Współadministrowanie danymi osobowymi. Kwalifikacja, obowiązki oraz zakres odpowiedzialności

Przy współpracy kilku podmiotów, w ramach której dochodzi do przetwarzania danych osobowych, podmioty te mogą posiadać różny status w rozumieniu przepisów z zakresu ochrony danych osobowych. Właściwe zakwalifikowanie roli danego podmiotu w ramach konkretnych czynności przetwarzania danych osobowych ma duże znaczenie w szczególności dla określenia ciążących na nim obowiązków oraz zakresu odpowiedzialności. Jednym z typów podmiotów, wskazanych w przepisach z zakresu ochrony danych osobowych, są współadministratorzy. Instytucja współadministrowania, chociaż nie nowa, dopiero w ostatnich latach zyskuje praktycznie znaczenie, w szczególności w związku z orzecznictwem Trybunału Sprawiedliwości Unii Europejskiej, w którym widać tendencję do rozszerzania stosowania tej instytucji. Warto zatem przyjrzeć się jej bliżej.

Współadministrator, administrator, podmiot przetwarzający

Zgodnie z art. 26 ust. 1 zd. 1 RODO[1], jeżeli co najmniej dwóch administratorów wspólnie ustala cele i sposoby przetwarzania, są oni współadministratorami. Aby zatem mówić o współadministrowaniu, muszą być spełnione dwa warunki:

1. w relacji pozostaje co najmniej dwóch administratorów oraz
2. wspólnie ustalają oni cele i sposoby przetwarzania danych osobowych.

Możliwość wspólnego ustalania celów i sposobów przetwarzania wynika jednocześnie z samej definicji administratora zawartej w art. 4 pkt 7 RODO, gdzie wyraźnie wskazano, że administrator może ustalać cele i sposoby przetwarzania samodzielnie lub wspólnie z innymi.

W celu spełnienia pierwszego ze wspomnianych warunków, należy ocenić, czy każdy z podmiotów pozostających w danej relacji może być uznany za administratora w rozumieniu art. 4 pkt 7 RODO. Pozwoli to odróżnić relacje pomiędzy administratorami od relacji pomiędzy administratorami a podmiotami przetwarzającymi.

Relacja administrator – podmiot przetwarzający

Do rozróżnienia administratora i podmiotu przetwarzającego kluczowe znaczenie ma określenie, kto w ramach konkretnych czynności przetwarzania danych osobowych ustala cele i sposoby tego przetwarzania. Administrator jest podmiotem, który decyduje o pewnych kluczowych elementach dotyczących przetwarzania. Pomocne dla analizy może być w tym zakresie udzielenie odpowiedzi na pytania, kto decyduje o tym, że przetwarzanie danych ma miejsce oraz o tym, że przetwarzanie danych powinno nastąpić w określonym celu, a także kto odnosi korzyści z przetwarzania? Jednocześnie warto wskazać, że pojęcie administratora jest pojęciem funkcjonalnym, zatem analiza powinna opierać się na ocenie okoliczności faktycznych określonych czynności przetwarzania, a w mniejszym stopniu na analizie formalnej danej relacji.

Status administratora może wynikać zarówno z treści przepisów prawa (pośrednio lub bezpośrednio), jak i z analizy okoliczności faktycznych danego przypadku (konkretnych działań poszczególnych podmiotów w określonym kontekście).

Określanie celów przetwarzania można sprowadzić do odpowiedzi na pytanie, dlaczego dane są przetwarzane? Innymi słowy, chodzi tutaj o określanie, jaka wartość ma zostać osiągnięta w wyniku przetwarzania danych. Z kolei określanie sposobów przetwarzania można sprowadzić do pytania, jak wskazane cele przetwarzania mają być osiągnięte (jakimi środkami)?

Jak wskazano wyżej, administrator musi decydować o obu tych elementach. W wytycznych właściwych organów oraz orzecznictwie rozróżnia się jednak kluczowe (zasadnicze) sposoby przetwarzania oraz pozostałe (niekluczowe) sposoby przetwarzania[2]. Podział ten pomaga przeanalizować, jaki zakres autonomii w decydowaniu o sposobach przetwarzania danych może posiadać podmiot przetwarzający.

Podmiot przetwarzający, zgodnie z definicją zawartą w art. 4 pkt 8 RODO, jest podmiotem, który przetwarza dane osobowe w imieniu administratora. Przetwarzanie powierzonych podmiotowi przetwarzającemu danych odbywa się więc w celach określonych przez administratora i tylko administrator może je ustalać. Jeśli chodzi natomiast o sposoby przetwarzania, jak wskazano wyżej, administrator musi ustalać przynajmniej kluczowe sposoby przetwarzania.

Należy tutaj wskazać w szczególności na określanie tego, jakie dane (rodzaje danych) mają być przetwarzane, jak długo dane powinny być przetwarzane, kto może uzyskiwać dostęp do przetwarzanych danych (kto może być ich odbiorcą), dane jakich kategorii osób są przetwarzane itd. Podejmowanie decyzji w stosunku do innych niż kluczowe sposobów przetwarzania można często przekazać podmiotom przetwarzającym. Chodzi tutaj m.in. o decyzje dotyczące kwestii technicznych i organizacyjnych, np. decydowanie przez podmiot przetwarzający jako usługodawcy o tym, jaki typ oprogramowania jest wykorzystywany oraz o szczegółach dotyczących środków mających zapewnić bezpieczeństwo przetwarzania danych osobowych w takim zakresie, w jakim dokonuje tego podmiot przetwarzający.

Na marginesie należy również wskazać, że dla posiadania statusu administratora w stosunku do określonych danych, nie jest konieczne posiadanie faktycznego do nich dostępu. Kluczowe znaczenie ma tutaj sprawowanie faktycznej kontroli nad przetwarzaniem danych osobowych. Faktyczne przetwarzanie danych osobowych może zostać powierzone podmiotowi przetwarzającemu.

Podsumowując ten fragment artykułu, można wskazać, że dla posiadania statusu administratora niezbędne jest decydowanie o celach oraz o kluczowych sposobach przetwarzania danych osobowych.

Relacje pomiędzy administratorami

Potwierdzenie, że w ramach danej relacji nie występuje stosunek powierzenia przetwarzania danych, a w konsekwencji, że w ramach danej relacji występują tylko administratorzy danych pozwala na przeprowadzenie dalszej analizy w celu oceny, czy w ramach współpracy występują współadministratorzy, czy osobni (samodzielni) administratorzy.

Dla stwierdzenia, że pomiędzy administratorami dochodzi do współadministrowania danymi osobowymi, niezbędne jest to, żeby wspólnie ustalali oni cele i sposoby przetwarzania danych. Jeśli bowiem w danej relacji występują wprawdzie tylko administratorzy, ale każdy z nich samodzielnie ustala cele i sposoby przetwarzania danych, nie będzie dochodziło do współadministrowania i będziemy mieli do czynienia z relacją niezależnych administratorów. Należy również od razu wskazać, że mogą oczywiście wystąpić sytuacje, w których w pewnym zakresie współpracujące podmioty będą posiadały status współadministratorów, a pewnym zakresie niezależnych administratorów.

Wspólny udział w ustalaniu celów i sposobów przetwarzania może przybrać przy tym różne formy. Najbardziej intuicyjna wydaje się forma, w której podmioty wspólnie podejmują określone decyzje. Jednak na podstawie orzecznictwa Trybunału Sprawiedliwości Unii Europejskiej (TSUE) wyróżnia się również wspólny udział w ustalaniu celów i sposobów przetwarzania na podstawie „zbieżnych decyzji” poszczególnych podmiotów. Decyzje można uznać za zbieżne w zakresie celów i sposobów przetwarzania, jeśli się uzupełniają i są niezbędne do tego, aby przetwarzanie miało miejsce, poprzez wymierny wpływ na określenie celów i sposobów przetwarzania. Ważnym kryterium identyfikacji zbieżnych decyzji w tym kontekście jest określenie, czy przetwarzanie nie byłoby możliwe bez udziału obu stron tzn., że przetwarzanie przez każdą ze stron jest nierozerwalnie połączone[3]. Ze względu na nieostre kryteria, uznanie, że podmioty wspólnie uczestniczą w ustalaniu celów i sposobów przetwarzania w formie „zbieżnych decyzji”, może rodzić w praktyce duże wątpliwości. Zwłaszcza w tego typu przypadkach może dochodzić do sytuacji, w której współpracujące podmioty nie będą świadome występowania współadministrowania w relacji między nimi, a w konsekwencji będą naruszały przepisy z zakresu ochrony danych osobowych. Podobnie, jak w przypadku relacji pomiędzy administratorami a podmiotami przetwarzającymi, należy również wskazać, że nie można wykluczyć występowania relacji współadministrowania, jedynie na podstawie tego, że w danych okolicznościach jeden z podmiotów nie posiada faktycznego dostępu do przetwarzanych danych osobowych.

Wspólnie określone cele przetwarzania występują wtedy, gdy zaangażowane podmioty przetwarzają dane w tym samym celu albo wspólnym celu. Dodatkowo, w świetle orzecznictwa TSUE, relacja współadministrowania może powstać również, gdy zaangażowane podmioty realizują określone cele, które są ściśle powiązane lub się uzupełniają. Może tak być np. wtedy kiedy z tej samej czynności przetwarzania wynika wzajemna korzyść dla zaangażowanych podmiotów, pod warunkiem, że każdy z nich uczestniczy w określaniu celów i sposobów relewantnej czynności przetwarzania[4].

Do zaistnienia współadministrowania, zaangażowane podmioty muszą również wywierać wpływ na sposoby przetwarzania. Nie oznacza to jednak, że każdy z zaangażowanych podmiotów musi ustalać wszystkie sposoby przetwarzania –  poszczególne podmioty mogą być zaangażowane na różnych etapach przetwarzania i w różnym zakresie. Należy przy tym uwzględnić to, który podmiot może faktycznie dokonywać określonych czynności (np. w sytuacji, gdy współadministratorzy korzystają ze standardowego narzędzia dostarczanego przez jednego z nich).

Na koniec rozważań dotyczących kwalifikacji podmiotów jako współadministratorów warto podkreślić, że podobnie, jak miało to miejsce w przypadku kwalifikowania podmiotów jako administratorów, należy opierać się na analizie konkretnych okoliczności przetwarzania danych, jako że pojęcie współadministrowania również jest pojęciem funkcjonalnym. Ponadto występują sytuacje, w których wprost w przepisach prawa wskazuje się, że określony podmiot posiada status współadministratora. W polskim systemie prawnym, takimi przykładami są np. art. 24c ust. 1 ustawy o Państwowym Ratownictwie Medycznym[5] oraz art. 10 ust. 5 ustawy o systemie powiadamiania ratunkowego[6].

Przykłady współadministrowania

Mając na uwadze powyższą kwalifikację oraz wytyczne właściwych organów[7] można wskazać kilka przykładów sytuacji, w których będziemy mieli do czynienia ze współadministrowaniem.

• Dwie spółki stworzyły wspólnie produkt i organizują wydarzenie promocyjne dotyczące tego produktu. W tym celu wzajemnie udostępniają sobie dane dotyczące ich klientów oraz decydują, kto będzie zaproszony na wydarzenie. Ponadto uzgadniają również, w jakiej formie będą wysyłane zaproszenia, jak będą zbierane informacje zwrotne podczas wydarzenia oraz jakie będą podejmowane następcze działania marketingowe. Spółki te będą współadministratorami w zakresie działań związanych z organizowanym wydarzeniem promocyjnym.
• Agencja turystyczna, sieć hoteli i linia lotnicza wspólnie tworzą platformę internetową we wspólnym celu – oferowaniu pakietów turystycznych. Podmioty te wspólnie zdecydowały również o kluczowych sposobach przetwarzania np. jakie dane będą przechowywane, w jaki sposób będą dokonywane i potwierdzane rezerwacje klientów oraz kto będzie miał dostęp do przechowywanych danych. Wskazane podmioty, w zakresie działalności związanej z platformą będą współadministratorami.
• Kilka instytutów badawczych zdecydowało się na przeprowadzenie wspólnego projektu badawczego, wykorzystując w tym celu istniejącą platformę jednego z instytutów biorącego udział w projekcie. Każdy z instytutów zasila tę platformę danymi osobowymi na potrzeby prowadzonego projektu oraz korzysta w ramach platformy z danych zamieszczanych tam przez pozostałe instytuty. Instytuty będą więc współadministratorami danych przetwarzanych w ramach platformy na potrzeby wspólnego projektu badawczego.

Konsekwencje zaistnienia relacji współadministrowania

Zakwalifikowanie określonej relacji jako współadministrowania rodzi określone skutki prawne dla współadministratorów. Dotyczy to zarówno obowiązków nałożonych na współadministratorów, jak i zakresu oraz zasad ponoszenia odpowiedzialności za działania niezgodne z przepisami z zakresu ochrony danych osobowych.

Współadministratorzy są zobowiązani w szczególności do poczynienia wspólnych uzgodnień określających zakresy swojej odpowiedzialności dotyczącej wypełniania obowiązków wynikających z RODO.

Współadministratorzy muszą więc ustalić między sobą, „kto za co odpowiada”, tak aby zapewnić zgodność wspólnych operacji przetwarzania z przepisami RODO w tym odpowiednio wysoki poziom ochrony danych osobowych oraz unikanie sporów kompetencyjnych, które mogłyby doprowadzić do powstania luk w tej ochronie. W art. 26 ust. 1 RODO wskazano, że w ramach wspólnych uzgodnień współadministratorzy powinni dokonać podziału obowiązków w szczególności w odniesieniu do wykonywania przez osobę, której dane dotyczą, przysługujących jej praw na mocy RODO (np. prawa dostępu do danych, usunięcia danych itd.), oraz obowiązków w odniesieniu do podawania informacji, o których mowa w art. 13 i 14 RODO (obowiązek informacyjny względem osób, których dane dotyczą). W uzgodnieniach, współadministratorzy mogą podać wspólny punkt kontaktowy dla osób, których dane dotyczą.

Jak widać, wyliczenie to ma charakter przykładowy, a jednocześnie opisuje minimalny i obligatoryjny zakres wspólnych ustaleń. Wydaje się jednak, że najczęściej zasadne będzie również dokonanie wzajemnych ustaleń w zakresie spełniania pozostałych obowiązków wynikających z RODO, nałożonych na współadministratorów (jako jednego z typów administratorów). Współadministratorzy powinni więc wziąć pod uwagę w ramach wzajemnych ustaleń w szczególności obowiązki w zakresie:

• wdrożenia podstawowych zasad dotyczących przetwarzania danych osobowych (art. 5 RODO), np. zasady minimalizacji danych;
• zapewnienia odpowiedniej podstawy prawnej przetwarzania danych (art. 6 RODO); w wytycznych właściwych organów wskazuje się przy tym, że o ile to możliwe, współadministratorzy powinny opierać przetwarzanie danych osobowych na tożsamej podstawie prawnej[8];
• zapewnienia bezpieczeństwa przetwarzania (art. 32), poprzez stosowanie odpowiednich środków organizacyjnych i technicznych;
• informowania organu nadzorczego o naruszeniu ochrony danych osobowych oraz powiadamiania osób których dane dotyczą o takim naruszeniu (art. 33 i 34 RODO);
• przeprowadzania ocen skutków dla ochrony danych (art. 35 i 36 RODO);
• korzystania z usług podmiotów przetwarzających (art. 28 RODO);
• transferu danych do państw trzecich (Rozdział V RODO);
• kontaktowania się z osobami, których dane dotyczą oraz organem nadzorczym.

Jednocześnie należy wskazać, że tak jak samo istnienie relacji współadministrowania może wynikać wprost z przepisów prawa, tak również przepisy te mogą zawierać elementy wspólnych uzgodnień współadministratorów (tak jest przykładowo w przypadku wskazanego wyżej art. 24c ustawy o Państwowym Ratownictwie Medycznym). Warto podkreślić, że tego typu przepisy stanowią przejaw ograniczenia swobody współadministratorów w kształtowaniu zakresu swoich obowiązków oraz odpowiedzialności na drodze wspólnych ustaleń. Drugim ważnym ograniczeniem swobody współadministratorów w tym zakresie jest wskazany w art. 26 ust. 2 RODO wymóg, aby dokonane uzgodnienia należycie odzwierciedlały odpowiednie zakresy obowiązków współadministratorów oraz relacje pomiędzy nimi a podmiotami, których dane dotyczą. Przyjmuje się przy tym, że podziału odpowiedzialności na mocy wspólnych uzgodnień można dokonać co najmniej na dwa sposoby: według poszczególnych obowiązków lub według etapów przetwarzania^[9].  Dokonane uzgodnienia powinny więc być odpowiednie i adekwatne do konkretnych operacji przetwarzania, które są dokonywane przez współadministratorów. Przykładowo, jeśli tylko jeden ze współadministratorów ma bezpośredni kontakt z osobami, których dane dotyczą, zasadne będzie przypisanie mu realizacji obowiązku przekazania tym osobom, wszelkich niezbędnych informacji dotyczących przetwarzania ich danych, zgodnie z art. 13 i 14 RODO.

RODO nie wskazuje, w jakiej formie uzgodnienia powinny zostać sporządzone (w przeciwieństwie np. do umowy powierzenia przetwarzania danych). Ze względu jednak na zasadę rozliczalności, rekomendowane jest należyte udokumentowanie tych ustaleń.

Zasadnicza treść uzgodnień współadministratorów powinna być udostępniana osobom, których dane dotyczą. W RODO nie wskazano przy tym, co zawiera się w „zasadniczej treści uzgodnień”. W wytycznych właściwych organów wskazuje się, że zasadnicza treść obejmuje informacje, o których mowa w art. 13 i 14 RODO oraz informacje o tym, który ze współadministratorów jest odpowiedzialny za zapewnienie zgodności przetwarzania z poszczególnymi elementami wskazanymi w wymienionych przepisach[10].

Co warto podkreślić, w RODO wprost wskazano także, że osoba, której dane dotyczą, może wykonywać przysługujące jej prawa wynikające z RODO wobec każdego ze współadministratorów, a więc niezależnie od poczynionych w tym zakresie ustaleń pomiędzy współadministratorami, w tym wskazanego punktu kontaktowego (art. 26 ust. 3 RODO).

Zakres odpowiedzialności współadministratorów

Dokonanie wspólnych ustaleń przez współadministratorów stanowi jednocześnie zarówno uprawnienie współadministratorów, jak i ich obowiązek. Niedochowanie tego obowiązku może skutkować ponoszeniem odpowiedzialności przewidzianej w RODO. Naruszenie art. 26 RODO może skutkować w szczególności nałożeniem kary pieniężnej w wysokości do 10 mln euro albo w wysokości do 2 % całkowitego rocznego światowego obrotu administratora (art. 83 ust. 4 lit. a) RODO).

Ponadto, współadministratorzy, jako jeden z typów administratorów mogą odpowiadać za naruszenie każdego innego obowiązku nałożonego na administratorów, które są wskazane w RODO.

W kontekście odpowiedzialności współadministratorów należy wskazać również na przewidzianą w RODO możliwość ponoszenia odpowiedzialności cywilnoprawnej, zgodnie z art. 82 RODO. Na podstawie tego przepisu, każda osoba, która poniosła szkodę majątkową lub niemajątkową w wyniku naruszenia RODO, ma prawo uzyskać od administratora lub podmiotu przetwarzającego odszkodowanie za poniesioną szkodę. W kontekście współadministrowania, ważna jest przy tym zasada, że jeżeli w tym samym przetwarzaniu uczestniczy więcej niż jeden administrator (a tak jest m.in. w przypadku współadministrowania) lub podmiot przetwarzający i odpowiadają za szkodę spowodowaną przetwarzaniem, ponoszą oni odpowiedzialność solidarną za całą szkodę, tak by zapewnić osobie, której dane dotyczą, rzeczywiste uzyskanie odszkodowania (art. 82 ust. 4 RODO). Administrator (lub podmiot przetwarzający), który zapłacił odszkodowanie za całą wyrządzoną szkodę, ma prawo żądania od pozostałych administratorów lub podmiotów przetwarzających, którzy uczestniczyli w tym samym przetwarzaniu, zwrotu części odszkodowania odpowiadającej części szkody, za którą ponoszą odpowiedzialność.

 

Bartosz Jussak

radca prawny w kancelarii Barta&Kaliński sp. j; specjalizuje się w projektach związanych z prawem nowych technologii, prawem własności intelektualnej oraz ochroną danych osobowych

Artykuł pochodzi z Biuletynu Euro Info 2/2021

Przeczytaj więcej takich artykułów w strefie wiedzy PARP

---

[1] Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. U. UE. L. z 2016 r. Nr 119, str. 1 z późn. zm.).

[2] Por. w szczególności: Guidelines 07/2020 on the concepts of controller and processor in the GDPR Version 1.0 (wersja przedstawiona do publicznych konsultacji), s. 13-14.

[3] Por. Guidelines 07/2020 on the concepts… s. 18 i wskazane tam orzecznictwo.

[4] Por. Guidelines 07/2020 on the concepts… s. 19 i wskazane tam orzecznictwo.

[5] Ustawa z dnia 8 września 2006 r. o Państwowym Ratownictwie Medycznym (t.j. Dz. U. z 2020 r. poz. 882 z późn. zm.).

[6] Ustawa z dnia 22 listopada 2013 r. o systemie powiadamiania ratunkowego (t.j. Dz. U. z 2021 r. poz. 268).

[7] Por. Guidelines 07/2020 on the concepts…

[8]   Por. Guidelines 07/2020 on the concepts… s. 41.

[9] Tak: I. Kowalczyk-Pakuła, M. Chołuj, Współadministrowanie – nowy paradygmat w prawie ochrony danych osobowych (dodatek Monitor Prawniczy 21/2019) w: "Prawo nowych technologii dane osobowe i cyberbezpieczeństwo, Internet i media, handel elektroniczny, prawo IT, technologie" pod red. Xawerego Konarskiego.

[10] Por. Guidelines 07/2020 on the concepts… s. 44.