Pojęcie współadministrowania danymi osobowymi nie występowało w polskiej ustawie o ochronie danych osobowych z 1997 r., mimo że dyrektywa 95/46/WE definiowała administratora danych podobnie jak aktualnie RODO. Chodziło więc o podmiot, który samodzielnie lub wspólnie z innymi podmiotamiokreśla cele i sposoby przetwarzania danych osobowych. Dopiero RODO wprowadziło wyraźną regulację dotyczącą współadministrowania i określiło, jakie obowiązki spoczywają na podmiotach wspólnie przetwarzających dane osobowe.
Aktualnie, mimo istnienia wyraźnej regulacji prawnej, w praktyce nie jest wcale łatwo ustalić, kiedy w konkretnym przypadku mamy do czynienia ze współadministrowaniem. Problemy w tym zakresie wynikają po pierwsze ze złożoności np. stosunków gospodarczych łączących różne podmioty. Po drugie, mimo (jakby się wydawało na pierwszy rzut oka) relatywnie jasnych kryteriów ustalania relacji współadministrowania wynikających wprost z RODO oraz prezentowanych w doktrynie prawa, nieco zamieszania w odniesieniu do interpretacji omawianego pojęcia wprowadziły wyroki Trybunału Sprawiedliwości Unii Europejskiej (TSUE).
Kiedy można mówić o współadministratorach?
Możliwość współadministrowania danymi osobowymi wynika już z samej definicji administratora, wskazanej w art. 4 pkt 7 RODO. Szczegółowo do instytucji współadministrowania odnosi się natomiast art. 26 RODO. Co do zasady ze współadministrowaniem mamy więc do czynienia, gdy co najmniej dwa podmioty działają wspólnie przy określaniu celów i sposobów przetwarzania danych osobowych. Co istotne i odróżniające od innych relacji związanych z przetwarzaniem danych osobowych, każdy z podmiotów jest administratorem, a więc przetwarza dane we własnym imieniu, a nie w imieniu innego podmiotu(jak ma to miejsce w przypadku powierzenia przetwarzania danych osobowych). Każdy z tych podmiotów uczestniczy w określaniu zarówno celów, jak i sposobów przetwarzania danych osobowych, i jest to dokonywane wspólnie. Podobnie jak w przypadku określania, kto jest administratorem, a kto podmiotem przetwarzającym, dla ustalenia stosunku współadministrowania liczy się wyłącznie stan faktyczny i obiektywna ocena. Oznacza to, że relacja współadministrowania istnieje niezależnie od tego, jak współpracujące podmioty opiszą łączące je stosunki np. w umowie.
Obowiązki wynikające ze współadministrowania
Stosunki, z których wynika współadministrowanie danymi, często są dość skomplikowane. Należy pamiętać, że RODO przewiduje, iż współadministratorzy muszą w przejrzysty sposób określić zakresy odpowiedzialności każdego z nichza wypełnianie obowiązków wynikających z RODO. W szczególności chodzi o wykonywanie praw przysługujących podmiotom danych, jak również o realizację obowiązków informacyjnych względem osób, których dane dotyczą. Co jednak istotne, RODO pozwala podmiotom danych na wykonywanie swoich uprawnień w stosunku do każdego z administratorów, niezależnie od dokonanego między nimi podziału obowiązków.
Współadministrowanie wcale nie oznacza, iż każdy z podmiotów będzie miał tyle samo obowiązków. Żaden przepis RODO tego nie wymaga, więc proporcje w rozkładzie obowiązków mogą być różne. Aby można było mówić o współadministrowaniu, każdy z podmiotów musi natomiast mieć jakiś udział w określaniu obu elementów, tj. celów i sposobów przetwarzania.
Wspólne uzgodnienia
Określenie podziału obowiązków co do zasady ma nastąpić „w drodze wspólnych uzgodnień”. Przepisy RODO nie precyzują jak powinny wyglądać te uzgodnienia. Należy jednak uznać, iż dla realizacji zasady rozliczalności, a więc udowodnienia, że podmioty wywiązały się ze swoich obowiązków, uzgodnienia te powinny być udokumentowane. W razie kontroli podmioty współadministrujące danymi muszą być w stanie wykazać, który z nich za co odpowiada. Zazwyczaj podmioty zawierają umowę o współadministrowanie, która ma formę pisemną lub została utrwalona w formie elektronicznej. Jak wynika z RODO, zakres obowiązków współadministratorów mogą jednak także określać wprost przepisy prawa.
Umowa o współadministrowanie nie musi stanowić odrębnego dokumentu. Może być częścią umowy głównej dotyczącej współpracy np. tworzenia wspólnych usług czy produktu. Umowa o współadministrowanie danymi osobowymi powinna co do zasady określać m.in.:
- po co i w jaki sposób dane osobowe będą przetwarzane,
- kto za co odpowiada w związku z przetwarzaniem danych osobowych,
- jak będą obsługiwane żądania podmiotów danych,
- kto będzie wypełniał obowiązki informacyjne względem podmiotów danych,
- jak dane osobowe będą zabezpieczane przez każdy z podmiotów,
- czy dopuszczalne będzie powierzenie przetwarzania danych osobowych,
- jak będzie wyglądała odpowiedzialność poszczególnych podmiotów.
Ponadto współadministratorzy mogą wskazać punkt kontaktowy dla realizacji praw podmiotów danych. Należy pamiętać, że wspólne uzgodnienia dotyczące współadministrowania nie wyłączają obowiązków ciążących indywidualnie na każdym ze współpracujących podmiotów. Każdy z tych podmiotów będzie musiał np. odpowiednio dbać o zabezpieczenie danych osobowych, czy prowadzić własny rejestr czynności przetwarzania.
Podmioty będące współadministratorami, na podstawie poczynionych uzgodnień, mogą przekazywać sobie dane osobowe i nie potrzebują do tego żadnej dodatkowej podstawy prawnej.Odróżnia to współadministrowanie od przypadku udostępniania danych osobowych. W tej drugiej sytuacji dochodzi do przekazania danych osobowych przez jednego administratora innemu podmiotowi, który również staje się administratorem danych osobowych i będzie je przetwarzał we własnych celach. Aby mogło dojść do udostępnienia, po stronie administratora udostępniającego dane osobowe musi istnieć jedna z podstaw wskazanych w art. 6 ust. 1 lub art. 9 ust. 2 RODO (np. podmiot danych wyraził zgodę na udostępnienie danych innemu administratorowi albo przepis prawa zobowiązuje administratora do udostępnienia danych innemu administratorowi). Administrator – odbiorca również musi mieć podstawę prawną do przetwarzania danych osobowych na własne potrzeby.
Udostępnianie treści uzgodnień
Jak wynika z treści art. 26 RODO, współadministratorzy powinni udostępnić podmiotom, których dane osobowe przetwarzają, zasadniczą treść uzgodnień. RODO nie określa sposobu, w jaki ma to nastąpić, ani co ma zawierać „zasadnicza treść” uzgodnień. Przyjmując wykładnię przepisów najbardziej korzystną dla podmiotów danych należy uznać, iż chodzi o informacje, które pozwolą podmiotowi danych na realizację jego praw. Rekomendowane jest możliwe najszersze udostępnianie treści takich uzgodnień różnymi kanałami. W mojej ocenie praktycznym rozwiązaniem jest przekazywanie treści uzgodnień wraz z realizacją obowiązku informacyjnego. Zasadnicza treść uzgodnień może zostać wówczas przekazana w całości lub poprzez zamieszczenie w treści klauzuli informacyjnej linku do strony internetowej, na której zostaną upublicznione uzgodnienia dotyczące współadministrowania danymi osobowymi. Zasadnicza treść uzgodnień może być udostępniana także za pośrednictwem punktu kontaktowego, przy czym takim punktem kontaktowym może być np. inspektor ochrony danych.
Przykłady współadministrowania danymi osobowymi
Nie ma reguły jasno określającej, że przy udziale w przetwarzaniu danych osobowych konkretnego rodzaju podmiotów będzie dochodziło do współadministrowania lub nie. Dla zaistnienia relacji współadministrowania nie musi między danymi podmiotami występować powiązanie organizacyjne czy finansowe. Mogą to być całkowicie niezależne od siebie jednostki.
Jak więc sobie w praktyce poradzić z tym tematem?
Zabrzmi to banalnie, ale każdy przypadek powinien być indywidualnie rozpatrywany. Pomocna przy ustalaniu relacji między podmiotami uczestniczącymi w przetwarzaniu danych osobowych może być wydana jeszcze przed wejściem w życie RODO opinia Grupy Roboczej art. 29 (WP169) 1/2010 w sprawie pojęć „administrator danych” i „przetwarzający” (Opinia). Mimo przyjęcia dokumentu w 2010 r., pozostaje on nadal aktualny w omawianym zakresie. Jak wynika z Opinii, gdy mamy kilka podmiotów, mogą one występować w zupełnie różnych konfiguracjach i nie możemy automatycznie przyjąć, iż zachodzi współadministrowanie.
Przykład:
Takim przypadkiem opisanym w Opinii jest relacja łącząca biuro podróży, linie lotnicze i sieć hoteli. W sytuacji, gdy biuro podróży przekazuje dane klientów do linii lotniczych i hoteli w celu rezerwacji miejsc, następnie linie lotnicze i hotel potwierdzają dostępność miejsc, a biuro podróży wystawia potwierdzenia dla swoich klientów – każdy z podmiotów jest niezależnym administratorem danych osobowych. Inaczej byłoby, gdyby te trzy podmioty założyły wspólną platformę internetową w celu dokonywania rezerwacji turystycznych. Mielibyśmy już wówczas do czynienia ze współadministrowaniem, ale oczywiście wyłącznie w zakresie świadczenia usług klientom w ramach tej platformy.
Co do zasady można uznać, że współadministrowanie będzie występowało, gdy kilka podmiotów tworzy wspólny produkt lub usługę. Inne przykłady to np. wspólne organizowanie konkursu, wspólne prowadzenie w ramach kilku spółek bazy kandydatów na potrzeby przyszłych rekrutacji, wspólny CRM dla kilku podmiotów, czy choćby wspólne reprezentowanie klienta przed sądem przez radców prawnych.
Co wynika z orzeczeń TSUE?
Niestety, kryteria pozwalające na uznanie, czy mamy w danym przypadku do czynienia ze współadministrowaniem danymi osobowymi, komplikuje TSUE. Wydał on dwa istotne orzeczenia, w których dokonał interpretacji pojęcia współadministrowania. W sprawie C-210/16 TSUE uznał, iż podmiot prowadzący fanpage na Facebooku współadministruje danymi osobowymi razem z Facebookiem. Z kolei w wydanym niedawno wyroku w sprawie C-40/17 TSUE uznał, że podmiot zamieszczający na swojej stronie internetowej przycisk „Lubię to” Facebooka, współadministruje danymi osobowymi łącznie z tym podmiotem.
Z powyższych rozstrzygnięć wynika, że ze współadministrowaniem będziemy mieli do czynienia nie tylko wtedy, gdy podmioty dokonują wszelkich ustaleń wspólnie w odniesieniu do celów i sposobów przetwarzania danych osobowych, lecz również wtedy, gdy oddzielne decyzje każdego z podmiotów będą łącznie budowały cały proces przetwarzania danych osobowychw konkretnym przypadku. Można się z tymi rozstrzygnięciami zgadzać lub nie. Szczegółowa analiza wydanych orzeczeń to jednak temat na odrębny artykuł. Z pewnością jednak wszelkie podmioty przetwarzające dane osobowe, zwłaszcza zamierzające prowadzić fanpage na Facebooku czy udostępniać na swoich stronach internetowych wtyczki do portali społecznościowych, powinny zwrócić szczególną uwagę na omówione rozstrzygnięcia TSUE przy projektowaniu swoich usług i działań.