Współadministratorzy (art. 26 RODO)

Osobę fizyczną lub prawną, która wpływa dla własnych celów na przetwarzanie danych osobowych i z tego powodu uczestniczy w ustalaniu celów i sposobów tego przetwarzania, można uznać za administratora w rozumieniu art. 4 pkt 7 RODO (zob. analogicznie wyrok z dnia 10 lipca 2018 r., Jehovan todistajat, C-25/17). W związku z tym zgodnie z art. 26 ust. 1 RODO, jeżeli co najmniej dwóch administratorów wspólnie ustala cele i sposoby przetwarzania, to są oni „współadministratorami” (wyrok z dnia 5 grudnia 2023 r., Nacionalinis visuomenės sveikatos centras, C-683/21).

O ile każdy współadministrator musi odpowiadać zawartej w art. 4 pkt 7 RODO definicji „administratora” w sposób niezależny, o tyle istnienie wspólnej odpowiedzialności niekoniecznie przekłada się na jednakową odpowiedzialność różnych podmiotów w zakresie tego samego przetwarzania danych osobowych. Wręcz przeciwnie, podmioty te mogą być zaangażowane na różnych etapach tego przetwarzania i w różnym stopniu, tak że poziom odpowiedzialności każdego z nich należy oceniać przy uwzględnieniu wszystkich istotnych okoliczności danego przypadku. Ponadto wspólna odpowiedzialność kilku podmiotów w zakresie tego samego przetwarzania na mocy tego przepisu nie wymaga, by każdy z nich miał dostęp do odnośnych danych osobowych (zob. analogicznie wyrok z dnia 10 lipca 2018 r., Jehovan todistajat, C-25/17).

Udział w ustalaniu celów i sposobów przetwarzania może przybierać różne formy, ponieważ udział ten może wynikać zarówno ze wspólnej decyzji podjętej przez co najmniej dwa podmioty, jak i ze zbieżnych decyzji takich podmiotów. W tym ostatnim przypadku wspomniane decyzje powinny uzupełniać się w taki sposób, aby każda z nich miała konkretny wpływ na ustalenie celów i sposobów przetwarzania. Natomiast nie można wymagać, aby między tymi administratorami istniały formalne uzgodnienia co do celów i sposobów przetwarzania (wyrok z dnia 5 grudnia 2023 r., Nacionalinis visuomenės sveikatos centras, C-683/21).

Osobę fizyczną lub prawną można uznać za współadministratora w odniesieniu do operacji przetwarzania danych osobowych tylko wtedy, gdy wspólnie ustala ona jego cele i sposoby. W związku z tym, bez uszczerbku dla ewentualnej odpowiedzialności cywilnej przewidzianej w tym względzie przez prawo krajowe, takiej osoby fizycznej lub prawnej nie można uznać za administratora w rozumieniu wspomnianych przepisów w odniesieniu do wcześniejszych lub późniejszych operacji łańcucha przetwarzania, których celów ani sposobów ona nie ustala (zob. analogicznie wyrok z dnia 29 lipca 2019 r., Fashion ID, C-40/17).

Mając na względzie powyższe, art. 4 pkt 7 i art. 26 ust. 1 RODO należy interpretować w ten sposób, że:

–        po pierwsze, organizację sektorową – w zakresie, w jakim proponuje ona swoim członkom ustanowiony przez siebie zbiór reguł dotyczących zgody na przetwarzanie danych osobowych, zawierający nie tylko wiążące reguły techniczne, lecz również reguły szczegółowo określające warunki przechowywania i rozpowszechniania danych osobowych dotyczących tej zgody – należy uznać za „współadministratora” w rozumieniu tych przepisów, jeżeli w świetle szczególnych okoliczności danego przypadku wpływa ona dla własnych celów na odnośne przetwarzanie danych osobowych i z tego powodu ustala, wspólnie ze swoimi członkami, cele i sposoby takiego przetwarzania; okoliczność, że taka organizacja sektorowa sama nie ma bezpośredniego dostępu do danych osobowych przetwarzanych zgodnie ze wspomnianymi regułami przez jej członków, nie stoi na przeszkodzie możliwości uznania jej za współadministratora w rozumieniu owych przepisów;

–        po drugie, wspólna odpowiedzialność wspomnianej organizacji sektorowej nie rozciąga się automatycznie na dalsze przetwarzanie danych osobowych przez osoby trzecie, takie jak dostawcy stron internetowych lub aplikacji, w odniesieniu do informacji o preferencjach użytkowników do celów ukierunkowanej reklamy internetowej.

Wyrok TSUE z dnia 7 marca 2024 r., C-604/22

Standard: 84017 (pełna treść orzeczenia)

Z art. 26 ust. 1 RODO wynika, że odpowiednie obowiązki współadministratorów przetwarzania danych osobowych niekoniecznie zależą od istnienia uzgodnień między różnymi administratorami (zob. podobnie wyrok z dnia 5 grudnia 2023 r., Nacionalinis visuomenės sveikatos centras, C-683/21), ale mogą wynikać z prawa krajowego.

Z jednej strony, że wystarczy, by jedna osoba wpływała dla własnych celów na przetwarzanie danych osobowych i z tego względu brała udział w ustalaniu celów i sposobów tego przetwarzania, aby mogła zostać uznana za współadministratora, a po drugie, że wspólna odpowiedzialność kilku podmiotów za to samo przetwarzanie nie zakłada, że każdy z nich ma dostęp do odnośnych danych osobowych (zob. podobnie wyrok z dnia 5 grudnia 2023 r., Nacionalinis visuomenės sveikatos centras, C-683/21).

Zgodnie z art. 26 ust. 1 w związku z art. 4 pkt 7 RODO wspólną odpowiedzialność kilku podmiotów w łańcuchu przetwarzania tych samych danych osobowych można ustanowić w prawie krajowym, o ile różne operacje przetwarzania są powiązane celami i sposobami określonymi w tym prawie i o ile prawo to określa odpowiednie obowiązki każdego ze współadministratorów.

Takie określenie celów i środków łączących różne operacje przetwarzania dokonywane przez kilku uczestników łańcucha, a także odpowiednich obowiązków może być dokonywane nie tylko w sposób bezpośredni, lecz również w sposób pośredni przez prawo krajowe, pod warunkiem że w tym ostatnim przypadku można je wywieść w sposób wystarczająco wyraźny z przepisów prawa odnoszących się do danych osób lub podmiotów, jak również regulujących przetwarzanie danych osobowych, którego dokonują one w ramach określonego przez to prawo łańcucha przetwarzania.

Wyrok TSUE z dnia 11 stycznia 2024 r., C-231/22

Standard: 84094 (pełna treść orzeczenia)