Przepływ danych między współadministratorami – zalecane praktyki

Przepisy RODO szczegółowo regulują obowiązki każdego z podmiotów, które biorą udział w procesie przetwarzania danych osobowych. Zwłaszcza obowiązki administratorów danych – jako tych podmiotów, które przede wszystkim zarządzają przetwarzaniem danych osobowych – zostały szczegółowo sprecyzowane. Niejednokrotnie zdarza się jednak, że dwa lub więcej podmiotów tworzą wspólne przedsięwzięcie, które wymaga przetwarzania danych osobowych ze wspólnej bazy. Takie sytuacje mogą dotyczyć firm tworzących grupy kapitałowe bądź konsorcja, które w ramach swojej współpracy powołują np. spółkę, która pełni funkcję centrum usług wspólnych. W takich sytuacjach znajdą zastosowanie przepisy RODO dotyczące współadministrowania.

Wymogi prawne dotyczące współadministrowania

Zgodnie z art. 26 ust. 1 RODO, jeżeli co najmniej dwóch administratorów wspólnie ustala cele i sposoby przetwarzania, są oni współadministratorami. Definicje administratora danych określa art. 4 pkt 7) RODO, w którym wskazano, że: „administrator” oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych. Jeśli zaś cele i sposoby takiego przetwarzania są określone w prawie Unii lub w prawie państwa członkowskiego, to również w prawie Unii lub w prawie państwa członkowskiego może zostać wyznaczony administrator lub mogą zostać określone konkretne kryteria jego wyznaczania.

Zdefiniowanie podmiotu, który pełni funkcję administratora danych, oraz sposobu zarządzania procesem przetwarzania danych jest niezwykle istotne dla określenia, czy w danym stosunku prawnym mamy do czynienia z relacją:

  • administrator danych – administrator danych – dwóch osobnych administratorów danych, z których każdy przetwarza dane we własnych celach, wynikających z realizowanych zadań, np. pracodawca – lekarz medycyny pracy, wystawiający zaświadczenia o zdolności do pracy;
  • administrator danych – podmiot przetwarzający – relacja, w której podmiot przetwarzający przetwarza dane osobowe w imieniu administratora danych, np. księgowa obsługująca przedsiębiorcę;
  • współadministratorowanie danymi – relacja, w której dwóch administratorów danych wspólnie ustala cele i sposoby przetwarzania danych osobowych, np. dwie firmy wspólnie tworzą platformę internetową, oferując połączone usługi swoim klientom.

O ile zatem możliwość wspólnego administrowania tymi samymi bazami danych osobowych nie budzi wątpliwości na gruncie przepisów RODO, o tyle szczegółowe zapisy umów i porozumień między współadministratorami danych wymagają jednak szerszego omówienia, zwłaszcza w wymiarze funkcjonowania tego rodzaju umów w praktyce.

Wskazane wyżej relacje nabierają dodatkowego znaczenia, jeśli się uwzględni treść motywu 79 Preambuły RODO, zgodnie z którym ochrona praw i wolności osób, których dane dotyczą, oraz obowiązki i odpowiedzialność prawna, administratorów i podmiotów przetwarzających – także w odniesieniu do monitorowania ze strony organów nadzorczych i do środków przez nie stosowanych – wymagają dokonania w ramach RODO jasnego podziału obowiązków, także w sytuacji, gdy administrator określa cele i sposoby przetwarzania wspólnie z innymi administratorami lub gdy operacji przetwarzania dokonuje się w imieniu administratora. W tej sytuacji kluczowe w ustaleniu współpracy między współadministratorami danych jest określenie przejrzystych zasad dotyczących roli każdego ze współadministratorów w procesie przetwarzania danych.      

Dobre praktyki współadministrowania danymi osobowymi

Określenie jasnych wytycznych dotyczących zasad współadministrowania danymi osobowymi wynika nie tylko z motywu 79 Preambuły RODO, ale także z samej treści art. 26 ust. 1 zd. 2 RODO, zgodnie z którym w ramach wspólnych uzgodnień współadministratorzy w przejrzysty sposób określają odpowiednie zakresy swojej odpowiedzialności dotyczącej wypełniania obowiązków wynikających z RODO. Szczególnie współadministratorzy danych powinni poczynić ustalenia dotyczące wykonywania przez osobę, której dane dotyczą, przysługujących jej praw, oraz obowiązków, jakie ciążą na współadministratorach w odniesieniu do podawania informacji, o których mowa w art. 13 i 14, chyba że przypadające im obowiązki i ich zakres określa prawo Unii lub prawo państwa członkowskiego, któremu administratorzy ci podlegają.

Warto przy tym podkreślić, że w ust. 2 art. 26 RODO wskazano, że uzgodnienia dokonywanie przez współadministratorów powinny należycie odzwierciedlać odpowiednie zakresy obowiązków współadministratorów oraz relacje między nimi a podmiotami, których dane dotyczą. Kluczowa treść uzgodnień jest udostępniana podmiotom, których dane dotyczą.

 

WAŻNE!

W praktyce oznacza to, że, zawierając umowę/porozumienie o współadministrowaniu, należy szczegółowo określić zakres i sposób realizacji każdego z obowiązków, jakie przepisy RODO nakładają na administratorów danych. Przy czym należy pamiętać, żeby poczynione ustalenia odpowiadały rzeczywistym zakresom obowiązków, jakie przyjęli na siebie poszczególni admi­nistratorzy danych. Co więcej, należy zwrócić szczególną uwagę na prawa osób, których dane dotyczą, i również w tym zakresie szczegółowo określić zadania każdego ze współadministratorów.

 

Mając na uwadze powyższe wytyczne wynikające z art. 26 RODO oraz przepisy RODO dotyczące obowiązków admi­nistratorów danych, można wskazać, że wzajemne uzgodnienia/umowy dotyczące przepływu danych między współadministratorami powinny szczególnie obejmować następujący zakres ustaleń:

  • sprawdzenie zgodności przetwarzania danych i ich przepływu z zasadami dotyczącymi przetwarzania danyc...

Dalsza część jest dostępna dla użytkowników z wykupionym planem