Co powinna zawierać umowa o współadministrowanie danymi osobowymi?
Planujesz wejść w relacje biznesową skutkującą współadministrowaniem danych osobowych i nie wiesz, jak opisać prawa i obowiązki stron? Zastanawiasz się, co powinno być przedmiotem wspólnych ustaleń pomiędzy współadministratorami? A może chciałbyś zlecić wykonywanie obowiązku informacyjnego jednemu z kooperantów? W artykule znajdziesz informacje na temat tego:
- kim są współadministratorzy,
- co powinno być przedmiotem wspólnych uzgodnień,
- co oznacza obowiązek udostępnienia zasadniczej treści uzgodnień.
Współadministratorzy
Współadministratorzy danych osobowych to niezależne podmioty, które na mocy porozumień, bądź w wykonaniu obowiązków ciążących na nich z mocy prawa, wspólnie decydują o celach i sposobach przetwarzania danych osobowych. Jest to zatem relacja inna, aniżeli zachodząca między administratorem danych i podmiotem przetwarzającym. W tym ostatnim przypadku bowiem, o celach i sposobach przetwarzania decyduje tylko jeden z tych podmiotów.
Współadministratorem możesz, więc zostać przystępując do konsorcjum, bądź innego mniej lub bardziej sformalizowanego porozumienia przedsiębiorców realizujących wspólne przedsięwzięcie, a także stając się członkiem grupy kapitałowej.
Wspólne uzgodnienia
Ogólne rozporządzenie o ochronie danych [RODO] nakłada na współadministratorów obowiązek poczynienia wspólnych uzgodnień obejmujących kluczowe elementy wspólnego przetwarzania danych osobowych.
Ustalenia te, najczęściej przybierające postać umowy o współadministrowanie danymi osobowymi, powinny zatem obejmować określenie zakresów odpowiedzialności poszczególnych współadministratorów dotyczącej wypełniania obowiązków wynikających z RODO – współadministratorzy mogą bowiem podzielić się niektórymi obowiązkami między sobą, najlepszym przykładem w tym zakresie jest wykonywanie obowiązku informacyjnego, czy też wskazanie wspólnego przedstawiciela upoważnionego do kontaktów z osobami, których dane dotyczą, także w zakresie realizacji ich żądań (tzw. punkt kontaktowy).
We wspólnych uzgodnieniach wskazuje się również wspólne cele i sposoby przetwarzania danych osobowych, a także określa kategorie osób, których dane dotyczą oraz kategorie danych objętych współadministrowaniem, jak również relacje zachodzące pomiędzy poszczególnymi współadministratorami oraz osobami, których dane dotyczą (np. z jakich podstaw prawnych, bądź umownych one wynikają, jaka jest pozycja stron, itp.).
Tak określony zakres porozumienia może zostać uzupełniony o bezpośrednio powiązane z nim dalsze kwestie, takie jak:
- zasady regresu pomiędzy współadministratorami w przypadku, gdyby tylko jeden lub kilku z nich zapłaciło odszkodowanie osobie, której dane dotyczą,
- wyznaczenie wspólnego inspektora ochrony danych osobowych dla wszystkich współadministratorów.
Dwa ostatnie elementy nie są obligatoryjnymi składnikami porozumienia, jednakże z uwagi na jego zakres, uzupełniają go o kwestie przydatne we współadministrowaniu danymi osobowymi.
Na marginesie należy wskazać, że RODO wymaga aby przedmiotowe porozumienie zostało sformułowane w sposób przejrzysty.
Udostępnienie zasadniczej treści uzgodnień
Kolejnym obowiązkiem ciążącym na współadministratorach jest konieczność udostępnienia osobom których dane dotyczą zasadniczej treści wspólnych uzgodnień. RODO jednakże nie definiuje co pod tym pojęciem należy rozumieć. Przyjąć należy, że dotyczy to ustaleń kluczowych z punktu widzenia osób, których dane dotyczą, w szczególności będą to zatem informacje na temat:
- punktu kontaktowego,
- sposobu realizacji praw osób, których dane dotyczą,
- treści i dostępności klauzul informacyjnych,
- zakresów odpowiedzialności poszczególnych współadministratorów.
Ujawniać natomiast nie trzeba postanowień wewnętrznych skierowanych do poszczególnych współadministratorów, a także takich które objęte są tajemnicą przedsiębiorstwa, bądź nie są przeznaczone dla ogółu odbiorców.