Współadministrowanie danymi osobowymi

• 22.10.2018

• Autor: Katarzyna Marcisz

• obowiązki administratora danych

Podstawowym obowiązkiem wynikającym z RODO,  jest zapewnienie należytej ochrony praw i wolności osób których dane przetwarzamy. Odpowiedzialność w tym zakresie spoczywa na administratorze, który zazwyczaj jest samodzielną organizacją. Jeżeli natomiast co najmniej dwóch administratorów wspólnie ustala cele i środki przetwarzania, są oni określani mianem współadministratorów wg art. 26 RODO. Warunkiem współadministrowania jest wspólne podejmowanie decyzji, a nie tylko sam udział więcej niż jednego podmiotu w procesie przetwarzania.

Sama definicja administratora wskazuje, że  może on  ustalać cele i środki przetwarzania samodzielnie, lub wspólnie z innymi podmiotami. Fundamentem współadministrowania jest właśnie owe wspólne ustalenie celów i sposobów przetwarzania danych osobowych.

Do analizy  pozostają następujące kwestie: po pierwsze, ustalenie jak razem realizować prawa osób których dane będą przetwarzane; po drugie, ustalenie  jasnego podziału obowiązków jak i odpowiedzialności pomiędzy współadministratorami.

RODO w art. 26 ust. 1 wskazuje na wspólne „uzgodnienia”, natomiast jest to pojęcie mało szczegółowe, dlatego niezbędny jest podział obowiązków który współadministratorzy powinni  ustalić wg dwóch kryteriów: jako uzgodnienia wewnętrzne (kiedy administratorzy dzielą się swoimi obowiązkami) oraz uzgodnienia zewnętrzne (czyli kierowane bezpośrednio do osób których dane będą przetwarzane, jaki i do organu nadzorczego). Należy się także zastanowić nad punktem kontaktowym. Dla przejrzystości warto wskazać jeden adres mailowy, aby osoby których dane będą  przetwarzane mogły korzystać z przysługujących im praw wynikających z art. 15-22 RODO. W ramach transparentności, podział musi być przejrzysty i aktualny, a co za tym idzie odzwierciedlać stan faktyczny aby należycie chronić prawa i wolności osób których dane będą przetwarzane. Dlatego też motyw 79 RODO wskazuje aby współadministratorzy dokonali jasnego podziału obowiązków.

Uzgodnienia współadministratorów są niezbędne nie tylko w ramach przejrzystości ale także dlatego, że ich zasadnicza  treść będzie udostępniana podmiotom danych. Także organ nadzorczy w ramach ewentualnej kontroli, będzie mógł uzyskać informacje dotyczące podziału obowiązków. Należy mieć na uwadze, że współpraca oparta na współadministrowaniu nie może usprawiedliwiać utraty kontroli na przetwarzanymi danymi czy braku odpowiedzialności przetwarzających. Współadministratorzy muszą jasno określić granice swoich odpowiedzialności. Dodatkowo każdy z współadministratorów powinien  przestrzegać  zobowiązań wynikających z art. 5 ust. 2 RODO.

Relacje jakie zachodzą między współadministratorami mogą być trudne do ustalenia , dlatego każdemu z nich należy przyporządkować odpowiednie role i zakres obowiązków.

Art. 26 RODO nie wskazuje wprost co powinny zawierać uzgodnienia między współadministratorami i jaka powinna być ich forma. Natomiast doktryna niemiecka proponuje, by w tej sytuacji pomocniczo posługiwać się art. 28 ust. 3 RODO, niejako adaptując go do umów między współadministratorami, w takim zakresie, w jakim jest to niezbędne.

Umowa na współadministrowanie powinna zatem określać:

– opis przetwarzania danych (cel, sposób, okres przetwarzania, kategorie danych);

– ogólny opis obowiązków każdego z podmiotów odpowiedzialnych za przetwarzanie;

-informacje który z podmiotów zapewnia odpowiednią dokumentację w ramach rozliczalności;

– zasady realizacji praw osób których dane będą przetwarzane;

– uzgodnienia który z podmiotów i w jakim zakresie odpowiada na żądania osób których dane będą przetwarzane;

– uzgodnienia który z podmiotów i w jakim zakresie odpowiada za zadania wynikające z art. 24, 25,32-36;

– zasady w przypadku transferu danych do państw trzecich;

– zasady współodpowiedzialności w tym min, wynikające z art. 82 RODO;

Powyższe informacje są jednym z rozwiązań możliwych do zastosowania w ramach współadministrowania, ponieważ na dzień dzisiejszy nie ma wytycznych które określałyby w jakiej dokładnie formie współadministratorzy mają ustalić swoje obowiązki wynikające z RODO.

Autor

Katarzyna Marcisz

Doświadczenie w zakresie ochrony danych osobowych zdobywała w Ministerstwie Cyfryzacji, jako wsparcie Departamentu Zarządzania Danymi przy konsultacjach społecznych ustawy o ochronie danych osobowych. Posiada certyfikat audytora wiodącego ISO 27001 (Bezpieczeństwo Informacji) i wieloletnie doświadczenie w obsłudze Klienta biznesowego.