Zapewne niektórzy spotkali się z współadministrowaniem danych. Czasami (szczególnie mali przedsiębiorcy) nie do końca rozumieją tą „instytucję” i z czym wiąże się zakres współadministrowania danymi osobowymi. Wiedza ta jest ogromnie ważna nie tylko dla realizacji działań w zgodności z RODO, ale również w zakresie podejmowanego ryzyka.
Zgodnie z art. Artykuł 26 RODO, który ma zastosowanie do współadministratorów:
1. Jeżeli co najmniej dwóch administratorów wspólnie ustala cele i sposoby przetwarzania, są oni współadministra torami. W drodze wspólnych uzgodnień współadministratorzy w przejrzysty sposób określają odpowiednie zakresy swojej odpowiedzialności dotyczącej wypełniania obowiązków wynikających z niniejszego rozporządzenia, w szczególności w odniesieniu do wykonywania przez osobę, której dane dotyczą, przysługujących jej praw, oraz ich obowiązków w odniesieniu do podawania informacji, o których mowa w art. 13 i 14, chyba że przypadające im obowiązki i ich zakres określa prawo Unii lub prawo państwa członkowskiego, któremu administratorzy ci podlegają. W uzgodnieniach można wskazać punkt kontaktowy dla osób, których dane dotyczą.
2. Uzgodnienia, o których mowa w ust. 1, należycie odzwierciedlają odpowiednie zakresy obowiązków współadmini stratorów oraz relacje pomiędzy nimi a podmiotami, których dane dotyczą. Zasadnicza treść uzgodnień jest udostępniana podmiotom, których dane dotyczą.
3. Niezależnie od uzgodnień, o których mowa w ust. 1, osoba, której dane dotyczą, może wykonywać przysługujące jej prawa wynikające z niniejszego rozporządzenia wobec każdego z administratorów.”
Wart wskazać, że Rozporządzenie RODO wskazuje rownież, że w Rejestrze Czynności Przetwarzania należy również wskazać współadministratorów.
No tak – ale zapewne zastanawiasz się kiedy w branży beauty ma zastosowanie współadministrowanie?
Najlepszym przykładem jest firma, poprzez którą dochodzi do rezerwacji. W umowach z partnerami jasno jest wskazane, że są oni wspólnie współadministratorami. Również w polityce prywatności można znaleźć takie informacje.
Drugim doskonałym przykładem jest posiadanie na stronie internetowej wtyczki social mediów (facebook).
W komunikacie na Stronie UODO możemy przeczytać, że „Podmioty zamieszczające wtyczkę „Lubię to” na swoich witrynach internetowych są wspólnie z Facebookiem (dostawcą wtyczki społecznościowej) administratorami danych osobowych osób korzystających z witryn takich podmiotów. Przy czym odpowiedzialność tych podmiotów ogranicza się do operacji zbierania danych oraz ich transmisji do Facebooka. Taki wniosek płynie z wyroku, który 29 lipca 2019 r. wydał Trybunał Sprawiedliwości UE. Chodzi o wyrok TSUE z 29 lipca 2019 r. w sprawie C-40/17* Fashion ID GmbH & Co.KG przeciwko Verbraucherzentrale NRW eV. Wniosek o wydanie orzeczenia w trybie prejudycjalnym złożył Oberlandesgericht Düsseldorf.(więcej przeczytasz TU)
Z czym się wiąże współadministrowanie?
Przede wszystkim z tym, że współadministratorzy odpowiadają solidarnie za to co się dzieje z danymi osobowymi. Zgodnie z artykułem 82 Rozporządzenia RODO
1. Każda osoba, która poniosła szkodę majątkową lub niemajątkową w wyniku naruszenia niniejszego rozporzą dzenia, ma prawo uzyskać od administratora lub podmiotu przetwarzającego odszkodowanie za poniesioną szkodę.
2. Każdy administrator uczestniczący w przetwarzaniu odpowiada za szkody spowodowane przetwarzaniem naruszającym niniejsze rozporządzenie. Podmiot przetwarzający odpowiada za szkody spowodowane przetwarzaniem wyłącznie, gdy nie dopełnił obowiązków, które niniejsze rozporządzenie nakłada bezpośrednio na podmioty przetwa rzające, lub gdy działał poza zgodnymi z prawem instrukcjami administratora lub wbrew tym instrukcjom.
3. Administrator lub podmiot przetwarzający zostają zwolnieni z odpowiedzialności wynikającej z ust. 2, jeżeli udowodnią, że w żaden sposób nie ponoszą winy za zdarzenie, które doprowadziło do powstania szkody.
4. Jeżeli w tym samym przetwarzaniu uczestniczy więcej niż jeden administrator lub podmiot przetwarzający lub uczestniczy w nim zarówno administrator jak i podmiot przetwarzający i zgodnie z ust. 2 i 3 odpowiadają za szkodę spowodowaną przetwarzaniem, ponoszą oni odpowiedzialność solidarną za całą szkodę, tak by zapewnić osobie, której dane dotyczą, rzeczywiste uzyskanie odszkodowania.
5. Administrator lub podmiot przetwarzający, który zgodnie z ust. 4 zapłacił odszkodowanie za całą wyrządzoną szkodę, ma prawo żądania od pozostałych administratorów lub podmiotów przetwarzających, którzy uczestniczyli w tym samym przetwarzaniu, zwrotu części odszkodowania odpowiadającej części szkody, za którą ponoszą odpowie dzialność, zgodnie z warunkami określonymi w ust. 2.
6. Postępowanie sądowe dotyczące odszkodowania jest wszczynane przed sądem właściwym na mocy prawa państwa członkowskiego, o którym mowa w art. 79 ust. 2.
Co to oznacza przekładając to na „ludzki język. Oznacza to, że jeżeli u jednego z „współadministratorów” dojdzie do wycieku danych osobowych, jakiegoś incydentu ochrony danych to każdy z administratorów będzie ponosił za to odpowiedzialność. Jedyną szansą (tego, który nie zawinił) będzie udowodnienie, że nie ponoszą winy za dane zdarzenie. Natomiast mówimy tu o odpowiedzialności odszkodowawczej, a jest jeszcze odpowiedzialność administracyjna, którą organ może nałożyć na współadministratorów niezależnie (m.in karę finansową).
Współadministrowanie nie jest niczym złym, bo wiele podmiotów gospodarczych tak ma, jednak istotne jest to, aby wszelki zakres odpowiedzialności zgodnie z artykułem 26 RODO był uregulowany między administratorami. Co równie ważne każdy z administratorów powinien rzetelnie prowadzić wszelką dokumentację RODO bo najzwyczajniej w świecie nigdy nie wiadomo czy przypadkiem nie dojdzie do jakiegoś incydentu (mimo odpowiednich zabezpieczeń itp.) u partnera, bo jeżeli dojdzie Prezes Urzędu Ochrony Danych Osobowych będzie się zwracał do „współadministratorów” a nie tylko do jednego podmiotu.
Co ważne i należy podkreślić szczególnie to fakt, że jeżeli dojdzie do jakiegoś incydentu jeden współadministrator powinien poinformować drugiego o takowym zdarzeniu i to też jak najszybciej, aby w ustawowym terminie dokonać zgłoszenia do organu jeżeli są ku temu przesłanki.
A więc zadanie dla Ciebie, które m.in trzeba ogarnąć:
- Sprawdź swoje umowy z partnerami czy gdzieś nie ma adnotacji wprost, że jesteście współadministratorami
- Zweryfikuj swoje umowy z partnerami i przeanalizuj czy gdzieś z ogólnego stanu faktycznego i tego jak przetwarzane są przez was dane osobowe przypadkiem nie wynika, że jednak są spełnione przesłanki artykułu 26 RODO.
- Jeżeli zauważysz, że gdzieś jesteś współadministratorem koniecznie zaktualizuj swoje dokumenty o ten fakt oraz dokonaj wszelkich wymaganych przez Rozporządzenie RODO czynności w tym zakresie.
- Pamiętaj aby zaktualizować analizę ryzyka, inne dokumenty wymagane przez Rozporządzenie RODO oraz podpisać stosowne umowy w tym zakresie, jeżeli takowych nie ma.
- Zaktualizuj koniecznie Politykę prywatności/Klauzulę informacyjną aby rzetelnie spełnić obowiązek informacyjny wobec osób, których dane dotyczą!
_____________________________
Autor:
Charlotta Lendzion, Prawnik, właściciel LLEGAL, Stały Mediator przy Sądzie Okręgowym w sprawach cywilnych,
Członkini Stowarzyszenia Praktyków Ochrony Danych SPOD, Autorka książki z zakresu odpowiedzialności odszkodowawczej oraz licznych artykułów prawniczych. Certyfikowany Tester Oprogramowania -ISTQB FL, Certyfikowany Trener Szkoleniowiec, Aktualnie w trakcie badań naukowych w ramach pracy doktorskiej z zakresu prawa nowych technologii i zobowiązań. Na codzień wspieram przedsiębiorców w sprawach z zakresu ochrony danych osobowych oraz prawa przedsiębiorców.
Jeżeli potrzebujesz wsparcia lub dokumentacji w zakresie RODO, prawa konsumenckiego w twoim salonie pisz śmiało.
KONTKT
_________________________________
Podana powyżej treść nie jest opinią prawną ani poradą prawną. Wszelkie decyzje powinny być podejmowane na podstawie dokładnej analizy ryzyka oraz weryfikacji prawnej. Tylko dokładna weryfikacja stanu faktycznego Twojej sprawy umożliwia wskazanie najlepszych rozwiązań prawnych w Twojej sprawie. W tym celu skontaktuj się z prawnikiem. Artykuły zamieszczone na stronie są aktualne na dzień publikacji, z racji tego, że prawo często się zmienia mniej na uwadze to, że podane informacje mogą być już nieaktualne.
Bądź pierwszy, który skomentuje ten wpis