1

Mediator jako współadministrator danych osobowych

Nie ulega wątpliwości, że mediator jest administratorem danych osobowych. Pisałam na ten temat tutaj. Czy może się zdarzyć, że mediator będzie także współadministratorem danych? Oczywiście.

Zacznijmy jednak od początku.         

Kim jest współadministrator danych osobowych?

Współadministrator danych osobowych to inaczej administrator, który wspólnie z innym administratorem ustala cele i sposoby przetwarzania danych osobowych (art. 26 ust. 1 RODO). Aby można było mówić o współadministrowaniu, musi być co najmniej dwóch administratorów. Tyle wynika z definicji prawnej.

W praktyce oznacza to, że dwa niezależne podmioty mają nie tylko faktyczny dostęp do danych osobowych, ale przede wszystkim oba podmioty ustalają, jakie to będą dane, do czego będą wykorzystywane (cele przetwarzania), a nawet w jaki sposób będą zbierane.

Przykład nr 1:

Mediatorzy Kasia i Piotr prowadzą niezależnie biura mediacyjne. Kasia w Olsztynie, a Piotr w Niemczech. Zdarza się, że mediatorzy wspólnie współpracują w ramach komediacji.

Komediacja to mediacja prowadzona przez dwóch mediatorów. Jest ona wykorzystywana np. w sprawach dotyczących uprowadzenia dziecka za granicę w ramach różnych systemów mediacji ustanowionych specjalnie na potrzeby tego typu spraw. Należy przyjąć, że mediatorzy są współadministratorami danych, albowiem będą realizować wspólny cel i będą mieć dostęp do tych samych danych osobowych.

Przykład nr 2:

Mediator Tomek będzie prowadził posiedzenie mediacyjne w postępowaniu administracyjnym. Uczestnikami postępowania administracyjnego są urząd gminy oraz strona postępowania. Posiedzenie mediacyjne odbywać się będzie w siedzibie organu administracyjnego.

Mediator i urząd gminy będą współadministratorami danych osobowych. Organ administracyjny i mediator będą wspólnie ustalać cele i sposoby przetwarzania danych osobowych, z tym zastrzeżeniem, że każdy z podmiotów ma autonomiczne uprawnienia, z którymi związane jest przetwarzanie danych osobowych uczestników mediacji w innych celach.

W celu zobrazowania niniejszego problemu warto posłużyć się dodatkowym przykładem.

Podczas mediacji prowadzonej w postępowaniu administracyjnym wyłącznie mediator jest uprawniony i zobowiązany do wspierania uczestników mediacji w formułowaniu przez nich propozycji ugodowych. Organ administracji prowadzący postępowanie, w ramach współadministrowania, może być uprawniony np. do zapewnienia pomieszczeń i ich ochrony.

Przykład nr 3:

Mediator Marta prowadzi stronę internetową na Facebooku (tzw. fanpage). Marta oraz Facebook Inc. będą współadministratorami danych osobowych podmiotów odwiedzających stronę internetową mediatora (wyrok TSUE C-210/16).

Dlaczego mediator prowadzący fanpage oraz Facebook są współadministratorami danych osobowych?

Firma Facebook udostępnia platformę internetową, na której każdy może utworzyć zarówno profil prywatny, jak i stronę internetową zwaną fanpage’em. Aby móc założyć taką stronę na tej platformie, użytkownik musi przejść cały proces, podczas którego tworzy konto i akceptuje regulaminy.

Mediator tworzący fanpage na platformie Facebook jako administrator decyduje o celach i sposobach przetwarzania danych osobowych. Dlaczego? Mediator sam zdecydował o wyborze portalu Facebooku, na którym utworzy specjalną przestrzeń (swój fanpage) w określonym celu, np. promocji swojej działalności mediacyjnej. Co do zasady tylko  właściciel fanpage’a (czasem może to uczynić także Facebook) może w każdej chwili usunąć stronę, czasowo ją dezaktywować. To właściciel fanpage’a decyduje, co chce tam umieścić, jakie tematy będą tam poruszane. To mediator jako właściciel fanpage’a może zapraszać do jego polubienia, usunąć czyjś komentarz itp. Jako administrator tej przestrzeni widzi statystyki, które udostępnia Facebook.

W ocenie TSUE fakt, że użytkownik korzysta z danej platformy i z usług na niej dostępnych, nie zwalnia go z obowiązków wynikających z przepisów o ochronie danych osobowych.

Przykład nr 4:

Mediator Grzegorz prowadzi stronę internetową informującą o wykonywanym przez niego zawodzie. Na stronie internetowej wykorzystuje wtyczkę (plugin) „Lubię to”.

Mediator wykorzystujący na stronie internetowej przycisk „Lubię to” współadministruje danymi osobowymi łącznie z Facebookiem (wyrok TSUE C-40/17).

W przypadku stosowania wtyczek do portali społecznościowych należy zapoznać się z regulaminami danych serwisów, bo to one będą określały zasady współadministrowania danymi. Dodatkowo jako administrator masz obowiązek wskazać współadministratora w rejestrze czynności przetwarzania (art. 30 ust. 1 lit. a RODO), a także w tzw. klauzulach informacyjnych (art. 13 i 14 RODO). Użytkownik sieci (osoba wchodząca na Twoją stronę internetową i korzystająca z jej funkcjonalności) musi wiedzieć, co dzieje się z jego danymi osobowymi.

Właściciel strony internetowej, decydując się na skorzystanie z wtyczki społecznościowej wpływa na sposób gromadzenia danych osobowych i ich przekazywania dostawcy danej wtyczki. W ocenie TSUE fakt, że podmiot korzystający z wtyczki sam nie ma dostępu do danych osobowych gromadzonych i przekazywanych do dostawcy danej wtyczki, nie stoi na przeszkodzie, aby uznać go za współadministratora.

Co więcej, w tym orzeczeniu TSUE zwrócił uwagę nie tylko na kwestie współadministrowania, lecz także na jakiej podstawie prawnej przetwarzamy dane osobowe – czy na podstawie zgody czy jednak opierając się na tzw. uzasadnionym interesie administratora. Ma to istotne znaczenie pod kątem spełnienia obowiązków informacyjnych i ewentualnej konieczności uzyskania zgody na przetwarzanie danych osobowych.

Powyższe orzeczenie dotyczy nie tylko na wtyczki „Lubię to”, ale każdego zewnętrznego oprogramowania zbierającego dane osobowe, w tym wtyczkek podmiotów trzecich, z których korzystamy na stronie. Odpowiedzialność podmiotu, który korzysta na swojej stronie z wtyczek, np. do portali społecznościowych, ogranicza się jedynie do czynności (operacji) zbierania danych osobowych oraz ich ujawniania poprzez transmisję do właściciela danego portalu społecznościowego.

Pamiętaj!

Ze współadministrowaniem będziemy mieć do czynienia także wówczas, gdy nie wszystkie decyzje o celach i sposobach przetwarzania danych były podejmowane na drodze wspólnych uzgodnień. Wystarczy, by każdy z administratorów w swoim zakresie podejmował decyzje, a ich zestaw stworzy jeden duży proces przetwarzania danych osobowych.

Współadministrowanie i co dalej?

Współadministratorzy muszą uzgodnić między sobą podział obowiązków. Zakresy odpowiedzialności dotyczące wypełniania obowiązków nałożonych przepisami RODO muszą być przejrzyste. Zasada ta ma szczególne znaczenie  w sytuacji, gdy osoba, której dane osobowe są przetwarzane chce skorzystać z przysługujących jej praw, np. prawa do sprostowania. W uzgodnieniach można wskazać punkt kontaktowy dla osób, których dane osobowe dotyczą.

Współadministratorzy muszą pamiętać, że zasadnicza treść uzgodnień musi zostać udostępniona podmiotom, których dane dotyczą. Najłatwiej uczynić to w tzw. obowiązku informacyjnym.

Mimo dokonanych uzgodnień osoba, której dane osobowe są przetwarzane, ma prawo skierować żądanie wobec każdego ze współadministratorów (mimo odmiennych ustaleń w umowie o współadministrowaniu).

Przepisy RODO nie określają, w jaki sposób ma to nastąpić, pozostawiając w tym zakresie dowolność. Co więcej, współadministrowanie nie oznacza, że po stronie każdego z administratorów musi być jednakowa liczba obowiązków albo te same obowiązki. Najważniejsze z punktu widzenia spełnienia zgodności z przepisami o ochronie danych osobowych jest to, by w razie ewentualnej kontroli każdy z administratorów był w stanie wykazać, kto i za co odpowiada. Najprostszym sposobem jest niewątpliwie zawarcie stosownej umowy o współadministrowaniu, w której zostaną ujęte informacje, w jakim celu i w jaki sposób są przetwarzane dane osobowe, podział obowiązków (kto za co odpowiada w związku z przetwarzaniem danych osobowych), opis procedury związanej z obsługą zapytań (tzw. żądań) osób, których dane osobowe są przetwarzane, jakie zabezpieczenia będą stosowane, jak będzie wyglądała odpowiedzialność podmiotów itp. Zdarza się, że zakres obowiązków współadministratorów określają wprost przepisy prawa.


Niniejszy artykuł ma charakter wyłącznie edukacyjny i nie stanowi porady prawnej ani opinii prawnej. Zapoznaj się z notą prawną.

Jeżeli potrzebujesz indywidualnej pomocy związanej dostosowaniem się do zmian prawnych, napisz na napisz@tudzialprawny.pl

Stan prawny na dzień: 27.12.2020 r.


Bibliografia

  1. Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. U. UE z 2016 r., L 119/1 ze zm.), Lex.
  2. Wyrok TSUE z dnia 29 lipca 2019 r. w sprawie C-40/17, http://curia.europa.eu/juris/liste.jsf?num=C-40/17, 01.06.2020 r.
  3. Wyrok TSUE z dnia 5 czerwca 2018 r. w sprawie C-210/16, http://curia.europa.eu/juris/liste.jsf?num=C-210/16, 01.06.2020 r.
  4. Opinia Rzecznika Generalnego z dnia 19 grudnia 2018 r. w sprawie C-40/17, Legalis
  5. Stanowisko PUODO z dnia 09.08.2019, Użycie wtyczki „Lubię to” prowadzi do współadministrowania danymi osobowymi, https://uodo.gov.pl/pl/138/1140, 01.06.2020 r.
  6. P. Figielski, Komentarz do art. 26 rozporządzenia nr 2016/679 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych [w:] Ogólne rozporządzenie o ochronie danych. Ustawa o ochronie danych osobowych. Komentarz, red. P. Figielski, Wolters Kluwer, Warszawa 2018, Lex.

Źródło zdjęcia: Pavel Danilyuk, Pexels, https://www.pexels.com/pl-pl/zdjecie/biznes-glebia-pola-uscisk-dloni-transakcja-5520322/, dostęp: 14.07.2023 r.