Mediator jako współadministrator danych osobowych
Mediator jako współadministrator danych osobowych
Nie ulega wątpliwości, że mediator jest administratorem danych osobowych. Pisałam na ten temat tutaj. Czy może się zdarzyć, że mediator będzie także współadministratorem danych? Oczywiście.
Zacznijmy jednak od początku.
Kim jest współadministrator danych osobowych?
Współadministrator danych osobowych to inaczej administrator, który wspólnie z innym administratorem ustala cele i sposoby przetwarzania danych osobowych (art. 26 ust. 1 RODO). Aby można było mówić o współadministrowaniu musi być co najmniej dwóch administratorów. Tyle jeżeli chodzi o definicję prawną.
W praktyce oznacza to tyle, że dwa niezależne podmioty posiadają nie tylko faktyczny dostęp do danych osobowych, ale przede wszystkim oba podmioty ustalają jakie to będą dane, do czego będą wykorzystywane (cele przetwarzania), a nawet w jaki sposób będą zbierane.
Przykład nr 1:
Mediator Kasia i Mediator Piotr prowadzą niezależnie biura mediacyjne. Mediator Kasia w Olsztynie, a mediator Piotr w Niemczech. Zdarza się, że mediatorzy wspólnie współpracują w ramach ko-mediacji.
Ko-mediacja to mediacja prowadzona przez dwóch mediatorów. Ko-mediacja jest wykorzystywana np. w sprawach dotyczących uprowadzenia dziecka za granicę w ramach różnych systemów mediacji ustanowionych specjalnie na potrzeby tego typu spraw. Należy przyjąć, że mediatorzy są współadministratorami danych, albowiem będą realizować wspólny cel i będą posiadać dostęp do tych samych danych osobowych.
Przykład nr 2:
Mediator Tomek będzie prowadził posiedzenie mediacyjne w ramach mediacji w postępowaniu administracyjnym. Uczestnikami postępowania mediacyjnego jest urząd gminy oraz strona postępowania. Posiedzenie mediacyjne odbywać się będzie w siedzibie organu administracyjnej.
Mediator i urząd gminy będą współadministratorami danych osobowych. Organ administracyjny i mediator będą wspólnie ustalać cele i sposoby przetwarzania danych osobowych, z tym zastrzeżeniem, że każdy z podmiotów posiada autonomiczne uprawnienia, z którymi związane jest przetwarzanie danych osobowych uczestników mediacji w innych celach.
W ramach zobrazowania niniejszego problemu warto posłużyć się dodatkowym przykładem.
W ramach mediacji prowadzonej w postępowaniu administracyjnym wyłącznie mediator jest uprawniony i zobowiązany do podejmowania czynności polegających na wspieraniu uczestników mediacji w formułowaniu przez nich propozycji ugodowych. Organ administracji prowadzący postępowanie, w ramach współadministrowania, może być uprawniony np. do zapewnienia pomieszczeń i ich ochrony.
Przykład nr 3:
Mediator Marta prowadzi stronę internetową na Facebooku (tzw. Fanpage). Mediator Marta oraz Facebook Inc. będą współadministratorami danych osobowych podmiotów odwiedzających stronę internetową mediatora (wyrok TSUE C-210/16).
Dlaczego mediator posiadający fanpage oraz Facebook są współadministratorami danych osobowych?
Firma Facebook udostępnia platformę internetową, na której każdy może utworzyć zarówno profil prywatny, jak i stronę internetową zwaną fanpage’m. Aby móc założyć taką stronę na tej platformie użytkownik musi przejść cały proces, podczas którego tworzy konto i akceptuje regulaminy.
Mediator tworzący fanpage na platformie Facebook jako administrator decyduje o celach i sposobach przetwarzania danych osobowych. Dlaczego? Mediator sam zdecydował o wyborze portalu Facebooku, na którym utworzy specjalną przestrzeń (swój fanpage) w określonym celu, np. promocji swojej działalności mediacyjnej. Co do zasady tylko właściciel fanpage (czasem może to uczynić także Facebook) możesz w każdej chwili usunąć stronę, czasowo ją dezaktywować. To właściciel fanpage decyduje co tam chcesz umieści, jakie tematy będą tam poruszane. To mediator jako właściciel fanpage może zapraszać do polubienia swojego fanpage, usunąć czyjś komentarz itp. Jako administrator tej przestrzeni widzi statystyki, które udostępnia Facebook itp.
W ocenie TSUE okoliczność, że użytkownik korzysta z danej platformy i z usług na niej dostępnych nie zwalnia go z obowiązków wynikających z przepisów o ochronie danych osobowych.
Przykład nr 4:
Mediator Grzegorz prowadzi stronę internetową informującą o wykonywanym przez niego zawodzie mediatora. Na stronie internetowej wykorzystuję wtyczkę (plugin) „Lubię to”.
Mediator wykorzystujący na stronie internetowej przycisk „Lubię to” współadministruje dane osobowe łącznie z Facebookiem (wyrok TSUE C-40/17).
W przypadku stosowaniu wtyczek do portali społecznościowych należy zapoznać się z regulaminami danych serwisów, bo to one będą określały zasady współadministrowania danymi. Dodatkowo jako administrator masz obowiązek wskazać współadministratora w rejestrze czynności przetwarzania (art. 30 ust. 1 lit. a RODO), a także w tzw. klauzulach informacyjnych (art. 13 i 14 RODO). Użytkownik sieci Internet (osoba wchodząca na Twoją stronę internetową i korzystająca z jej funkcjonalności) musi wiedzieć co dzieje się z jego danymi osobowymi.
Właściciel strony internetowej decydując się na skorzystanie z wtyczki społecznościowej wpływa na sposób na gromadzenia danych osobowych i ich przekazywania na rzecz dostawcy danej wtyczki społecznościowej. W ocenie TSUE fakt, że podmiot korzystający z wtyczki sam nie ma dostępu do danych osobowych gromadzonych i przekazywanych do dostawcy danej wtyczki, nie stoi na przeszkodzie do uznania go za współadministratora.
Co więcej, w tym orzeczeniu TSUE zwrócił uwagę nie tylko na kwestie współadministrowania, ale także na kwestie na jakiej podstawie prawnej przetwarzamy te dane osobowe – czy na podstawie zgody czy jednak na tzw. uzasadnionym interesie administratora. Ma to istotne znaczenie pod kątem spełnienia obowiązków informacyjnych i ewentualnej konieczności uzyskania zgody na przetwarzanie danych osobowych.
Powyższe orzeczenie ma wpływ nie tylko na wtyczkę „Lubię to”, ale na wszystkie zewnętrzne oprogramowania zbierającego dane osobowe, w tym wtyczki podmiotów trzecich, z których korzystamy na stronie. Odpowiedzialność podmiotu, który korzysta na swojej stronie z wtyczek, np. do portali społecznościowych ogranicza się jedynie do czynności (operacji) zbierania danych osobowych oraz ich ujawniania poprzez transmisję do właściciela danego portalu społecznościowego.
Pamiętaj!
Ze współadministrowaniem będziemy mieć do czynienia także wówczas, gdy nie wszystkie decyzje o celach i sposobach przetwarzania danych były podejmowane na drodze wspólnych uzgodnień. Wystarczające jest, by każdy z administratorów będzie w swoim zakresie podejmował decyzje, a całość decyzji stworzy jeden duży proces przetwarzania danych osobowych.
Współadministrowanie i co dalej?
Współadministratorzy muszą określić między sobą podział obowiązków w drodze wspólnych uzgodnień. Zakresy odpowiedzialności dotyczące wypełniania obowiązków nałożonych przepisami RODO muszą być określone w sposób przejrzysty, w szczególności w odniesieniu do wykonywania przez osobę, której dane dotyczą, przysługujących jej praw, a także obowiązków współadministratora w odniesieniu do podawania informacji związanych z ochroną danych osobowych. W uzgodnieniach można wskazać punkt kontaktowy dla osób, których dane osobowe dotyczą.
Współadministratorzy muszą pamiętać, że zasadnicza treść uzgodnień musi zostać udostępniona podmiotom, których dane dotyczą. Najłatwiej uczynić to w tzw. obowiązku informacyjnym.
Współadministratorzy muszą pamiętać, że mimo dokonanych uzgodnień osoba, które dane osobowe są przetwarzane ma prawo skierować żądanie wobec każdego z nich (mimo odmiennych ustaleń w umowie o współadministrowaniu).
Przepisy RODO nie określają w jaki sposób ma to nastąpić pozostawiając w tym zakresie administratorom dowolność. Co więcej, współadministrowanie nie oznacza, że po stronie każdego z administratorów musi być jednakowa liczba obowiązków albo te same obowiązki. Najważniejsze z punktu widzenia spełnienia zgodności z przepisami o ochronie danych osobowych jest to, by w razie ewentualnej kontroli każdy z administratorów był w stanie wykazać kto i za co odpowiada. Najprostszym sposobem jest niewątpliwie zawarcie stosownej umowy o współadministrowaniu, w której zostaną ujęte informacje w jakim celu i w jaki sposób są przetwarzane dane osobowe, podział obowiązków (kto za co odpowiada w związku z przetwarzaniem danych osobowych), opis procedury związanej z obsługą zapytań (tzw. żądań) osób, których dane osobowe są przetwarzane, jakie zabezpieczenia będą stosowane, jak będzie wyglądała odpowiedzialność podmiotów itp. Zdarza się, że zakres obowiązków współadministratorów określają wprost przepisy prawa.
Źródła:
- Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. U. UE z 2016 r., L 119/1 ze zm.), Lex.
- Wyrok TSUE z dnia 29 lipca 2019 r. w sprawie C-40/17, http://curia.europa.eu/juris/liste.jsf?num=C-40/17, 01.06.2020 r.
- Wyrok TSUE z dnia 5 czerwca 2018 r. w sprawie C-210/16, http://curia.europa.eu/juris/liste.jsf?num=C-210/16, 01.06.2020 r.
- Opinia Rzecznika Generalnego z dnia 19 grudnia 2018 r. w sprawie C-40/17, Legalis
- Stanowisko PUODO z dnia 09.08.2019, Użycie wtyczki „Lubię to” prowadzi do współadministrowania danymi osobowymi, https://uodo.gov.pl/pl/138/1140, 01.06.2020 r.
- P. Figielski, Komentarz do art. 26 rozporządzenia nr 2016/679 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/We (ogólne rozporządzenie o ochronie danych [w:] Ogólne rozporządzenie o ochronie danych. Ustawa o ochronie danych osobowych. Komentarz, pod red. P. Figielski, Wydawnictwo Wolters Kluwer, Warszawa 2018, Lex.
