Co powinna zawierać umowa/porozumienie o współadministrowaniu danymi osobowymi?

Jak zostało to wskazane wcześniej art. 26 ust. 1 zd. 1 RODO stanowi, że „jeżeli co najmniej dwóch administratorów wspólnie ustala cele i sposoby przetwarzania, są oni współadministratorami”. Co bardzo ważne, nigdzie w przepisach RODO nie wskazano, że współ­administrowanie jest uzależnione od uprzedniego istnienia przepisu prawa lub umowy, z której wynikałoby źródło relacji administratorów. Oznacza to, że do uznania, iż zachodzi współadministrowanie, wystarczające jest, że w danym przypadku istnieje co najmniej dwóch administratorów, którzy wspólnie ustalają cele i sposoby przetwarzania, niezależnie od tego, z jakiej przyczyny do takiego stanu doszło. Nie ma zatem znaczenia, na jakiej podstawie dojdzie do powstania współadministrowania.

Trzeba jednak pamiętać, że jeśli już wystąpi współadministrowanie danymi osobowymi, to relacja pomiędzy administratorami danych powinna zostać usankcjonowana. Zgodnie z art. 26 ust. 1 zd. 2 i 3 RODO, w drodze wspólnych uzgodnień współadministratorzy w przejrzysty sposób określają odpowiednie zakresy swojej odpowiedzialności dotyczącej wypełniania obowiązków wynikających z RODO. W szczególności powołany przepis wymaga, by określić realizację ich obowiązków:

  • w odniesieniu do wykonywania przez osobę, której dane dotyczą, przysługujących jej praw,
  • w odniesieniu do przekazywania informacji z art. 13 i 14 RODO,
  • możliwość wskazania punktu kontaktowego dla osób, których dane dotyczą.

Na gruncie przepisów RODO umowa/porozumienie o współadministrowaniu wymaga zatem przede wszystkim określenia, kto i w jakim zakresie będzie odpowiadał za realizację wymogów RODO. Chodzi tutaj o bezpieczeństwo danych osobowych i wdrożenie odpowiednich środków technicznych i organizacyjnych w celu zapewnienia bezpieczeństwa, odpowiadającemu ustalonemu ryzyku naruszenia praw lub wolności osób fizycznych. W tej sytuacji konieczne wydaje się przeprowadzenie analizy ryzyka, pozwalającej ustalić, który z administratorów danych (czy też obaj) i w jakim zakresie będzie odpowiadał za bezpieczeństwo danych osobowych, jakie środki powinien każdy z tych administratorów wdrożyć, aby to bezpieczeństwo zapewnić.

Podkreślić jednak należy, że powołany przepis RODO akcentuje konieczność ustalenia pomiędzy współadministratorami danych, w jaki sposób będą realizowane ich obowiązki względem osób, których dane dotyczą. Mowa tutaj przede wszystkim o zapisach rozdziału III RODO, czyli prawach osoby, której dane dotyczą.

Ponadto zgodnie z art. 26 ust. 2 RODO uzgodnienia, o których mowa powyżej, należycie odzwierciedlają odpowiednie zakresy obowiązków współadministratorów oraz relacje pomiędzy nimi a podmiotami, których dane dotyczą. Oznacza to, że administratorzy danych, zawierając umowę/porozumienie dotyczące współadministrowania danymi osobowymi, mogą w zasadzie swobodnie ustalić sposoby tej współpracy i realizacji ich obowiązków, oczywiście jeżeli tylko uzgodnienia te nie prowadzą do naruszenia wymogów RODO. W powołanym przepisie znalazło się też postanowienie, zgodnie z którym zasadnicza treść tych uzgodnień jest udostępniana podmiotom, których dane dotyczą. Osoby, których dane dotyczą, muszą zatem uzyskać informacje o tym, w jaki sposób mogą realizować prawa, przysługujące im na podstawie RODO, w zawiązku z zaistnieniem współadministrowania ich danymi osobowymi.

WAŻNE!

Zawierając umowę/porozumienie dotyczące zasad współadministrowania danymi osobowymi, trzeba przede wszystkim określić, kto i w jaki sposób będzie realizował prawa osób, których dane dotyczą, czyli m.in.:

  • prawo do dostępu od danych osobowych (art. 15 RODO),
  • prawo do sprostowania danych (art. 16 RODO),
  • ...

Dalsza część jest dostępna dla użytkowników z wykupionym planem