Rozporządzenie ogólne o ochronie danych osobowych (RODO) wprowadziło w art. 26 bardzo ciekawą, ale i niejednoznaczną instytucję współadministratora danych osobowych.
W przypadku współadministrowania trzeba zwrócić uwagę na kilka bardzo ważnych i rzadko poruszanych faktów.
Po pierwsze, współadministrowanie nie jest nową instytucją w prawie ochrony danych osobowych. Zgodnie z art. 2 lit. d dyrektywy 95/46 „administrator danych” oznaczał osobę fizyczną lub prawną, władzę publiczną, agencję lub inny organ, który samodzielnie lub wspólnie z innymi podmiotami określa cele i sposoby przetwarzania danych. Na kanwie przepisów dyrektywy, o byciu współadministratorem decydował będzie więc wyłącznie stan faktyczny – wspólnota celów i środków przetwarzania danych. Dyrektywa nie wymagała więc zawierania pomiędzy administratorami porozumienia, które determinowałoby status podmiotu jako współadministratora.
Na kanwie takiego stanu faktycznego TSUE wydał wyrok C-210/16 z dnia 5 czerwca 2018 r. w którym wskazał, że jak wyraźnie stanowi art. 2 lit. d) dyrektywy 95/46 – pojęcie „administratora danych” odnosi się do podmiotu, który „samodzielnie lub wspólnie z innymi podmiotami” określa cele i sposoby przetwarzania danych osobowych, pojęcie to nie odsyła koniecznie do pojedynczego podmiotu i może dotyczyć kilku podmiotów uczestniczących w tym przetwarzaniu, przy czym każdy z nich podlega wówczas przepisom obowiązującym w dziedzinie ochrony danych.
Nasza praktyka krajowa, opierająca się o uchyloną ustawę o ochronie danych osobowych nie znała stricte pojęcia „współadministrator”, ale stosowała podobne rozwiązania (osiągania wspólnych celów z wykorzystaniem tych samych danych osobowych), jednak każdy z tych podmiotów był odrębnym administratorem danych.
Inaczej wygląda jednak instytucja współadministrowania na kanwie RODO. Art. 26 stanowi, że ze współadministrowaniem mamy do czynienia wtedy, gdy co najmniej dwóch administratorów (ustawodawca nie określa ich maksymalnej liczby) wspólnie ustala cele i sposoby przetwarzania.
Rozporządzenie zobowiązuje współadministratorów do określenia zakresu obowiązków i odpowiedzialności za ich wykonywanie. Ustawodawca podkreśla to w motywie 79 preambuły, wskazując, że ochrona praw i wolności osób, których dane dotyczą oraz obowiązki i odpowiedzialność prawna administratorów wymagają dokonania jasnego podziału obowiązków, także w sytuacji, gdy administrator określa cele i sposoby przetwarzania wspólnie z innymi administratorami.
Bez wątpienia RODO nakłada na administratorów obowiązek stworzenia uzgodnień, jednak przy samym ustaleniu i podziale obowiązków oraz odpowiedzialności unijny prawodawca dał administratorom pewien stopień elastyczności.
Termin „uzgodnienia” wskazuje, że powinny to być wewnętrzne ustalenia między administratorami, niekoniecznie przybierające postać formalnego porozumienia czy umowy. Jednak biorąc pod uwagę wymóg przestrzegania zasady rozliczalności (czyli jednej z najważniejszych zasad z punktu widzenia administratora danych) oraz względy dowodowe wskazane jest, aby uzgodnienia miały taką formę, by można było udowodnić ich treść. Warunki współpracy nie mogą być narzucane przez jedną ze stron.
Uzgodnienia powinny należycie odzwierciedlać odpowiednie zakresy obowiązków współadministratorów oraz relacje pomiędzy nimi, a podmiotami danych.
Można założyć, że w uzgodnieniach powinny się znaleźć: sposób wykonywania praw podmiotów danych, obowiązki współadministratorów dotyczące informowania osób, których dane dotyczą (art. 13 i 14 RODO- szczegóły dotyczące wykonywania obowiązku informacyjnego) czy sposoby wdrażania odpowiednich środków ochrony danych osobowych.
Co ważne, zgodnie z zasadą przejrzystości uzgodnienia powinny być spisane w sposób jasny, jednoznaczny i zrozumiały.
W uzgodnieniach należy też wskazać punkt kontaktowy dla osób, których dane dotyczą. Uzgodnień nie dokonuje się w zakresie w jakim obowiązki i ich zakres przypadające poszczególnym współadministratorom określa prawo Unii lub prawo państwa członkowskiego, któremu dany administrator podlega.
W tym miejscu warto zwrócić uwagę na pierwszą, bardzo istotną różnicę pomiędzy RODO, a dotychczasowymi regulacjami. Oprócz wspólnego decydowania o celach i środkach przetwarzania danych, warunkiem konstytutywnym bycia współadministratorem, jest fakt zawarcia porozumienia pomiędzy administratorami. Warto podkreślić, że cel przetwarzania danych musi być ten sam, a nie taki sam, by móc uznać, że dochodzi do współadministrowania.
Zagadnieniem rodzącym szczególnie dużo wątpliwości, jest sposób ustanawiania współadministratora danych osobowych w przypadku jednostek budżetowych, które nie posiadają osobowości prawnej. Wydaje się, że najwłaściwszym instrumentem do ustanowienia takiego współadministratora jest porozumienie administracyjne, do którego przystąpić może każda jednostka na podstawie np. podjętej uchwały.
Zgodnie z art. 26 ust. 2 zd. 2 RODO, zasadnicza treść uzgodnień jest udostępniana podmiotom, których dane dotyczą, a zgodnie z ust. 3 – niezależnie od uzgodnień osoba, której dane dotyczą może wykonywać przysługujące jej prawa wynikające z niniejszego rozporządzenia wobec każdego z administratorów. Trudno powiedzieć, co obejmuje „zasadnicza” treść, ale bez wątpienia będzie to informacja o punkcie kontaktowym, o którego istnieniu podmiot danych musi przecież wiedzieć, skoro ma z niego korzystać.
Analogia do punktu kontaktowego, o którym mowa w kontekście obowiązków inspektora ochrony danych (IOD) wydaje się oczywista. Używanie tych samych stwierdzeń uprawnia nas do wniosku, że cel jest taki sam. Tym samym można stosować rozwiązania przyjęte w tym zakresie odnośnie IOD, co oznacza, że to właśnie IOD będzie tym wskazanym punktem kontaktowym, o którym mowa w art. 26 ust. 1. Wydaje się, że współadministratorzy mogą pominąć ustalenia stricte organizacyjne, a zwłaszcza objęte know-how czy tajemnicą przedsiębiorstwa. Co ważne, RODO nie wskazuje, w jakim momencie i w jaki sposób ma nastąpić udostępnienie. Jednocześnie należy zauważyć, że treść uzgodnień będzie zapewne taka sama dla całej gamy sytuacji, w których współadministratorzy przetwarzają dane osobowe. Z tych powodów uważam, że możliwe jest w szczególności upublicznienie zasadniczej treści uzgodnień na stronie internetowej każdego ze współadministratorów i wskazywanie linka do tej strony, na przykład w klauzuli informacyjnej z art. 13 lub 14 RODO. Jednak – niezależnie od wspólnych ustaleń – każdy ze współadministratorów odpowiada za zabezpieczenie przetwarzania danych osobowych i powinien prowadzić własny rejestr czynności przetwarzania.
Wspólne uzgodnienia są także kluczowe dla wykonywania zadań przez organ nadzorczy. Wskazuje się, że służą one w dużym stopniu właśnie organowi nadzorczemu, który musi mieć możliwość kontroli procesów.
Nie zgadzam się jednak z tezą, że jest to dominująca rola tychże ustaleń, bowiem mają one chronić i gwarantować przede wszystkim prawa podmiotów danych.
Warto też zwrócić uwagę, że RODO niezależnie od treści wzajemnych uzgodnień między administratorami, zakłada prawo osoby której dane są przetwarzane do realizacji swoich uprawnień względem każdego ze współadminitratorów. Oznacza to, że podmiot danych, pomimo wskazania przez współadministratorów jednego punktu kontaktowego, ma prawo zwrócić się do któregokolwiek ze współadministratorów by zrealizować przysługujące mu prawa, ale ustanowienie punktu kontaktowego spowoduje skanalizowanie większości, jak nie wszystkich, takich żądań.
Bardzo ważne w praktyce jest rozróżnienie pomiędzy instytucją współadministratora, a podmiotem przetwarzającym (procesorem). Należy, że podmiot przetwarzający nie podejmuje żadnych decyzji co do celów i sposobów przetwarzania, jest jedynie wykonawcą i nie do niego należą dane, zaś współadministrowanie to z definicji wspólne ustalenia. To warunek sine qua non powstania współadministrowania, w ramach którego nie dochodzi ani do udostępnienia danych, ani powierzenia. Tym samym nie musimy wykazywać ani podstaw prawnych takiego udostępnienia (nie dochodzi bowiem do niego), ani nie realizujemy obowiązku informacyjnego, co może mieć ogromne praktyczne znaczenie, mając na uwadze fakt, że obowiązek informacyjny staje się coraz większym (o ile nie największym) „absurdem RODO”.
Zatem, kiedy w praktyce możemy mieć do czynienia ze współadministrowaniem?
Oto kilka przykładów.
Współadministratorami w rozumieniu RODO, mogą być:
- współorganizatorzy konkursów gdy oba podmioty pełnią funkcję organizatorów bądź fundatorów konkursów;
- organy administracji publicznej wspólnie zarządzający systemem rejestrów państwowych;
- adwokaci wspólnie reprezentujący klienta przed sądem;
- biblioteki, które podejmują wspólne działania celem zakupu nowości wydawniczych zgodnie z potrzebami partnerskich bibliotek szkolnych i przeprowadzanie w tym celu wspólnych badań opinii publicznej;
- wspólnicy spółki cywilnej w ramach podejmowania przez nich większości wspólnych działań gdzie każdy ze wspólników ma status administratora danych osobowych;
- kilku organizatorów koncertu w ramach monitoringu wizyjnego;
- podmioty prowadzące wspólną bazę marketingową, u których cel przetwarzania (wykorzystania danych) jest wspólny;
- podmioty prowadzące wspólną rekrutację;
- spółki celowe realizujące wspólne cele (np. tworzenie systemów informatycznych);
- spółki z grupy kapitałowej prowadzące współdzieloną bazę CRM.
Warto wspomnieć także o kwestii odpowiedzialności za szkodę wywołaną nieprzestrzeganiem art. 26 RODO. Zgodnie z art. 82 ust. 4 RODO, wszyscy współadministratorzy odpowiadają solidarnie za całą szkodę. Celem tej konstrukcji jest zapewnienie podmiotom danych realnego prawa do uzyskania odszkodowania.
Natomiast zgodnie z art. 82 ust. 5 RODO administrator, który zapłacił odszkodowanie ma prawo zwrotu części odszkodowania od pozostałych współadministratorów w części odpowiadającej części szkody, za którą ponoszą odpowiedzialność.
Ponadto za naruszenie przepisów art. 26 RODO może zostać nałożona administracyjna kara pieniężna (niższa). Każdy z administratorów może także ponieść odpowiedzialność na podstawie przepisów karnych, oczywiście z uwzględnieniem faktycznego sprawstwa.
Idea współadministrowania jest bardzo uniwersalna. Współadministratorami mogą być zarówno podmioty prywatne np. spółki należące do jednej grupy kapitałowej czy przedsiębiorcy którzy doraźnie współpracują jak i podmioty z sektora publicznego np. organy administracji publicznej. Nie ma także przeciwskazań, aby w taką współpracę weszły podmioty z obu ww. sektorów np. w ramach partnerstwa publiczno-prawnego.
Podsumowując, należy wskazać, że na tak wczesnym etapie stosowania RODO, przy jednoczesnej zbyt skąpej regulacji prawnej, trudno określić dokładnie jak każdy z elementów współpracy współadministatorów powinien wyglądać, aby był w pełni skuteczny zarówno dla administratorów jak i podmiotów danych. Należy przypuszczać i mieć nadzieję, że praktyka rynkowa oraz działania organu(ów) nadzoru doprowadzą do ustalenia bardziej konkretnych i jasnych reguł stosowania tej instytucji.
Jednak już dzisiaj odgrywa ona ogromną rolę dając możliwość odejścia od sztucznej konstrukcji bycia odrębnym administratorem w sytuacji gdy decyzje o przetwarzaniu danych są podejmowane wspólnie. Dzięki temu możliwe jest sprawne i zgodne z prawem korzystanie ze wspólnych baz, nie martwiąc się o legalizowanie przepływów danych. Innymi słowy jest to możliwość dzielenia się danymi i realizacji wspólnych celów, np. marketingowych, czy rekrutacyjnych w naturalnym procesie współpracy przy wspólnej bazie danych (jedna zgoda na rzecz wszystkich podmiotów).