RODO

Praca zdalna w dobie koronawirusa a ryzyko w ochronie danych

Epidemia wirusa SARS-CoV-2 zmienia naszą rzeczywistość, w tym bezpośrednio wpływa na naszą pracę i ochronę danych. Oczywiście epidemia nie zawiesza stosowania RODO. Wręcz przeciwnie – koronawirus stanowi próbę również dla sprawności i prawidłowości stosowania RODO.

Jednym z największych wyzwań jest zapewnienie bezpieczeństwa danych oraz praw osób w kontekście wykonywania pracy zdalnej przez nasz personel. Zgodnie ze specustawą z 2 marca 2020 r., pracodawca może polecić pracownikowi wykonywanie, przez czas oznaczony, pracy określonej w umowie o pracę, poza miejscem stałego jej stałego wykonywania. Przeniesienie wykonywania pracy do domów pracowników zdecydowanie wpływa na organizację firmy w kontekście ochrony danych i praw osób poprzez zwiększenie ryzyka związanego z ochroną. Nietrudno o najbliższe przypadki: większe prawdopodobieństwo wycieku danych, pogorszenie stosowanych zabezpieczeń technicznych i organizacyjnych, zagrożenie poufności danych (możliwy dostęp przez domowników pracownika). Nie można zapominać również o ryzyku biznesowym dla samego administratora w postaci zagrożenia ujawnienia tajemnicy przedsiębiorstwa.

Zabezpieczenia, które należy zastosować zależą od specyfiki danej branży i zostały opisane w wielu artykułach, które pojawiły się tuż po wejściu w życie specustawy dotyczącej koronawirusa. Oświadczenia pracowników, dodatkowe szkolenia, regulaminy, polecenia dotyczące zapewnienia odpowiednich zabezpieczeń danych w warunkach domowych – to tylko niektóre z nich.

Co jednak z koniecznością oceny ryzyka przez pracodawcę – administratora? W wielu przypadkach skierowanie pracowników do pracy zdalnej oznacza reorganizację w zakresie ochrony danych, przyjętych procedur, procesów i dokumentacji. Czy aktualizacja dokumentów na linii pracodawca – pracownik wystarczy? Z pewnością nie. Pamiętajmy o tym, że administrator musi stosować się do reguły privacy de design oraz zapewnić bezpieczeństwo przetwarzania stosownie do art. 32 RODO. Podejście oparte na ryzyku (risk – based approach) oraz zasada rozliczalności wymagają przeprowadzenia analizy ryzyka oraz jej udokumentowania. Zmiana modelu pracy polegająca na skierowaniu pracowników dotychczas świadczących pracę w strukturach pracodawcy (w sensie fizycznym i organizacyjnym czyli po prostu w siedzibie pracodawcy lub znajdujących się w jego władaniu miejscach), na model pracy zdalnej (z domu) wymaga przeprowadzenia oceny ryzyka. Intuicyjnie czujemy, że praca zdalna zwiększa ryzyko naruszenia praw i wolności osób, których dane dotyczą, a także zwiększa ryzyko po stronie samego administratora. Samo jednak „poczucie” zwiększonego ryzyka nie wystarczy dla spełnienia zasady rozliczalności. Podobnie jak dokonywaliśmy i nadal dokonujemy jako administratorzy oceny ryzyka przy poszczególnych procesach, podobnie musimy postąpić w przypadku zmiany modelu organizacji na pracę zdalną. Fakt nagłych zdarzeń w postaci epidemii koronawirusa czy też szybkie zmiany w prawie nie oznaczają zawieszenia lub ograniczenia stosowania RODO – na administratorze spoczywają takie same obowiązki jak dotychczas.

Nie należy tracić z pola widzenia, że w szczególności komunikacja z pracownikiem pracujących zdalnie zwiększa ryzyko. Praca zdalna oznacza zmianę komunikacji pracownika z pracodawcą oraz pracownika z innymi osobami (wewnątrz firmy lub na zewnątrz firmy). Zapewnienie odpowiednich narzędzi i infrastruktury może stanowić nie lada wyzwanie dla administratora. Nie wystarczy jedynie zadbanie o służbowych komputer i telefon, ale również zapewnienie odpowiedniego środowiska komunikacji i wymiany informacji. Wszelkie porady, które można spotkać w Internecie dotyczące możliwości korzystania z Facebooka czy SnapChata przy pracy zdalnej należy traktować – delikatnie mówiąc – z bardzo dużym dystansem. Facebook czy też inne powszechnie dostępne komunikatory internetowe nie zapewniają odpowiedniego poziomu bezpieczeństwa, nie wspominając o tym, że w takiej sytuacji zwykle dochodzi do transferu danych do państwa trzeciego (co wymagałoby wyraźnych zmian w rejestrze czynności, analizie ryzyka i obowiązku informacyjnym). Dlatego zapewnienie odpowiedniego oprogramowania komunikacyjnego może mieć kluczowe znaczenie przy zabezpieczeniu danych w przypadku pracy zdalnej.

RODO

Czy w CV trzeba umieszczać oświadczenie o wyrażeniu zgody na przetwarzanie danych osobowych?

Do 25 maja 2018 r. klasyczną praktyką wymaganą przez pracodawców w ogłoszeniach rekrutacyjnych był wymóg umieszczania przez kandydatów do pracy oświadczenia o wyrażeniu zgody na przetwarzanie danych osobowych. Po wejściu w życie RODO nagle wielu z administratorów założyło, że sytuacja diametralnie się zmieniła i że teraz trzeba „na nowo” rozważyć podstawę prawną przetwarzania danych osobowych zawartych w otrzymywanych CV. Jak zatem poprawnie podchodzić do podstawy prawnej przetwarzania danych kandydata do pracy?

Oczywiście główną podstawą prawną jest tzw. obowiązek prawny administratora. Zgodnie z art. 22(1) § 1 Kodeksu pracy, Pracodawca żąda od osoby ubiegającej się o zatrudnienie podania danych osobowych obejmujących:

1) imię (imiona) i nazwisko;

2) datę urodzenia;

3) dane kontaktowe wskazane przez taką osobę;

4) wykształcenie;

5) kwalifikacje zawodowe;

6) przebieg dotychczasowego zatrudnienia.

Wszelkie pozostałe dane mogą być przetwarzane przez pracodawcę na podstawie zgody kandydata do pracy (art. 22 (1a) Kodeksu pracy). Oczywiście trzeba uwzględnić w tym zakresie także zasadę minimalizacji danych. Co zatem zrobić w sytuacji, gdy CV kandydata do pracy zawiera dane przekraczające zamknięty katalog z art. 22(1) Kodeksu pracy?

Na pewno żądanie zawarcia oświadczenia o wyrażeniu zgody jest błędne. Zgoda nie musi bowiem stanowić udokumentowanego czy – tym bardziej – pisemnego oświadczenia podmiotu danych. Definicja zgody z art. 4 pkt 11 RODO wyraźnie wskazuje, że zgoda może mieć formę oświadczenia lub wyraźnego działania potwierdzającego. Skoro zatem kandydat do pracy w CV zawiera dane przekraczające katalog danych z Kodeksu pracy, to poprzez samo wysłanie CV do pracodawcy wyraża on zgodę na przetwarzanie tych danych. Wysłanie CV należy poczytać za wyraźne działanie potwierdzające. Dlatego nie należy wymagać od kandydatów do pracy załączenia w CV oświadczenia o wyrażeniu zgody na przetwarzanie danych osobowych. Jest to obarczone dodatkowo kolejnym błędem, gdyż w CV będą zawarte również dane skategoryzowane w Kodeksie pracy. Wymóg wyrażenia zgody również na te dane oznaczałoby oparcie przetwarzania danych osobowych na błędnej podstawie prawnej, co już jest zagrożone administracyjną karą pieniężną.

Jeśli zatem kandydat do pracy wyśle CV bez oświadczenia o zgodzie, to nie można tego CV odrzucić. Takie działanie pracodawcy mogłoby zostać poczytane za niezasadne odrzucenie kandydata w procesie rekrutacji i uniemożliwienie kandydatowi np. przejścia do kolejnego etapu. Można sobie wyobrazić roszczenie kandydata z uwagi na dyskryminację lub oparte na innych podstawach prawnych z Kodeksu pracy.

Inaczej natomiast ma się sytuacja z danymi szczególnych kategorii z art. 9 RODO. Tutaj przepisy wymagają nie jakiejkolwiek zgody, a wyraźnej zgody. Dlatego jeżeli CV zawiera dane szczególnej kategorii, a brak jest wyraźnej zgody kandydata do pracy, pracodawca powinien usunąć te dane (np. poprzez zanonimizowanie) lub niezwłocznie zwrócić się do kandydata o wyrażenie wyraźnej zgody na przetwarzanie danych osobowych szczególnych kategorii wymienionych w CV.

RODO

Prawo do uzyskania kopii danych jako element prawa dostępu

Prawo dostępu jest pierwszym z podstawowych praw podmiotu danych zaraz po obowiązku informacyjnym. W przepisie art. 15 ust. 3 RODO przewidziano obowiązek administratora dostarczenia podmiotowi danych kopii danych osobowych podlegających przetwarzaniu. Konstrukcja tego przepisu wywołuje jednak wątpliwości co do tego, kiedy i jak należy realizować prawo podmiotu danych do uzyskania kopii.

Przede wszystkim należy odpowiedzieć na pytanie, czym jest kopia danych. RODO nie zawiera definicji kopii, a zatem należy odwołać się do definicji języka potocznego, w tym do definicji słownikowej.

Na pierwszy rzut oka wydawałoby się, że kopia danych to nic innego jak kopia (replika, odbitka) wszystkich dokumentów i nośników zawierających dane osobowe podmiotu danych żądającego wydania kopii. Nic bardziej mylnego. Kopia odnosi się nie do nośnika danych, ale do samych danych. W przypadku żądania wydania kopii danych, obowiązkiem administratora jest wskazanie podmiotowi danych jego danych przetwarzanych przez administratora. Forma takiego przekazania może być różna, ale w praktyce często sprowadza się do tabeli zawierającej dane osobowe przetwarzane przez administratora. Czy oznacza to jednak, że przekazanie dokumentów zawierających dane (ich kopii, skanów itd.) jest błędne? Z pewnością nie, ale może okazać się zbyt nadmiarowe dla samego administratora, a ponadto ryzykowne, gdyż takie dokumenty często zawierają dane osobowe innych osób, co skutkuje koniecznością dokonania zanonimizowania tych dokumentów przed dostarczeniem podmiotowi danych żądającego wydania kopii. Podsumowując: kopia danych to nie to samo co kopia dokumentu zawierającego dane.

Na gruncie prawa do uzyskania kopii danych pojawia się również problem tego, czy to prawo jest obowiązkowym elementem realizacji prawa dostępu czy też nie. Mogłoby się wydawać, że prawo do uzyskania kopii jest czymś odrębnym od samego żądania dostępu do danych, tj. czymś w rodzaju dodatkowego prawa realizowanego w ramach prawa dostępu, które musi być objęte odrębnym żądaniem podmiotu danych. Treść przepisu art. 15 ust. 3 RODO wydaje się jednak przeczyć takiemu podejściu. Regulacja ta mówi wprost: „Administrator dostarcza osobie, której dane dotyczą, kopię danych osobowych podlegających przetwarzaniu”. Przepis został zatem sformułowany w sposób kategoryczny i wydaje się wprost odnosić do żądania osoby sformułowanego w art. 15 ust. 1 RODO. Dlatego prawo do uzyskania kopii jest prawem ściśle związanym z prawem dostępu i stanowiącym jego nieodłączny element. Innymi słowy: jeżeli podmiot danych żąda potwierdzenia czy jego dane są przetwarzane i chce zrealizować prawo dostępu, to należy również dostarczyć temu podmiotowi kopię jego danych.

RODO

RODO jako bat na pracodawców

RODO w prawie pracy to obecnie jedna z najpopularniejszych dziedzin z zakresu ochrony danych osobowych. Ilość oferowanych szkoleń i publikacji poświęconych tej tematyce wyraźnie wskazuje na to, że ochrona danych osobowych w stosunkach pracy jest nie tylko trudna, ale i bardzo ważna.

Pracownicy to szczególna grupa podmiotów danych, w przypadku których przestrzegania wymogów ogólnego rozporządzenia jest wyjątkowo istotne. Pracownicy w oparciu o Kodeks pracy otrzymują wiele narzędzi ochronnych, a także podstaw roszczeń, z jakimi mogą występować w stosunku do pracodawców lub byłych pracodawców. Takim narzędziem może być też RODO. Jeżeli pracownik poniesie szkodę wskutek naruszenia jego danych osobowych przetwarzanych przez pracodawcę, ma prawo skierować sprawę na drogę postępowania sądowego. Wiadomo jednak, że ta droga ani nie gwarantuje sukcesu ani nie musi być opłacalna, jeśli chodzi o wysokość wymarzonego odszkodowania.

Zagrożenie dla pracodawców związane z ochroną danych dotyczy przede wszystkim skarg, jakie niezadowoleni pracownicy mogą kierować do Prezesa Urzędu Ochrony Danych Osobowych. RODO z łatwością może zostać wykorzystane zarówno przez aktualnych, jak i byłych pracowników jako narzędzie przymusu albo wręcz zemsty na obecnym lub byłym pracodawcy. Bardzo prosty przykład: pracownik, z którym rozwiązano umowę bez wypowiedzenia z winy pracodawcy kieruje pozew o odszkodowanie do sądu. Dowody wydają się przemawiać na korzyść pracodawcy. Pracownik o tym wie, ale wie jednocześnie, że pracodawca zaniechał wykonania w stosunku do niego obowiązku informacyjnego dotyczącego przetwarzania jego danych albo przechowuje dane, których nie może przechowywać. W takiej sytuacji pracownik grozi pracodawcy skargą do Prezesa Urzędu Ochrony Danych Osobowych. Pracodawca ze strachu przed administracyjna karą pieniężną zawiera ugodę na pierwszej rozprawie przed sądem pracy, choć miał dużą szansę na zakończenie sprawy sądowej z pozytywnym wynikiem.

Powyższy przykład pochodzi z prawdziwego życia. Łatwo sobie jednak wyobrazić byłego niezadowolonego pracownika, który nie ogranicza się do szantażowania pracodawcy, ale po prostu składa skargę do organu nadzorczego. Wtedy już nie sposób wyhamować działania organu, który może wszcząć postępowanie kontrolne, a finalnie administracyjne i zakończyć je w sposób niezbyt przyjemny dla pracodawcy.

Wykorzystywanie przepisów RODO i instrumentów chroniących podmioty danych przez pracowników ma już realnie miejsce zarówno w Europie jak i w naszym kraju. Dlatego tak bardzo jest ważna świadomość pracodawców jako administratorów odnośnie wdrożenia przepisów ogólnego rozporządzenia (wszyscy wiemy, że jest wielu administratorów, którzy w ogóle nie zajęli się jeszcze RODO w swoich organizacjach). Wystarczy trochę wysiłku i inwestycji, aby zapewnić sobie odpowiedni stopień bezpieczeństwa w organizacji odnośnie przetwarzania danych osobowych. Skutki zaniechania stosowania RODO mogą być olbrzymie. Wystarczy tylko jedna skarga…

RODO

Jak weryfikować procesora?

Nie odkryjemy Ameryki, kiedy napiszemy, że administrator odpowiada za wybór podmiotu przetwarzającego. Taka odpowiedzialność wynika z art. 28 ust. 1 RODO. Bardzo często administrator ma bardzo wąskie pole do manewru, jeśli chodzi o wybór procesora czy też narzucenie mu „swojej woli” w zakresie postanowień umowy powierzenie. Niejednokrotnie to administrator jest w ekonomicznie o wiele słabszej pozycji aniżeli wielcy dostawcy usług (w szczególności ci międzynarodowi), z którymi nie tylko niemalże niemożliwe jest ustalenie  indywidualnych warunków przetwarzania oraz obowiązków procesora, ale nawet zawarcie samej umowy powierzenia. Jednak dzisiaj nie o tym – przyjmijmy, że pozycja ADO i procesora jest w miarę równa i administrator rzeczywiście ma ekonomiczny i organizacyjny wpływ na określenie postanowień umowy powierzenia oraz wybór odpowiedniego procesora. Na co zwrócić uwagę?

Pierwszym krokiem powinna być sama weryfikacja biznesowa naszego kontrahenta. Musimy najpierw po prostu chcieć nawiązać z nim współpracę. Niby banał, ale każdorazowo, gdy zawieramy z kimś umowę zasięgamy opinii albo czytamy je w Internecie. Wbrew pozorom, takie opinie bardzo często mogą nam już coś powiedzieć o stosowaniu przez potencjalnego procesora wymogów RODO. Jeżeli w powtarzających się opiniach czytamy, że firma jest nierzetelna, dochodzi u niej do częstych awarii, braku dostępności usługi, to może nam to dać do myślenia, czy aby na pewno proces organizacyjny u naszego badanego procesora jest odpowiednio ułożony.

Drugi krok to już same negocjacje umowne. Z pewnością trzeba w nie wpleść sprawdzenie wiarygodności podwykonawcy jako procesora. Checklista z odpowiednimi pytaniami powinna spełnić tu swoją rolę w przeważającej części. RODO nie narzuca obowiązku prowadzenia takiej checklisty, ale na pewno będzie ona nie tylko jakąś podstawą do weryfikacji procesora, ale pomoże nam w pewnym stopniu spełnić zasadę rozliczalności przy jego wyborze. Jakie pytania zadać? Wachlarz pytań może być bardzo różny, ale powinien być nakierowany w pierwszej kolejności na to czy procesor w ogóle wie czym jest ochrona danych osobowych i czy w swojej organizacji wdrożył odpowiednie reguły. Pytaniem, które czasem warto zadać potencjalnemu procesorowi jest pytanie z gatunku pozornie bezsensownych np. „Czy w przypadku zaistnienia incydentu dotyczącego danych osobowych w organizacji stosowana jest procedura czy proces?” Bezsensowność tego pytania sprowadza się do takiego samego sensu (a w zasadzie jego braku) w pytaniu: „Co jest cięższe? Kilogram pierza czy kilogram gwoździ?” i tę bezsensowność przygotowany do stosowania RODO procesor powinien szybko wychwycić, a wręcz ją wytknąć. Odpowiedzi z gatunku: „Proces” albo „Procedura” bez głębszego uzasadnienia, mogą postawić pod znakiem zapytania, czy procesor zrozumiał, o co chodzi w pytaniu.

Jednak najistotniejsze są najpoważniejsze kwestie, tj. prowadzenie rejestru kategorii czynności przetwarzania, stosowanie technicznych i organizacyjnych zabezpieczeń (choć procesor nie ma obowiązku ich szczegółowego opisywania, jeżeli nie dochodzi jeszcze do zawarcia umowy), stosowanie upoważnień dla personelu, współpraca z dotychczasowymi administratorami przy odpowiadaniu na żądania osób, współpraca przy zgłaszaniu naruszeń. Uwaga praktyczna: z pewnością należy unikać takich procesorów, którzy od razu chwalą się tym, że zgłaszają naruszenia za administratora. Podmiot przetwarzający nie ma takiego prawa, gdyż to ADO jest zobowiązany do oceny i zgłoszenia naruszenia. Procesor ma jedynie powiadomić ADO o naruszeniu bez zbędnej zwłoki.

Newralgiczną kwestią może być też samo negocjowanie i zawieranie umowy powierzenia. Takie umowy powinni zwykle przygotowywać i sporządzać administratorzy, gdyż to głównie oni odpowiadają za ich treść i zabezpieczenie swoich praw i obowiązków w zgodzie z RODO. Nie ulega jednak wątpliwości, że przygotowany procesor powinien zwykle dysponować własnym, choćby wstępnym, wzorem umowy powierzenia. Rzecz jasna taki wzór nie powinien być przekuwany na umowę z każdym administratorem, jednak posiadanie takiego dokumentu może świadczyć o minimalnym świadomości po stronie analizowanego procesora. Warto także obserwować procesora przy negocjowaniu umowy. Jeżeli procesor np. nie zgadza się na wpisanie prawa audytu (które przecież jest wymagane przez art. 28 ust. 3 lit. h RODO), to powinna zapalić się nam, może jeszcze nie czerwona, ale przynajmniej pomarańczowa lampka. Podobnie rzecz ma się z podpowierzeniem. Negocjacje i ustalenia dotyczące wyrażenia zgody ogólnej bądź szczegółowej to dobra okazja do sprawdzenia czy procesor ma świadomość swojej odpowiedzialności za podpowierzenie. Jeżeli ustalamy, że zgoda będzie udzielana na konkretne podmioty podprzetwarzające wymienione w załączniku do umowy powierzenia, ale procesor nie chce ujawnić tych podmiotów, to być może warto rozejrzeć się za kimś, kto bardziej wie, jaka jest jego rola w łańcuchu przetwarzania.

Nie bagatelizujmy sprawdzania procesów przez zawarciem umowy podstawowej. Pamiętajmy, że administrator odpowiada za wybór procesora i błędny wybór może prowadzić do odpowiedzialności na gruncie RODO.

RODO

Krótki traktat o współadministrowaniu

Współadministrowanie danymi osobowymi nie jest nowością w prawie ochrony danych osobowych, ale dopiero teraz zaczyna stanowić niemały problem dla administratorów. W tym – obszerniejszym niż dotychczas – wpisie postaramy się przybliżyć instytucję współadministrowania i ewolucję interpretacji tego pojęcia począwszy od wąskiego rozumienia po szerokie, które obecnie jest stosowane.

Współadministrowania nie ma, ale jednak jest

W Dyrektywie 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych próżno szukać terminu „współadministrowanie”, co jednak nie oznacza, że instytucja współadministrowania nie istniała na gruncie tego aktu prawnego. Zgodnie z pierwszym członem definicji znajdującej się pod art. 2 lit. d Dyrektywy 95/46/WE administrator oznaczał osobę fizyczną lub prawną, władzę publiczną, agencję lub inny organ, który samodzielnie lub wspólnie z innymi podmiotami określa cele i sposoby przetwarzania danych. „Samodzielność” lub „wspólność” określania celów i sposobów przetwarzania danych pozwalała wyróżnić sytuację pojedynczego administratora od współadministrowania. Powszechnie panuje zgodność, że Dyrektywa 95/46/WE regulowała (choć szczątkowo) instytucję współadministrowania, choć dopiero RODO wprowadziło w tym zakresie szerszą regulację.

Współadministrowanie jest, ale występuje rzadko

Wejście w życie, a następnie realne rozpoczęcie obowiązywania RODO nie zmieniło w zasadniczy sposób definicji współadministrowania, ale na pewno dookreśliło obowiązki administratorów. Definicja administratora z RODO co do zasady nie różni się zbytnio od definicji z Dyrektywy 95/46/WE. Zgodnie z art. 4 pkt 7 RODO administrator oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych. „Samodzielność” lub „wspólność” ustalania celów i sposobów przetwarzania danych nadal pozostaje istotą definicji administratora, co ewidentnie wskazuje, że oprócz modelu pojedynczego (odrębnego) administratora może istnieć również współadministrowanie.

RODO nie poprzestaje jednak na definicji ze słowniczka pojęć. Instytucja współadministrowania została uregulowana w art. 26 RODO. W zdaniu pierwszym art. 26 ust. 1 RODO tak naprawdę powtórzono definicję z art. 4 pkt 7, gdyż wskazano, że  „jeżeli co najmniej dwóch administratorów wspólnie ustala cele i sposoby przetwarzania, są oni współadministratorami”. Wydaje się, że to zdanie stanowi tylko zbędne superfluum, gdyż sama definicja administratora z art. 4 pkt 7 RODO wystarcza do przyjęcia, że RODO przewiduje współadministrowanie właśnie w takiej postaci (wspólnego ustalania celów i sposobów przetwarzania). Jedynym „dodatkiem” do definicji jest dookreślenie, że do współadministrowania potrzeba co najmniej dwóch administratorów (co z drugiej strony wynika z podstawowych zasad logiki).

RODO przewiduje zarówno ustalenia jak i uzgodnienia między współadministratorami. Ustalenia dotyczą celów i sposobów przetwarzania, a uzgodnienia dotyczą określenia między współadministratorami swojej odpowiedzialności wobec wypełniania obowiązków wynikających z RODO.

Co tak naprawdę oznacza współadministrowanie, gdyby patrzeć na to tylko przez pryzmat art. 26 RODO i czystej wykładni literalnej? Wydaje się, że oznacza ono sytuacje, gdy przynajmniej dwa podmioty będące administratorami wspólnie, tj. w drodze wspólnych ustaleń określają cele i sposoby przetwarzania. Współadministrowanie jest przy tym czymś faktycznym czyli czymś, co po prostu zachodzi – nie da się stworzyć współadministrowania przy pomocy umowy czy innego instrumentu prawnego; jeżeli jakaś relacja biznesowa czy organizacyjna między podmiotami oznacza wspólne ustalanie celów i sposobów przetwarzania, to jest współadministrowaniem ze swojej istoty.

Czym są zatem cele i sposoby przetwarzania? Cel jest tym, co administrator chce osiągnąć, przetwarzając dane. Nie można przetwarzać bez celu. Sposoby to natomiast metody przetwarzania. RODO przy współadministrowaniu nie mówi o tym, że cele i sposoby mają być wspólne dla każdego ze współadministratorów. Wspólne mają być jedynie ustalenia w przedmiocie tych celów i sposobów, co pozwala wnioskować, że cele i sposoby mogą być niejednorodne np. administrator pierwszy może realizować 5 celów, a administrator drugi jedynie 3 cele z tych 5, a co więcej  może robić to w inny sposób – ważne, aby te ustalenia, co do sposobów i celów były wspólne. W ujęciu modelowym, administratorzy powinni po prostu wspólnie „usiąść” i ustalić wspólność celów i sposobów przy projektowaniu danego procesu. Najczęściej to „wspólne siedzenie” zachodzi po prostu automatycznie (współadministrowanie w końcu powstaje ze swojej istoty a nie w drodze ustaleń prawnych), a dopiero potem dochodzi do udokumentowania i dookreślenia obowiązków i ustaleń współadministratorów. Innymi słowy – RODO nie wymaga, aby cele i sposoby przetwarzania były identyczne dla każdego ze współadministratorów ani aby się pokrywały (tak: M. Sakowska-Baryła, Komentarz do art. 26 [w:] Ogólne rozporządzenie o ochronie danych osobowych. Komentarz, pod red. M. Sakowskiej-Baryły, Warszawa 2018, Legalis). Takie rozumienie współadministrowania nie było jednak powszechnie. Niektórzy autorzy zakładali, że aby doszło do współadministrowania powinna istnieć jakaś wspólnota celów. Dla przykładu: w komentarzu „Ogólne rozporządzenie o ochronie danych. Ustawa o ochronie danych osobowych” pod red. prof. Pawła Fajgielskiego (Warszawa 2018) zasugerowano, że realizacja innych celów i samodzielne decydowanie o przetwarzaniu danych oznacza, że podmioty należy uznać na odrębnych administratorów, a nie współadministratorów. Należałoby jednak przychylić się do pierwszego z zaproponowanych poglądów i uznać, że nie musi dochodzić do wspólnoty celów i sposobów czy też do ich pokrywania się.

Do czego takie przyjęcie pojęcia współadministrowania prowadzi w praktyce? Otóż można przyjąć, że współadministrowanie stanowi sytuację, gdy nawet dwa różne podmioty, które w stosunku do tych samych danych osobowych mogą mieć różne cele i sposoby przetwarzania (choć jednak między celami powinno nastąpić choć minimalne powiązanie) wspólnie ustalają te cele i sposoby, a zatem są świadome tego, jak nawzajem „obchodzą” się z tymi danymi. Temu właśnie mają służyć wspólne uzgodnienia, o których mowa w art. 26 ust. 1 RODO. Udokumentowanie tych uzgodnień jest konieczne z uwagi na zasadę rozliczalności. Najczęściej do udokumentowania dochodzi poprzez zawarcie tzw. umowy o współadministrowanie. Takie rozumienie współadministrowania oznaczałoby zatem, że nie będzie dochodzić do niego często, a w zasadzie współadministrowanie będzie wyjątkiem od stosunku relacji administrator – administrator (ADO-ADO) polegającej na udostępnianiu danych osobowych przez jednego administratora drugiemu (odbiorcy). Typowym przykładem współadministrowania będzie zatem relacja spółek w grupie kapitałowej/holdingu w stosunku do tej samej bazy danych klientów lub pracowników, gdy będzie dochodzić do wspólnego ustalenia celów i sposobów przetwarzania. Ponadto można w niektórych przypadkach przyjąć współadministrowanie spółki i jej oddziału, gdy ten oddział może mieć przyznany status administratora (więcej pisaliśmy o tym problemie w artykule „Czy oddział spółki jest administratorem danych osobowych?”).

Na rzadkość występowania współadministrowania wskazał choćby mec. Maciej Gawroński w publikacji „Ochrona danych osobowych. Przewodnik po ustawie i RODO z wzorami” (Warszawa 2018). Ten sam autor nadmienia również, że „ze względów praktycznych raczej warto unikać zakwalifikowania relacji między dwoma (lub więcej) podmiotami jako współadministrowania i lepiej szukać rozdzielnych obszarów, gdzie jedni są administratorami, a drudzy przetwarzającymi”. Oczywiście takie założenie byłoby najwygodniejsze dla administratorów, jednak skoro do współadministrowania dochodzi po prostu z uwagi na zaistnienie konkretnych faktów i okoliczności (ze swojej istoty), to nie sposób po prostu „uniknąć współadministrowania” (chyba że doszłoby do znaczącej zmiany procesów i relacji między podmiotami, co często wymagałoby wysokich kosztów i znacznych nakładów organizacyjnych).

Swego rodzaju rewolucję w rozumieniu pojęcia współadministrowania wprowadziły trzy wyroki Trybunału Sprawiedliwości Unii Europejskiej.

Współadministrowanie jest i jest rozumowane szeroko

„Triada wyroków TSUE”, bo tak należałoby nazwać te orzeczenia, które są omawiane wszem i wobec przy okazji współadministrowania, wprowadziła dużo konsternacji przy rozumieniu współadministrowania i zmusiła rynek to ponownego przemyślenia projektowania i zakwalifikowania swoich procesów przetwarzania.

Wyrok w sprawie Wirtschaftsakademie

Chronologicznie pierwszy z wydanych wyroków, tj. wyrok TSUE z 5 czerwca 2018 r. w sprawie C-210/16 (Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein przeciwko Wirtschaftsakademie Schleswig-Holstein GmbH) dotyczył sytuacji, w której TSUE musiał odpowiedzieć na pytanie czy administrator fanpage na Facebooku jest administratorem danych osobowych osób, które korzystają z tego fanpage. W tej sprawie istotne było to, że Wirtschaftsakademie świadczy usługi kształcenia przy użyciu fanpage na Facebooku. Wiemy, że wielu przedsiębiorców nie ma „klasycznej” strony internetowej, a swoje usługi reklamuje jedynie przy pomocy mediów społecznościowych, w tym Facebooka. Ten, kto ma fanpage, wie, że istnieje możliwość uzyskania danych statystycznych dotyczących osób, które odwiedzają fanpage. Jest to tzw. funkcja Facebook Insights. Te dane są gromadzone oczywiście przy pomocy plików cookies. Problem w omawianej sprawie polegał na tym, że ani Wirtschaftsakademie ani Facebook (Facebook Ireland Ltd) nie informowały użytkowników o zbieraniu danych przy pomocy plików cookies. Skutkiem skargi było wydanie przez niemiecki organ nadzorczy decyzji nakazującej Wirtschaftsakademie dezaktywację fanpage.

Co powiedział TSUE? W pierwszej kolejności doszło do wyraźnego wskazania, że Facebook (TSUE niewątpliwie wskazał zarówno na Facebook Inc. oraz Facebook Ireland Ltd) jest administratorem zbieranych danych. Szersze rozważania dotyczyły natomiast roli Wirtschaftsakademie. TSUE w pkt 35 uzasadnienia wyroku poczynił uwagę, która właściwie jest esencją tego orzeczenia: samo korzystanie z portalu społecznościowego np. z Facebooka nie czyni od razu z użytkownika podmiotu odpowiedzialnego za przetwarzanie danych, ale administrator fanpage prowadzonego na Facebooku, tworząc taką stronę, daje Facebookowi możliwość zapisania plików cookies na komputerze lub na każdym innym urządzeniu osoby odwiedzającej jego fanpage bez względu na to, czy ta osoba posiada konto na Facebooku czy też nie. Administrator fanpage odnosi zatem niewątpliwą korzyść gospodarczą z założenia i utrzymywania fanpage, gdyż ma możliwość – przy pomocy zanonimizowanych statystyk – tak umieszczać swoje wpisy na tablicy, żeby dotarły one do jak najszerszego grona odbiorców (czas publikowania wpisów, grupa docelowa itd.). Jednocześnie fakt zanonimizowania danych osób odwiedzających fanpage nie ma tu nic to rzeczy – administrator nie musi bowiem mieć dostępu do danych, żeby być administratorem. Ustalanie celów i sposobów przetwarzania nie wymaga posiadania dostępu do danych.

Jednocześnie odpowiedzialność Wirtschaftsakademie oraz Facebooka w tej sprawie nie jest jednakowa (choć jest wspólna). TSUE wyraźnie zaznacza w pkt 43 uzasadnienia wyroku: „(…) istnienie wspólnej odpowiedzialności niekoniecznie przekłada się na jednakową odpowiedzialność różnych podmiotów zaangażowanych w przetwarzanie danych osobowych. Wręcz przeciwnie, podmioty te mogą być zaangażowane na różnych etapach tego przetwarzania i w różnym stopniu, tak że poziom odpowiedzialności każdego z nich należy oceniać przy uwzględnieniu wszystkich istotnych okoliczności danej sprawy”.

Co oznacza ten wyrok? Nie pada w jego treści ani razu słowo „współadministrowanie”, ale jest to zrozumiałe, gdyż wyrok jest wydany w oparciu o Dyrektywę 95/46, gdzie takiego pojęcia wprost nie było. Wspólne ustalanie celów i sposobów jest jednak definicją współadministrowania, a zatem nie można mieć wątpliwości, że właśnie o nie chodziło TSUE. Po wydaniu omawianego wyroku pojawiły się wprawdzie poglądy, że ten wyrok nie dotyczy w ogóle współadministrowania, tylko ustalenia wspólnej odpowiedzialności dwóch odrębnych administratorów (tak mec. Maciej Gawroński w artykule „Fanpage na Facebooku a ochrona danych osobowych – wyrok TSUE w sprawie C-210/16, Magazyn ODO nr 5), jednak nie można pomijać, że w treści uzasadnienia wyroku TSUE wielokrotnie wskazuje na definicję administratora oraz na jej element dotyczący współadministrowania. Ponadto w pkt 31 uzasadnienia wyroku TSUE zadaje pytanie (na które dalej udziela obszernej odpowiedzi) co do zakresu wspólnego określenia celów i sposobów przetwarzania danych przez Facebook i administratora fanpage.

Można zatem – według TSUE – być współadministratorem, ale nie ustalać wspólnych celów i sposobów przetwarzania, a nawet nie dokonywać wspólnych wyraźnych ustaleń. Trudno sobie bowiem wyobrazić administratora fanpage i przedstawicieli Facebooka, którzy wspólnie ustalają cele i sposoby przetwarzania. Ta „wspólność” ustalania celów i sposobów jest tutaj bardzo ulotna, trudna do dostrzeżenia, a właściwie wręcz niedostrzegalna – stąd ten wyrok wywołał tyle kontrowersji. Trudno bowiem przyjąć, że w takiej konfiguracji i przy takim rozłożeniu sił ekonomicznych możliwe byłoby np. zawarcie umowy o współadministrowanie. Łatwiej w praktyce byłoby przyjąć, że relacja pomiędzy administratorem fanpage a Facebookiem jest zwykłą relacją ADO – ADO. Można nawet próbować argumentować, że Facebook jest administratorem, podczas gdy administrator fanpage jest procesorem, jednak faktycznie nie sposób pomijać, że administrator fanpage korzysta z danych w Facebook Insights w celach realizacji własnych korzyści gospodarczych, a zatem ma swoje cele odrębne od celów Facebooka. Relacja ADO – ADO byłaby zatem najbardziej intuicyjna. TSUE jednak nie ukrywa tego, że celem takiej a nie innej wykładni była ochrona praw osób, których dane dotyczą. Dlatego ten wyrok potwierdza jedynie praktykę TSUE polegającą na ochronie podmiotów danych kosztem i tak już nikłych praw administratorów.

Wyrok w sprawie Świadków Jehowy

W wyroku z dnia 10 lipca 2018 r. (C-25/17) TSUE rozważał status członków wspólnoty Świadków Jehowy oraz samej wspólnoty jako administratorów danych osobowych. Wyrok wydany został w oparciu o Dyrektywę 96/45. W ramach działalności kaznodziejskiej członkowie wspólnoty Świadków Jehowy odwiedzają kolejne gospodarstwa domowe i sporządzają notatki o złożonych wizytach. Zgromadzone dane często obejmują nazwiska i adresy odwiedzanych osób oraz informacje dotyczące ich przekonań religijnych i sytuacji rodzinnej. W omawianej sprawie zainteresowane osoby nie były proszone o wyrażenie zgody na przechowywanie tych danych ani nie były informowane o zbieraniu i przechowywaniu tych danych.

Z kolei sama wspólnota Świadków Jehowy w tej sprawie udzielała swoim członkom wytycznych dotyczących sporządzania notatek z wizyt, a także organizowała odwiedzanie kolejnych gospodarstw domowych poprzez opracowywanie map podziału obszarów pomiędzy członków. Co więcej, zbory wspólnoty Świadków Jehowy prowadziły listy osób, które oświadczyły, że nie życzą sobie wizyt członków głosicieli wspólnoty (tzw. „listy zakazów”).

TSUE w omawianym wyroku wskazał, że w niniejszej sprawie nie dochodziło do przetwarzania danych osobowych w trakcie czynności o czysto osobistym charakterze (przesłanka wyłączenia stosowania Dyrektywy). Czysto osobisty charakter należy bowiem oceniać z punktu widzenia działalności osoby, która przetwarza dane, a nie osoby, której dane są przetwarzane. Nie sposób zatem uznać, że działalność członków głosicieli czy też samej wspólnoty przy zbieraniu danych odwiedzanych osób miałaby sprowadzać się do czynności o czysto osobistym charakterze.

Kwestią, która jednak najbardziej nas interesuje z uwagi na instytucję współadministrowania, było rozstrzygnięcie, czy członków głosicieli oraz wspólnotę można uznać wspólnie za administratorów danych w odniesieniu do ich przetwarzania przez tych członków głosicieli w ramach działalności kaznodziejskiej. TSUE odpowiedział na to pytanie twierdząco. Oczywiście uzasadnieniem dla takiego przyjęcia było (podobnie jak w poprzednio omawianej sprawie) przyjęcie szerokiej wykładni pojęcia administratora oraz zapewnienie jak najpełniejszej ochrony praw osób fizycznych. W pkt 68 została sformułowana bardzo ważna uwaga, którą należy zacytować: „Natomiast osoba fizyczna lub prawna, która wpływa dla własnych interesów na przetwarzanie danych osobowych i uczestniczy z tego powodu w określeniu celów i sposobów tego przetwarzania, może być uznana za administratora danych w rozumieniu art., 2 lit. d) dyrektywy 95/46”. Ponownie zatem TSUE podkreśla element „własnych interesów”. Dalej TSUE potwierdza jedynie, że aby być administratorem lub ponosić wspólną odpowiedzialność w zakresie tego samego przetwarzania, wcale nie trzeba mieć dostępu do danych.

W pkt 73 uzasadnienia wyroku TSUE niewątpliwie określa członków wspólnoty oraz samą wspólnotę jako współadministratorów. Wspólnota koordynując, organizując i wspierając działalność kaznodziejską swoich członków uczestniczy wspólnie z tymi członkami w określaniu celów i sposobów przetwarzania danych osobowych odwiedzonych osób.

Wyrok TSUE w sprawie Świadków Jehowy bardzo często jest niedoceniany w kontekście współadministrowania. Tymczasem ten wyrok miał bardzo istotny wpływ na kształt rozstrzygnięcia i uzasadnienia wyroku TSUE ws. Fashion ID, który został omówiony poniżej. W wyroku w sprawie C-25/17 TSUE jeszcze dobitniej przybliża rozumienie wspólnego ustalania celów i sposobów przetwarzania danych. Brak dostępności do danych ze strony wspólnoty religijnej, a także brak wyraźnego i utrwalonego ustalenia celów i sposobów przetwarzania danych nie oznacza, że nie można przyjąć, iż dochodzi do współadministrowania. Ten wyrok ponownie potwierdza tendencję TSUE do przyjęcia szerokiego rozumienia pojęcia administratora i współadministrowania.

Wyrok w sprawie Fashion ID

Najważniejszy obecnie wyrok TSUE, który został wydany w przedmiocie współadministrowania i który chyba najbardziej wstrząsnął praktyką ochrony danych osobowych pochodzi z 29 lipca 2019 r. (C – 40/17).

Fashion ID jest spółką zajmującą się sprzedażą modnej odzieży online. Fashion ID umieściła na swojej stronie internetowej wtyczkę społecznościową „Lubię to” Facebooka. Ta okoliczność różni się od stanu faktycznego w sprawie Wirtschaftsakademie, gdyż w tamtym przypadku chodziło o fanpage, a nie o wtyczkę umieszczoną na stronie internetowej danego podmiotu.

Specyfikę „działania” przycisku „Lubię to” TSUE opisuje krótko w pkt 27 uzasadnienia wyroku. Dane osobowe osoby, która odwiedza stronę internetową Fashion ID – z uwagi na umieszczenie wtyczki społecznościowej – są przekazywane do Facebook Ireland. Co istotne – podobnie jak w sprawie Wirtschaftsakademie – TSUE podkreśla, że do przekazywania tych danych dotyczy zarówno przypadku osób, które mają konto na Facebooku, jak i tych, które takiego konta nie posiadają. Zarzut skierowany do Fashion ID dotyczył tego, że osoby, których dane dotyczą nie są informowane o pozyskiwaniu wyżej wskazanych danych oraz że nie zostały odebranie zgody od tych osób. Pytanie zatem sprowadzało się do tego czy Fashion ID może być administratorem danych osób przeglądających witrynę internetową z uwagi na zainstalowanie wtyczki społecznościowej, skoro przecież Fashion ID ma nikły wpływ (a w zasadzie nie ma żadnego wpływu) na przetwarzanie tych danych po przekazaniu ich do Facebooka.

TSUE po raz kolejny „obrał kurs” na szerokie rozumienie pojęcia administratora oraz ochronę praw podmiotów danych, a ponadto w uzasadnieniu wyroku wyraźnie odniósł się do dotychczasowego dorobku, tj. do obu wyżej omówionych spraw. W pkt 67 TSUE – powołując się na wyrok w sprawie Wirtschaftsakademie – wyraźnie wskazał, że pojęcie administratora nie musi odnosić się do jednego podmiotu, ale również do kilku podmiotów uczestniczących w przetwarzaniu. W pkt 70 z kolei Trybunał ponownie podkreślił, że nie trzeba mieć dostępu do danych, aby być administratorem (z odniesieniem do sprawy Świadków Jehowy).

W pkt 75 pojawia się jedna z najważniejszych tez w uzasadnieniu wyroku: „wydaje się, że poprzez umieszczenie w swojej witrynie internetowej przycisku <Lubię to> Facebooka Fashion ID umożliwia Facebook Ireland uzyskiwanie danych osobowych osób odwiedzających jej witrynę internetową, przy czym taka możliwość pojawia się od momentu wejścia na taką witrynę i to niezależnie od tego, czy owe osoby odwiedzające są członkami serwisu społecznościowego Facebook lub czy kliknęły na przycisk <Lubię to> Facebooka, lub też czy wiedziały o takiej operacji”. „Umożliwienie uzyskiwania danych osobowych” jest właściwie kluczem do zrozumienia motywacji rozstrzygnięcia TSUE. Trybunał uznał, że skoro to Fashion ID decyduje o umieszczeniu wtyczki Facebooka na swojej stronie internetowej, to jednocześnie umożliwia pozyskiwania danych Facebookowi. Na pierwszy rzut oka wydaje się jednocześnie, że Fashion ID nie ma żadnego wpływu na określanie celów i sposobów przetwarzania danych, jednak – zdaniem TSUE – poprzez sam fakt umieszczenia wtyczki Fashion ID wpływa w decydujący sposób na gromadzenie i przekazywanie danych osobowych osób odwiedzających stronę internetową na rzecz Facebooka. Dlatego Trybunał przyjmuje, że Facebook i Fashion ID wspólne określaną sposoby dokonywania operacji gromadzenia danych osobowych. Ponadto dochodzi także do wspólnego ustalenia celów przetwarzania, gdyż Fashion ID poprzez umieszczenie wtyczki może optymalizować reklamy jej produktów, co przekłada się na korzyść handlową Fashion ID (a zatem podobne rozumowanie jak w sprawie Wirtschaftsakademie). Skoro zatem zarówno Fashion ID, jak i Facebook mają interes gospodarczy w gromadzeniu tych danych i ich przetwarzaniu, to wspólnie określają cele przetwarzania. Na marginesie należy jedynie wspomnieć, że ten wyrok jest pierwszym spośród trzech omówionych, gdzie TSUE wprost (choć tylko jeden raz) używa pojęcia „współadministrator” (pkt 102 uzasadnienia wyroku).

TSUE jednak wyraźnie podkreśla, że odpowiedzialność Fashion ID jest ograniczona jedynie do operacji  lub do zestawu operacji przetwarzania, których cele i sposoby rzeczywiście określa (pkt 85 uzasadnienia wyroku). I właśnie to zdanie stanowi swoistą sprzeczność w rozumowaniu TSUE. Skoro dla przyjęcia współadministrowania musi zajść wspólne ustalenie sposobów i celów przetwarzania, to dlaczego TSUE jednocześnie podkreśla, że jest jakaś sfera, gdzie Fashion ID „rzeczywiście określa cele i sposoby”? Czy nie sugeruje to pewnego rozdzielenia ustalenia celów i sposobów? A jeśli tak, to gdzie w takim razie mowa o wspólności tych ustaleń?

Powyższe pytania nie są jedynymi, jakie wielu praktyków ochrony danych osobowych postawiło sobie po lekturze uzasadnienia tego wyroku. Jego krytyka odbiła się szerokim echem. W szczególności należałoby w tym miejscy wyróżnić publikację dr hab. Jana Byrskiego i Henryka Hosera „Social media oraz technologie umożliwiające śledzenie użytkowników Internetu a współadministrowanie danymi osobowymi” (dodatek MoP 21/2019). Autorzy stawiają bardzo trafny zarzut rozumowaniu TSUE, który sprowadza się do pominięcia przez TSUE, że rola Fashion ID w przetwarzaniu danych w tym przypadku była faktycznie marginalna. Oczywiście TSUE wskazuje, że gdyby nie wtyczka, którą umieściło Fashion ID, nie doszłoby do pozyskania i przetwarzania danych przez Facebooka, jednak nie można pomijać, że Fashion ID nie miało właściwie żadnego wpływu na ustalanie celów i sposobów przetwarzania. Autorzy omawianej publikacji poddają również w wątpliwość realną możliwość uregulowania relacji między współadministratorami w omawianym przypadku (zawarcie porozumienia, które określi zakres odpowiedzialności współadministratorów, udostępnienie zasadniczej treści uzgodnień podmiotom danych, zapewnienie podmiotom danych możliwości realizacji swoich praw wobec każdego ze współadministratorów). Nie można sobie bowiem wyobrazić, aby np. administrator mający fanpage, którego śledzi 20 osób miał szanse na zawarcie umowy o współadministrowanie z Facebookiem, a – co więcej – aby miał wpływ na treść uzgodnień zawartych w tej umowie. Trudno także przyjąć, żeby podmiot danych mógł skutecznie realizować swoje prawa odnośnie przetwarzania danych przez Facebooka w stosunku do podmiotu, który umieścił wtyczkę społecznościową na swojej stronie. Jednak przecież takie wymogi stawia art. 26 RODO. Zasada rozliczalności nakazuje dokumentowanie uzgodnień między współadministratorami, a ponadto chroni podmioty danych, umożliwiając im realizację ich praw wobec każdego ze współadministratorów.

Czy wyrok TSUE w sprawie Fashion ID faktycznie umożliwia zatem realną ochronę praw podmiotów danych? Co do tego należy wyrazić znaczące wątpliwości. Jest oczywiste, że TSUE nie bierze w ogóle pod uwagę interesu i praw administratora, ale brak wzięcia pod uwagę realnej możliwości wykonania obowiązków wynikających ze współadministrowania jest już istotnym zarzutem. Administrator powinien oczywiście spełnić wszelkie obowiązki z RODO, ale jednocześnie nie można nakładać na niego obowiązków, których wykonanie w pełni w danej sytuacji ekonomicznej i organizacyjnej jest po prostu z góry niemożliwe. Należałoby zatem postawić tezę, że wyrok TSUE w omawianym zakresie i w odniesieniu do tego stanu faktycznego (lub podobnych) jest właściwie niewykonalny przy przyjęciu obowiązków z art. 26 RODO. Operator strony internetowej, który umieścił wtyczkę Facebooka nie ma realnej możliwości zawarcia w Facebookiem umowy o współadministrowanie przy jednoczesnym wpływie na jej kształt oraz zakres odpowiedzialności. Nie ma również realnej możliwości wykonania prawa podmiotu danych co do zakresu przetwarzania przez Facebooka. Marginalna rola operatora strony internetowej powinna zatem przesądzać o tym, że relacja między tym podmiotem a Facebookiem powinna być rozpatrywana jako relacja ADO – ADO, a nie jako współadministrowanie. Wykładnia celowościowa TSUE nie może bowiem prowadzić do wynaturzeń, które tak naprawdę finalnie kończą się nie na poszerzeniu praw podmiotów danych, ale na skomplikowaniu sytuacji administratorów, która pośrednio prowadzi do braku faktycznej możliwości realizacji praw osób fizycznych. Skoro zatem nie można dopatrzeć się w relacji Fashion ID i Facebooka wspólnych (i należy to wyraźnie podkreślić – wspólnych!) ustaleń celów i sposobów przetwarzania oraz skutecznych uzgodnień rozdzielenia zakresów odpowiedzialności, to czy wykładnia TSUE na gruncie RODO nie ociera się przypadkiem o wykładnię contra legem?

Jaki skutek powoduje wykładnia TSUE?

Przede wszystkim współadministrowania nie należy już unikać. Wręcz przeciwnie – należy go szukać! Tam, gdzie do tej pory myśleliśmy, że może dochodzić do powstania stosunku powierzenia lub relacji ADO – Ado, należy zweryfikować swoje stanowisko. Oczywiście można nie zgadzać się z argumentacją TSUE, która jest mocno kontrowersyjna, ale szanując autorytet Trybunału, którego wykładnia (chcąc – nie chcąc) kształtuje sposób stosowania przepisów o ochronie danych osobowych, należy ponownie dokonać analizy swoich procesów przetwarzania, operacji i relacji z procesorami oraz innymi administratorami. Czy wyrok ws. Fashion ID zatem wymusza ponowne wdrożenie RODO? Zależy, co należy rozumieć pod pojęciem „wdrożenia RODO” u danego podmiotu. Nie ulega jednak wątpliwości, że korekta (czasami nawet bardzo znacząca) dotychczasowych procedur, obowiązków informacyjnych i dokumentacji jest konieczna. Nigdy bowiem nie wiemy, kiedy dopadnie nas współadministrowanie według TSUE…

RODO

Co powinna zawierać zgoda na przetwarzanie danych?

Zgoda musi być dobrowolna, świadoma, wyodrębniona od innych oświadczeń, możliwa do wycofania itd. To znamy. Wiadomo, że zgoda to najsłabsza podstawa przetwarzania danych osobowych, bo w każdej chwili może być wycofana. Dużo mówi się o tym, jaka powinna być zgoda, ale niewiele o tym, co powinna zawierać, a to jest równie istotne jak sama forma i sposób odebrania zgody.

  1. Oznaczenie administratora

Na pewno w treści zgody należy wskazać kim jest administrator. Bez tego elementu zgoda nie może być uznana za ważną, gdyż brak oznaczenia administratora skutkuje tym, że podmiot danych nie wie, komu udziela zgody. Minimalnie powinna zostać wskazana firma administratora (w przypadku przedsiębiorcy), a zatem w przypadku osoby fizycznej  jej imię i nazwisko (plus oznaczenie działalności gospodarczej, gdyż czasem te dwie kwestie się „rozjeżdżają”) a przy pozostałych podmiotach (osobach prawnych i ułomnych osobach prawnych) firma z rejestru. Dodatkowo można wskazać również adres albo inne elementy oznaczające np. numer NIP lub numer KRS.

2. Wskazanie celu przetwarzania danych.

Bez wskazania celu zgoda również nie jest ważna. Cel przetwarzania to niezwykle ważny element, gdyż podmiot danych, udzielając zgody, musi być świadomy nie tylko tego, komu udziela zgodę, ale również po co to robi. Należy przy tym pamiętać o zasadzie: „jedna zgoda = jeden cel” – nie można bowiem odbierać jednej zgody na kilka różnych celów, gdyż stanowiłoby to zaprzeczenie dobrowolności zgody.

3. Wskazanie zakresu danych

Patrząc na niektóre przykłady zgód z poradników PUODO, można się zastanowić, czy wymóg wskazania zakresu danych jest rzeczywiście konieczny. Niewątpliwie zgoda jest bezwzględnie nieważna, gdy nie zawiera oznaczenia administratora oraz wskazania celu przetwarzania danych. Co do wskazania zakresu danych na rynku widać różne podejście, jednak prawidłowe formułowanie zgód – zgodnie z zaleceniami Grupy Roboczej art. 29 powinno zawierać zakres danych. Podmiot danych powinien być świadomy zatem tego, które z jego danych osobowych konkretny administrator będzie wykorzystywał w konkretnych celach.

4. Pouczenie o prawie do wycofania zgody

Podmiot danych udzielający zgody ma prawo do jej wycofania w każdym czasie. Wycofanie zgody musi być równie łatwe jak jej wyrażenie. W naszej ocenie pouczanie podmiotu danych o prawie do wycofania zgody, jeśli o takim prawie pouczono już przy okazji realizacji obowiązku informacyjnego, wydaje się nadmiarowe. Mimo to – dla bezpieczeństwa – lepiej ponownie zawrzeć w formularzu zgody takie oświadczenie, gdyż wskazuje na to Grupa Robocza art. 29. Należy przy tym pamiętać o dodaniu fragmentu, że wycofanie zgody nie wpływa na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej wycofaniem.

5. Dodatkowe informacje – równie ważne!

Dodatkowo – w przypadkach, w których jest to wymagane – w formularzu zgody powinna znaleźć się również informacja o wykorzystywaniu danych do decyzji opartych jedynie na zautomatyzowanym przetwarzaniu, w tym profilowaniu, a także (przy transferach danych) informacja o możliwych zagrożeniach (ryzyku, braku decyzji Komisji) przy przekazywaniu danych do państw trzecich.