określić status podmiotów. Jednak w naszej polskiej świadomości w oparciu o poprzedni stan prawny, funkcjonowała nieco inna koncepcja – możliwość osiągania tych samych celów z wykorzystaniem tych samych danych osobowych przez odrębnych administratorów danych.

Współadministrowanie danymi osobowymi na gruncie RODO

Zgodnie z postanowieniami art. 26 RODO do współadministrowania danymi osobowymi dochodzi jeżeli mamy do czynienia z sytuacją, gdy:

  • co najmniej dwóch administratorów danych
  • wspólnie ustala cele i sposoby przetwarzania danych osobowych

Co istotne obie te przesłanki muszą zaistnieć kumulatywnie.

Proces ten dotyczy sytuacji, w której w przetwarzania danych osobowych zaangażowanych jest wiele podmiotów, które wchodzą ze sobą w określoną relacje. Co ważne RODO nie określa ile maksymalnie podmiotów może być zaangażowanych w ten proces, nie ma w tym zakresie żadnych ograniczeń.

Aby dokonać właściwej analizy, czy w określonej sytuacji dochodzi do współadministrowania danymi osobowymi, należy zastanowić się czy relacja dwóch podmiotów polega w istocie na przetwarzaniu danych osobowych. W wielu sytuacjach może bowiem okazać się, że pomimo nawiązania między podmiotami współpracy, jeden z nich nie będzie zaangażowany w proces przetwarzania danych lub pracował będzie na danych zanonimizowanych/statystycznych. Przykładem takiej sytuacji będzie współpraca z polegająca na budowaniu wspólnych strategii biznesowych, nie każdy podmiot zaangażowany będzie potrzebował uzyskiwania dostępu do danych, lecz jedynie do ogólnego profilu klientów, osób do których kierowane są działania biznesowe.

Również sam fakt, że podmiot uzyskuje dostęp do danych osobowych nie determinuje tego, że staje się on współadministratorem danych osobowych. Pamiętać musimy bowiem w pierwszej kolejności o wyżej wskazanych przesłankach oraz o tym, że na gruncie Ogólnego rozporządzenia mamy do czynienia z innymi konstrukcjami prawnymi związanymi z dostępem/przekazywaniem danych – powierzeniem i udostępnienie danych osobowych. Każdorazowo, więc przed nawiązaniem współpracy z podmiotem, która polegała będzie na dostępie do danych osobowych, należy zadać sobie pytanie jaki charakter będzie miała współpraca?

Administrator, czy współadministrator?

Aby odróżnić administratora danych osobowych od współadministratora należy wziąć w sposób szczególny pod uwagę to, w jaki sposób podejmowane są decyzje dotyczące celów i sposobu. Należy zadać sobie pytanie czy decyzje te podejmowane są autonomicznie i jednostkowo czy w porozumieniu z innym podmiotem/podmiotami. W relacji współadministrowania danymi osobowymi mówi się także o istnieniu między podmiotami wspólnego, tego samego interesu w przetwarzaniu danych osobowych. Dopiero gdy dwóch lub więcej administratorów wspólnie opracowuje np. strategię na przeprowadzenie konkursu można mówić o działaniu zespołowym i wspólnocie celów oraz sposobów. Odróżnić należy bowiem sytuacje, w której mamy do czynienie z tymi samymi celami, od wspólnego celu.

Sednem współadministrowania jest realizacja jednego, bądź kilku celów przez więcej niż jednego administratora danych osobowych z wykorzystaniem tych samych zasobów jakimi są dane osobowe. Można przyjąć, że cele sprowadza się do określenie „dlaczego” dane osobowe będą przetwarzane, natomiast sposób to określenie „jak” dane będą przetwarzane – chodzi tutaj nie tylko o aspekt techniczny, lecz również kwestie organizacyjne, czy te związane między innymi z  retencją danych, dostępu do danych.

Niejednokrotnie relacje współadministrowania są trudne do oceny i dotyczyć mogą one wielu złożonych aspektów przetwarzania danych osobowych. Co ważne każdy przypadek, który będzie analizowany pod kątem tego czy dochodzi do współadministrowania danych osobowych powinien zostać indywidualnie rozpatrywany i analizowany. Do ustalenia czy mamy do czynienie z taką sytuacją czy też nie, koniecznym jest dokładne przyjrzenie się określonemu stanowi faktycznemu oraz dokonanie obiektywnej oceny wszystkich aspektów, o których mowa powyżej.

Uzgodnienia między współadministratorami – co powinny zawierać?

Elementy obligatoryjne

Celem art. 26 RODO jest bez wątpienia zapewnienie właściwej ochrony praw i wolności osób, których dane dotyczą oraz odpowiednie ustalenie zakresu obowiązków i odpowiedzialności każdego z administratorów. W związku z tym, ogólne rozporządzenie zobowiązuje współadministratorów do określenia zakresu obowiązków i odpowiedzialności za ich wykonywanie, za pomocą wzajemnych uzgodnień.

W zakresie opracowywania uzgodnień między współadministratorami, nie można zapomnieć o kwestiach związanych z przejrzystością,  w sposób wyraźny wskazuje na to motyw 79 RODO:

Motyw 79 RODO

"Ochrona praw i wolności osób, których dane dotyczą, oraz obowiązki i odpowiedzialność prawna, administratorów i podmiotów przetwarzających – także w odniesieniu do monitorowania ze strony organów nadzorczych i do środków przez nie stosowanych – wymagają dokonania w ramach niniejszego rozporządzenia jasnego podziału obowiązków, także w sytuacji, gdy administrator określa cele i sposoby przetwarzania wspólnie z innymi administratorami lub gdy operacji przetwarzania dokonuje się w imieniu administratora.”.

Dodatkowo warto mieć na uwadze, że wejście w proces współadministrowania danymi osobowymi z wieloma podmiotami nie może oznaczać dla któregokolwiek z nich utraty kontroli nad przetwarzaniem danych, braku wpływu na tę relację oraz przede wszystkim nie wypełniania przez podmioty ich obowiązków spoczywających na nich na mocy RODO.

Przechodząc do uzgodnień na samym początku warto zauważyć, że w tym zakresie Ogólne rozporządzenie o ochronie danych daje administratorom dość dużą swobodę i elastyczność. Można powiedzieć, że przepis art. 26 RODO sformułowany jest jako katalog otwarty w zakresie wyliczenia, jakie elementy powinny zawierać.

Art. 26 RODO

"W drodze wspólnych uzgodnień współadministratorzy w przejrzysty sposób określają odpowiednie zakresy swojej odpowiedzialności dotyczącej wypełniania obowiązków wynikających z niniejszego rozporządzenia, w szczególności w odniesieniu do wykonywania przez osobę, której dane dotyczą, przysługujących jej praw, oraz ich obowiązków w odniesieniu do podawania informacji, o których mowa w art. 13 i 14, chyba że przypadające im obowiązki i ich zakres określa prawo Unii lub prawo państwa członkowskiego, któremu administratorzy ci podlegają. W uzgodnieniach można wskazać punkt kontaktowy dla osób, których dane dotyczą.”.

Najważniejsze z punktu widzenia prawodawcy są więc kwestie związane z realizacją praw oraz  obowiązkiem informacyjnym, a także wskazanie punktu kontaktowego dla osób, których dane dotyczą, aby ułatwić osobom m.in. możliwość realizacji praw. Jest to minimalny zakres wspólnych uzgodnień, a więc ich treść może być o wiele bogatsza.

kurs IOD

Dowiedz się jak wdrożyć RODO w swojej organizacji

Wiedza przekazywana w przystępny sposób przez wykładowców – praktyków (możesz spotkać ich artykuły na naszym blogu ;), kameralne grupy szkoleniowe, praktyczne wzory i szablony dokumentów i procedur, egzamin zakończony wydaniem certyfikatu. To tylko niektóre z zalet naszego kursu.

Sprawdź terminy:

Sprawdź

Elementy fakultatywne

Poniżej przedstawiamy przykłady dodatkowych elementów, które warto zawrzeć w uzgodnieniach między współadministratorami, są to m.in.:

  • przedmiot współadministrowania
  • cel, sposób, zakres przetwarzania danych
  • kategoria osób, których dane osobowe będą przetwarzane
  • okres przetwarzania danych osobowych
  • podstawy i cele przetwarzania danych osobowych
  • odpowiedzialność i podział zadań w zakresie naruszeń ochrony danych
  • zasady współpracy w zakresie opracowywania oceny skutków dla ochrony danych
  • zasady związane z powierzeniem danych osobowych oraz przekazywaniem danych osobowych do państw trzecich
  • warunki w zakresie zabezpieczenia danych osobowych zgodnie z art. 24, 25 oraz 32 RODO
  • szczegółowe określenie obowiązków współadministratorów w stosunku do osób, których dane dotyczą, w tym dotyczące spełnienia obowiązku informacyjnego
  • informacja na temat tego, który ze współadministratorów zapewnia odpowiednie udokumentowanie w zakresie wykazania się zgodnością przetwarzania z RODO
  • odpowiedzialność współadministratórow
  • sposób kontaktów między współadministratorami

Forma uzgodnienia

Ogólne rozporządzenie o ochronie danych nie precyzuje w jakiej formie uzgodnienia powinny zostać zawarte przez współadministratorów. Daje więc w tym zakresie dużą swobodę interpretacyjną, jednak trzeba mieć na uwadze w tym zakresie zasadę rozliczalności oraz wymóg art. 26 ust. 2 RODO udostępnienia treści uzgodnień podmiotom danych. W razie kontroli podmioty muszą wykazać, który za co odpowiada oraz w jakim zakresie, natomiast podmiotom danych należałby zapewnić dostęp do zasadniczej treści uzgodnień, tak aby mogli oni zapoznać się z ich treścią wielokrotnie mając na uwadze zasadę przejrzystości. Najczęściej podmioty zawierają umowę lub porozumienie o współadministraowaniu danymi osobowymi w formie pisemnej lub elektronicznej. Nie można także wykluczyć ujęcia wszystkich niezbędnych postanowień np. w formie regulaminu. Co więcej uzgodnienia między współadministratorami nie muszą mieć koniecznie formy oddzielnego dokumentu, lecz mogę one stanowić części innej umowy lub załącznik do niej.

Kolejna kwestia to udostepnienie zasadniczej treści uzgodnień, taką dyspozycje odnajdziemy w art. 26 ust. 2 RODO. Jednak również w tym przypadku Ogólne rozporządzenie o ochronie danych nie precyzuje czym jest w istocie „zasadnicza treść”. Uznaje się, że są to co najmniej elementy wymienione w art. 26 ust. 1 RODO, czyli umożliwienie osobie w sposób swobodny skorzystania z praw jej przysługujących oraz takie, które umożliwią osobie zorientowanie się w okolicznościach przetwarzania czyli m.in. tożsamość współadministratorów, cele przetwarzania czy zakresy ich odpowiedzialności. Nie wskazano także w przepisach w jakim momencie oraz jak uzgodnienia mają zostać udostępnione, więc podmioty mają także w tym zakresie swobodę decyzyjną.

Realizacja praw

Co ważne ustalone między współadministrarotami uzgodnienia, co do zakresu ich obowiązków, nie wpływają na możliwość wykonywania przez osobę, której dane dotyczą jej praw na gruncie RODO. W art. 26 ust. 3 RODO wskazano, że osoba taka może wykonywać przysługujące jej prawa wobec każdego ze współadministratorów z osobna. W konsekwencji należy stwierdzić, że osoba, której dane dotyczą, nie jest związana uzgodnieniami współadministratorów w zakresie realizacji praw.

Kary finansowe

Warto mieć na uwadze, że za naruszenie postanowień art. 26 RODO grozi administracyjna kara pieniężna, o której mowa w art. 83 ust. 4 RODO (w wysokości do 10 000 000 euro, a w przypadku przedsiębiorstwa – w wysokości do 2% jego całkowitego światowego obrotu z poprzedniego roku obrotowego).

Praktyczne zastosowanie przepisów

Zapraszamy do zapoznania się z komentarzami naszego zespołu w sprawie współadministrowania:

Marcin Szkutnik, radca prawny, ekspert ds. ochrony danych osobowych

W praktyce, współadministrowanie najczęściej można spotkać w procesach przetwarzania grup kapitałowych np. w ramach prowadzenia rekrutacji, działań marketingowych. Innym przykładem współadministrowania będzie wspólna organizacja przedsięwzięć takich jak konkursy czy eventy. W wielu przypadkach współadministrowanie może być dobrym rozwiązaniem, które ułatwi przepływ danych pomiędzy podmiotami. Należy jednak pamiętać, że wiąże się ono także z  koniecznością spełnienia szczególnych wymagań, w tym przede wszystkim spisaniem uzgodnień między administratorami.

Tomasz Wasilczyk, specjalista ds. ochrony danych osobowych

Współadministrowanie danymi osobowymi w praktyce nie pojawia się zbyt często. Muszą bowiem zaistnieć określone przesłanki, które jednoznacznie wskażą na taką konstrukcję. Praktycznym przykładem jest sytuacja, w której dwie spółki są ze sobą ściśle powiązane organizacyjnie, kapitałowo i osobowo, a w ramach prowadzonej działalności gospodarczej wspólnie korzystają z jednej bazy danych klientów. W takiej sytuacji te podmioty w drodze wspólnych uzgodnień powinny ustalić cele i sposoby przetwarzania danych osobowych klientów, aby w przejrzysty sposób określić odpowiednie zakresy swojej odpowiedzialności dotyczącej wypełniania obowiązków wynikających z RODO.

Innymi spotykanymi w praktyce przykładami współadministrowania danymi osobowymi mogą być:

  • wspólnicy spółki cywilnej w ramach podejmowania wspólnych działań
  • organy administracji publicznej wspólnie zarządzający systemami lub rejestrami
  • prowadzenie wspólnej platformy internetowej
  • wspólna organizacja programu lojalnościowego

Oczywiście tak jak wcześniej zostało to wspomniane, każdy przypadek powinien zostać poddany skrupulatnej analizie, czy w istocie będzie dochodziło do współadministrowania.

Podsumowanie

Właściwe zrozumienie instytucji współadministrowania danych osobowych jest kluczowe dla ustalenie przez administratora danych osobowych jaką konstrukcję współpracy z innym podmiotem należy przyjąć. Kluczowym jest bowiem odróżnienie sytuacji, w której dochodzi do powierzenia danych od tej, w której będziemy mieć do czynienia ze współadministrowaniem. Należy zwrócić szczególną uwagę na sposób podejmowanie decyzji przez podmioty. Ocena sytuacji podmiotów w ramach konkretnego projektu powinna opierać się na dokładnej analizie prawnej i organizacyjnej całego przedsięwzięcia.

Odpowiednia wiedza na temat przesłanek jakie determinują powstanie między podmiotami stosunku współadministrowania, pozwala zminimalizować ryzyko wejścia w taką relację bez zaistnienia wyraźnej konieczności.

 

Pobierz artykuł

Pobierz artykuł w PDF

 

Related Posts

Zasady pracy zdalnej a RODO – poradnik
Kontrola trzeźwości – co na to nowelizacja kodeksu pracy?
Praca zdalna a RODO – co na to nowelizacja kodeksu pracy?

3 Responses

  1. Barbara

    Czy umowa współadimistrowania powinna być wpisana do jakiegoś restestru? Jesli tak, to tworzymy rejestr umów współadministrowania czy możemy dopisac np do rejestru umów powierzenia z jakąś uwagą?

    1. Łukasz Zegarek

      Dzień dobry,

      Nie ma obowiązku prawnego prowadzenia rejestru umów o współadministrowanie. Jeśli umów jest więcej, niż 1 (lub umowa bardzo często się zmienia), to taki rejestr może być dobrym pomysłem. Proszę też pamiętać, że jeśli taki rejestr powstanie należy go prowadzić oddzielnie od rejestru umów powierzenia.

      Pozdrawiamy!

  2. Emilia

    Dzień dobry, przypadek jest taki – jest aplikacja mobilna służąca do zamawiania jedzenia od podmiotu gastronomicznego, nazwijmy go anonimowo GASTRO. Została stworzona przez podmiot programistyczny, nazwijmy go SOFTWAREHOUSE, które pozostają w stałej współpracy. Poza aplikacją GASTRo, ma też stronę internetową, stworzoną odrębnie, na której widnieje polityka prywatności.

    Czy w takim wypadku ma sens tworzenie odrębnej polityki prywatności dla aplikacji i uznanie obu podmiotów za współadministratorów?

    Czy sensowniej będzie uznać GASTRO za administratora, który udostęnia dane dla SOFTWAREHOUSE?

    czy może jeszcze inaczej – trzeba zawrzeć umowę powierzenia danych???

Leave a Reply

* pola obowiązkowe

Administratorem danych osobowych jest Lex Artist sp. z o.o., ul. Szańcowa 74/1, 01-458 Warszawa. Dane osobowe będą przetwarzane w celu umieszczenia i obsługi komentarza na blogu. Przysługują Panu/Pani następujące prawa: prawo dostępu do treści danych, prawo do sprostowania danych, prawo do usunięcia danych, prawo do ograniczenia przetwarzania danych, prawo do wniesienia sprzeciwu, prawo do wniesienia skargi do organu nadzorczego. Pełna treść klauzuli informacyjnej znajduje się tutaj.

Zanonimizowany ciąg znaków stworzony na podstawie Pani/Pana adresu email (tak zwany hash) może zostać przesłany do usługi Gravatar w celu sprawdzenia czy jej Pan/Pani używa. Polityka prywatności usługi Gravatar jest dostępna tutaj. Po zatwierdzeniu komentarza obrazek profilowy jest widoczny publicznie w kontekście twojego komentarza.

Czas na rodo

Czy wiesz że?

Prowadzimy najpopularniejszy w Polsce kanał na YouTube poświęcony RODO.

Oglądaj czas na RODO