Współadministrowanie danymi – jak uregulować tę kwestię w dokumentacji

W drodze wspólnych uzgodnień współadministratorzy w przejrzysty sposób określają odpowiednie zakresy swojej odpowiedzialności dotyczącej wypełniania obowiązków wynikających z RODO. Chodzi tu w szczególności o sposób reakcji na wykonywanie przez podmiot danych (tj. osobę, której dane dotyczą) swoich praw, wykonywanie obowiązków informacyjnych określonych. W uzgodnieniach należy też wskazać punkt kontaktowy dla osób, których dane dotyczą. Uzgodnienia powinny też należycie odzwierciedlać odpowiednie zakresy obowiązków współadministratorów oraz relacje pomiędzy nimi a podmiotami danych. W uzgodnieniach można na przykład ustalić szczegóły dotyczące wykonywania obowiązku informacyjnego czy wdrażania odpowiednich środków ochrony danych osobowych. Uzgodnień nie dokonuje się w zakresie, w jakim obowiązki i ich zakres przypadające poszczególnym współadministratorom określa prawo Unii Europejskiej lub prawo państwa członkowskiego, któremu dany administrator podlega.

RODO przewiduje, że „zasadnicza” treść uzgodnień między współadministratorami jest udostępniania podmiotom, których dane dotyczą. Trudno powiedzieć, co obejmuje „zasadnicza” treść, ale bez wątpienia będzie to informacja o punkcie kontaktowym, o którego istnieniu podmiot danych musi przecież wiedzieć, skoro ma z niego korzystać. Wydaje się, że współadministratorzy mogą pominąć ustalenia stricte organizacyjne, a zwłaszcza objęte know-how czy tajemnicą przedsiębiorstwa. 

Niezależnie od treści uzgodnień podmiot danych może wykonywać przysługujące mu prawa wynikające z RODO wobec każdego z administratorów. Mówiąc wprost, administratorzy nie są wstanie w drodze uzgodnień pogorszyć sytuacji prawnej podmiotu danych, który zawsze może wykonywać swoje prawa tak, jak gdyby w ogóle nie występowało współadministrowanie jego danymi osobowymi. 

Każdy administrator ma obowiązek wskazywać w prowadzonym przez siebie rejestrze czynności przetwarzania danych osobowych dane kontaktowe wszystkich współadministratorów. Także kontaktując się z organem nadzorczym w toku uprzednich konsultacji w sprawie oceny skutków dla ochrony danych (DPIA), administrator powinien przedstawić organowi nadzorczemu odpowiednie obowiązki współadministratorów. 

Aby stać się współadministratorem, konieczne jest bycie administratorem danych. Oznacza to, że każdy z administratorów musi mieć własną podstawę prawną przetwarzania danych osobowych z art. 6 ust. 1 lub art. 9 ust. 2 RODO, dotyczącą wszystkich osób, których dane będą przetwarzane wspólnie. Zarówno udostępnienie danych, jak i ich powierzenie nie czyni podmiotu otrzymującego dane administratorem, więc obu tych metod pozyskania danych nie da się zastosować przy wdrażaniu współadministrowania danymi osobowymi.

Drugą czynnością jest dokonanie uzgodnień. Nic nie stoi na przeszkodzie, aby odrębną umową cywilnoprawną (np. porozumieniem o wdrożeniu współadministrowania danymi osobowymi klientów) określić tryb wypracowania uzgodnień czy podział kosztów związanych z dokonaniem uzgodnień oraz utworzeniem i utrzymywaniem wspólnej bazy danych (w tym prac informatycznych). Należy ponadto na bieżąco dokonywać oceny ryzyka dla procesu przetwarzania danych osobowych. Mając na przykład na uwadze wzrost ilości przetwarzanych danych osobowych, można się zastanowić, czy administratorzy nie muszą ustanowić inspektora ochrony danych. W niektórych przypadkach będzie zapewne potrzeba przeprowadzenia oceny skutków dla ochrony danych (DPIA).

Zapisy porozumienia pomiędzy przyszłymi współadministratorami 

1. Każda ze stron zobowiązuje się w dobrej wierze do negocjacji i dokonania uzgodnień, o których mowa w art. 26 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych). 

2. Każda ze stron będzie ponosiła koszty związane z jej pracami nad uzgodnieniami oraz koszty dotyczące wdrożenia zmian w jej systemach informatycznych oraz inne koszty związane ze współadministrowaniem. Pozostałe koszty strony podzielą między siebie po połowie. 

3. Współadministrujący jest samodzielnie odpowiedzialny za spełnienie przesłanek przetwarzania danych osobowych oraz wdrożenie odpowiednich środków ochrony danych osobowych.