Całkiem całkiem niedługo

w Naszym porządku prawnym…..

Cała kinowa galaktyka (w tym składająca się z fanek redakcja RODOkompasu🙂) obecnie jest skupiona na najważniejszym wydarzeniu roku – premierze kolejnego epizodu Gwiezdnych Wojen, który już od dziś możemy zobaczyć  na ekranach  polskich kin.  Za to swoją premierę 25 maja 2018 r.  ma w polskim świecie danych osobowych instytucja współadministratorów. Czy w połączeniu, przez wzajemną współpracę oraz podział obowiązków i odpowiedzialności, moc będzie z nimi ?  🙂Jeżeli ADO założą, że właściwym w ich sytuacji  i mającym podstawę prawną działaniem będzie  przetwarzanie danych w grupie a nie w pojedynkę- to czy staną po jasnej czy po ciemnej stronie mocy ? <(-.-)>

Przyszłość dopiero pokaże jakie praktyczne odzwierciedlenie będzie miał zapis przepisu art. 26 Rozporządzenia Parlamentu Europejskiego i Rady w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych (RODO), zgodnie z którym co najmniej dwóch administratorów, jeżeli wspólnie ustalają cele i sposoby przetwarzania danych, będą współadministratorami. Przykładowo pomiotami, które będą mogły korzystać z instytucji współadministrowania, to grupy kapitałowe lub podmioty nawet niezwiązane kapitałowo, ale  realizujące wspólny cel. Na tym pierwszym przykładzie wyjaśnijmy…

Obecna polska ustawa o ochronie danych osobowych nie przewiduje instytucji współadministratorów. Tak więc, każda spółka należąca do przykładowej grupy kapitałowej jest odrębnym administratorem danych, z całym bagażem konsekwencji – w tym obowiązków oraz odpowiedzialnością za przestrzeganie ustawy. Jeżeli jednak organizacja tej grupy kapitałowej determinuje procesy przenikania danych (przykładowo dane kandydatów na pracowników/HR) przez co spółki grupy wspólnie decydują o celu i środkach przetwarzania danych (w celu wymiany pracowników i poprzez wspólne  gromadzenie ich danych osobowych na serwerach czy w pomieszczeniach w jednej z siedzib), aby przetwarzać dane zgodnie z przepisami ustawy, najczęściej zawierają między sobą  umowy powierzenia przetwarzania danych (na podstawie art. 31 u.o.d.o.).

Rozwiązanie dla takich jak w podanym w przykładzie sytuacji przynieść ma art. 26 RODO. Co najmniej dwóch (lecz także i większa ilość) administratorów danych ustalając wspólnie cele i sposoby przetwarzania będą mogli być współadministratorami. Otrzymanie takiego statusu uzależnione będzie jednak od trzech warunków:

Oczywiście poza grupami kapitałowymi, podmioty, które nie są powiązane finansowo i organizacyjnie a występują w relacji B2B, B2C oraz B2A (niech fanów gwiezdnych wojen nie zmyli nazewnictwo – nie chodzi o droidy jak BB8 i R2D2 🙂 ), będą mogły otrzymać na gruncie RODO status współadministratów. Dla przykładu współadministrastorzy mogą występować w sytuacji realizacji wspólnego projektu np. tworzenia rozbudowanej oferty za pomocą portalu internetowego, gdzie za sprawą jednej transakcji osoba fizyczna może jednocześnie zamówić hotel, transport i ubezpieczenie w trakcie podróży.

Kluczowe będą wspólne uzgodnienia !

Można powiedzieć w grupie raźniej i łatwiej. Ale czy do końca? Warunkiem koniecznym dla współadministratorów będą wspólne szczegółowe i przejrzyste uzgodnienia. Dotyczyć one mają między innymi:

1. zakresu odpowiedzialności przy wspólnym wypełnianiu obowiązków

2. kwestii dotyczących wykonywania przez osobę, której dane dotyczą przysługujących jej praw (np. cofnięcia zgody),

3. sposobu realizacji przez współadministratorów kluczowego obowiązku informacyjnego.

Ponadto w uzgodnieniach administratorzy mogą powołać i wskazać punkt kontaktowy wspólny dla nich wszystkich.

Administrowanie w grupie wymagać będzie szczegółowego ustalenia samych procesów przetwarzania i ich technicznego zaplecza (sposoby pozyskiwania i gromadzenia danych, zabezpieczeń technicznych i organizacyjnych, treści klauzul zgody, odnotowywanie sprzeciwu, możliwej w przyszłości zmiany celu przetwarzania przez administratorów danych  i tak dalej…). Lista może być w efekcie bardzo długa. Nie będą mogli oni także zapomnieć o wspólnej analizie ryzyka i rejestrach czynności przetwarzania. Podział zadań i odpowiedzialności będzie musiał być jednoznaczny, przejrzysty i adekwatny do procesów przetwarzania danych.

Ryzyko może uwidaczniać fakt, iż do przepisu RODO włączono możliwość wykonywania praw przysługujących osobom, których przetwarzane dane dotyczą, wobec każdego z administratorów i to niezależnie od ich ustaleń.

RODO wymagać będzie od współadministratorów udostępnienia osobom, których dane dotyczą, istotnej części uzgodnień, co jest efektem idei transparentności i przejrzystego komunikowania osobie, której dane dotyczą, kluczowych informacji dotyczących przetwarzania jej danych osobowych (co de facto się z nimi dzieje). Przepisy nie wskazują jednak na formę udostępnienia i tu będzie trzeba mieć na uwadze adekwatność przekazywania tej informacji do sposobu pozyskiwania danych osoby fizycznej.

Ryzykiem na tle tej zmiany będzie przedwczesne i pochopne uznanie się za współadministratorów. Skutkować  to może niewłaściwym stosowaniem tej nowej w polskim porządku prawnym instytucji a w efekcie istnym atakiem klonów 🙂. Dlatego bardzo ważnym jest wcześniejsza dogłębna analiza procesu przetwarzania danych osobowych przez podmioty i ocena czy w danej sytuacji wspólne administrowanie w oparciu o art. 26 RODO jest właściwe i celowe.

Drodzy administratorzy, czy to w pojedynkę czy wspólnie, po 25 maja may the Force be with You. 🙂

Wpis nie stanowi porady ani opinii prawnej w rozumieniu przepisów prawa  oraz ma charakter wyłącznie  informacyjny. Stanowi  wyraz poglądów jego  autora na tematy prawnicze związane z treścią przepisów prawa, orzeczeń sądów, interpretacji organów państwowych i publikacji prasowych. Kancelaria Ostrowski i Wspólnicy Sp.K. i autor wpisu nie ponoszą odpowiedzialności za ewentualne skutki decyzji podejmowanych na jego podstawie.