Kwestią, którą sprawia osobom zajmującym się stosowaniem RODO w różnych organizacjach duże trudności jest stworzenie prawidłowej umowy o współadministrowanie. Prawdę mówiąc, nie jest to nic dziwnego, biorąc pod uwagę fakt, że w przepisach rozporządzenia nie znajdziemy żadnych szczegółowych uregulowań dotyczących tego, co w takiej umowie o współadministrowanie powinno się znaleźć, tak jak np. w przypadku umowy dotyczącej powierzenia przetwarzania danych osobowych.
W przepisach RODO wprost zawarto informację o tym, że możliwe jest aby dwa, niezależne podmioty mogły być współadministratorami (czyli wspólnymi administratorami) danych osobowych osoby, której dane dotyczą (czyli podmiotu danych). Pisałem o tym jakiś czas temu w tym wpisie.
Dla przypomnienia: z współadministrowaniem mamy do czynienia gdy:
mamy co najmniej dwóch administratorów danych (dwa odrębne podmioty prawa), którzy
wspólnie ustalają cele przetwarzania danych osobowych,
wspólnie ustalają sposoby przetwarzania danych osobowych.
W takim przypadku podmioty, będące współadministratorami powinny uregulować kwestię współadministrowania danymi w ramach odpowiednich uzgodnień, przy czym (z uwagi na zasadę rozliczalności znaną z RODO) sugeruje się aby uzgodnienia te miały formę pisemnej umowy. Niestety, rozporządzenie wskazuje jedynie ogólne kwestie, które powinny znaleźć się w takiej umowie. Są to elementy dotyczące odpowiedzialności związanej z wypełnianiem obowiązków wynikających z niniejszego rozporządzenia, w szczególności w odniesieniu do wykonywania przez osobę, której dane dotyczą, przysługujących jej praw w tym ich obowiązków związanych z koniecznością podawania informacji, o których mowa w art. 13 i 14 RODO (czyli spełniania obowiązku informacyjnego).
I uwaga – ważna rzecz – uzgodnienia, o których napisałem powyżej powinny być (przynajmniej ogólnie) znane osobie, której dane dotyczą – musimy jej więc dać możliwość zapoznania się z nimi (np. w treści obowiązku informacyjnego).
Tym samym wiemy już, że w umowie o współadministrowanie powinny znaleźć się uregulowania dotyczące tego, który współadministrator spełnia obowiązek informacyjny wobec osób, których dane dotyczą. Ponadto, konieczne jest wskazanie w jaki sposób realizowane będą inne prawa osoby, której dane dotyczą. Innymi słowy, umowa powinna zawierać uregulowania dot. tego kto będzie odpowiadał np. na żądania dotyczące dostępu do danych, ich sprostowania, usunięcia lub ograniczenia przetwarzania, a także – jeżeli takie prawa będą przysługiwały osobie, której dane dotyczą, prawa do przenoszenia danych, sprzeciwu lub odwołania się od decyzji opartej na profilowaniu. Należy przy tym pamiętać, że osoba, której dane dotyczą może wykonywać swoje uprawnienia wobec każdego z współadministratorów. Ci jednak są uprawnieni do wyznaczenia punktu kontaktowego – czyli jednostki (umiejscowionej w ramach struktury jednego z podmiotów będąych współadministratorami), do której zgłaszać się mogą osoby których dane dotyczą w związku z przetwarzaniem ich danych przez każdego z współadministratorów.
I na tym wskazówki dotyczące umowy o współadministrowanie, zawarte w przepisach RODO, kończą się. Ale to nie wszystko, co powinno znaleźć się w dobrej, kompleksowej umowie o współadministrowanie. Co jeszcze trzeba uregulować w takiej umowie? Możemy tutaj posiłkować się treścią umów powierzenia przetwarzania danych, które również zawierają zapisy dotyczące przetwarzania danych przez dwa podmioty, chociaż o nieco innym statusie.
Elementy, które warto zamieścić w treści umowy o współadministrowanie to:
Kwestie dotyczące przetwarzanych danych osobowych – chodzi o zawarcie w treści takiej umowy postanowień dotyczących tego, skąd podmioty będące współadministratorami będą pozyskiwały dane osobowe, jaki jest cel ich przetwarzania, kogo dotyczą dane osobowe i jakie kategorie danych obejmują oraz jaka jest podstawa prawna przetwarzania danych. Warto w takiej umowie również wskazać to, kto jest odpowiedzialny za pozyskanie danych osobowych oraz jakie operacje przetwarzania mogą być wykonywane przez każdy z podmiotów na poszczególnych etapach przetwarzania (np. jeden podmiot odpowiada za nawiązanie kontaktu z klientem, a drugi za świadczenie usług na jego rzecz). Nie jest tutaj zabronione ograniczenie możliwości przetwarzania danych – np. kilku administratorów tworzy jedną bazę marketingową w celu wspólnej sprzedaży swoich usług, zastrzegając jednak, że dane nie mogą być wykorzystywane przez poszczególnych administratorów w taki sposób aby doszło do wzajemnego podbierania swoich klientów.
Kwestie dotyczące bezpieczeństwa – współadministratorzy powinni ustalić zasady odpowiedzialności za bezpieczeństwo przetwarzanych danych osobowych – w szczególności w zakresie obowiązków dot. spełnienia minimalnych wymogów bezpieczeństwa danych, zabezpieczeń organizacyjnych, fizycznych i technicznych, a także stosowanych procedur. Dotyczy to również np. zobowiązywania swoich pracowników do zachowania poufności oraz uregulowania zasad dalszego powierzenia przetwarzania danych. W przypadku gdy odpowiedzialnym za bezpieczeństwo danych jest jeden z współadministratorów (bo to np. on odpowiada za działanie systemu informatycznego, z którego korzystają pozostali współadministratorzy) powinien on zobowiązać się wobec pozostałych współadministratorów do uwzględnienia kwestii bezpieczeństwa w procesie wyboru tego systemu, tak aby spełniał on wymogi wskazane w treści RODO (w szczególności wynikające z przepisu art. 32 RODO),
Kwestie dotyczące odpowiedzialności w przypadku nałożenia ewentualnych kar oraz lub ustalenia odpowiedzialności finansowej za nieprawidłowe przetwarzanie danych osobowych – może się tak zdarzyć, że w związku z nieprawidłowym przetwarzaniem danych osobowych przez współadministratorów, zostaną nałożone na nich przez organ nadzorczy kary finansowe lub konieczne będzie wypłacenie odszkodowania w związku z wydanym wyrokiem sądu. Musimy pamiętać, że jeżeli w procesie przetwarzania bierze udział więcej niż jeden administrator, odpowiadają oni solidarnie (co oznacza, że osoba, której dane dotyczą może żądać odszkodowania od każdego z administratorów) – co będzie miało miejsce również przy współadministrowaniu. Dlatego ważne jest aby w umowie dot. współadministrowania ustalić zasady dot. wypłacania ewentualnych odszkodowań lub płacenia kar oraz uregulować kwestie związane z ewentualnym ustalaniem tego, który z współadministratorów popełnił przy przetwarzaniu danych błąd (co skutkowało przyznaniem odszkodowania lub nałożeniem kary) i powinien zrekompensować ewentualny uszczerbek finansowy, który w związku z tym ponieśli inni współadministratorzy.
Kwestie dotyczące zgłaszania naruszeń, dokumentacji dot. ochrony danych osobowych oraz realizacji zasady rozliczalności – współadministratorzy mogą umówić się w zakresie realizowania przez jednego z nich obowiązków dotyczących zgłaszania naruszeń do organu dot. ochrony danych osobowych, tworzenia i aktualizowania oceny skutków dot. ochrony danych osobowych czy też przeprowadzania innych procesów związanych z zabezpieczaniem danych osobowych (np. wewnętrznych audytów w ramach grup kapitałowych)
Trzeba przy tym wskazać jedno – przedstawione powyżej punkty to pewnego rodzaju „standard” dotyczący treści umów o współadministrowanie, które są obecnie zawierane. Nie ma przeszkód, aby rozszerzyć taką umowę o dodatkowe elementy, które zdaniem jej twórców, powinny się w takiej umowie znaleźć – tak aby jak najlepiej ukształtować współpracę dwóch podmiotów w zakresie współadministrowania danymi osobowymi.