EDPB o współadministrowaniu pod RODO, czyli kolejne zderzenie z projektem wytycznych

W jednym z ostatnich artykułów rozpoczęliśmy omawianie ostatniego projektu wytycznych EDPB w sprawie administratorów i podmiotów przetwarzających. Pierwszym zagadnieniem, które poruszyliśmy była definicja administratora i określenie, kiedy de facto się nim stajemy. Dzisiaj będziemy kontynuować ten wątek, ale w kontekście współadministrowania. Przejdźmy do konkretów. 

Jeszcze w części wytycznych dotyczącą definicji administratora znajdziemy pierwsze odniesienia do współadministrowania, bo przecież określanie celów oraz sposobu przetwarzania może należeć do więcej niż jednego podmiotu. I ważne jest przy tym to, że nawet jeżeli dany podmiot nie podejmuje wszystkich decyzji w tym zakresie, to „podpadnięcie” pod tą definicję nadal jest możliwe.

Punktem wyjścia do ustalenia jak „działa” współadministrowanie jest art. 26 Rozporządzenia 2016/679. Generalnie tego typu sytuacja zachodzi wtedy, kiedy co najmniej dwóch administratorów wspólnie ustala cele i sposoby przetwarzania, co wymaga również dokonania odpowiednich ustaleń i precyzyjnego określenia zasady odpowiedzialności.

No alt text provided for this image

Przypominając wcześniejsze wskazówki EDPB musimy pamiętać, że choć pożądane jest, aby ustalenia były pisemne i jasno określały odpowiednie role, to ich brak nie wyklucza odpowiedzialności jak współadministratorzy (istotna uwaga EDPB – „the assessment of joint controllership should mirror the assessment of “single” control”). Innymi słowy, nie mamy oceniać formalnych rozwiązań, ale faktyczne relacje łączące podmioty i czasem może dojść do sytuacji, w której nawet jeżeli mamy umowę wskazującą na to, że dany podmiot jest administratorem, ale faktycznie nie ma on żadnej „decyzyjności”, to nie będzie on administratorem (przynajmniej w rozumieniu RODO).

Ważne jest „co” możemy 

To oczywiście punkt wyjścia również dla administratorów. Kluczowe będzie więc czy dwa lub więcej podmiotów mają faktyczny wpływa na to w jakim celu i w jaki sposób dane osobowe są przetwarzane. I chodzi tutaj, tak przynajmniej ja rozumiem wytyczne EDPB, aby oba elementy podlegały współdecydowaniu przez zainteresowane podmioty.

No alt text provided for this image

Ważne jest też to, że chodzi tutaj o rzeczywisty wpływ na te decyzje.Sama Rada wskazuje tutaj na przykłady, tj. współdecydowanie czy „łącznie” dwóch decyzji indywidualnych podmiotów. Wytyczne EDPB są tutaj trochę enigmatyczne, bo mamy przykładowo takie wskazanie: „Joint participation through a common decision means deciding together and involves a common intention in accordance with the most common understanding of the term “jointly” referred to in Article 26 of the GDPR”. To znaczy co? A może to ja już się czepiam?

Tak czy inaczej, EDP wskazuje na przytoczone przeze mnie „łączenie decyzji”. O co tutaj chodzi? O sytuację, w której poszczególne elementy się wzajemnie uzupełniają i brak decyzji po stronie któregokolwiek z podmiotów uniemożliwiłby przetwarzanie danych. Ważna wskazówka – pamiętajmy, że mamy jeszcze podmiot przetwarzający, który robi jednak coś innego niż administrator.

Nie musi być „po równo”

EDPB poruszył także ważną kwestię. Sam fakt, że dany podmiot nie ma dostępu do przetwarzanych danych nie musi wykluczać współadministrowania. Jeżeli więc nawet stosujemy określone techniki uniemożliwiające dostęp do przetwarzanych danych (to temat na odrębny artykuł), ale mamy wpływ na cel i sposób (oczywiście w konkretnym zakresie), to nie unikniemy odpowiedzialności. Ma to znaczenie w kontekście bardziej złożonych procesów przetwarzania danych.

Podkreślenia wymaga również to, że różne mogą być poziomy odpowiedzialności. Wszystko będzie zależało od okoliczności sprawy. I dlatego EDPB rekomenduje tutaj, aby przy bardziej złożonych (wieloetapowych) procesach przetwarzania dokonywać oceny zakresu odpowiedzialności dla każdego „klocka”, aby w przyszłości nie było wątpliwości. Mrówcza praca.

Wspólne cele? 

No alt text provided for this image

Jasne jest, że będziemy współadministratorami jeżeli odpowiadamy za te obszary przetwarzania, które dotyczą danych wykorzystywanych do danego celu (np. realizacji usługi). EDPB wyjaśnia tutaj także – załamka – nie zawsze muszą to być jednak TE SAME cele, ale wystarczy, że są one blisko powiązane lub „uzupełniające”. Wszystko jasne, prawda? Już tłumaczę, może to być np. sytuacja, gdy takie podmioty czerpią wspólnie korzyści (nie muszą to być te same „interesy”). Pod warunkiem oczywiście, że mamy spełnioną przesłankę określania celów.

Wspólne określenie sposobów?

Musimy mieć także spełnioną przesłankę ustalania sposobów przetwarzania przez te podmioty (wspólnie). Znowu uwaga, nie musi to być każdy etap czy rodzaj aktywności skutkującej przetwarzaniem oraz może występować w różnym stopniu, np. platformy, które umożliwiają wykorzystanie danych osobowych w zasadzie w dowolny sposób (przy czym EPDB wskazuje, że istotne jest współdecydowanie). Podobnie, jeżeli korzystamy z zewnętrznego narzędzia. Tutaj również pojawia się ryzyko współadministrowania.

Jakieś przykłady?

No alt text provided for this image

Jest kilka. EDPB wskazuje np. projekty badawcze, gdzie poszczególne jednostki dostarczają danych osobowych na potrzeby wspólnego projektu i do jednego „worka” (platformy). W takiej sytuacji Rada nie ma wątpliwości, że wszystkie zaangażowane podmioty będą współadministratorami, choć nie można wykluczyć że każdy z nich – w pewnym zakresie – będzie też samodzielnie pełnił tą funkcję. Innym przykładem będzie działalność marketingowa i “dzielenie” się użytkownikami.

A kiedy nie ma współadministrowania? 

To zależy od okoliczności sprawy . EDPB podaje sporo konkretnych przykładów, zaznaczając jednocześnie, że nie jest to lista wyczerpująca. Mamy więc przykład przekazywania danych osobowych pracowników do urzędu skarbowego. Nie mamy tutaj współadministrowania, bo cele nie są wspólne. Podobnie, wykorzystanie wspólnej bazy danych klientów i tzw. prospektów (potencjalnych klientów) przez podmioty z jednej grupy. Nic nadzwyczajnego.

I tyle na dzisiaj. W kolejnej odsłonie poruszymy tematykę wpływu współadministrowania na konkretne obowiązki podmiotów.

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *