Współadministrowanie danymi na gruncie RODO
Współadministracja danymi osobowymi to szczególna sytuacja, w której dwóch lub więcej administratorów danych odpowiada za przetwarzanie tych samych danych osobowych. Współadministratorzy muszą określić swoje wzajemne relacje i sposób, w jaki będą wykonywać obowiązki wynikające z RODO. W szczególności muszą określić to, jak będą realizować prawa osób, których dane są przez nich wspólnie przetwarzane.
Współadministrowanie danymi wymaga od administratorów danych wzajemnej współpracy i komunikacji. W praktyce oznacza to, że wszyscy współadministratorzy muszą przestrzegać wymogów RODO. Powinni zawrzeć umowę lub inne porozumienie, które określi sposób ich współpracy oraz obowiązki każdego z nich w zakresie przetwarzania danych.
Współadministratorzy
O wpóładministratorstwie mówimy kiedy mamy do czynienia z kilkoma administratorami. Przypomnijmy: Administrator danych osobowych to osoba fizyczna lub prawna, organ publiczny, jednostka, inny podmiot lub osoba, która samodzielnie lub wspólnie z innymi podmiotami określa cele i sposoby przetwarzania danych osobowych.
Zgodnie z art. 26 ust. 1 RODO: "Jeżeli co najmniej dwóch administratorów wspólnie ustala cele i sposoby przetwarzania, są oni współadministratorami. W drodze wspólnych ustaleń współadministratorzy w przejrzysty sposób określają odpowiednie zakresy swojej odpowiedzialności dotyczącej wypełniania obowiązków wynikających z niniejszego rozporządzenia, w szczególności w odniesieniu do wykonywania przez osobę, której dane dotyczą, przysługujących jej praw, oraz ich obowiązków w odniesieniu do podawania informacji, o których mowa w art. 13 i 14, chyba że przypadające im obowiązki i ich zakres określa prawo Unii lub prawo państwa członkowskiego, któremu administratorzy ci podlegają. W uzgodnieniach można wskazać punkt kontaktowy dla osób, których dane dotyczą".
Z powyższego przepisu wynika, że warunkiem koniecznym do przyjęcia, iż mamy do czynienia ze współadministratorami, jest:
- istnienie co najmniej dwóch administratorów;
- wspólne ustalanie przez tych administratorów celów i sposobów przetwarzania danych osobowych.
W ten sposób obecnie definiujemy współadministratora. Natomiast początkowo w polskiej ustawie o ochronie danych osobowych z 1997 roku znajdował się zapis, iż jest to podmiot, który samodzielnie lub wspólnie z innymi podmiotami określa cele i sposoby przetwarzania danych osobowych. Niewątpliwie, rozumienie pojęcia współadministratora danych uległo znacznej poprawie.
Współadministrowanie to stan faktyczny
Choć współadministratorzy są zobowiązani uzgodnić odpowiednie zakresy swojej odpowiedzialności, (co najczęściej przybiera formę umowy) to do współadministrowania danymi nie dochodzi na skutek formalnego zawarcia umowy o współadministracji lub innego podobnego porozumienia. Pojęcie współadministratora, podobnie jak pojęcie administratora czy podmiotu przetwarzającego, jest bowiem pojęciem funkcjonalnym, co oznacza, że o tym, czy dany podmiot jest współadministratorem, decyduje konkretny stan faktyczny i rzeczywista rola, którą pełni podmiot zaangażowany w przetwarzanie danych osobowych. Istotną cechą współadministrowania jest wspólne określanie celów i sposobów przetwarzania danych.
Co istotne, jeżeli w konkretny proces przetwarzania danych osobowych są zaangażowane co najmniej dwa podmioty i podmioty te wspólnie ustalają cele i sposoby przetwarzania danych osobowych, to niezależnie od tego, jaka umowa zostałaby zawarta (np. zamiast umowy o współadministracji następuje zawarcie umowy powierzenia przetwarzania danych) i tak na gruncie RODO będzie dochodziło do współadministrowania danymi.
Powyższe oznacza, że współadministrowanie danymi wymaga przeprowadzania uprzedniej, szczegółowej inwentaryzacji procesów przetwarzania danych osobowych i dokładnego ustalenia ról, jakie pełnią poszczególne podmioty. Dopiero później, gdy wszystkie zaangażowane podmioty będą pewne co do tego, że wspólnie ustalają cele i środki przetwarzania, mogą zawrzeć umowę lub porozumienie dotyczące współadministrowania danymi.
Warto jednocześnie odnotować, że współadministrowanie może być narzucone, tj. może zachodzić wtedy, gdy przepisy prawa z góry określają rolę obu administratorów.
Nie ma reguły jasno określającej, że przy udziale w przetwarzaniu danych osobowych konkretnego rodzaju podmiotów będzie dochodziło do współadministrowania lub nie.
Cele i sposoby przetwarzania danych osobowych
Kluczową, a zarazem najtrudniejszą kwestią, która wymaga szczególnej uwagi, jest ustalenie, czy w konkretnym procesie przetwarzania danych osobowych co najmniej dwa podmioty wspólnie ustalają cele i środki przetwarzania.
Przede wszystkim należy mieć na uwadze, że współadministratorzy muszą ustalać wspólnie cele i sposoby przetwarzania danych. W sytuacji, w której władztwo w zakresie ustalania obu tych elementów będzie skupione w rękach wyłącznie jednego podmiotu, nie będzie dochodziło do współadministrowania danymi.
Wydawać by się zatem mogło, że wspólne ustalenie celów i sposobów będzie się sprowadzało do jednostkowych, wyjątkowych i jasnych sytuacji, w których co najmniej dwa podmioty dosłownie siadają do stołu i razem ustalają, w jakim celu i w jaki sposób będą przetwarzać dane osobowe.
Tymczasem, wspólny udział w ustalaniu celów i sposobów przetwarzania może przybierać różne formy. Jak wskazuje Europejska Rada Ochrony Danych (EROD) w wytycznych 07/2020 wspólny udział może przybrać formę wspólnej decyzji podjętej przez co najmniej dwa podmioty (tzw. common decision) lub wynikać ze zbieżnych decyzji co najmniej dwóch podmiotów (tzw. covering decisions), w przypadku gdy decyzje te wzajemnie się uzupełniają i są konieczne, aby przetwarzanie odbywało się w taki sposób, że mają one konkretny wpływ na określenie celów i sposobów przetwarzania.
Warto odnotować, że jeszcze przed wejściem w życie RODO, Grupa Robocza art. 29 w opinii 1/2010 wyraziła bardzo podobny pogląd, stwierdzając, że:
"W kontekście wspólnej kontroli udział stron we wspólnym określaniu celów i sposobów może jednak przyjąć różne formy i nie musi być równo rozłożony. W przypadku wielu podmiotów mogą one być bardzo ściśle ze sobą powiązane (mając, na przykład, wspólne wszystkie cele i sposoby przetwarzania) lub pozostawać w luźniejszych stosunkach (na przykład, mając tylko wspólne cele lub wspólne sposoby przetwarzania bądź ich część). W związku z tym należy uwzględnić dużą różnorodność rodzajów wspólnej kontroli i ocenić ich skutki prawne, dopuszczając pewną elastyczność, aby przygotować się na rosnącą złożoność obecnych realiów w zakresie przetwarzania danych".
Zapewnianie środków przetwarzania danych osobowych przez jednego współadministratora
Współadministowanie danymi osobowymi często może być rozważane w ramach grupy przedsiębiorstw, kiedy to jeden podmiot (z reguły podmiot dominujący lub sprawujący kontrolę) zapewnia środki przetwarzania danych osobowych i udostępnia je innym podmiotom. Wydawać by się mogło, że skoro tylko jeden podmiot decyduje o sposobach przetwarzania danych, to taka sytuacja wyklucza współadministrowanie. Nie jest to jednak tak oczywiste.
Rozważając powyższy przypadek, ponownie warto odnotować pogląd EROD, która w wytycznych 07/2020 stwierdziła, że:
"Współadministracja wymaga również, aby co najmniej dwa podmioty wywierały wpływ na sposoby przetwarzania. Nie oznacza to, że aby współadministracja istniała, każdy zaangażowany podmiot musi we wszystkich przypadkach określić wszystkie sposoby przetwarzania. Jak wyjaśnił TSUE, różne podmioty mogą być zaangażowane na różnych etapach tego przetwarzania i w różnym stopniu. Różni współadministratorzy mogą zatem w różnym stopniu określić sposoby przetwarzania, w zależności od tego, kto jest do tego faktycznie uprawniony. Może się również zdarzyć, że jeden z zaangażowanych podmiotów zapewnia sposoby przetwarzania i udostępnia je innym podmiotom na potrzeby przetwarzania danych osobowych. Podmiot, który decyduje się stosować te sposoby w celu przetwarzania danych w określonym celu, również uczestniczy w określaniu sposobów przetwarzania. O takim scenariuszu możemy mówić w przypadku platform, standardowych narzędzi lub innej infrastruktury umożliwiającej stronom przetwarzanie tych samych danych osobowych, które zostały utworzone w określony sposób przez jedną ze stron, aby mogły być wykorzystywane przez inne strony, które również mogą decydować o sposobie ich utworzenia. Wykorzystanie już istniejącego systemu technicznego nie wyklucza współadministracji, jeżeli użytkownicy systemu mogą decydować, aby dane osobowe były przetwarzane w tym kontekście".
Współadministrowanie w grupie przedsiębiorstw
Prawidłowa kwalifikacja podmiotów przetwarzających dane osobowe nierzadko może być problematyczna. Często, np. z uwagi na korzystanie ze wspólnego systemu lub wspólnej infrastruktury, może się wydawać, że współadministrowanie danymi jest jedyną możliwością. Tymczasem, dokładna analiza może prowadzić do zgoła odmiennych wniosków.
Jedną z najczęściej obserwowanych w praktyce sytuacji, w których jest rozważana konstrukcja współadministrowania danymi to współadministracja w ramach grupy przedsiębiorstw. Wynika to z tego, że dosyć często to przedsiębiorstwo sprawujące kontrolę zapewnia przedsiębiorstwom kontrolowanym infrastrukturę lub narzędzia służące do przetwarzania danych osobowych. Nie zawsze jest jednak tak, że samo współdzielenie infrastruktury przesądza o współadministracji.
Przykładowo, EROD wskazuje w swoich wytycznych, że w sytuacji, w której grupa przedsiębiorstw korzysta ze wspólnej bazy danych (np. bazy klientów), ale każdy podmiot wchodzący w skład grupy niezależnie określa swoje własne cele, to w takim przypadku współadministrację należy wykluczyć.
Podobnie będzie w przypadku centrum usług wspólnych (CUW), czyli wyspecjalizowanego podmiotu, który realizuje na rzecz pozostałych podmiotów z grupy przedsiębiorstw np. usługi księgowe lub HR. W takiej sytuacji co do zasady zachodzi bowiem stosunek powierzenia przetwarzania danych, w którym centrum usług wspólnych to podmiot przetwarzający. Natomiast spółki, na rzecz których CUW świadczy usługi to administratorzy.
Inne okoliczności, w których zachodzi współadministracja
Marketing
Współadministracja, jak wskazuje EROD, może zachodzić np. w sytuacji, w której dwa przedsiębiorstwa wprowadzając na rynek produkt pod wspólną marką, będą razem promować ten produkt w oparciu o własne bazy danych klientów lub potencjalnych klientów.
Warto jednak pamiętać, że każdorazowo należy dokładnie zweryfikować relacje pomiędzy podmiotami zaangażowanymi w przetwarzanie danych osobowych. W kontekście marketingu nie każdy przypadek promowania tego samego produktu będzie równoznaczny z współadministrowaniem danymi osobowymi, w szczególności może tak być w sytuacji, gdy producent i dystrybutor promują ten sam produkt, jednak działania dystrybutora są realizowana na wyraźne polecenie producenta.
Projekty badawcze
Współadministratorami danych osobowych mogą być również podmioty realizujące wspólne projekty badawcze, np. gdy kilka podmiotów wykorzystuje w ramach projektu jedno narzędzie należące do jednego podmiotu i zasila to narzędzie swoimi danymi.
Odpowiedzialność współadministratorów
Zgodnie z art. 26 ust. 1 RODO współadministratorzy są zobowiązani określić odpowiednie zakresy swojej odpowiedzialności dotyczącej wypełniania obowiązków wynikających z rozporządzenia. Innymi słowy, konieczne jest określenie tego, kto co robi. Art. 26 RODO wskazuje, że wpóładministratorzy w szczególności powinni określić sposób realizacji obowiązków wynikających z art. 13 i 14, czyli obowiązków informacyjnych. Nie jest to jednak jedyna kwestia, która powinna być uzgodniona, należy bowiem ustalić praktycznie każdy aspekt realizowania obowiązków, które RODO nakłada na każdego administratora.
Współadministratorzy muszą ustalić ponoszenie odpowiedzialności w danych obszarach:
- wdrożenie ogólnych zasad ochrony danych osobowych (art. 5);
- podstawę prawną przetwarzania(art. 6);
- środki bezpieczeństwa (art. 32);
- zgłoszenie do organu nadzorczego i osoby, której dane dotyczą, naruszenia ochrony danych osobowych (art. 33 i 34);
- w zakresie opracowywania oceny skutków dla ochrony danych osobowych (art. 35 i 36);
- korzystanie z usług podmiotu zwanego podmiotem przetwarzającym (art. 28);
- przekazywanie danych do państw trzecich (rozdział V);
- organizację kontaktów z podmiotami danych i organami nadzorczymi.
Współadministratorzy mogą również rozważyć wprowadzenie ograniczeń dotyczących wykorzystania danych osobowych w innym celu.
Co istotne, a na co wskazuje EROD, Współadministratorom przysługuje pewien stopień elastyczności co do podziału obowiązków między sobą, o ile zapewnią pełną zgodność z RODO w odniesieniu do danego przetwarzania. Ta elastyczność wiąże się również z tym, że obowiązki nie muszą być rozdzielone równomiernie. Jak bowiem wskazał Trybunał Sprawiedliwości Unii Europejskiej w wyroku w sprawie C-210/16:
„istnienie wspólnej odpowiedzialności nie musi oznaczać równej odpowiedzialności różnych podmiotów zaangażowanych w przetwarzanie danych osobowych".
Z drugiej strony należy pamiętać, że elastyczność w podziale obowiązków nie oznacza, że każdą realizację każdego obowiązku można rozdzielić. Przykładem takiego obowiązku jest prowadzenie własnego rejestru czynności przetwarzania, który powinien być prowadzony przez każdego współadministratora (wówczas fakt współadministracji powinien być odzwierciedlony w każdym rejestrze jako konkretny proces). Ponadto, w sytuacji, gdy współadministratorzy np. korzystają ze wspólnych narzędzi lub systemów przetwarzania danych, muszą zapewnić zgodność z zasadą celowości oraz wdrożyć odpowiednie środki ochrony danych osobowych przetwarzanych w ramach wspólnych narzędzi.
Udostępnianie uzgodnień osobom, których dane dotyczą
Budzącą wątpliwości kwestią jest sformułowany w art. 26 ust. 2 zd. 2 RODO nakaz udostępniania podmiotom, których dane dotyczą, zasadniczej treści uzgodnień pomiędzy współadministratorów. Wątpliwości te dotyczą zakresu ochrony danych osobowych oraz sposobu udostępnienia informacji.
Z pewnością przedmiotowego obowiązku nie należy interpretować w ten sposób, że należy udostępnić wszystkie uzgodnienia. Jak się wydaje, udostępniane informacje powinny spełnić konkretny cel, jakim jest umożliwienie podmiotom danych skorzystanie z przysługujących im praw. W tym zakresie Europejska Rada Ochrony Danych zaleca, aby zasadnicza treść obejmowała co najmniej wszystkie elementy informacji, o których mowa w art. 13 i 14, które powinny być już dostępne dla osoby, której dane dotyczą, przy czym w odniesieniu do każdego z tych elementów w uzgodnieniu należy określić, który współadministrator jest odpowiedzialny za zapewnienie zgodności z tymi elementami.
Drugą problematyczną kwestią jest sposób udostępnienia treści uzgodnień, w szczególności to, czy współadministratorzy powinni udostępniać zasadniczą treść uzgodnień w sposób aktywny (tak jak w przypadku przekazywania klauzuli infromacyjnej), czy też wystarczy, że udostępnienie nastąpi na żądanie podmiotu danych. EROD w swoich wytycznych podchodzi do tej kwestii dosyć elastycznie, dopuszcza bowiem udostępnienie zasadniczych uzgodnień pomiędzy współadministratorami zarówno w klauzuli informacyjnej, jak i poprzez upublicznienie uzgodnień np. w polityce prywatności.
Niezależnie od powyższego, wydaje się, że udostępniając zasadniczą część uzgodnień, należy każdorazowo wziąć pod uwagę kontekst, w jakim są zbierane dane osobowe, a przede wszystkim zawsze uwzględniać cel, jaki mają spełniać przekazane informacje.
Punkt kontaktowy
Warto zauważyć, że współadministratorzy mogą wyznaczyć punkt kontaktowy dla osób, których dane dotyczą. Takie rozwiązanie może uprościć przekazywanie niezbędnych informacji podmiot praw, a samym podmiotom zaangażowanym w przetwarzania może ułatwić wykonywanie wzajemnych obowiązków.
Forma uzgodnień
Co ciekawe, RODO nie wymaga szczególnej formy uzgodnień współadministratorów, co teoretycznie oznacza, że mogą one przybrać jakąkolwiek postać. Z oczywistych względów, uzgodnienia pomiędzy współadministratorami najczęściej przybierają postać pisemnej umowy lub porozumienia. W praktyce jest to bowiem najlepszy sposób, aby w pełni zrealizować zasadę rozliczalności wynikającą z art. 5 ust. 2 RODO.
Uprawnienia osób, których dane dotyczą oraz odpowiedzialność solidarna współadministratorów
Warto zauważyć, że niezależnie od formy i treści uzgodnień współadministratorów osoba, której dane dotyczą, zawsze może realizować swoje prawa wynikające z RODO wobec każdego ze współadministratorów. Z punktu widzenia współadministratorów oznacza to konieczność zapewnienia odpowiedniego przepływu informacji i stworzenia efektywnego systemu zarządzania zgłoszeniami w zakresie realizacji praw.
W kontekście współadministracji danymi osobowymi należy również mieć na uwadze to, że każdy ze współadministratorów odpowiada solidarnie przed osobą, której dane dotyczą za szkodę spowodowaną wspólnym przetwarzaniem danych osobowych. Oznacza to, że w przypadku wystąpienia szkody podmiot danych może żądać całości lub części odszkodowania od wszystkich współadministratorów łącznie, od kilku z nich lub od każdego z osobna.
Autorem artykułu jest radca prawny: Jakub Pawłowski.