Eksperci w dziedzinie ochrony danych osobowych

TAGI:

Udostępnij publikację:

Share on facebook
Facebook
Share on twitter
Twitter
Share on linkedin
LinkedIn

Współadministrator czy podmiot przetwarzający?

Konstrukcja współadministratora powinna być wykorzystywana z wyczuciem, nie warto ulegać pokusie sztucznego jej stosowania. Może się to wiązać z ryzykiem poniesienia solidarnej odpowiedzialności przez tego współadministratora, który pozostaje de facto procesorem.

Instytucja współadministratorów, w myśl art. 26 ust. GDPR, zakłada współpracę co najmniej dwóch administratorów wspólnie ustalających cele i sposoby przetwarzania danych osobowych, a także określających odpowiednie zakresy swojej odpowiedzialności dotyczącej wypełniania obowiązków wynikających z GDPR. Obowiązki te w szczególności obejmują kwestie takie jak wykonywanie przez osobę, której dane dotyczą, przysługujących jej praw, oraz ich obowiązków w odniesieniu do podawania informacji, chyba że przypadające im obowiązki i ich zakres określa prawo Unii Europejskiej lub prawo państwa członkowskiego, któremu administratorzy ci podlegają.

Co powinni ustalić współadministratorzy danych?

W uzgodnieniach można wskazać punkt kontaktowy dla osób, których dane dotyczą. Należy także właściwie odzwierciedlić odpowiednie zakresy obowiązków poszczególnych współadministratorów oraz relacje pomiędzy nimi a podmiotami, których dane dotyczą. Zasadnicza treść uzgodnień jest udostępniana osobom, których dane dotyczą.

Warunkiem koniecznym jest więc funkcjonowanie podmiotów, z których każdy posiada status administratora danych – jest osobą fizyczną lub prawną, organem publicznym, jednostką lub innym podmiotem, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych (art. 4 pkt 7 GDPR). Współadminstratorami nie mogą więc być podmioty, z których jeden pozostaje de facto podmiotem przetwarzającym – wykonującym operacje na danych li tylko w imieniu administratora.

Opinia brytyjskiego organu ochrony danych osobowych

W wytycznych brytyjskiego ICO (Information Commissioner’s Office) poświęconych instytucji administratora oraz podmiotu przetwarzającego [1] wskazano, iż to czy dana organizacja jest administratorem, wynika z jej roli w procesie przetwarzania danych. Wskazano, iż to właśnie definicja przetwarzania może być użyteczna przy określaniu rodzaju działań, w które dany podmiot jest zaangażowany i określeniu jego pozycji jako procesora albo administratora. Podkreślono, że definicja „podmiotu przetwarzającego” sugeruje, że czynności związane z przetwarzaniem danych muszą ograniczać się do bardziej „technicznych” aspektów operacji, takich jak przechowywanie, pobieranie lub usuwanie danych. Działania takie jak planowanie lub istotne decyzje dotyczące danych osobowych muszą być przeprowadzane przez administratora danych. Należy przy tym zaznaczyć, iż część operacji na danych będzie wspólna, zarówno dla administratora, jak i podmiotu przetwarzającego (np. przechowywanie danych).

Podmiot przetwarzający czy współadministrator danych?

W konsekwencji jeśli organizacja ma status administratora danych, nie może zdejmować z siebie praw i obowiązków nakładanych przepisami prawa, w szczególności w sposób sztuczny dzielić się nimi z podmiotami przetwarzającymi.

W świetle powyższego, wskazać należy, iż posłużenie się instytucją współadminstratorów danych, gdy jeden posiada de facto status podmiotu przetwarzającego, byłoby sprzeczne ze sformułowanymi w GDPR definicjami tych podmiotów. Było by także niezgodne z zamiarem prawodawcy wyraźnego rozgraniczania ich ról, w szczególności mogłoby zostać potraktowane jako sztuczne przerzucenie odpowiedzialności ciążącej na administratorze, na podmiot któremu z mocy prawa taki status nie przysługuje. Jest to szczególnie istotne w świetle art. 26 ust. 4 GDPR, w myśl którego niezależnie od jakichkolwiek uzgodnień między współadminstratorami, osoba, której dane dotyczą, może wykonywać przysługujące jej prawa wynikające z niniejszego rozporządzenia wobec każdego z administratorów.

W literaturze podkreśla się właśnie aspekt solidarnej odpowiedzialności za naruszenie GDPR, jako mogący zniechęcać do stosowania takiego rozwiązania [2]. W praktyce podmiot odgrywający jedynie marginalną rolę (zakres jego obowiązków jest w umowie określony bardzo wąsko) odpowiada również za ewentualne nieprawidłowości, których dopuszcza się jego partner. W konsekwencji sztuczne współdzielenie takiej odpowiedzialności  z podmiotem przetwarzającym uznać więc należy za niedopuszczalne.

Autor: dr Michał Czarnecki

Przypisy:
[1] Data controllers and data processors: what the difference is and what the governance implications are. Data Protection Act, Information Commissioner’s Office, https://ico.org.uk/media/for-organisations/documents/1546/data-controllers-and-data-processors-dp-guidance.pdf [dostęp 28.09.2017]
[2] The Relations of Controllers, Processors and Sub-processors under the DPD and GDPR, University of Oslo, Oslo, 2016, s. 20, https://www.duo.uio.no/bitstream/handle/10852/54570/ICTLTHESIS_8016.pdf?sequence=1&isAllowed=y [dostęp 28.09.2017 r.].

NEWSLETTER

Zapisz się na newsletter gdpr.pl, aby otrzymywać najświeższe informacje, opinie i rozstrzygnięcia ze świata RODO.

SKONTAKTUJ SIĘ Z NAMI

Jeśli jesteś zainteresowany naszą ofertą lub realizacją swojego projektu, napisz do nas wiadomość!

© Copyright 2021 Omni Modo. Wszelkie prawa zastrzeżone | Wykonanie: Agencja Portal

Michał Rygiel

Prawnik, Specjalista ds. Ochrony Danych Osobowych

Adwokat. Ochroną danych osobowych i prawem nowych technologii zajmuje się od kilku lat.  Doświadczenie zawodowe zdobywał w firmach z branży IT oraz zajmujących się konsultingiem i doradztwem prawym w tym zakresie. Posiada również doświadczenie w obsłudze korporacyjnej w zakresie compliance ze szczególnym uwzględnieniem zagadnień ochrony danych osobowych oraz ładu korporacyjnego.

Marta Krawczyk

Prawnik, Specjalista ds. Ochrony Danych Osobowych

Prawnik, absolwentka Wydziału Prawa, Prawa Kanonicznego i Administracji Katolickiego Uniwersytetu Jana Pawła II w Lublinie. Wiedzę pogłębiała m.in. podczas studiów podyplomowych Wykonywania funkcji Inspektora Ochrony Danych (INP PAN w Warszawie).

Od lat zajmuje się sprawami z zakresu prawa nowych technologii w szczególności prawem ochrony danych osobowych. Doświadczenie zawodowe zdobywała m.in. w Urzędzie Ochrony Danych Osobowych oraz Parlamencie Europejskim.

W Omni Modo zajmuje się obsługą podmiotów prywatnych z branży produkcyjnej oraz podmiotów publicznych. Ponadto, wspomaga IOD w pełnieniu funkcji. W obszarze jej szczególnych zainteresowań leży tematyka ochrony danych przy przetwarzaniu transgranicznym oraz transferu danych do państwa trzecich.

Karol Kozieł

Radca prawny, Specjalista ds. Ochrony Danych Osobowych

Radca prawny wpisany na listę radców prawnych prowadzoną przez Radę Okręgowej Izby Radców Prawnych w Kielcach, absolwent Wydziału Prawa i Administracji Uniwersytetu Jagiellońskiego w Krakowie. Wiedzę  pogłębiał podczas studiów podyplomowych Prawo Nowoczesnych Technologii (INP PAN w Warszawie) oraz Nowoczesne Usługi Biznesowe (UTH w Radomiu). Ukończył programy Summer Law School on Intellectual Property Law oraz Summer Law School on Business Law organizowane przez University of Minho w Bradze.

Specjalizuje się w prawie e-commerce, ochronie konsumentów oraz  prawie ochrony danych osobowych. Doświadczenie zdobywał współtworząc i kierując działem prawnym wiodącego polskiego portalu internetowego z branży turystycznej oraz podczas pracy w kancelarii wyspecjalizowanej w prawie nowych technologii.  Autor publikacji naukowych i popularnonaukowych z zakresu ochrony danych osobowych w tym  „Komentarza do Ustawy z dnia 10 maja 2018 o ochronie danych osobowych” (współautorstwo i redakcja).  Wykładowca Wyższej Szkoły Bankowej w Warszawie.

Martyna Gosz

Adwokatka, Specjalistka ds. Ochrony Danych Osobowych

Adwokatka, absolwentka prawa Wydziale Prawa i Administracji i Ekonomii Uniwersytetu im. A. Mickiewicza w Poznaniu, a także Akademii L. Koźmińskiego w Warszawie na kierunku „Prawo Nowoczesnych Technologii”.
Specjalizuje się w zakresie ochrony danych osobowych, prawie nowych technologii, e-Commerce, a także prawie ubezpieczeń i prawie karnym. Pełniła także funkcję IODO w sektorze finansowym i ubezpieczeniowym. Od czasów studenckich angażuje się w wolontariat prawniczy (inicjatywy pro bono).
W Omni Modo zajmuje się obsługą podmiotów prywatnych z branży motoryzacyjnej i kosmetycznej oraz podmiotów publicznych. Posiada bogate doświadczenie w prowadzeniu całościowych audytów oraz wdrożeń z RODO, a także bieżącym doradztwie w zakresie przetwarzania danych osobowych.

Daniel Niwiński

Prawnik, Specjalista ds. Bezpieczeństwa Informacji

Absolwent SWPS Uniwersytetu Humanistycznospołecznego w Warszawie na kierunku Prawo, Audytor Wiodący Systemu Zarządzania Bezpieczeństwem Informacji (ISO 27001), student wydziału Informatyki w Polsko-Japońskiej Akademii Technik Komputerowych w Warszawie. W swojej pracy zawodowej specjalizuje się w zagadnieniach związanych z bezpieczeństwem informacji, cybersecurity oraz ochroną danych osobowych. Doświadczenie zawodowe zdobywał m.in. w spółce z branży IT, w której zbudował od podstaw dział bezpieczeństwa informacji. Przez lata współprowadził również spółkę z branży handlu zagranicznego, aktywnie wspierając Zarząd zarówno w aspektach biznesowych jak i prawnych. W okresie studiów aktywnie wspierał działalność uczelni jako członek studenckiej poradni prawnej. Od 2019 roku współpracuje z Omni Modo w zakresie audytów bezpieczeństwa informacji, audytów ochrony danych osobowych oraz opracowywania i wdrażania procedur bezpieczeństwa.

Arkadiusz Rzycki

Project Manager

Absolwent Akademii Leona Koźmińskiego na kierunku „Zarządzanie procesowe”. Audytor wiodący ISO/IEC 27001, audytor wewnętrzny ISO 9001. Specjalizuje się w zagadnieniach dotyczących bezpieczeństwa informacji, wymogów techniczno-organizacyjnych wynikających z przepisów RODO w zakresie bezpieczeństwa oraz przetwarzania danych osobowych, analizy ryzyka, zarządzania procesami i projektami. Doświadczenie zawodowe zdobywał w międzynarodowej instytucji finansowej. Od 2016 roku związany z Omni Modo.  Posiada długoletnie doświadczenie w zakresie zarządzania, realizacji projektów (w tym zapewniających zgodność z obowiązującymi przepisami prawa).  Przeprowadza audyty, szkolenia, opracowuje i wdraża dokumentację niezbędną do osiągnięcia celów realizowanych procesów, zgodności z wymogami organizacji, wdrażanych systemów zarządzania, jak również przepisów prawa.

Wojciech Habrowski

Radca prawny, Specjalista ds. Ochrony Danych Osobowych

Radca prawny, absolwent Wydziału Prawa i Administracji Uniwersytetu Jagiellońskiego w Krakowie.

Zajmuje się sprawami z zakresu prawa ochrony danych osobowych, szeroko pojętego prawa cywilnego, w szczególności prawa zobowiązań, prawa gospodarczego oraz prawa pracy. Doświadczenie zawodowe zdobywał w renomowanych kancelariach radców prawnych, a także w kancelarii notarialnej.

W Omni Modo, do jego obowiązków należy bieżące doradztwo na rzecz klientów, wsparcie IOD, przeprowadzanie audytów zgodności z RODO oraz szkoleń. Odpowiada m.in. za obsługę klientów z branży energetycznej .