Zgodnie z brzmieniem art. 26 RODO, jeżeli co najmniej dwóch administratorów wspólnie ustala cele i sposoby przetwarzania, są oni współadministratorami.
Współadministratorzy zobowiązani są do określenia między sobą zakresu swoich obowiązków wynikających z RODO, w tym w zakresie realizacji praw osoby, której dane są przetwarzane, oraz spełnienia względem tej osoby obowiązku informacyjnego. Uzgodnienia współadministratorów powinny każdorazowo odzwierciedlać więc odpowiednie zakresy ich obowiązków oraz relacje pomiędzy nimi, a podmiotami, których dane są przetwarzane. Te powinny uzyskać jasną informację co do tego, który ze współadministratorów ma jakie obowiązki.
Przepisy nie przewidują przy tym szczególnej formy udokumentowania powyższych uzgodnień współadministratorów. Ze względu jednak na fakt, że zasadnicza treść uzgodnień współadministratorów musi zostać udostępniona podmiotom, których dane dotyczą, zaleca się, żeby zostały one utrwalone w formie, która umożliwi łatwe udostępnienie treści tych uzgodnień. W praktyce najczęściej uzgodnienia współadministratorów zawierane są w formie pisemnej umowy lub porozumienia.
Co przy tym istotne, niezależnie od uzgodnień poczynionych przez współadministratorów, osoba, której dane dotyczą, może wykonywać przysługujące jej na mocy RODO prawa wobec każdego z administratorów – wedle własnego uznania.
Kogo uznaje się za procesora?
Procesorem jest podmiot, który przetwarza dane w imieniu administratora, w zakresie celów i sposobów przetwarzania określonych przez administratora i wyłącznie na jego udokumentowane polecenie. Pomimo powierzenia przetwarzania danych procesorowi, administrator pozostaje podmiotem decyzyjnym w zakresie określenia celu i sposobu przetwarzania danych osobowych. Administrator w dalszym ciągu ponosi także odpowiedzialność za spełnienie obowiązków wynikających z RODO – w tym w szczególności obowiązku informacyjnego.
Wykorzystanie controllingu w systemie motywacyjnym przedsiębiorstwa
Przetwarzanie danych przez procesora w praktyce najczęściej odbywa się na podstawie umowy powierzenia danych do przetwarzania, która określa: przedmiot i czas trwania przetwarzania, charakter i cel przetwarzania, rodzaj danych osobowych oraz kategorie osób, których dane dotyczą, a także obowiązki i prawa administratora.
Co ważne, administrator powinien korzystać z usług wyłącznie takich podmiotów przetwarzających, które zapewniają wystarczające gwarancje – w szczególności, jeżeli chodzi o wiedzę fachową, wiarygodność i zasoby – wdrożenia środków technicznych i organizacyjnych odpowiadających wymaganiom RODO.
Współadministrator czy procesor? – znaczenie praktyczne
Odróżnienie, czy mamy do czynienia ze współadministrowaniem, czy z powierzeniem danych do przetwarzania może budzić w konkretnej sytuacji wątpliwości. W obu sytuacjach dochodzi bowiem do przetwarzania danych przez więcej niż jeden podmiot. Dla dokonania przedmiotowej oceny, kluczowe jest rozstrzygnięcie kwestii, kto faktycznie ustala cele i sposoby przetwarzania.
Warto poświęcić ww. kwestii więcej czasu – ma ona spore znaczenie praktyczne, a jej nieprawidłowe rozstrzygnięcie może wiązać się z odpowiedzialnością na gruncie RODO, w tym może skutkować nałożeniem kary pieniężnej na administratora lub podmiot przetwarzający (przypomnijmy – w wysokości do 20.000.000 EUR, a w przypadku przedsiębiorstwa – w wysokości do 4% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa; jednocześnie kary w okolicach górnych „widełek” dotyczyć będą w praktyce bardzo poważnych naruszeń, o znacznej skali).
Wojciech Kostka, adwokat
Marta Żukowska, aplikant radcowski
Kancelaria KKiW
