Europejska Rada Ochrony Danych o współadministrowaniu i ochronie danych osobowych
Jeszcze w części wytycznych dotyczących definicji administratora znajdziemy pierwsze odniesienia do współadministrowania, bo przecież określanie celów oraz sposobu przetwarzania może należeć do więcej niż jednego podmiotu.
I ważne jest przy tym to, że nawet jeżeli dany podmiot nie podejmuje wszystkich decyzji w tym zakresie, to „podpadnięcie” pod tę definicję nadal jest możliwe.
Punktem wyjścia do ustalenia jak działa współadministrowanie jest art. 26 Rozporządzenia 2016/679. Generalnie tego typu sytuacja zachodzi wtedy, kiedy co najmniej dwóch administratorów wspólnie ustala cele i sposoby przetwarzania, co wymaga również dokonania odpowiednich ustaleń i precyzyjnego określenia zasady odpowiedzialności.
Przypominając wcześniejsze wskazówki EDPB musimy pamiętać, że choć pożądane jest, aby ustalenia były pisemne i jasno określały odpowiednie role, to ich brak nie wyklucza odpowiedzialności jaką mają współadministratorzy (istotna uwaga EDPB – „the assessment of joint controllership should mirror the assessment of “single” control”).
Innymi słowy, nie mamy oceniać formalnych rozwiązań, ale faktyczne relacje łączące podmioty i czasem może dojść do sytuacji, w której nawet jeżeli mamy umowę wskazującą na to, że dany podmiot jest administratorem, ale faktycznie nie ma on żadnej decyzyjności, to nie będzie on administratorem (przynajmniej w rozumieniu RODO).
Czytaj także: Czy kancelaria reprezentująca klienta może być też administratorem danych? ‒ projekt wytycznych EDPB
Ważne jest „co” możemy
To oczywiście punkt wyjścia również dla administratorów. Kluczowe będzie więc czy dwa lub więcej podmiotów mają faktyczny wpływa na to, w jakim celu i w jaki sposób dane osobowe są przetwarzane. I chodzi tutaj, tak przynajmniej ja rozumiem wytyczne EDPB, aby oba elementy podlegały współdecydowaniu przez zainteresowane podmioty.
Ważne jest też to, że chodzi tutaj o rzeczywisty wpływ na te decyzje. Sama Rada wskazuje tutaj na przykłady, tj. współdecydowanie czy „łącznie” dwóch decyzji indywidualnych podmiotów.
Wytyczne EDPB są tutaj trochę enigmatyczne, bo mamy przykładowo takie wskazanie: „Joint participation through a common decision means deciding together and involves a common intention in accordance with the most common understanding of the term “jointly” referred to in Article 26 of the GDPR”. To znaczy co? A może to ja już się czepiam?
Tak czy inaczej, EDPB wskazuje na przytoczone przeze mnie „łączenie decyzji”. O co tutaj chodzi? O sytuację, w której poszczególne elementy się wzajemnie uzupełniają i brak decyzji po stronie któregokolwiek z podmiotów uniemożliwiłby przetwarzanie danych.
Ważna wskazówka – pamiętajmy, że mamy jeszcze podmiot przetwarzający, który robi jednak coś innego niż administrator.
Nie musi być „po równo”
EDPB poruszył także ważną kwestię. Sam fakt, że dany podmiot nie ma dostępu do przetwarzanych danych nie musi wykluczać współadministrowania.
Jeżeli więc nawet stosujemy określone techniki uniemożliwiające dostęp do przetwarzanych danych (to temat na odrębny artykuł), ale mamy wpływ na cel i sposób, oczywiście w konkretnym zakresie, to nie unikniemy odpowiedzialności. Ma to znaczenie w kontekście bardziej złożonych procesów przetwarzania danych.
Podkreślenia wymaga również to, że różne mogą być poziomy odpowiedzialności. Wszystko będzie zależało od okoliczności sprawy.
I dlatego EDPB rekomenduje tutaj, aby przy bardziej złożonych (wieloetapowych) procesach przetwarzania dokonywać oceny zakresu odpowiedzialności dla każdego „klocka”, aby w przyszłości nie było wątpliwości. Mrówcza praca.
Czytaj także: Projekt ustawy o otwartych danych: zbyt dużo wyłączeń i brak unifikacji udostępniania
Wspólne cele?
Jasne jest, że będziemy współadministratorami jeżeli odpowiadamy za te obszary przetwarzania, które dotyczą danych wykorzystywanych do danego celu, np. realizacji usługi. EDPB wyjaśnia tutaj także że nie zawsze muszą to być jednak TE SAME cele, ale wystarczy, że są one blisko powiązane lub „uzupełniające”… Wszystko jasne, prawda?
Już tłumaczę, może to być np. sytuacja, gdy takie podmioty czerpią wspólnie korzyści, nie muszą to być te same „interesy”. Pod warunkiem oczywiście, że mamy spełnioną przesłankę określania celów.
Wspólne określenie sposobów?
Musimy mieć także spełnioną przesłankę ustalania sposobów przetwarzania przez te podmioty, wspólnie.
Znowu uwaga, nie musi to być każdy etap czy rodzaj aktywności skutkującej przetwarzaniem oraz może występować w różnym stopniu, np. platformy, które umożliwiają wykorzystanie danych osobowych w zasadzie w dowolny sposób, przy czym EDPB wskazuje, że istotne jest współdecydowanie.
Podobnie, jeżeli korzystamy z zewnętrznego narzędzia. Tutaj również pojawia się ryzyko współadministrowania.
Jakieś przykłady?
Jest kilka. EDPB wskazuje np. projekty badawcze, gdzie poszczególne jednostki dostarczają danych osobowych na potrzeby wspólnego projektu i do jednego „worka” (platformy).
W takiej sytuacji Rada nie ma wątpliwości, że wszystkie zaangażowane podmioty będą współadministratorami, choć nie można wykluczyć, że każdy z nich – w pewnym zakresie – będzie też samodzielnie pełnił tę funkcję.
Innym przykładem będzie działalność marketingowa i dzielenie się użytkownikami.
A kiedy nie ma współadministrowania?
To zależy od okoliczności sprawy. EDPB podaje sporo konkretnych przykładów, zaznaczając jednocześnie, że nie jest to lista wyczerpująca.
Mamy więc przykład przekazywania danych osobowych pracowników do urzędu skarbowego. Nie mamy tutaj współadministrowania, bo cele nie są wspólne.
Podobnie ‒ wykorzystanie wspólnej bazy danych klientów i tzw. prospektów (potencjalnych klientów) przez podmioty z jednej grupy. Nic nadzwyczajnego.