Kwalifikacja współadministratorów – cele i sposoby przetwarzania

Definicja współadministratorów, którą można wyczytać z RODO [2], jest krótka. W ramach definicji administratora zawartej w art. 4 pkt 7 RODO wskazano, że „administrator” oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych. Z kolei zgodnie z art. 26 ust. 1 zd. 1 RODO, [j]eżeli co najmniej dwóch administratorów wspólnie ustala cele i sposoby przetwarzania, są oni współadministratorami. Warto więc zacząć od skrótowego wskazania, co jest rozumiane przez ustalanie celów i sposobów przetwarzania, aby w pierwszej kolejności odróżnić administratorów danych osobowych od podmiotów przetwarzających (czyli podmiotów przetwarzających dane osobowe w imieniu administratora – art. 4 pkt 8 RODO). Poniższa analiza uwzględnia w szczególności wytyczne właściwych organów z zakresu ochrony danych osobowych [3].

Określenie „celów” przetwarzania sprowadza się do określenia „dlaczego” prowadzi się konkretne czynności przetwarzania danych osobowych. Są to więc pewne wartości, dla urzeczywistnienia których będzie dochodzić do przetwarzania danych osobowych. Z kolei „sposoby” przetwarzania odnoszą się zarówno do technicznych sposobów przetwarzania danych osobowych, ale także do tego „jak” odbywa się przetwarzanie, co łączy się z takimi zagadnieniami jak wybór przetwarzanych danych, określenie okresu ich przetwarzania, określenie dostępu osób trzecich do przetwarzanych danych itd. Określanie „sposobów” obejmuje więc zarówno: (i) kwestie techniczne i organizacyjne, w stosunku do których podejmowanie decyzji można przekazać często podmiotom przetwarzającym, jak i (ii) elementy zasadnicze (kluczowe), które mają decydujące znaczenie dla przypisania statusu administratora danych osobowych, w szczególności odpowiadanie na pytania takie jak: „które dane są przetwarzane”, „jak długo się je przetwarza”, „kto ma do nich dostęp” itd. Ustalanie celów i sposób przetwarzania danych osobowych jest również określane „władztwem nad danymi”.

Decydującego znaczenia dla posiadania statusu administratora danych nie ma przy tym faktyczne przetwarzanie danych, ale sprawowanie faktycznej kontroli nad przetwarzaniem danych (decydowanie o celach i sposobach przetwarzania danych). Faktyczne przetwarzanie danych może zostać bowiem powierzone innemu podmiotowi (podmiotowi przetwarzającemu).

Powyższe przesłanki pomagają odróżnić administratorów od podmiotów przetwarzających.

Kwalifikacja administratorów – wspólne ustalenia

Dla ustalenia, że dwóch lub więcej administratorów można uznać za współadministratorów, kluczowe znaczenie ma wspólne ustalanie celów i sposobów przetwarzania danych. Istnienie stosunku współadministrowania danymi osobowymi ma przy tym charakter obiektywny i jest niezależne np. od sposobu nazwania stron w umowie. Dokonując oceny konkretnych przypadków, należy zatem stosować podejście funkcjonalne i uwzględniać faktyczne okoliczności dotyczące istniejących pomiędzy podmiotami stosunków. Co warto podkreślić, w wytycznych organów z zakresu ochrony danych, jak i w orzeczeniach Trybunału Sprawiedliwości UE (TSUE) [4], współadministrowanie jest traktowane szerzej niż wynikałoby to z literalnego brzmienia przepisów RODO. W szczególności przyjmuje się, iż dla uznania, że mamy do czynienia ze współadministrowaniem, nie wszystkie decyzje o celach i sposobach przetwarzania danych muszą być podejmowane przez administratorów na drodze wspólnych ustaleń. Co więcej, wskazuje się, że współadministrowanie oznacza każdą sytuację w której poszczególni administratorzy mają szansę/prawo do ustalania celów i kluczowych sposobów przetwarzania danych. Przy zawieraniu umowy, wystarczające jest więc wzajemne zakomunikowanie przez strony umowy ogólnego celu i kluczowych sposobów przetwarzania danych, aby wystąpiła relacja współadministrowania. Zatem już „ogólny” poziom komplementarności i jedności celów może wywołać sytuację współadministrowania, jeżeli cele i (zasadnicze elementy) sposoby przetwarzania zostaną wspólnie ustalone [5]. W praktyce więc, mogą zachodzić istotne wątpliwości, czy „dopełniające” się wzajemnie cele przetwarzania administratorów zostaną uznane za wspólnie ustalony cel przetwarzania danych, co może doprowadzić do uznania, że dochodzi do współadministrowania danymi.

Poniższy schemat może pomóc we właściwej kwalifikacji podmiotów zaangażowanych w przetwarzanie danych osobowych oraz zobrazować występowanie różnych konfiguracji w ramach relacji między nimi.

Obowiązki współadministratorów

Uznanie, że pomiędzy administratorami dochodzi do współadministrowania danymi ma duże znaczenie dla ich sytuacji prawnej. Współadministrowanie oznacza nałożenie na współadministratorów określonych obowiązków w zakresie przetwarzania danych. Współadministratorzy powinny w szczególności dokonać wspólnych uzgodnień i określić zakresy swojej odpowiedzialności dotyczącej obowiązków wynikających z RODO. Innymi słowy, strony powinny określić w umowie, „kto za co odpowiada” w zakresie wypełniania obowiązków związanych z ochroną danych osobowych nałożonych na administratora. Nie ma przy tym wymogu, aby współadministratorzy musieli równo dzielić się tymi obowiązkami. Przyjmuje się, że przy dokonywaniu podziału obowiązków należy brać pod uwagę m.in. etapy, na których poszczególni współadministratorzy wykonują operacje na danych. Przykładowo, jeśli tylko jeden ze współadministratorów wchodzi w interakcje z osobami, których dane dotyczą, a drugi z nich nie, celowym może być uzgodnienie, że to ten pierwszy podmiot będzie spełniał obowiązek informacyjny względem wskazanych osób. Umowa łącząca współadministratorów powinna zawierać w szczególności:

• określenie ról i zakresów odpowiedzialności
• podział obowiązków w zakresie spełniania obowiązku informacyjnego względem osób, których dane dotyczą
• zasady współpracy w zakresie realizacji praw osób, których dane dotyczą (ustalenia stron nie pozbawiają przy tym możliwości żądania realizacji praw przez osobę, której dane dotyczą w stosunku do każdego ze współadministratorów)
• ustalenie punktu kontaktowego dla osób, których dane dotyczą
• zasady współpracy w zakresie opracowywania oceny skutków dla ochrony danych (w tym ustalenie wspólnej metodologii dokonywania takiej oceny)
• określenie obowiązków w zakresie bezpieczeństwa informacji (jednocześnie można uznać, że każdy ze współadministratorów powinien być zobowiązany do utrzymania minimalnego, określonego w umowie poziomu bezpieczeństwa)
• określenie obowiązków w zakresie zgłaszania naruszeń ochrony danych
• wskazanie podmiotów przetwarzających, które będą współpracowały z danym administratorem (celowe wydaje się również określenie zasad wybierania podmiotów przetwarzających przez administratorów lub przynajmniej zasad informowania o angażowaniu takich podmiotów)

Kolejnym obowiązkiem współadministratorów jest udostępnianie zasadniczej treści uzgodnień osobom, których dane dotyczą. RODO nie precyzuje zakresu udostępnianej informacji, jednak przyjmuje się, że za zasadnicze należy uznać te elementy uzgodnień, które pozwalają osobie, której dane dotyczą, zorientować się w okolicznościach przetwarzania jej danych osobowych przez współadministratorów, a w konsekwencji zrealizować przysługujące jej prawa. Należy wskazać tu w szczególności tę część uzgodnień pomiędzy administratorami, która ujawnia ich tożsamość, cele i sposoby przetwarzania danych, a także zakresy ich odpowiedzialności dotyczącej wypełniania obowiązków wynikających z RODO.

Współadministrowanie w praktyce

Najczęściej podmioty inne niż wchodzące w skład grupy kapitałowej niechętnie decydują się świadomie na wejście w relację współadministrowania danymi osobowymi. Wynika to w szczególności z ryzyka ponoszenia odpowiedzialności za działania innego podmiotu związane z wypełnianiem obowiązków wskazanych w RODO oraz konieczności zawierania i egzekwowania dodatkowych umów (postanowień umownych). Naruszenie przepisów art. 26 RODO dot. współadministrowania stanowi przy tym przesłankę do nałożenia administracyjnej kary pieniężnej, o której mowa w art. 83 ust. 4 lit. a RODO (w wysokości do 10 000 000 euro, a w przypadku przedsiębiorstwa – w wysokości do 2% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego). Wiedza na temat przesłanek, które decydują o uznaniu danej relacji za współadministrowanie, pozwala zmniejszyć ryzyko nieświadomego/niezamierzonego wejścia w taką relację i uniknięcia opisanych powyżej konsekwencji. Ocena statusu poszczególnych podmiotów w ramach konkretnych projektów powinna opierać się na szczegółowej analizie prawnej i organizacyjnej danego przedsięwzięcia.

Link do artykuły na LinkedIn:

https://www.linkedin.com/feed/update/urn:li:activity:6691251819194200064 

[1] Koncepcja współadministrowania danymi osobowymi była już obecna w Dyrektywie 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych, która została uchylona przez Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych).

[2] Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych).

[3] Por. w szczególności: (i) Opinia Grupy Roboczej Art. 29 w sprawie pojęć „administrator danych” i „przetwarzający” (https://archiwum.giodo.gov.pl/pl/1520057/3595) (ii) Wytyczne Europejskiego Inspektora Ochrony Danych dot. Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2018/1725 z dnia 23 października 2018 r. – EDPS Guidelines on the concepts of controller, processor and joint controllership under Regulation (EU) 2018/1725 (https://edps.europa.eu/sites/edp/files/publication/19-11-07_edps_guidelines_on_controller_processor_and_jc_reg_2018_1725_en.pdf)

[4] Por. wyroki w sprawach: C-40/17 Fashion ID GmbH & Co.KG v Verbraucherzentrale i C-210/16 Wirtschaftsakademie Schleswig-Holstein.

[5] Tak: Wytyczne Europejskiego Inspektora Ochrony Danych dot. Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2018/1725 (…).

***

Abstract

Article published as part of the #ForumBK project – GDPR in capital groups

The qualification of entities involved in the processing of personal data is often ambiguous – it is difficult to assess whether entities should be considered as separate controllers, joint-controllers or controller and processor. Correct determination of the status of entities in the field of personal data processing is, however, very important due to the responsibilities of the parties, business risks and the content of contracts. Where two or more controllers jointly determine the purposes and means of processing („why and how data is processed?”), they should be considered joint controllers. Authorities perceive joint controllership more broadly than it literally results from the GDPR. Joint controllers have to fulfil certain obligations, in particular: (i) they should determine their respective responsibilities for compliance with the obligations under the GDPR, in a transparent manner, e.g. by providing data subject with all required information, (ii) they should make available the essence of the arrangement to the data subject. In practice, joint controllership is seen as a complication for business. Violation of the article 26 of the GDPR regarding joint-controllers is subject to administrative fines up to 10 000 000 EUR, or in the case of an undertaking, up to 2 % of the total worldwide annual turnover of the preceding financial year, whichever is higher.