Współadministrator danych osobowych

Współadministrator danych osobowych to inaczej administrator, który wspólnie z innym administratorem ustala cele i sposoby przetwarzania danych osobowych (art. 26 ust. 1 RODO). Aby można było mówić o współadministrowaniu musi być co najmniej dwóch administratorów. Tyle jeżeli chodzi o definicję prawną.

W praktyce oznacza to tyle, że dwa niezależne podmioty posiadają nie tylko faktyczny dostęp do danych osobowych, ale przede wszystkim oba podmioty ustalają jakie to będą dane, do czego będą wykorzystywane (cele przetwarzania), a nawet w jaki sposób będą zbierane.

Jednym z prostych przykładów współadministrowania danymi osobowymi będzie sytuacja, gdy dwa niezależne podmioty organizują coś wspólnie (jakieś przedsięwzięcie) lub współdzielą określony zasób rozumiany jako te same dane osobowe. Aby można było mówić o współadministrowaniu pamiętajcie, że musi dochodzić do przetwarzania danych osobowych. 

A teraz na przykładach.

Przykład nr 1:

Ania i Kasia są przyjaciółkami i kosmetyczkami. Obie osobno prowadzą salony kosmetyczne. Jeden jest w Krakowie, a drugi w Warszawie (nie jest to spółka cywilna). W okresie pandemii zdecydowały się założyć wspólnego bloga (wspólny zasób – te same dane osobowe gromadzone na blogu)), na którym będą umieszczać interesujące informacje o nowościach kosmetycznych i zabiegach (wspólny cel).

Dziewczyny są współadministratorami danych, albowiem będą realizować wspólny cel i będą posiadać dostęp do tych samych danych osobowych.

Przykład nr 2:

Ania jest blogerką modową, a Kasia fotografem. Obie posiadają konta na Instagramie. Dziewczyny zdecydowały się zorganizować razem konkurs na najlepszą modową fotografię pt. „Czerwiec w słońcu”. Celem konkursu jest nie tylko wyłonienie najlepszej pracy, ale przede wszystkim obustronna promocja. Dziewczyny wspólnie uzgodniły najważniejsze elementy współpracy i określiły zasady konkursu, m.in. jakie zdjęcia mogą być przesyłane do konkursu, jakie dodatkowe dane osobowe musi podać uczestnik (np. imię, nick na IG, adres e- mail), w jaki sposób zdjęcia mają być przekazywane (np. poprzez otagowanie hashtagiem oraz kont obu dziewczyn, udostępnianie na stories), w jaki sposób zostaną ogłoszone wyniki itp.

Dziewczyny są współadministratorami danych.

Przykład nr 3:

Kasia jest fotografem i przez długi czas nie potrzebowała księgowej, jednak ostatnio liczba zleceń bardzo wzrosła, więc zdecydowała się na skorzystanie z usług Joli – doświadczonej księgowej.

Powierzenie przetwarzania danych osobowych.

Dziewczyny powinny podpisać oprócz umowy o świadczenie usług także umowę powierzenia przetwarzania danych osobowych. Cel ustala jedynie Kasia, gdyż celem przetwarzania danych osobowych będzie np. przekazanie danych osobowych jej klientów w celu obsługi rachunkowo- księgowej, którą świadczy Jola. W tym celu Kasia będzie przekazywać te dane do Joli. Jola nie decyduje o tym celu, a jedynie ten cel realizuje za Kasię.

Rozumiecie?

Identyfikacja współadministratora jest nie tylko bardzo ważna z uwagi na konieczność zawarcia stosownej umowy o współadministrowaniu danymi w ramach, której współadministratorzy w sposób przejrzysty określą zakresy odpowiedzialności za wypełnienie obowiązków wynikających z RODO. Dodatkowo, każdy administrator ma obowiązek wskazać współadministratora w rejestrze czynności przetwarzania (art. 30 ust. 1 lit. a RODO), a także w tzw. klauzulach informacyjnych (art. 13 i 14 RODO).


Jak odróżnić współadministratora od pomiotu, któremu powierzamy przetwarzanie?

Przede wszystkim podmiot przetwarzający w naszym imieniu robić coś dla nas. Jest naszym podwykonawcą. Świadczy nam usługi wspierające naszą działalność. To my jako administrator określamy co i w jaki sposób ma zrobić.

Problemy z ustaleniem, z którą z konstrukcji prawnych mamy do czynienia nie jest zawsze oczywista, gdyż bardzo często relacje biznesowe między rożnymi podmiotami mają charakter bardzo złożony, co powoduje zatarcie się wyraźnej granicy między obiema instytucjami. Między podmiotami nie musi istnieć żadne powiązanie organizacyjne czy finansowe.  

Pomocne w ustaleniu, z którą z instytucji prawnych mamy do czynienia są następujące pytania:

  • W czyim imieniu przetwarzamy dane osobowe?

Aby można było mówić o współadministrowaniu każdy z podmiotów musi przetwarzać dane osobowe we własnym imieniu, a nie w imieniu innego podmiotu.

  • Kto decyduje celach przetwarzania danych osobowych?

Kto zadecydował w jakim celu gromadzimy, zbieramy (przetwarzamy) dane osobowe. Kto decyduje o zmianie celu? Kto ma nad tym faktyczną kontrolę? Czyj cel będzie realizowany?

Należy pamiętać, że każdy z administratorów może mieć własny cel przetwarzania danych osobowych, ale suma różnych celów składa się na jeden duży proces przetwarzania danych osobowych (poniżej więcej na ten temat).

  • Kto decyduje o sposobach przetwarzania danych osobowych?

W jaki sposób dane osobowe są gromadzone, zbierane, udostępniane (przetwarzane)? Kto decyduje o narzędziach wykorzystywanych do danego przetwarzania. Kto może zabronić określonego sposobu przetwarzania?

  • W jaki sposób został stworzony proces związany z przetwarzaniem danych osobowych i kto w nim uczestniczy?

Idealnym przykładem współadministrowania jest sytuacja, gdy dwa lub więcej podmioty mają wspólne cele i wspólne dane osobowe (tzw. zasoby). Zdarza się jednak, że podmioty mają wspólny cel, jednak wykorzystują różne zasoby albo odwrotnie – mają odmienne cele, ale wspólny zasób.

Przykład 4:

Kasia i Ania prowadzą jedną stronę internetową o lifestyle i mają wspólny newsletter, jednak każda z nich wykorzystuje zgromadzone dane w różnych celach – Kasia do promocji fotografii, a Ania do promocji usług kosmetycznych.

Powyższych przykład jest przykładem współadministrowania.

Przykład 5:

Kasia wykupiła przestrzeń w chmurze, gdzie przechowuje swoje zdjęcia. Monika jest początkującym fotografem i nie chce na razie inwestować, więc Kasia udostępniła jej część swojego przestrzeni w chmurze.  

Zdjęcia i dokumentacja Kasi są zapisywane u Kasi w chmurze, przy czym Kasia nie ingeruje w to, co umieszcza tam Monika i nie wykorzystuje jej materiałów w swoich celach.

Powyższy przykład jest przykładem powierzenia przetwarzania danych osobowych.

Zrozumienie z którą z konstrukcji prawnych mamy do czynienia jest ważne z punktu widzenia spełnienia zgodności z przepisami o ochronie danych osobowych.


A teraz coś na co pewnie wszyscy czekali.

Orzecznictwo TSUE skomplikowało ustalenie w jakich sytuacjach mamy do czynienia ze współadministrowaniem.

Fanpage

W sprawie C-210/16 TSUE uznał, że podmiot prowadzący fanpage na Facebooku współadministruje danymi osobowymi razem z Facebookiem.

Wiele osób nie zdaje sobie sprawy, że prowadząc fanpage związany z prowadzeniem pewnej aktywności czy działalności stają się administratorem danych osobowych.

Często podają argumenty, ale ja żadnych danych nie zbieram, nic nie przechowuje, nic na tym nie zarabiam.

Więcej na temat tego, kiedy można mówić o czysto – osobistym lub domowym charakterze przetwarzania danych osobowych dowiesz się tutaj – Czysto osobisty charakter przetwarzania danych osobowych

O co chodzi więc z tym fanpage’m. Facebook udostępnia platformę internetową, na której każdy może utworzyć zarówno profil prywatny, jak i stronę zwaną fanpage’m. Aby móc założyć taką stronę na tej platformie musisz przejść cały proces, podczas którego tworzysz konto i akceptujesz regulaminy (zawierasz umowę z Facebookiem).

Ty jako administrator decydujesz o celach i sposobach przetwarzania danych osobowych, gdyż to Ty zdecydowałeś, aby na portalu Facebooku utworzyć specjalną przestrzeń (Twój fanpage) w określonym celu, np. promocji swojej firmy, edukacji osób, które będą Cię obserwować o ekologicznego stylu życia itp. Co do zasady tylko Ty (czasem może to uczynić także Facebook) możesz w każdej chwili usunąć stronę, czasowo ją dezaktywować. Ty decydujesz co tam chcesz umieścić, jakie tematy będą tam poruszane. Ty możesz zapraszać do polubienia swojego fanpage, usunąć czyjś komentarz itp. Jako administrator tej przestrzeni widzisz statystyki, które udostępnia Ci Facebook itp.

W ocenie TSUE okoliczność, że korzystasz z platformy i z usług na niej dostępnych oferowanej przez Facebooka nie zwalnia Cię z obowiązków wynikających z przepisów o ochronie danych osobowych.

Czemu jednak Facebook jest administratorem?

Ty jako twórca fanpage na platformie należącej do Facebooka dajesz możliwość zapisywania Facebookowi plików cookies na komputerze osoby, która odwiedza Twojego fanpage – niezależnie od tego czy odwiedzający posiada konto na tym portalu czy nie.

Aby ktoś mógł czynnie uczestniczyć na Twojej platformie (fanpage) musi najpierw posiadać konto na Facebooku, czyli przejść proces rejestracji i założenia konta, podczas którego dochodzi do zawarcia umowy między tą osobą a Facebookiem poprzez akceptację regulaminu. Tak jak wspomniałam wcześniej, oprócz Ciebie także Facebook może usunąć Twój fanpage. Facebook jako właściciel swojej platformy monitoruje sposób wykorzystania narzędzi, które udostępnia i ma dostęp do wszystkich danych.

Ze stanowiska TSUE wynika, że z administrowaniem danych osobowych mamy do czynienia także wówczas, gdy pomimo podejmowania różnych decyzji o celach przetwarzania oba podmioty łącznie kreują proces przetwarzania danych osobowych – korzystają z tego samego zasobu – tych samych danych osobowych. Współadministratorzy mogą być zaangażowani na różnych etapach przetwarzania i w różnym stopniu, a także mogą posiadać różny stopień odpowiedzialności za przetwarzanie danych osobowych.

Należy pamiętać, że pomimo, że orzeczenie odnosi się wyłącznie do Facebooka ma zastosowanie do wszelkich platform internetowych, na których istnieje możliwość stworzenia fanpage, działających analogicznie jak Facebook, np. LinkedIn.


Zewnętrzne oprogramowania zbierającego dane osobowe

W innej sprawie C-40/17 TSUE uznał z kolei, że podmiot zamieszczający na swojej stronie internetowej przycisk „Lubię to” współadministruje dane osobowe łącznie z Facebookiem.

W przypadku stosowaniu wtyczek do portali społecznościowych należy zapoznać się z regulaminami danych serwisów, bo to one będą określały zasady współadministrowania danymi. Dodatkowo jako administrator masz obowiązek wskazać współadministratora w rejestrze czynności przetwarzania (art. 30 ust. 1 lit. a RODO), a także w tzw. klauzulach informacyjnych (art. 13 i 14 RODO). Użytkownik sieci Internet (osoba wchodząca na Twoją stronę internetową i korzystająca z jej funkcjonalności) musi wiedzieć co dzieje się z jego danymi osobowymi.

Właściciel strony internetowej decydując się na skorzystanie z wtyczki społecznościowej wpływa na sposób na gromadzenia danych osobowych i ich przekazywania na rzecz dostawcy danej wtyczki społecznościowej. W ocenie TSUE fakt, że podmiot korzystający z wtyczki sam nie ma dostępu do danych osobowych gromadzonych i przekazywanych do dostawcy danej wtyczki, nie stoi na przeszkodzie do uznania go za współadministratora.

Co więcej, w tym orzeczeniu TSUE zwrócił uwagę nie tylko na kwestie współadministrowania, ale także na kwestie na jakiej podstawie prawnej przetwarzamy te dane osobowe – czy na podstawie zgody czy jednak na tzw. uzasadnionym interesie administratora. Ma to istotne znaczenie pod kątem spełnienia obowiązków informacyjnych i ewentualnej konieczności uzyskania zgody na przetwarzanie danych osobowych.

Powyższe orzeczenie ma wpływ nie tylko na wtyczkę „Lubię to”, ale na wszystkie zewnętrzne oprogramowania zbierającego dane osobowe, w tym wtyczki podmiotów trzecich, z których korzystamy na stronie. Odpowiedzialność podmiotu, który korzysta na swojej stronie z wtyczek, np. do portali społecznościowych ogranicza się jedynie do czynności (operacji) zbierania danych osobowych oraz ich ujawniania poprzez transmisję do właściciela danego portalu społecznościowego.

Ze współadministrowaniem będziemy mieć do czynienia także wówczas, gdy nie wszystkie decyzje o celach i sposobach przetwarzania danych były podejmowane na drodze wspólnych uzgodnień. Wystarczające jest, by każdy z administratorów będzie w swoim zakresie podejmował decyzje, a całość decyzji stworzy jeden duży proces przetwarzania danych osobowych.

Współadministrowanie i co dalej?

            Współadministratorzy muszą określić między sobą podział obowiązków w drodze wspólnych uzgodnień. Zakresy odpowiedzialności dotyczące wypełniania obowiązków nałożonych przepisami RODO muszą być określone w sposób przejrzysty, w szczególności w odniesieniu do wykonywania przez osobę, której dane dotyczą, przysługujących jej praw, a także obowiązków współadministratora w odniesieniu do podawania informacji związanych z ochroną danych osobowych. W uzgodnieniach można wskazać punkt kontaktowy dla osób, których dane osobowe dotyczą.

Współadministratorzy muszą pamiętać, że zasadnicza treść uzgodnień musi zostać udostępniona podmiotom, których dane dotyczą. Najłatwiej uczynić to w tzw. obowiązku informacyjnym.

Zapisz się do newslettera i pobierz mojego bezpłatnego e-booka na temat obowiązku informacyjnego

Współadministratorzy muszą pamiętać, że mimo dokonanych uzgodnień osoba, które dane osobowe są przetwarzane ma prawo skierować żądanie wobec każdego z nich (mimo odmiennych ustaleń w umowie o współadministrowaniu).

Przepisy RODO nie określają w jaki sposób ma to nastąpić pozostawiając w tym zakresie administratorom dowolność. Co więcej, współadministrowanie nie oznacza, że po stronie każdego z administratorów musi być jednakowa liczba obowiązków albo te same obowiązki. Najważniejsze z punktu widzenia spełnienia zgodności z przepisami o ochronie danych osobowych jest to, by w razie ewentualnej kontroli każdy z administratorów był w stanie wykazać kto i za co odpowiada. Najprostszym sposobem jest niewątpliwie zawarcie stosownej umowy o współadministrowaniu, w której zostaną ujęte informacje w jakim celu i w jaki sposób są przetwarzane dane osobowe, podział obowiązków (kto za co odpowiada w związku z przetwarzaniem danych osobowych), opis procedury związanej z obsługą zapytań (tzw. żądań) osób, których dane osobowe są przetwarzane, jakie zabezpieczenia będą stosowane, jak będzie wyglądała odpowiedzialność podmiotów itp. Zdarza się, że zakres obowiązków współadministratorów określają wprost przepisy prawa.

Źródła:

  1. Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. U. UE z 2016 r., L 119/1 ze zm.), Lex.
  2. Wyrok TSUE z dnia 29 lipca 2019 r. w sprawie C-40/17, http://curia.europa.eu/juris/liste.jsf?num=C-40/17, 01.06.2020 r.
  3. Wyrok TSUE z dnia 5 czerwca 2018 r. w sprawie C-210/16, http://curia.europa.eu/juris/liste.jsf?num=C-210/16, 01.06.2020 r.
  4. Opinia Rzecznika Generalnego z dnia 19 grudnia 2018 r. w sprawie C-40/17, Legalis
  5. Stanowisko PUODO z dnia 09.08.2019, Użycie wtyczki „Lubię to” prowadzi do współadministrowania danymi osobowymi, https://uodo.gov.pl/pl/138/1140, 01.06.2020 r.
  6. P. Figielski, Komentarz do art. 26 rozporządzenia nr 2016/679 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/We (ogólne rozporządzenie o ochronie danych [w:] Ogólne rozporządzenie o ochronie danych. Ustawa o ochronie danych osobowych. Komentarz, pod red. P. Figielski, Wydawnictwo Wolters Kluwer, Warszawa 2018, Lex.