Kto i jak odpowiada za wspólną bazę danych

opublikowano: 24-04-2019, 22:00

Zgodnie z RODO współadministrowanie wymaga ustalenia, jak będą realizowane prawa osób, od których pozyskano informacje

Dynamiczny rozwój nowych technologii i coraz szersze ich stosowanie sprawiają, że podmioty przetwarzające dane osobowe coraz częściej mają dylemat: czy pełnią rolę ich administratora czy współadministratora i jaką ponoszą z tego tytułu odpowiedzialność. Kwestie te stają się także przedmiotem rozstrzygnięć sądowych.

RODO nie zmieniło podstawowej definicji i zasad współadministrowania danymi
osobowymi, sformułowanych w dyrektywie 95/46/ WE — podkreślił podczas
konferencji adwokat Xawery Konarski, starszy partner w kancelarii Traple
Konarski Podrecki i Wspólnicy. Wyjaśnił, że nowością jest wyraźnie określenie
dodatkowych obowiązków z tym związanych.
Zobacz więcej

SPRECYZOWANE OBOWIĄZKI:

RODO nie zmieniło podstawowej definicji i zasad współadministrowania danymi osobowymi, sformułowanych w dyrektywie 95/46/ WE — podkreślił podczas konferencji adwokat Xawery Konarski, starszy partner w kancelarii Traple Konarski Podrecki i Wspólnicy. Wyjaśnił, że nowością jest wyraźnie określenie dodatkowych obowiązków z tym związanych. Fot. WM

O tych zagadnieniach była mowa podczas konferencji „RODO. Rok po wdrożeniu”, zorganizowanej przez „Puls Biznesu”.

Nie od razu kara

— Administratorem danych osobowych jest podmiot, który decyduje o celach i środkach ich przetwarzania. Ten cel jest rozumiany jako podjęcie decyzji biznesowej, że dana baza będzie wykorzystywana w działalności, np. na cele promocji firmy — przypomniał adwokat Xawery Konarski, starszy partner w kancelarii Traple Konarski Podrecki i Wspólnicy.

Współadministrowanie danymi osobowymi reguluje art. 26 unijnego rozporządzenia w sprawie ochrony danych osobowych (RODO). Zgodnie z nim jeżeli co najmniej dwóch administratorów wspólnie ustala cele i sposoby przetwarzania, są oni współadministratorami.

— Ta rola nie może być wynikiem swobodnej decyzji, tak jak jest w przypadku pełnienia funkcji administratora czy procesora, czyli firmy zajmującej się przetwarzaniem danych. O tym przesądza stan faktyczny. Podmioty nie mogą po prostu umówić się, że nie będą współadministratorami, lecz niezależnymi administratorami — wyjaśniał adwokat.

Przy okazji uspokajał uczestników konferencji co do skutków błędnej oceny sytuacji i niewłaściwych ustaleń przez firmy co do współadministrowania. Mówił, że przedstawiciele Urzędu Ochrony Danych Osobowych (UODO) podczas spotkań straszą nałożeniem kar od razu, gdy podczas kontroli stwierdzą takie pomyłki. Raczej zalecą podjęcie działań naprawczych zobowiązujących do opracowania odpowiednich uzgodnień w tej sprawie. Unijne rozporządzenie stanowi, że we wspólnych uzgodnieniach współadministratorzy w przejrzysty sposób powinni określić odpowiednie zakresy swojej odpowiedzialności dotyczącej wypełniania obowiązków wynikających z unijnego rozporządzenia.

Przeprowadzenie i opracowanie takich uzgodnień jest wymagane pod rygorem sankcji administracyjnej, co wynika z art. 83 ust. 4 pkt a RODO. Szczególnie ustalenia te powinny dotyczyć korzystania przez osoby, których dane dotyczą, z przysługujących im praw, a także wypełniania wobec nich obowiązków związanych z informowaniem o tym, kto, na jak długo, po co i dla kogo przetwarza te informacje — chyba że określa je prawo Unii lub prawo państwa członkowskiego, któremu administratorzy podlegają.

W uzgodnieniach można wskazać punkt kontaktowy dla osób, których dane są pozyskiwane. Współadministrowaniem zajmował się m.in. Trybunał Sprawiedliwości Unii Europejskiej (TSUE) w sprawie Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein (ULG) przeciwko Wirtschaftsakademie Schleswig-Holstein GmbH, przy udziale Facebook Ireland (sprawa C-210/16). Istotą sporu było określenie statusu podmiotów prowadzących fanpage. Wirtschaftsakademie to prywatna firma świadcząca usługi edukacji, które promowano przy użyciu wspomnianego fanpage’a. Uzyskiwała ona od portalu anonimowe dane statystyczne dotyczące osób odwiedzających jej stronę. Dane gromadzono dzięki plikom cookies, zapisywanych na osobistych urządzeniach internautów. Nie byli oni jednak o tym informowani. Wirtschaftsakademie nakazano dezaktywację fanpage’a.

Do TSUE trafiło pytanie prejudycjalne m.in. o to, czy firma jako administrator fanpage’a na Facebooku może zostać pociągnięta do odpowiedzialności za naruszenie przepisów ochrony danych osobowych, w tym — czy może zostać uznana za ich administratora. Trybunał stwierdził, że Wirtschaftsakademie taką odpowiedzialność ponosi — nie zwalnia z niej fakt, że firma korzysta z platformy oferowanej przez Facebook i z usług na niej dostępnych. TSUE orzekł, że Wirtschaftsakademie jest również administratorem danych, ponieważ umożliwiła Facebookowi zapisanie plików cookies na komputerze lub na innym urządzeniu osoby odwiedzającej fanpage’a. Jego utworzenie wiąże się z podjęciem przez administratora działań polegających na ustaleniu parametrów zależnych w szczególności od jego użytkowników docelowych, jak również od celów zarządzania lub promocji jego działalności, co wpływa na przetwarzanie danych osobowych na potrzeby statystyk sporządzonych na podstawie liczby odwiedzających fanpage.

1cae78be-dad3-11e9-8a34-2a2ae2dbcce4
Polityka gospodarcza
Nie uciekniesz przed skutkami polityki gospodarczej. Zapisz się na nasz newsletter, by nie przegapić newsów, analiz i komentarzy. Zamieniamy słowa polityków na pieniądze
ZAPISZ MNIE
Polityka gospodarcza
autor: Marcin Goralewski
Wysyłany raz w tygodniu
Marcin Goralewski
Nie uciekniesz przed skutkami polityki gospodarczej. Zapisz się na nasz newsletter, by nie przegapić newsów, analiz i komentarzy. Zamieniamy słowa polityków na pieniądze
ZAPISZ MNIE

Administratorem Pani/a danych osobowych będzie Bonnier Business (Polska) Sp. z o. o. (dalej: my). Adres: ul. Kijowska 1, 03-738 Warszawa.

Kliknij w link w wiadomości, aby potwierdzić subskrypcję newslettera.
Jeżeli nie otrzymasz wiadomości w ciągu kilku minut, prosimy o sprawdzenie folderu SPAM.

Rola ciasteczek

Xawery Konarski zwrócił uwagę, że w tym orzeczeniu za element przesądzającyo współadministrowaniu uznano zezwolenie na instalowanie plików cookies. Ponadto wyrok potwierdza, że dyrektywa unijna nie wymaga, aby w przypadku wspólnej odpowiedzialności kilku podmiotów w zakresie tego samego przetwarzania każdy miał dostęp do danych osobowych — współadministratorem może być więc również podmiot, który tego dostępu nie ma. Poza tym istnienie wspólnej odpowiedzialności niekoniecznie oznacza jednakową odpowiedzialność. Wręcz przeciwnie, podmioty mogą być zaangażowane na różnych etapach przetwarzania danych i w różnym stopniu — poziom odpowiedzialności każdego należy oceniać przy uwzględnieniu wszystkich istotnych okoliczności danej sprawy.

Można to zobrazować tak: linia lotnicza, biuro turystyczne, firma wynajmująca samochody tworzą wspólny portal rezerwacyjny, na którym przetwarzane są dane osobowe w sposób wspólnie przez nie określony. Podmioty te dla tych operacji są współadministratorami, ale gdy „wyciągną” dane z serwisu, przetwarzają je wyłącznie na własne potrzeby i w sposób określony przez nie — wtedy dla tych czynności stają się wyłącznie administratorami danych. Prawodawca unijny określił w RODO, że uzgodnienia co do współadministrowania muszą należycie odzwierciedlać odpowiednie zakresy obowiązków współadministratorów i relacje między nimi a osobami, których dane dotyczą.

Zasadnicza treść tych ustaleń powinna być udostępniana tym ostatnim. Poza tym wprowadzono zasadę, że niezależnie od tych uzgodnień osoba, której dane dotyczą, może wykonywać przysługujące jej prawa wynikające z rozporządzenia wobec każdego z administratorów. Uprawnienia podmiotów danych przypomniała podczas konferencji Anna Kobylańska, adwokat i wspólnik w kancelarii Kobylańska & Lewoszewski.

Osobom, których dane są przetwarzane, przysługują prawa: dostępu do danych, do sprostowania danych, do ich usunięcia, do ograniczenia przetwarzania i do przenoszenia danych. Ich prawem jest ponadto niepodleganie decyzji, która opiera się wyłącznie na zautomatyzowanym przetwarzaniu, w tym profilowaniu, i wywołuje wobec podmiotu danych określone skutki prawne lub w inny podobny sposób na niego wpływa.

Nie w każdej sytuacji te prawa mogą być przez administratora spełnione. Sytuacje, w których może on odmówić spełnienia żądań osoby, której dane przetwarza, uregulowano w art. 23 RODO.

Sprawdź program konferencji "RODO w instytucjach finansowych", 27-28 czerwca 2019, Warszawa >>

© ℗
Rozpowszechnianie niniejszego artykułu możliwe jest tylko i wyłącznie zgodnie z postanowieniami „Regulaminu korzystania z artykułów prasowych” i po wcześniejszym uiszczeniu należności, zgodnie z cennikiem.

Podpis: Iwona Jackowska

Polecane

Inspiracje Pulsu Biznesu