Konstrukcja współadministratora powinna być wykorzystywana z wyczuciem, nie warto ulegać pokusie sztucznego jej stosowania. Może się to wiązać z ryzykiem poniesienia solidarnej odpowiedzialności przez tego współadministratora, który pozostaje de facto procesorem.

Instytucja współadministratorów, w myśl art. 26 ust. GDPR, zakłada współpracę co najmniej dwóch administratorów wspólnie ustalających cele i sposoby przetwarzania danych osobowych, a także określających odpowiednie zakresy swojej odpowiedzialności dotyczącej wypełniania obowiązków wynikających z GDPR. Obowiązki te w szczególności obejmują kwestie takie jak wykonywanie przez osobę, której dane dotyczą, przysługujących jej praw, oraz ich obowiązków w odniesieniu do podawania informacji, chyba że przypadające im obowiązki i ich zakres określa prawo Unii Europejskiej lub prawo państwa członkowskiego, któremu administratorzy ci podlegają.

Co powinni ustalić współadministratorzy danych?

W uzgodnieniach można wskazać punkt kontaktowy dla osób, których dane dotyczą. Należy także właściwie odzwierciedlić odpowiednie zakresy obowiązków poszczególnych współadministratorów oraz relacje pomiędzy nimi a podmiotami, których dane dotyczą. Zasadnicza treść uzgodnień jest udostępniana osobom, których dane dotyczą.

Warunkiem koniecznym jest więc funkcjonowanie podmiotów, z których każdy posiada status administratora danych – jest osobą fizyczną lub prawną, organem publicznym, jednostką lub innym podmiotem, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych (art. 4 pkt 7 GDPR). Wspoładminstratorami nie mogą więc być podmioty, z których jeden pozostaje de facto podmiotem przetwarzającym – wykonującym operacje na danych li tylko w imieniu administratora.

Opinia brytyjskiego organu ochrony danych osobowych

W wytycznych brytyjskiego ICO (Information Commissioner’s Office) poświęconych instytucji administratora oraz podmiotu przetwarzającego[1] wskazano, iż to czy dana organizacja jest administratorem, wynika z jej roli w procesie przetwarzania danych. Wskazano, iż to właśnie definicja przetwarzania może być użyteczna przy określaniu rodzaju działań, w które dany podmiot jest zaangażowany i określeniu jego pozycji jako procesora albo administratora. Podkreślono, że definicja “podmiotu przetwarzającego” sugeruje, że czynności związane z przetwarzaniem danych muszą ograniczać się do bardziej “technicznych” aspektów operacji, takich jak przechowywanie, pobieranie lub usuwanie danych. Działania takie jak planowanie lub istotne decyzje dotyczące danych osobowych muszą być przeprowadzane przez administratora danych. Należy przy tym zaznaczyć, iż część operacji na danych będzie wspólna, zarówno dla administratora, jak i podmiotu przetwarzającego (np. przechowywanie danych).

Podmiot przetwarzający czy współadministrator danych?

W konsekwencji jeśli organizacja ma status administratora danych, nie może zdejmować z siebie praw i obowiązków nakładanych przepisami prawa, w szczególności w sposób sztuczny dzielić się nimi z podmiotami przetwarzającymi.

W świetle powyższego, wskazać należy, iż posłużenie się instytucją współadminstratorów danych, gdy jeden posiada de facto status podmiotu przetwarzającego, byłoby sprzeczne ze sformułowanymi w GDPR definicjami tych podmiotów. Było by także niezgodne z zamiarem prawodawcy wyraźnego rozgraniczania ich ról, w szczególności mogłoby zostać potraktowane jako sztuczne przerzucenie odpowiedzialności ciążącej na administratorze, na podmiot któremu z mocy prawa taki status nie przysługuje. Jest to szczególnie istotne w świetle art. 26 ust. 4 GDPR, w myśl którego niezależnie od jakichkolwiek uzgodnień między współadminstratorami, osoba, której dane dotyczą, może wykonywać przysługujące jej prawa wynikające z niniejszego rozporządzenia wobec każdego z administratorów.

W literaturze podkreśla się właśnie aspekt solidarnej odpowiedzialności za naruszenie GDPR, jako mogący zniechęcać do stosowania takiego rozwiązania[2]. W praktyce podmiot odgrywający jedynie marginalną rolę (zakres jego obowiązków jest w umowie określony bardzo wąsko) odpowiada również za ewentualne nieprawidłowości, których dopuszcza się jego partner. W konsekwencji sztuczne współdzielenie takiej odpowiedzialności  z podmiotem przetwarzającym uznać więc należy za niedopuszczalne.

Przypisy:

[1] Data controllers and data processors: what the difference is and what the governance implications are. Data Protection Act, Information Commissioner’s Office, https://ico.org.uk/media/for-organisations/documents/1546/data-controllers-and-data-processors-dp-guidance.pdf [dostęp 28.09.2017]

[2] The Relations of Controllers, Processors and Sub-processors under the DPD and GDPR, University of Oslo, Oslo, 2016, s. 20, https://www.duo.uio.no/bitstream/handle/10852/54570/ICTLTHESIS_8016.pdf?sequence=1&isAllowed=y [dostęp 28.09.2017 r.].

Dowiedz się więcej o GDPR na szkoleniu Omni Modo:

Ochrona danych osobowych i unijna reforma (GDPR/RODO)

Related Post