Generic selectors
Exact matches only
Search in title
Search in content
Post Type Selectors
Menu
Menu
Współadministrator danych osobowych
brak komentarzy
mniej niż 1 minuta minut

Współadministrator danych osobowych

Ochrona danych
image_pdfimage_print

Współadministrator danych osobowych – definicja

Współadministrator danych osobowych to inaczej administrator, który wspólnie z innym administratorem ustala cele i sposoby przetwarzania danych osobowych (art. 26 ust. 1 RODO). Aby można było mówić o współadministrowaniu, musi być co najmniej dwóch administratorów. Tyle jeżeli chodzi o definicję prawną.

Oznacza to, że dwa niezależne podmioty mają nie tylko faktyczny dostęp do danych osobowych, ale oba podmioty ustalają, jakie to będą dane, do czego będą wykorzystywane (cele przetwarzania), a nawet w jaki sposób będą zbierane.

Przykładem współadministrowania danymi osobowymi będzie sytuacja, gdy dwa niezależne podmioty organizują coś wspólnie (jakieś przedsięwzięcie). Dodatkowo mogą współdzielić określony zasób rozumiany jako te same dane osobowe. Aby można było mówić o współadministrowaniu, pamiętajcie, że musi dochodzić do przetwarzania danych osobowych.

Przykłady

Przykład nr 1:

Ania i Kasia są przyjaciółkami i kosmetyczkami. Obie osobno prowadzą salony kosmetyczne. Jeden jest w Krakowie, a drugi w Warszawie (nie jest to spółka cywilna). W okresie pandemii zdecydowały się założyć wspólnego bloga (wspólny zasób – te same dane osobowe gromadzone na blogu). Na stronie internetowej będą umieszczać interesujące informacje o nowościach kosmetycznych i zabiegach (wspólny cel).

Dziewczyny są współadministratorami danych, albowiem będą realizować wspólny cel i będą mieć dostęp do tych samych danych osobowych.

Przykład nr 2:

Ania jest blogerką modową, a Kasia fotografem. Obie mają konta na Instagramie. Dziewczyny zdecydowały się zorganizować razem konkurs na najlepszą modową fotografię pt. „Czerwiec w słońcu”. Celem konkursu jest nie tylko wyłonienie najlepszej pracy, ale przede wszystkim obustronna promocja. Dziewczyny wspólnie uzgodniły najważniejsze elementy współpracy. Określiły również zasady konkursu, m.in.:

  • jakie zdjęcia mogą być przesyłane do konkursu,
  • w jaki sposób zdjęcia mają być przekazywane (np. poprzez otagowanie hashtagiem oraz kont obu dziewczyn, udostępnianie na stories),
  • jakie dodatkowe dane osobowe musi podać uczestnik (np. imię, nick na IG, adres e- mail),
  • w jaki sposób zostaną ogłoszone wyniki itp.

Dziewczyny są współadministratorami danych.

Przykład nr 3:

Kasia jest fotografem. Przez długi czas nie potrzebowała księgowej. Ostatnio jednak liczba zleceń bardzo wzrosła, więc zdecydowała się na skorzystanie z usług Joli – doświadczonej księgowej.

Powierzenie przetwarzania danych osobowych.

Dziewczyny powinny podpisać – oprócz umowy o świadczenie usług – także umowę powierzenia przetwarzania danych osobowych. Cel ustala jedynie Kasia. Celem przetwarzania danych osobowych będzie np. przekazanie danych osobowych jej klientów w celu obsługi rachunkowo-księgowej, którą świadczy Jola. W tym celu Kasia będzie przekazywać te dane Joli. Jola nie decyduje o tym celu, a jedynie ten cel realizuje za Kasię.

Rozumiecie?

Identyfikacja współadministratora jest ważna z uwagi na konieczność zawarcia stosownej umowy o współadministrowaniu danymi. To w ramach niej współadministratorzy w sposób przejrzysty określą zakresy odpowiedzialności za wypełnienie obowiązków wynikających z RODO. Dodatkowo każdy administrator ma obowiązek wskazać współadministratora w rejestrze czynności przetwarzania (art. 30 ust. 1 lit. a RODO), a także w tzw. klauzulach informacyjnych (art. 13 i 14 RODO).

Jak odróżnić współadministratora od podmiotu, któremu powierzamy przetwarzanie?

Przede wszystkim podmiot przetwarzający dane musi coś robić w naszym imieniu. Jest naszym podwykonawcą. Świadczy nam usługi wspierające naszą działalność. To my jako administrator określamy, co i w jaki sposób ma zrobić.

Ustalenie, z którą z konstrukcji prawnych mamy do czynienia, nie jest zawsze oczywiste. Relacje biznesowe między rożnymi podmiotami mają charakter bardzo złożony. Bardzo często powoduje to zatarcie się wyraźnej granicy między obiema instytucjami. Między podmiotami nie musi istnieć żadne powiązanie organizacyjne czy finansowe.  

Pomocne w ustaleniu, z którą z instytucji prawnych mamy do czynienia, są następujące pytania:

W czyim imieniu przetwarzamy dane osobowe?

Aby można było mówić o współadministrowaniu, każdy z podmiotów musi przetwarzać dane osobowe we własnym imieniu. Nie zaś w imieniu innego podmiotu.

Kto decyduje o celach przetwarzania danych osobowych?

Każdy z administratorów może mieć własny cel przetwarzania danych osobowych,. Jednak suma różnych celów składa się na jeden duży proces przetwarzania danych osobowych.

Kto decyduje o sposobach przetwarzania danych osobowych?

W jaki sposób dane osobowe są gromadzone, zbierane, udostępniane (przetwarzane)? Kto decyduje o narzędziach wykorzystywanych do danego przetwarzania. Kto może zabronić określonego sposobu przetwarzania?

W jaki sposób został stworzony proces związany z przetwarzaniem danych osobowych i kto w nim uczestniczy?

Idealnym przykładem współadministrowania jest sytuacja, gdy podmioty (dwa lub więcej) mają wspólne cele i wspólne dane osobowe (tzw. zasoby). Zdarza się jednak, że podmioty mają wspólny cel, jednak wykorzystują różne zasoby albo odwrotnie – mają odmienne cele, ale wspólny zasób.

Przykład 4:

Kasia i Ania prowadzą jedną stronę internetową o tematyce lifestyle. Mają również wspólny newsletter. Jednak każda z nich wykorzystuje zgromadzone dane w różnych celach – Kasia do promocji fotografii, a Ania do promocji usług kosmetycznych.

Powyższa sytuacja jest przykładem współadministrowania.

Przykład 5:

Kasia wykupiła przestrzeń w chmurze, gdzie przechowuje swoje zdjęcia. Monika jest początkującym fotografem i nie chce na razie inwestować, więc Kasia udostępniła jej część swojej przestrzeni w chmurze.  

Zdjęcia i dokumentacja Kasi są zapisywane u Kasi w chmurze. Kasia nie ingeruje jednak w to, co umieszcza tam Monika. Nie wykorzystuje materiałów Moniki w swoich celach.

Powyższy przykład jest przykładem powierzenia przetwarzania danych osobowych.

A teraz coś, na co pewnie wszyscy czekali.

Orzecznictwo Trybunał Sprawiedliwości Unii Europejskiej skomplikowało ustalenie, w jakich sytuacjach mamy do czynienia ze współadministrowaniem.

Fanpage na Facebooku

W sprawie C-210/16 TSUE uznał, że podmiot prowadzący fanpage na Facebooku współadministruje danymi osobowymi razem z Facebookiem.

Wiele osób nie zdaje sobie sprawy, że prowadząc fanpage związany z prowadzeniem pewnej aktywności czy działalności, staje się administratorem danych osobowych.

Często podają argumenty: ale ja żadnych danych nie zbieram, nic nie przechowuję, nic na tym nie zarabiam. Czy jednak na pewno?

O co chodzi więc z tym fanpage’em? Facebook udostępnia platformę internetową, na której każdy może utworzyć zarówno profil prywatny, jak i stronę zwaną fanpage’em. Aby móc założyć taką stronę na tej platformie, musisz przejść cały proces, podczas którego tworzysz konto i akceptujesz regulaminy.

Ty jako administrator decydujesz o celach i sposobach przetwarzania danych osobowych, gdyż to Ty zdecydowałeś, aby na portalu Facebook utworzyć specjalną przestrzeń (Twój fanpage) w określonym celu, np. promocji swojej firmy, edukowania osób, które będą Cię obserwować, na temat ekologicznego stylu życia itp. Co do zasady tylko Ty (czasem może to uczynić także Facebook) możesz w każdej chwili usunąć stronę, czasowo ją dezaktywować. Ty możesz zapraszać do polubienia swojego fanpage’, usunąć czyjś komentarz itp. Jako administrator tej przestrzeni widzisz statystyki, które udostępnia Ci Facebook itp.

W ocenie TSUE okoliczność, że korzystasz z platformy i z usług na niej dostępnych, oferowanYCH przez Facebooka, nie zwalnia Cię z obowiązków wynikających z przepisów o ochronie danych osobowych.

Czemu jednak Facebook jest administratorem?

Ty jako twórca fanpage’a na platformie należącej do Mety dajesz Facebookowi możliwość zapisywania plików cookies na komputerze osoby, która odwiedza Twój fanpage – niezależnie od tego, czy odwiedzający ma konto na tym portalu czy nie.

Aby ktoś mógł czynnie uczestniczyć na Twojej stronie (fanpage’u), musi najpierw mieć konto na Facebooku, czyli przejść proces rejestracji i założenia konta, podczas którego dochodzi do zawarcia umowy między tą osobą a Facebookiem poprzez akceptację regulaminu. Tak jak wspomniałam wcześniej, oprócz Ciebie także Meta może usunąć Twój fanpage. Meta  jako właściciel swojej platformy monitoruje sposób wykorzystania narzędzi, które udostępnia, i ma dostęp do wszystkich danych.

Ze stanowiska TSUE wynika, że z administrowaniem danych osobowych mamy do czynienia także wówczas, gdy pomimo podejmowania różnych decyzji o celach przetwarzania oba podmioty łącznie kreują proces przetwarzania danych osobowych – korzystają z tego samego zasobu – tych samych danych osobowych. Współadministratorzy mogą być zaangażowani na różnych etapach przetwarzania. Mogą być również zaangażowani w różnym stopniu. Wreszcie mogą być w różnym stopniu odpowiedzialni za przetwarzanie danych osobowych.

Warto wiedzieć, że pomimo tego, iż orzeczenie omawia prowadzenie strony internetowej na portalu Facebook, to wnioski przedstawione w orzeczeniu mają zastosowanie do wszelkich platform internetowych, na których istnieje możliwość stworzenia fanpage’ów, działających analogicznie jak Facebook (np. LinkedIn) oraz do innych platform, na których prowadzimy profil biznesowy, np. Instagram, TikTok, YouTube.

Jeszcze kilka słów o mediach społecznościowych

W innej sprawie TSUE (dla ciekawskich C-40/17) uznał z kolei, że podmiot zamieszczający na swojej stronie internetowej przycisk „Lubię to” współadministruje danymi osobowymi łącznie z Facebookiem.

W przypadku stosowania wtyczek do portali społecznościowych należy zapoznać się z regulaminami danych serwisów, bo to one będą określały zasady współadministrowania danymi. Dodatkowo jako administrator masz obowiązek wskazać współadministratora w rejestrze czynności przetwarzania (art. 30 ust. 1 lit. a RODO), a także w tzw. klauzulach informacyjnych (art. 13 i 14 RODO). Użytkownik sieci Internet musi wiedzieć, co dzieje się z jego danymi osobowymi.

Właściciel strony internetowej, decydując się na skorzystanie z wtyczki społecznościowej, wpływa na sposób na gromadzenia danych osobowych i ich przekazywania na rzecz dostawcy danej wtyczki społecznościowej. W ocenie TSUE fakt, że podmiot korzystający z wtyczki sam nie ma dostępu do danych osobowych gromadzonych i przekazywanych do dostawcy danej wtyczki, nie stoi na przeszkodzie do uznania go za współadministratora.

Co więcej, w tym orzeczeniu TSUE zwrócił uwagę nie tylko na kwestie współadministrowania, lecz także na jakiej podstawie prawnej przetwarzamy te dane osobowe – na podstawie zgody czy jednak na tzw. uzasadnionym interesie administratora. Ma to istotne znaczenie pod kątem spełnienia obowiązków informacyjnych i ewentualnej konieczności uzyskania zgody na przetwarzanie danych osobowych.

Czy tylko wtyczka “Lubię to”?

Powyższe orzeczenie ma wpływ nie tylko na wtyczkę „Lubię to”, ale na wszystkie zewnętrzne oprogramowania zbierające dane osobowe. Dotyczy to także wtyczek podmiotów trzecich, z których korzystamy na stronie. Odpowiedzialność podmiotu, który korzysta na swojej stronie z wtyczek, np. do portali społecznościowych, ogranicza się jedynie do czynności (operacji) zbierania danych osobowych oraz ich ujawniania poprzez transmisję do właściciela danego portalu społecznościowego.

Ze współadministrowaniem będziemy mieć do czynienia także wówczas, gdy nie wszystkie decyzje o celach i sposobach przetwarzania danych były podejmowane na drodze wspólnych uzgodnień. Wystarczające jest, by każdy z administratorów w swoim zakresie podejmował decyzje, a całość decyzji stworzy jeden duży proces przetwarzania danych osobowych.

Współadministrowanie i co dalej?

Współadministratorzy muszą określić między sobą podział obowiązków w drodze wspólnych uzgodnień. Zakresy odpowiedzialności dotyczące wypełniania obowiązków nałożonych przepisami RODO muszą być określone w sposób przejrzysty. Dotyczy to m.in. wykonywania przez osobę, której dane dotyczą, przysługujących jej praw, a także obowiązków współadministratora w odniesieniu do podawania informacji związanych z ochroną danych osobowych. W uzgodnieniach można wskazać punkt kontaktowy dla osób, których dane osobowe dotyczą.

Współadministratorzy muszą pamiętać, że zasadnicza treść uzgodnień musi zostać udostępniona podmiotom, których dane dotyczą. Najłatwiej uczynić to w tzw. obowiązku informacyjnym.

Współadministratorzy muszą pamiętać, że mimo dokonanych uzgodnień osoba, której dane osobowe są przetwarzane, ma prawo skierować żądanie wobec każdego z nich.

Przepisy RODO nie określają, w jaki sposób ma to nastąpić, pozostawiając w tym zakresie administratorom dowolność. Co więcej, współadministrowanie nie oznacza, że po stronie każdego z administratorów musi być jednakowa liczba obowiązków albo te same obowiązki. Najważniejsze z punktu widzenia spełnienia zgodności z przepisami o ochronie danych osobowych jest to, by w razie ewentualnej kontroli każdy z administratorów był w stanie wykazać, kto i za co odpowiada. Najprostszym sposobem jest niewątpliwie zawarcie stosownej umowy o współadministrowaniu,. W umowie powinny zostać ujęte informacje, takie jak:

  • w jakim celu i w jaki sposób są przetwarzane dane osobowe,
  • podział obowiązków (kto za co odpowiada w związku z przetwarzaniem danych osobowych),
  • opis procedury związanej z obsługą zapytań (tzw. żądań) osób, których dane osobowe są przetwarzane,
  • jakie zabezpieczenia będą stosowane, jak będzie wyglądała odpowiedzialność podmiotów itp.

Zdarza się, że zakres obowiązków współadministratorów określają wprost przepisy prawa.

Niniejszy artykuł ma charakter wyłącznie edukacyjny i nie stanowi porady prawnej ani opinii prawnej. Zapoznaj się z notą prawną.

Jeżeli potrzebujesz indywidualnej pomocy związanej dostosowaniem się do zmian prawnych, napisz na napisz@tudzialprawny.pl

Stan prawny na dzień: 6.06.2023 r. Aktualizacja: 22.04.2024 r.

Bibliografia

  1. Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. U. UE z 2016 r., L 119/1 ze zm.), Lex.
  2. Wyrok TSUE z dnia 29 lipca 2019 r. w sprawie C-40/17, http://curia.europa.eu/juris/liste.jsf?num=C-40/17, 01.06.2020 r.
  3. Wyrok TSUE z dnia 5 czerwca 2018 r. w sprawie C-210/16, http://curia.europa.eu/juris/liste.jsf?num=C-210/16, 01.06.2020 r.
  4. Opinia Rzecznika Generalnego z dnia 19 grudnia 2018 r. w sprawie C-40/17, Legalis
  5. Stanowisko PUODO z dnia 09.08.2019, Użycie wtyczki „Lubię to” prowadzi do współadministrowania danymi osobowymi, https://uodo.gov.pl/pl/138/1140, 01.06.2020 r. (obecnie już niedostępny).
  6. P. Figielski, Komentarz do art. 26 rozporządzenia nr 2016/679 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/We (ogólne rozporządzenie o ochronie danych [w:] Ogólne rozporządzenie o ochronie danych. Ustawa o ochronie danych osobowych. Komentarz, red. P. Figielski, Wydawnictwo Wolters Kluwer, Warszawa 2018, Lex.

Źródło zdjęcia: RDNE Stock project, Pexels, https://www.pexels.com/pl-pl/zdjecie/podatki-kompozycja-z-gory-papierkowa-robota-7821684/, dostęp: 23.11.2023 r.

Udostępnij

Natalia Stojanowska

Prawnik biznesowy. Wspieram przedsiębiorców, którzy skupiają swoje działania w internecie. Dostarczam poszukującym wsparcia prawnego, eksperckich porad i wskazówek dotyczących prowadzenia biznesu online. Założycielka projektu Tu Dział Prawny.

Zobacz też:

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *