02/03/2022
W dzisiejszym złożonym świecie biznesu i technologii, gdzie dane osobowe są cennym zasobem, zrozumienie ról i odpowiedzialności w zakresie ich przetwarzania jest kluczowe. Jednym z ważnych pojęć w kontekście ochrony danych osobowych, szczególnie w świetle RODO, jest współadministrator. Kim on jest i co to oznacza dla organizacji? Ten artykuł ma na celu wyjaśnienie tego zagadnienia, bazując na formalnych i praktycznych aspektach.
Kim jest Współadministrator Danych Osobowych? Definicja Formalna i Praktyczna
Zgodnie z formalną definicją zawartą w art. 26 ust. 1 RODO, współadministrator danych osobowych to administrator, który wspólnie z innym administratorem ustala cele i sposoby przetwarzania danych osobowych. Prościej mówiąc, jeżeli przynajmniej dwa podmioty mają realny wpływ na to, dlaczego i jak dane osobowe są przetwarzane, każdy z nich jest uznawany za współadministratora.
Wyobraźmy sobie przykład: biuro podróży, sieć hoteli i linie lotnicze decydują się na utworzenie wspólnej platformy internetowej, aby usprawnić zarządzanie rezerwacjami turystycznymi. Ustalają wspólnie, jakie dane będą przechowywane, jak rezerwacja będzie przypisywana i zatwierdzana, oraz kto będzie miał dostęp do tych informacji. Dodatkowo, postanawiają wymieniać się danymi klientów w celach marketingowych. W tym przypadku, wszystkie trzy podmioty stają się współadministratorami danych osobowych w ramach tej platformy.
Współadministrator, Administrator, Podmiot Przetwarzający – Rozróżnienie Ról
Współpraca między różnymi podmiotami, w ramach której dochodzi do przetwarzania danych osobowych, wymaga jasnego określenia ról każdego z nich. Kluczowe jest zrozumienie różnicy pomiędzy administratorem, podmiotem przetwarzającym a współadministratorem. Właściwa kwalifikacja ma fundamentalne znaczenie dla określenia obowiązków i zakresu odpowiedzialności każdego podmiotu.
Relacja Administrator – Podmiot Przetwarzający
Aby rozróżnić administratora od podmiotu przetwarzającego, należy odpowiedzieć na pytanie: kto decyduje o celach i sposobach przetwarzania danych? Administrator jest podmiotem, który podejmuje kluczowe decyzje dotyczące przetwarzania. Możemy zadać sobie pytania pomocnicze: kto decyduje, że przetwarzanie danych ma miejsce? Kto ustala cel przetwarzania? Kto czerpie korzyści z przetwarzania?
Podmiot przetwarzający, zdefiniowany w art. 4 pkt 8 RODO, przetwarza dane osobowe w imieniu administratora. Działa on na podstawie instrukcji administratora i nie ma swobody w ustalaniu celów przetwarzania. Administrator określa dlaczego dane są przetwarzane (cele) oraz jakie dane mają być przetwarzane, jak długo, kto ma dostęp do danych, i jakie kategorie osób są przetwarzane. Podmiot przetwarzający może mieć pewną swobodę w zakresie technicznych i organizacyjnych aspektów przetwarzania, ale kluczowe decyzje zawsze należą do administratora.
Status administratora jest funkcjonalny, co oznacza, że ocena opiera się na faktach, a nie tylko na formalnych ustaleniach. Nie jest konieczne, aby administrator miał fizyczny dostęp do danych – kluczowa jest faktyczna kontrola nad procesem przetwarzania.
Relacje Pomiędzy Administratorami: Współadministratorzy vs. Niezależni Administratorzy
Jeżeli w danej relacji występują wyłącznie administratorzy, musimy ustalić, czy są to współadministratorzy, czy niezależni administratorzy. O współadministrowaniu mówimy wtedy, gdy administratorzy wspólnie ustalają cele i sposoby przetwarzania danych. Jeśli każdy administrator działa samodzielnie w tym zakresie, mamy do czynienia z niezależnymi administratorami. Możliwe są również sytuacje mieszane, gdzie podmioty są współadministratorami w pewnym zakresie, a niezależnymi administratorami w innym.
Wspólne ustalanie celów i sposobów przetwarzania może przybierać różne formy. Najbardziej oczywista jest sytuacja, gdy podmioty wspólnie podejmują decyzje. Jednak Trybunał Sprawiedliwości Unii Europejskiej (TSUE) wskazuje również na „zbieżne decyzje”, które uzupełniają się i są niezbędne do przetwarzania. Kluczowym kryterium jest nierozerwalne powiązanie przetwarzania danych przez każdą ze stron – przetwarzanie nie byłoby możliwe bez udziału obu stron.
Określenie, czy decyzje są „zbieżne”, może być w praktyce trudne i prowadzić do nieświadomego współadministrowania. Podobnie jak w relacji administrator-podmiot przetwarzający, brak fizycznego dostępu do danych nie wyklucza statusu współadministratora.
Wspólne cele przetwarzania występują, gdy podmioty przetwarzają dane w tym samym lub wspólnym celu, lub gdy cele są ściśle powiązane i uzupełniają się. Może to mieć miejsce, gdy z przetwarzania wynika wzajemna korzyść, a każdy podmiot uczestniczy w ustalaniu celów i sposobów przetwarzania.
Współadministratorzy muszą również mieć wpływ na sposoby przetwarzania, choć niekoniecznie w pełnym zakresie. Podmioty mogą być zaangażowane na różnych etapach i w różnym zakresie przetwarzania. Ważne jest, kto ma faktyczny wpływ na czynności przetwarzania, nawet jeśli korzystają z narzędzi dostarczonych przez jednego z nich.
Przykłady Współadministrowania w Praktyce
Aby lepiej zrozumieć koncepcję współadministrowania, warto przyjrzeć się konkretnym przykładom:
- Wspólny produkt i wydarzenie promocyjne: Dwie spółki tworzą wspólnie produkt i organizują wydarzenie promocyjne. Wymieniają się danymi klientów, decydują o gościach, formie zaproszeń, zbieraniu informacji zwrotnych i działaniach marketingowych. W tym zakresie są współadministratorami.
- Platforma turystyczna: Agencja turystyczna, sieć hoteli i linia lotnicza tworzą platformę pakietów turystycznych. Wspólnie ustalają, jakie dane będą przechowywane, jak rezerwacje będą dokonywane i potwierdzane, oraz kto będzie miał dostęp do danych. Są współadministratorami w ramach platformy.
- Wspólny projekt badawczy: Kilka instytutów badawczych prowadzi wspólny projekt na platformie jednego z nich. Każdy instytut zasila platformę danymi i korzysta z danych innych. W zakresie platformy są współadministratorami.
Konsekwencje Zaistnienia Relacji Współadministrowania
Zakwalifikowanie relacji jako współadministrowania niesie ze sobą określone konsekwencje prawne. Współadministratorzy mają zarówno obowiązki, jak i ponoszą odpowiedzialność za działania niezgodne z przepisami o ochronie danych.
Wspólne Uzgodnienia i Zakresy Odpowiedzialności
Artykuł 26 ust. 1 RODO nakłada na współadministratorów obowiązek poczynienia wspólnych uzgodnień, określających zakresy ich odpowiedzialności w zakresie obowiązków wynikających z RODO. Muszą oni ustalić „kto za co odpowiada”, aby zapewnić zgodność przetwarzania z RODO i wysoki poziom ochrony danych. Uzgodnienia powinny dotyczyć m.in. wykonywania praw osób, których dane dotyczą (dostęp, usunięcie danych itp.) oraz obowiązków informacyjnych (art. 13 i 14 RODO). Mogą również ustalić wspólny punkt kontaktowy dla osób, których dane dotyczą.
Zakres uzgodnień jest szeroki i powinien obejmować kluczowe obowiązki wynikające z RODO, takie jak:
- Wdrożenie zasad przetwarzania danych (art. 5 RODO), np. minimalizacji danych.
- Zapewnienie podstawy prawnej przetwarzania (art. 6 RODO).
- Zapewnienie bezpieczeństwa przetwarzania (art. 32 RODO).
- Informowanie organu nadzorczego o naruszeniach danych (art. 33 RODO) i osób, których dane dotyczą (art. 34 RODO).
- Przeprowadzanie ocen skutków dla ochrony danych (art. 35 i 36 RODO).
- Korzystanie z usług podmiotów przetwarzających (art. 28 RODO).
- Transfer danych do państw trzecich (Rozdział V RODO).
- Kontakt z osobami, których dane dotyczą i organem nadzorczym.
Uzgodnienia mogą być częściowo określone w przepisach prawa (np. w ustawie o Państwowym Ratownictwie Medycznym). Artykuł 26 ust. 2 RODO wymaga, aby uzgodnienia należycie odzwierciedlały zakresy obowiązków i relacje między współadministratorami a osobami, których dane dotyczą. Podział odpowiedzialności może być dokonany według obowiązków lub etapów przetwarzania. Uzgodnienia powinny być adekwatne do operacji przetwarzania.
RODO nie określa formy uzgodnień, ale zaleca się ich udokumentowanie ze względu na zasadę rozliczalności. Zasadnicza treść uzgodnień, obejmująca informacje z art. 13 i 14 RODO oraz wskazanie odpowiedzialności za poszczególne elementy, powinna być udostępniana osobom, których dane dotyczą.
Artykuł 26 ust. 3 RODO podkreśla, że osoba, której dane dotyczą, może wykonywać swoje prawa wobec każdego współadministratora, niezależnie od uzgodnień między nimi.
Zakres Odpowiedzialności Współadministratorów
Niedopełnienie obowiązku poczynienia wspólnych uzgodnień (naruszenie art. 26 RODO) może skutkować karą pieniężną do 10 mln euro lub 2% rocznego światowego obrotu (art. 83 ust. 4 lit. a) RODO). Współadministratorzy mogą również odpowiadać za naruszenie innych obowiązków nałożonych na administratorów w RODO.
W kontekście odpowiedzialności cywilnoprawnej, art. 82 RODO przewiduje prawo każdej osoby, która poniosła szkodę w wyniku naruszenia RODO, do uzyskania odszkodowania od administratora lub podmiotu przetwarzającego. W przypadku współadministrowania, jeśli w przetwarzaniu uczestniczy więcej niż jeden administrator i odpowiadają za szkodę, ponoszą odpowiedzialność solidarną za całą szkodę (art. 82 ust. 4 RODO). Administrator, który zapłacił odszkodowanie, może żądać zwrotu części od pozostałych współadministratorów, proporcjonalnie do ich odpowiedzialności.
Podsumowanie
Zrozumienie roli współadministratora danych osobowych jest kluczowe dla organizacji działających w ramach RODO. Współadministrowanie pojawia się, gdy co najmniej dwa podmioty wspólnie decydują o celach i sposobach przetwarzania danych. Wymaga to wspólnych uzgodnień dotyczących zakresu odpowiedzialności i obowiązków, aby zapewnić zgodność z RODO i ochronę praw osób, których dane dotyczą. Niedopełnienie tych obowiązków może prowadzić do poważnych konsekwencji finansowych i prawnych. Dlatego tak istotne jest, aby organizacje dokładnie analizowały swoje relacje i określały, czy w danym przypadku mamy do czynienia ze współadministrowaniem, a następnie podjęły odpowiednie kroki w celu spełnienia wymogów RODO.
Jeśli chcesz poznać inne artykuły podobne do Współadministrator Danych Osobowych: Kluczowe Aspekty, możesz odwiedzić kategorię Rachunkowość.