Table of Contents

Czy konieczne jest zawarcie umowy między administratorami, którzy nie są współadministratorami?

Jeśli dane osobowe są wymieniane między firmami lub jeśli dwie lub więcej firm korzysta ze wspólnej puli danych, co często występuje w konstelacjach grupowych, RODO reguluje dwie konstelacje przypadków: podmiot przetwarzający (art. 28 RODO) i współadministratorzy (art. 26 RODO).

Spółka jest podmiotem przetwarzającym (definicja w art. 4 nr 8 RODO), jeśli przetwarza dane osobowe na potrzeby administratora zgodnie z instrukcjami. W tym przypadku RODO przewiduje, że administrator i podmiot przetwarzający zawierają umowę, której elementy są wymienione w art. 28 ust. 1 RODO. 28 par. 3 RODO.

Jeśli obie firmy realizują również własne cele lub jeśli nie są związane instrukcjami, wówczas obie firmy są administratorami w rozumieniu art. 4 ust. 7 RODO. 4 nr 7 RODO. Mogą one jednak ponosić wspólną odpowiedzialność jako tzw. współadministratorzy. W przypadku współadministratorów zawarcie odpowiedniej umowy jest obowiązkowe zgodnie z art. 26 RODO. 26 RODO. Współadministrowanie zgodnie z art. 26 ust. 1 RODO istnieje, jeśli dwóch lub więcej administratorów wspólnie określa cele i sposoby przetwarzania.

Jeżeli natomiast dwóch lub więcej administratorów nie określa wspólnie celów i sposobów przetwarzania, art. 26 RODO nie ma zastosowania. 26 RODO nie ma zastosowania. Ustawodawca widzi raczej w tym przypadku konstelację dwóch lub więcej administratorów, którzy uzyskują dostęp do danych osobowych lub ujawniają je sobie nawzajem bez uzgodnień umownych. Oczywiście każdy administrator musi być upoważniony do przetwarzania danych osobowych zgodnie z prawem o ochronie danych, czyli posiadać odpowiednią podstawę prawną.

Niemniej jednak, może mieć sens, aby (nie wspólnie) kontrolujące spółki dobrowolnie umieściły wspólne wykorzystywanie danych na podstawie umowy i zawarły tak zwaną umowę administrator-kontroler.  Poniżej wyjaśnię, że może to mieć wiele zalet w odniesieniu do spełnienia wymogów RODO.

Zalety umowy o udostępnianiu danych

Umowa między administratorem a administratorem dotycząca udostępniania danych:

  • Pomaga zaangażowanym administratorom jasno określić ich role;
  • Określa cel udostępniania danych;
  • Określa, co dzieje się z danymi na każdym etapie; oraz
  • Ustanawia standardy (w tym w odniesieniu do środków technicznych i organizacyjnych, które należy wdrożyć).

Umowa między różnymi administratorami danych uzasadnia zatem jednocześnie udostępnianie danych i wykazuje, że odpowiednie aspekty zgodności są przestrzegane i udokumentowane. W szczególności nie należy lekceważyć tego aspektu, zwłaszcza, że taka umowa między administratorem a administratorem danych może stanowić pozytywny argument na korzyść administratora danych w kontekście wyważenia interesów zgodnie z art. 6 ust. 1 lit. f) RODO (test wyważenia interesów). 6 ust. 1 lit. f) RODO (test wyważenia).

W ten sposób umowa między administratorem a administratorem danych o udostępnianiu danych stanowi ramy, które pomagają spełnić wymogi RODO, a w szczególności sformułowane w nim zasady ochrony danych. W związku z tym wyraźnie zaleca się zawarcie umowy między administratorem a administratorem, nawet między dwoma (niepołączonymi) administratorami.

Co powinno zostać zawarte w takiej umowie?

W umowie powinny zostać zawarte zapisy, które odpowiadają na poniższe pytania:

  • Kim są strony umowy i kto jest administratorem danych?

Umowa między administratorem a administratorem powinna określać, kto jest administratorem na każdym etapie, w tym po udostępnieniu.

  • Jaki jest cel udostępniania danych?

Umowa o udostępnianiu danych powinna wyjaśniać, jakie są konkretne cele i dlaczego udostępnianie danych jest konieczne do osiągnięcia tych celów, a także wyjaśniać wynikające z tego korzyści. Ważne jest, aby wszystkie strony miały całkowitą jasność co do celów, dla których mogą udostępniać dane.

  • Jakie inne firmy lub organizacje będą zaangażowane w udostępnianie danych?

Umowa między administratorem a administratorem danych powinna jasno określać wszystkie podmioty, które będą zaangażowane w udostępnianie danych i zawierać dane kontaktowe inspektora ochrony danych lub wyznaczonej osoby kontaktowej odpowiedzialnej za udostępnianie danych oraz innych kluczowych osób kontaktowych. W stosownych przypadkach umowa między administratorem a administratorem danych (np. w środowisku grupowym) powinna obejmować mechanizm umowny umożliwiający włączenie dodatkowych podmiotów lub postępowanie w przypadkach, w których podmiot musi zostać wykluczony z udostępniania danych.

  • Jakie elementy danych będą udostępniane?

Umowa między administratorem a administratorem powinna określać rodzaje danych, które będą udostępniane. Specyfikacja ta może być bardzo szczegółowa, ponieważ w niektórych przypadkach właściwe może być udostępnienie tylko niektórych informacji o danej osobie i pominięcie innych, bardziej wrażliwych danych na jej temat. Ponadto właściwe może być przypisanie „uprawnień” do niektórych danych, tak aby tylko niektórzy pracownicy lub pracownicy w określonych rolach mieli do nich dostęp (na przykład pracownicy w określonych działach lub pracownicy, którzy przeszli odpowiednie szkolenie).

  • Jaka jest nasza podstawa prawna do udostępniania danych?

Musi istnieć zgodna z prawem podstawa do udostępniania danych. Należy zauważyć, że podstawa prawna dla jednej strony może nie być taka sama jak dla drugiej strony. Jeśli dane są przetwarzane w oparciu o zgodę jako podstawę prawną, umowa między administratorem a administratorem powinna zawierać wzór zgody jako załącznik. Należy również wyjaśnić procesy związane z odmową lub wycofaniem zgody. W każdym przypadku należy wskazać podstawę prawną, na podstawie której dane mogą zostać ujawnione. Dotyczy to w szczególności przetwarzania szczególnych kategorii danych osobowych zgodnie z art. 9 i 10 RODO. 9 i 10 RODO.

  • A co z dostępem i indywidualnymi prawami?

Procesy i obowiązki związane z przestrzeganiem praw osób, których dane dotyczą, zgodnie z art. 12 i nast. 12 i nast. RODO (prawo dostępu, prawo do sprzeciwu, prawo do usunięcia i sprostowania danych itp. W umowie między administratorem danych a administratorem należy jasno określić, że wszystkie strony pozostają odpowiedzialne za przestrzeganie praw osób, których dane dotyczą, nawet jeśli zdefiniowano procesy określające, kto spośród stron ma przejąć określone zadania.

  • Jakie powinny być ustalenia dotyczące zarządzania?

Umowa między administratorem a administratorem powinna również uwzględniać kluczowe kwestie praktyczne, które mogą pojawić się podczas udostępniania danych osobowych. Należy wprowadzić odpowiednie ustalenia w celu zapewnienia, że wszystkie strony:

  • Posiadają szczegółowe informacje na temat zestawów danych, które mogą udostępniać, aby zapobiec ujawnianiu nieistotnych lub nadmiernych informacji;
  • Dane, które udostępniają, są dokładne, np. poprzez pobieranie próbek lub analizę jakości danych;
  • przechowują dane w tym samym formacie, przestrzegając w miarę możliwości otwartych standardów. Umowa między administratorem a administratorem może zawierać przykłady tego, w jaki sposób niektóre elementy danych, takie jak daty urodzenia, powinny być rejestrowane lub konwertowane;
  • Stosowanie wspólnych, rozsądnych zasad zatrzymywania i usuwania udostępnionych danych oraz istnienie procesu postępowania w przypadkach, w których różni administratorzy mogą być zmuszeni do przestrzegania różnych prawnych lub technicznych okresów zatrzymywania lub usuwania danych;
  • Posiadają wspólne zabezpieczenia techniczne i organizacyjne, w tym procedurę szybkiego ścigania naruszeń obowiązków przez którąkolwiek ze stron;
  • odpowiednio przeszkolili swoich pracowników i są świadomi swoich obowiązków w zakresie wszystkich udostępnianych danych, do których mają dostęp;
  • Wdrożyć lub przestrzegać procesów dotyczących zapytań, skarg i wniosków od organów nadzorczych dotyczących osób, których dane dotyczą;
  • przestrzegają procesu audytu uzgodnionych polityk i procesów; oraz
  • są świadomi zakończenia współpracy, w tym usunięcia udostępnionych danych lub ich zwrotu stronie, która pierwotnie je dostarczyła.

Jakie inne szczegóły można zawrzeć w umowie między administratorem a administratorem?

Pomocne jest, jeśli umowa między kontrolerem a kontrolerem zawiera załącznik lub załącznik zawierający następujące informacje:

  •  
  • Podsumowanie kluczowych wymogów ustawowych i innych wymogów prawnych, np. odpowiednie sekcje RODO; przepisy, które stanowią podstawę prawną do udostępniania danych; linki do autorytatywnych wytycznych zawodowych;
  • Wzór formularza do uzyskiwania zgody od osób fizycznych na udostępnianie danych, gdy jest to podstawa prawna;
  • narzędzia do podejmowania decyzji o tym, czy określone dane mogą być udostępniane;
  • W stosownych przypadkach, formularz wniosku o udostępnienie danych i formularz decyzji o udostępnieniu danych.

Umowa między administratorem a administratorem danych powinna być okresowo weryfikowana, zwłaszcza jeśli zmienią się okoliczności lub powody udostępniania danych. Skargi od osób, których dane dotyczą lub incydenty związane z prywatnością danych również powinny być zawsze powodem do przeglądu umowy administrator-administrator.

Podsumowanie

  • W przypadkach, w których firmy stale korzystają ze wspólnych danych, nie będąc współadministratorami, zaleca się zawarcie umowy administrator-administrator.
  • Umowa między administratorem a administratorem danych określa cel udostępniania danych, reguluje, co dzieje się z danymi na każdym etapie przetwarzania, ustanawia standardy oraz zapewnia jasność i przejrzystość dla wszystkich stron zaangażowanych w udostępnianie danych, w zakresie ról i obowiązków zaangażowanych stron.
  • Dzięki umowie między administratorem a administratorem można wykazać, że wypełnia się obowiązki w zakresie rozliczalności wynikające z RODO.
  • Umowa między administratorem a administratorem danych powinna być również regularnie weryfikowana.

Jeśli potrzebujesz więcej informacji, skontaktuj się z nami.

KONTAKT
Der richtige Weg zum Beratungsgespräch