Współadministratorzy danych osobowych: Kluczowe aspekty

10/05/2024

★★★★★Rating: 4.6 (4289 votes)

W dzisiejszym, dynamicznie rozwijającym się świecie biznesu, ochrona danych osobowych stała się priorytetem. Przepisy RODO (Ogólne Rozporządzenie o Ochronie Danych) jasno definiują role i obowiązki podmiotów przetwarzających dane. Jedną z bardziej złożonych koncepcji jest współadministrowanie danymi osobowymi. Czym dokładnie jest współadministracja, kiedy występuje i jakie niesie ze sobą konsekwencje dla przedsiębiorstw? Na te i inne pytania odpowiemy w niniejszym artykule, pomagając zrozumieć zawiłości współadministrowania danymi osobowymi i zapewnić zgodność z przepisami.

Ile kosztuje opracowanie dokumentacji RODO? — Koszt opracowania dokumentacji RODO na polskim rynku waha się od 3 000 zł do 12 000 zł, w zależności od specyfiki firmy i potrzebnej kompleksowości. W przypadku małych organizacji, obsługujących ograniczoną ilość danych osobowych, koszt wynosi zazwyczaj około 3 000 – 5 000 zł.

Spis treści

Czym jest współadministrowanie danymi osobowymi?
Współadministrowanie danymi to stan faktyczny, nie formalność
Wspólne ustalanie celów i sposobów przetwarzania danych osobowych
Współadministracja w kontekście udostępniania środków przetwarzania
Współadministracja w grupie przedsiębiorstw
Inne przykłady współadministracji
Odpowiedzialność współadministratorów
Udostępnianie uzgodnień osobom, których dane dotyczą
Punkt kontaktowy
Forma uzgodnień
Uprawnienia osób, których dane dotyczą i odpowiedzialność solidarna
Podsumowanie i najczęściej zadawane pytania (FAQ)

Czym jest współadministrowanie danymi osobowymi?

Zgodnie z definicją zawartą w art. 26 ust. 1 RODO, o współadministrowaniu danymi osobowymi mówimy wtedy, gdy co najmniej dwóch administratorów wspólnie ustala cele i sposoby przetwarzania. Kluczowe jest tutaj słowo „wspólnie”. Oznacza to, że kilka podmiotów współdecyduje o tym, po co dane są przetwarzane i w jaki sposób to przetwarzanie będzie realizowane.

Aby lepiej zrozumieć tę definicję, przypomnijmy sobie, kim jest administrator danych osobowych. Administratorem jest osoba fizyczna lub prawna, organ publiczny, jednostka lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych.

Zatem, aby doszło do współadministracji, muszą być spełnione dwa podstawowe warunki:

Istnienie co najmniej dwóch administratorów.
Wspólne ustalanie celów i sposobów przetwarzania danych osobowych przez tych administratorów.

Warto podkreślić, że pojęcie współadministratora danych osobowych ewoluowało. Wcześniejsze definicje, jak ta zawarta w polskiej ustawie o ochronie danych osobowych z 1997 roku, były mniej precyzyjne. Aktualna definicja, wynikająca z RODO, kładzie nacisk na wspólne decydowanie o celach i sposobach przetwarzania.

Współadministrowanie danymi to stan faktyczny, nie formalność

Chociaż współadministratorzy są zobowiązani do uzgodnienia zakresów swojej odpowiedzialności (często w formie umowy), to współadministrowanie danymi nie wynika z samego faktu zawarcia umowy. Jest to stan faktyczny, wynikający z rzeczywistej roli i wpływu podmiotów na przetwarzanie danych osobowych. Nawet jeśli podmioty zawrą umowę o powierzeniu przetwarzania danych osobowych, ale w rzeczywistości wspólnie ustalają cele i sposoby przetwarzania, to na gruncie RODO nadal będziemy mieli do czynienia z współadministrowaniem.

Dlatego kluczowe jest przeprowadzenie szczegółowej inwentaryzacji procesów przetwarzania danych osobowych i dokładne ustalenie ról poszczególnych podmiotów zaangażowanych w te procesy. Dopiero po ustaleniu, że podmioty faktycznie wspólnie ustalają cele i sposoby przetwarzania, można sformalizować ich relacje umową o współadministracji.

Co ciekawe, współadministrowanie może być również narzucone przepisami prawa, gdy regulacje prawne z góry określają role poszczególnych administratorów.

Wspólne ustalanie celów i sposobów przetwarzania danych osobowych

Kluczowym, a jednocześnie często najtrudniejszym elementem do ustalenia, jest wykazanie, że co najmniej dwa podmioty wspólnie ustalają cele i sposoby przetwarzania danych osobowych. Jeżeli jeden podmiot ma wyłączną kontrolę nad celami i sposobami, współadministracja nie występuje.

Wspólne ustalanie celów i sposobów przetwarzania nie musi oznaczać, że podmioty dosłownie „siadają do stołu” i wspólnie decydują o każdym szczególe. Europejska Rada Ochrony Danych (EROD) w swoich wytycznych 07/2020 wskazuje, że wspólny udział może przybierać różne formy:

Wspólna decyzja (common decision): Podjęta przez co najmniej dwa podmioty.
Zbieżne decyzje (converging decisions): Decyzje co najmniej dwóch podmiotów, które wzajemnie się uzupełniają i są konieczne, aby przetwarzanie danych osobowych odbywało się w określony sposób.

Podobnie, jeszcze przed wejściem w życie RODO, Grupa Robocza art. 29 w opinii 1/2010 podkreślała, że udział stron we wspólnym określaniu celów i sposobów przetwarzania może być różny i nie musi być równomierny. Relacje między podmiotami mogą być bardzo ścisłe lub luźniejsze, ważne jest, aby ocenić ich skutki prawne z uwzględnieniem elastyczności.

Współadministracja w kontekście udostępniania środków przetwarzania

Często rozważanym przypadkiem jest sytuacja, gdy jeden podmiot, na przykład w ramach grupy przedsiębiorstw, zapewnia środki do przetwarzania danych osobowych (np. system informatyczny) i udostępnia je innym podmiotom. Czy w takim przypadku mamy do czynienia z współadministracją?

EROD wyjaśnia, że współadministracja wymaga, aby co najmniej dwa podmioty miały wpływ na sposoby przetwarzania danych osobowych. Nie oznacza to, że każdy podmiot musi określać wszystkie sposoby przetwarzania w każdym przypadku. Różni współadministratorzy mogą być zaangażowani na różnych etapach i w różnym stopniu. Nawet jeśli jeden podmiot udostępnia sposoby przetwarzania, ale inny podmiot decyduje o wykorzystaniu tych sposobów w określonym celu, to ten drugi podmiot również uczestniczy w określaniu sposobów przetwarzania.

Przykładem może być platforma, standardowe narzędzie lub infrastruktura, która umożliwia stronom przetwarzanie tych samych danych osobowych. Wykorzystanie istniejącego systemu technicznego nie wyklucza współadministracji, jeśli użytkownicy systemu mogą decydować o tym, aby dane były przetwarzane w tym kontekście.

Współadministracja w grupie przedsiębiorstw

Konstrukcja współadministracji danych osobowych jest często rozważana w kontekście grup przedsiębiorstw. Jest to związane z faktem, że podmiot dominujący często zapewnia infrastrukturę lub narzędzia do przetwarzania danych osobowych dla podmiotów kontrolowanych. Jednak samo współdzielenie infrastruktury nie zawsze przesądza o współadministracji.

EROD wskazuje, że w sytuacji, gdy grupa przedsiębiorstw korzysta ze wspólnej bazy danych klientów, ale każdy podmiot w grupie niezależnie określa własne cele przetwarzania danych osobowych, współadministracja nie występuje.

Podobnie jest w przypadku centrów usług wspólnych (CUW), które świadczą usługi księgowe, HR itp. dla innych spółek z grupy. Zazwyczaj w takiej sytuacji CUW jest podmiotem przetwarzającym dane osobowe, a spółki korzystające z usług CUW są administratorami danych osobowych.

Inne przykłady współadministracji

Marketing:Współadministracja może wystąpić, gdy dwa przedsiębiorstwa wprowadzają na rynek produkt pod wspólną marką i wspólnie go promują, wykorzystując własne bazy danych klientów.

Projekty badawcze: Podmioty realizujące wspólne projekty badawcze, które wykorzystują wspólne narzędzie i zasilają je swoimi danymi, również mogą być współadministratorami danych osobowych.

Odpowiedzialność współadministratorów

Art. 26 ust. 1 RODO nakłada na współadministratorów obowiązek określenia zakresów swojej odpowiedzialności w zakresie wypełniania obowiązków wynikających z RODO. Należy ustalić, „kto co robi” w kontekście przetwarzania danych osobowych.

W szczególności, współadministratorzy powinni określić sposób realizacji obowiązków informacyjnych (art. 13 i 14 RODO) oraz praw osób, których dane dotyczą. Powinni również ustalić odpowiedzialność w obszarach takich jak:

Zapewnienie bezpieczeństwa danych osobowych.
Realizacja praw osób, których dane dotyczą.
Przekazywanie informacji o przetwarzaniu danych osobowych.
Zgłaszanie naruszeń ochrony danych osobowych.

Współadministratorzy mają pewną elastyczność w podziale obowiązków, o ile zapewnią pełną zgodność z RODO. Obowiązki nie muszą być rozdzielone równomiernie, ale każdy współadministrator musi prowadzić własny rejestr czynności przetwarzania danych osobowych, w którym odzwierciedlony jest fakt współadministracji.

Udostępnianie uzgodnień osobom, których dane dotyczą

RODO nakazuje udostępnianie osobom, których dane dotyczą, zasadniczej treści uzgodnień pomiędzy współadministratorami. Nie chodzi o udostępnianie wszystkich uzgodnień, ale o informacje, które umożliwią osobom, których dane dotyczą, skorzystanie z przysługujących im praw.

EROD zaleca, aby zasadnicza treść uzgodnień obejmowała co najmniej elementy informacji z art. 13 i 14 RODO, z określeniem, który współadministrator jest odpowiedzialny za zapewnienie zgodności z każdym z tych elementów.

Treść uzgodnień może być udostępniona w klauzuli informacyjnej lub polityce prywatności. Sposób udostępnienia powinien uwzględniać kontekst zbierania danych osobowych i cel przekazywanych informacji.

Punkt kontaktowy

Współadministratorzy mogą wyznaczyć punkt kontaktowy dla osób, których dane dotyczą. Ułatwia to komunikację i realizację praw osób, których dane dotyczą.

Forma uzgodnień

RODO nie wymaga szczególnej formy uzgodnień pomiędzy współadministratorami. Najczęściej uzgodnienia przybierają formę pisemnej umowy lub porozumienia, co jest najlepszym sposobem na realizację zasady rozliczalności.

Uprawnienia osób, których dane dotyczą i odpowiedzialność solidarna

Osoba, której dane dotyczą, może realizować swoje prawa wynikające z RODO wobec każdego ze współadministratorów. Współadministratorzy muszą zapewnić odpowiedni przepływ informacji i system zarządzania zgłoszeniami.

Co ważne, współadministratorzy ponoszą odpowiedzialność solidarną za szkodę spowodowaną wspólnym przetwarzaniem danych osobowych. Osoba, której dane dotyczą, może żądać odszkodowania od wszystkich, kilku lub każdego z współadministratorów z osobna.

Podsumowanie i najczęściej zadawane pytania (FAQ)

Czy może być dwóch administratorów danych osobowych?

Tak, przepisy RODO przewidują możliwość współadministrowania danymi osobowymi, gdzie co najmniej dwóch administratorów wspólnie ustala cele i sposoby przetwarzania.

Co się stanie, jeśli zawrzemy umowę powierzenia przetwarzania danych, a powinniśmy zawrzeć umowę o współadministracji?

Niezależnie od formalnej umowy, jeśli w rzeczywistości podmioty wspólnie ustalają cele i sposoby przetwarzania danych osobowych, na gruncie RODO nadal będzie to traktowane jako współadministracja.

Czy odpowiedzialność współadministratorów jest równa?

Zakres odpowiedzialności współadministratorów może być różny i określony w ich uzgodnieniach. Jednak wszyscy współadministratorzy muszą przestrzegać RODO, a osoby, których dane dotyczą, mogą egzekwować swoje prawa wobec każdego z nich.

Czy umowa o współadministracji musi być zawarta na piśmie?

RODO nie wymaga formy pisemnej umowy, ale zawarcie pisemnego porozumienia jest wysoce zalecane ze względu na zasadę rozliczalności i przejrzystość relacji między współadministratorami.

Zrozumienie koncepcji współadministracji danych osobowych jest kluczowe dla prawidłowego stosowania RODO. Właściwa identyfikacja ról i obowiązków, a także transparentna komunikacja z osobami, których dane dotyczą, to fundament budowania zaufania i zgodności z przepisami.

Jeśli chcesz poznać inne artykuły podobne do Współadministratorzy danych osobowych: Kluczowe aspekty, możesz odwiedzić kategorię Rachunkowość.