Krótki traktat o współadministrowaniu

Współadministrowanie danymi osobowymi nie jest nowością w prawie ochrony danych osobowych, ale dopiero teraz zaczyna stanowić niemały problem dla administratorów. W tym – obszerniejszym niż dotychczas – wpisie postaramy się przybliżyć instytucję współadministrowania i ewolucję interpretacji tego pojęcia począwszy od wąskiego rozumienia po szerokie, które obecnie jest stosowane.

Współadministrowania nie ma, ale jednak jest

W Dyrektywie 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych próżno szukać terminu „współadministrowanie”, co jednak nie oznacza, że instytucja współadministrowania nie istniała na gruncie tego aktu prawnego. Zgodnie z pierwszym członem definicji znajdującej się pod art. 2 lit. d Dyrektywy 95/46/WE administrator oznaczał osobę fizyczną lub prawną, władzę publiczną, agencję lub inny organ, który samodzielnie lub wspólnie z innymi podmiotami określa cele i sposoby przetwarzania danych. „Samodzielność” lub „wspólność” określania celów i sposobów przetwarzania danych pozwalała wyróżnić sytuację pojedynczego administratora od współadministrowania. Powszechnie panuje zgodność, że Dyrektywa 95/46/WE regulowała (choć szczątkowo) instytucję współadministrowania, choć dopiero RODO wprowadziło w tym zakresie szerszą regulację.

Współadministrowanie jest, ale występuje rzadko

Wejście w życie, a następnie realne rozpoczęcie obowiązywania RODO nie zmieniło w zasadniczy sposób definicji współadministrowania, ale na pewno dookreśliło obowiązki administratorów. Definicja administratora z RODO co do zasady nie różni się zbytnio od definicji z Dyrektywy 95/46/WE. Zgodnie z art. 4 pkt 7 RODO administrator oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych. „Samodzielność” lub „wspólność” ustalania celów i sposobów przetwarzania danych nadal pozostaje istotą definicji administratora, co ewidentnie wskazuje, że oprócz modelu pojedynczego (odrębnego) administratora może istnieć również współadministrowanie.

RODO nie poprzestaje jednak na definicji ze słowniczka pojęć. Instytucja współadministrowania została uregulowana w art. 26 RODO. W zdaniu pierwszym art. 26 ust. 1 RODO tak naprawdę powtórzono definicję z art. 4 pkt 7, gdyż wskazano, że  „jeżeli co najmniej dwóch administratorów wspólnie ustala cele i sposoby przetwarzania, są oni współadministratorami”. Wydaje się, że to zdanie stanowi tylko zbędne superfluum, gdyż sama definicja administratora z art. 4 pkt 7 RODO wystarcza do przyjęcia, że RODO przewiduje współadministrowanie właśnie w takiej postaci (wspólnego ustalania celów i sposobów przetwarzania). Jedynym „dodatkiem” do definicji jest dookreślenie, że do współadministrowania potrzeba co najmniej dwóch administratorów (co z drugiej strony wynika z podstawowych zasad logiki).

RODO przewiduje zarówno ustalenia jak i uzgodnienia między współadministratorami. Ustalenia dotyczą celów i sposobów przetwarzania, a uzgodnienia dotyczą określenia między współadministratorami swojej odpowiedzialności wobec wypełniania obowiązków wynikających z RODO.

Co tak naprawdę oznacza współadministrowanie, gdyby patrzeć na to tylko przez pryzmat art. 26 RODO i czystej wykładni literalnej? Wydaje się, że oznacza ono sytuacje, gdy przynajmniej dwa podmioty będące administratorami wspólnie, tj. w drodze wspólnych ustaleń określają cele i sposoby przetwarzania. Współadministrowanie jest przy tym czymś faktycznym czyli czymś, co po prostu zachodzi – nie da się stworzyć współadministrowania przy pomocy umowy czy innego instrumentu prawnego; jeżeli jakaś relacja biznesowa czy organizacyjna między podmiotami oznacza wspólne ustalanie celów i sposobów przetwarzania, to jest współadministrowaniem ze swojej istoty.

Czym są zatem cele i sposoby przetwarzania? Cel jest tym, co administrator chce osiągnąć, przetwarzając dane. Nie można przetwarzać bez celu. Sposoby to natomiast metody przetwarzania. RODO przy współadministrowaniu nie mówi o tym, że cele i sposoby mają być wspólne dla każdego ze współadministratorów. Wspólne mają być jedynie ustalenia w przedmiocie tych celów i sposobów, co pozwala wnioskować, że cele i sposoby mogą być niejednorodne np. administrator pierwszy może realizować 5 celów, a administrator drugi jedynie 3 cele z tych 5, a co więcej  może robić to w inny sposób – ważne, aby te ustalenia, co do sposobów i celów były wspólne. W ujęciu modelowym, administratorzy powinni po prostu wspólnie „usiąść” i ustalić wspólność celów i sposobów przy projektowaniu danego procesu. Najczęściej to „wspólne siedzenie” zachodzi po prostu automatycznie (współadministrowanie w końcu powstaje ze swojej istoty a nie w drodze ustaleń prawnych), a dopiero potem dochodzi do udokumentowania i dookreślenia obowiązków i ustaleń współadministratorów. Innymi słowy – RODO nie wymaga, aby cele i sposoby przetwarzania były identyczne dla każdego ze współadministratorów ani aby się pokrywały (tak: M. Sakowska-Baryła, Komentarz do art. 26 [w:] Ogólne rozporządzenie o ochronie danych osobowych. Komentarz, pod red. M. Sakowskiej-Baryły, Warszawa 2018, Legalis). Takie rozumienie współadministrowania nie było jednak powszechnie. Niektórzy autorzy zakładali, że aby doszło do współadministrowania powinna istnieć jakaś wspólnota celów. Dla przykładu: w komentarzu „Ogólne rozporządzenie o ochronie danych. Ustawa o ochronie danych osobowych” pod red. prof. Pawła Fajgielskiego (Warszawa 2018) zasugerowano, że realizacja innych celów i samodzielne decydowanie o przetwarzaniu danych oznacza, że podmioty należy uznać na odrębnych administratorów, a nie współadministratorów. Należałoby jednak przychylić się do pierwszego z zaproponowanych poglądów i uznać, że nie musi dochodzić do wspólnoty celów i sposobów czy też do ich pokrywania się.

Do czego takie przyjęcie pojęcia współadministrowania prowadzi w praktyce? Otóż można przyjąć, że współadministrowanie stanowi sytuację, gdy nawet dwa różne podmioty, które w stosunku do tych samych danych osobowych mogą mieć różne cele i sposoby przetwarzania (choć jednak między celami powinno nastąpić choć minimalne powiązanie) wspólnie ustalają te cele i sposoby, a zatem są świadome tego, jak nawzajem „obchodzą” się z tymi danymi. Temu właśnie mają służyć wspólne uzgodnienia, o których mowa w art. 26 ust. 1 RODO. Udokumentowanie tych uzgodnień jest konieczne z uwagi na zasadę rozliczalności. Najczęściej do udokumentowania dochodzi poprzez zawarcie tzw. umowy o współadministrowanie. Takie rozumienie współadministrowania oznaczałoby zatem, że nie będzie dochodzić do niego często, a w zasadzie współadministrowanie będzie wyjątkiem od stosunku relacji administrator – administrator (ADO-ADO) polegającej na udostępnianiu danych osobowych przez jednego administratora drugiemu (odbiorcy). Typowym przykładem współadministrowania będzie zatem relacja spółek w grupie kapitałowej/holdingu w stosunku do tej samej bazy danych klientów lub pracowników, gdy będzie dochodzić do wspólnego ustalenia celów i sposobów przetwarzania. Ponadto można w niektórych przypadkach przyjąć współadministrowanie spółki i jej oddziału, gdy ten oddział może mieć przyznany status administratora (więcej pisaliśmy o tym problemie w artykule „Czy oddział spółki jest administratorem danych osobowych?”).

Na rzadkość występowania współadministrowania wskazał choćby mec. Maciej Gawroński w publikacji „Ochrona danych osobowych. Przewodnik po ustawie i RODO z wzorami” (Warszawa 2018). Ten sam autor nadmienia również, że „ze względów praktycznych raczej warto unikać zakwalifikowania relacji między dwoma (lub więcej) podmiotami jako współadministrowania i lepiej szukać rozdzielnych obszarów, gdzie jedni są administratorami, a drudzy przetwarzającymi”. Oczywiście takie założenie byłoby najwygodniejsze dla administratorów, jednak skoro do współadministrowania dochodzi po prostu z uwagi na zaistnienie konkretnych faktów i okoliczności (ze swojej istoty), to nie sposób po prostu „uniknąć współadministrowania” (chyba że doszłoby do znaczącej zmiany procesów i relacji między podmiotami, co często wymagałoby wysokich kosztów i znacznych nakładów organizacyjnych).

Swego rodzaju rewolucję w rozumieniu pojęcia współadministrowania wprowadziły trzy wyroki Trybunału Sprawiedliwości Unii Europejskiej.

Współadministrowanie jest i jest rozumowane szeroko

„Triada wyroków TSUE”, bo tak należałoby nazwać te orzeczenia, które są omawiane wszem i wobec przy okazji współadministrowania, wprowadziła dużo konsternacji przy rozumieniu współadministrowania i zmusiła rynek to ponownego przemyślenia projektowania i zakwalifikowania swoich procesów przetwarzania.

Wyrok w sprawie Wirtschaftsakademie

Chronologicznie pierwszy z wydanych wyroków, tj. wyrok TSUE z 5 czerwca 2018 r. w sprawie C-210/16 (Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein przeciwko Wirtschaftsakademie Schleswig-Holstein GmbH) dotyczył sytuacji, w której TSUE musiał odpowiedzieć na pytanie czy administrator fanpage na Facebooku jest administratorem danych osobowych osób, które korzystają z tego fanpage. W tej sprawie istotne było to, że Wirtschaftsakademie świadczy usługi kształcenia przy użyciu fanpage na Facebooku. Wiemy, że wielu przedsiębiorców nie ma „klasycznej” strony internetowej, a swoje usługi reklamuje jedynie przy pomocy mediów społecznościowych, w tym Facebooka. Ten, kto ma fanpage, wie, że istnieje możliwość uzyskania danych statystycznych dotyczących osób, które odwiedzają fanpage. Jest to tzw. funkcja Facebook Insights. Te dane są gromadzone oczywiście przy pomocy plików cookies. Problem w omawianej sprawie polegał na tym, że ani Wirtschaftsakademie ani Facebook (Facebook Ireland Ltd) nie informowały użytkowników o zbieraniu danych przy pomocy plików cookies. Skutkiem skargi było wydanie przez niemiecki organ nadzorczy decyzji nakazującej Wirtschaftsakademie dezaktywację fanpage.

Co powiedział TSUE? W pierwszej kolejności doszło do wyraźnego wskazania, że Facebook (TSUE niewątpliwie wskazał zarówno na Facebook Inc. oraz Facebook Ireland Ltd) jest administratorem zbieranych danych. Szersze rozważania dotyczyły natomiast roli Wirtschaftsakademie. TSUE w pkt 35 uzasadnienia wyroku poczynił uwagę, która właściwie jest esencją tego orzeczenia: samo korzystanie z portalu społecznościowego np. z Facebooka nie czyni od razu z użytkownika podmiotu odpowiedzialnego za przetwarzanie danych, ale administrator fanpage prowadzonego na Facebooku, tworząc taką stronę, daje Facebookowi możliwość zapisania plików cookies na komputerze lub na każdym innym urządzeniu osoby odwiedzającej jego fanpage bez względu na to, czy ta osoba posiada konto na Facebooku czy też nie. Administrator fanpage odnosi zatem niewątpliwą korzyść gospodarczą z założenia i utrzymywania fanpage, gdyż ma możliwość – przy pomocy zanonimizowanych statystyk – tak umieszczać swoje wpisy na tablicy, żeby dotarły one do jak najszerszego grona odbiorców (czas publikowania wpisów, grupa docelowa itd.). Jednocześnie fakt zanonimizowania danych osób odwiedzających fanpage nie ma tu nic to rzeczy – administrator nie musi bowiem mieć dostępu do danych, żeby być administratorem. Ustalanie celów i sposobów przetwarzania nie wymaga posiadania dostępu do danych.

Jednocześnie odpowiedzialność Wirtschaftsakademie oraz Facebooka w tej sprawie nie jest jednakowa (choć jest wspólna). TSUE wyraźnie zaznacza w pkt 43 uzasadnienia wyroku: „(…) istnienie wspólnej odpowiedzialności niekoniecznie przekłada się na jednakową odpowiedzialność różnych podmiotów zaangażowanych w przetwarzanie danych osobowych. Wręcz przeciwnie, podmioty te mogą być zaangażowane na różnych etapach tego przetwarzania i w różnym stopniu, tak że poziom odpowiedzialności każdego z nich należy oceniać przy uwzględnieniu wszystkich istotnych okoliczności danej sprawy”.

Co oznacza ten wyrok? Nie pada w jego treści ani razu słowo „współadministrowanie”, ale jest to zrozumiałe, gdyż wyrok jest wydany w oparciu o Dyrektywę 95/46, gdzie takiego pojęcia wprost nie było. Wspólne ustalanie celów i sposobów jest jednak definicją współadministrowania, a zatem nie można mieć wątpliwości, że właśnie o nie chodziło TSUE. Po wydaniu omawianego wyroku pojawiły się wprawdzie poglądy, że ten wyrok nie dotyczy w ogóle współadministrowania, tylko ustalenia wspólnej odpowiedzialności dwóch odrębnych administratorów (tak mec. Maciej Gawroński w artykule „Fanpage na Facebooku a ochrona danych osobowych – wyrok TSUE w sprawie C-210/16, Magazyn ODO nr 5), jednak nie można pomijać, że w treści uzasadnienia wyroku TSUE wielokrotnie wskazuje na definicję administratora oraz na jej element dotyczący współadministrowania. Ponadto w pkt 31 uzasadnienia wyroku TSUE zadaje pytanie (na które dalej udziela obszernej odpowiedzi) co do zakresu wspólnego określenia celów i sposobów przetwarzania danych przez Facebook i administratora fanpage.

Można zatem – według TSUE – być współadministratorem, ale nie ustalać wspólnych celów i sposobów przetwarzania, a nawet nie dokonywać wspólnych wyraźnych ustaleń. Trudno sobie bowiem wyobrazić administratora fanpage i przedstawicieli Facebooka, którzy wspólnie ustalają cele i sposoby przetwarzania. Ta „wspólność” ustalania celów i sposobów jest tutaj bardzo ulotna, trudna do dostrzeżenia, a właściwie wręcz niedostrzegalna – stąd ten wyrok wywołał tyle kontrowersji. Trudno bowiem przyjąć, że w takiej konfiguracji i przy takim rozłożeniu sił ekonomicznych możliwe byłoby np. zawarcie umowy o współadministrowanie. Łatwiej w praktyce byłoby przyjąć, że relacja pomiędzy administratorem fanpage a Facebookiem jest zwykłą relacją ADO – ADO. Można nawet próbować argumentować, że Facebook jest administratorem, podczas gdy administrator fanpage jest procesorem, jednak faktycznie nie sposób pomijać, że administrator fanpage korzysta z danych w Facebook Insights w celach realizacji własnych korzyści gospodarczych, a zatem ma swoje cele odrębne od celów Facebooka. Relacja ADO – ADO byłaby zatem najbardziej intuicyjna. TSUE jednak nie ukrywa tego, że celem takiej a nie innej wykładni była ochrona praw osób, których dane dotyczą. Dlatego ten wyrok potwierdza jedynie praktykę TSUE polegającą na ochronie podmiotów danych kosztem i tak już nikłych praw administratorów.

Wyrok w sprawie Świadków Jehowy

W wyroku z dnia 10 lipca 2018 r. (C-25/17) TSUE rozważał status członków wspólnoty Świadków Jehowy oraz samej wspólnoty jako administratorów danych osobowych. Wyrok wydany został w oparciu o Dyrektywę 96/45. W ramach działalności kaznodziejskiej członkowie wspólnoty Świadków Jehowy odwiedzają kolejne gospodarstwa domowe i sporządzają notatki o złożonych wizytach. Zgromadzone dane często obejmują nazwiska i adresy odwiedzanych osób oraz informacje dotyczące ich przekonań religijnych i sytuacji rodzinnej. W omawianej sprawie zainteresowane osoby nie były proszone o wyrażenie zgody na przechowywanie tych danych ani nie były informowane o zbieraniu i przechowywaniu tych danych.

Z kolei sama wspólnota Świadków Jehowy w tej sprawie udzielała swoim członkom wytycznych dotyczących sporządzania notatek z wizyt, a także organizowała odwiedzanie kolejnych gospodarstw domowych poprzez opracowywanie map podziału obszarów pomiędzy członków. Co więcej, zbory wspólnoty Świadków Jehowy prowadziły listy osób, które oświadczyły, że nie życzą sobie wizyt członków głosicieli wspólnoty (tzw. „listy zakazów”).

TSUE w omawianym wyroku wskazał, że w niniejszej sprawie nie dochodziło do przetwarzania danych osobowych w trakcie czynności o czysto osobistym charakterze (przesłanka wyłączenia stosowania Dyrektywy). Czysto osobisty charakter należy bowiem oceniać z punktu widzenia działalności osoby, która przetwarza dane, a nie osoby, której dane są przetwarzane. Nie sposób zatem uznać, że działalność członków głosicieli czy też samej wspólnoty przy zbieraniu danych odwiedzanych osób miałaby sprowadzać się do czynności o czysto osobistym charakterze.

Kwestią, która jednak najbardziej nas interesuje z uwagi na instytucję współadministrowania, było rozstrzygnięcie, czy członków głosicieli oraz wspólnotę można uznać wspólnie za administratorów danych w odniesieniu do ich przetwarzania przez tych członków głosicieli w ramach działalności kaznodziejskiej. TSUE odpowiedział na to pytanie twierdząco. Oczywiście uzasadnieniem dla takiego przyjęcia było (podobnie jak w poprzednio omawianej sprawie) przyjęcie szerokiej wykładni pojęcia administratora oraz zapewnienie jak najpełniejszej ochrony praw osób fizycznych. W pkt 68 została sformułowana bardzo ważna uwaga, którą należy zacytować: „Natomiast osoba fizyczna lub prawna, która wpływa dla własnych interesów na przetwarzanie danych osobowych i uczestniczy z tego powodu w określeniu celów i sposobów tego przetwarzania, może być uznana za administratora danych w rozumieniu art., 2 lit. d) dyrektywy 95/46”. Ponownie zatem TSUE podkreśla element „własnych interesów”. Dalej TSUE potwierdza jedynie, że aby być administratorem lub ponosić wspólną odpowiedzialność w zakresie tego samego przetwarzania, wcale nie trzeba mieć dostępu do danych.

W pkt 73 uzasadnienia wyroku TSUE niewątpliwie określa członków wspólnoty oraz samą wspólnotę jako współadministratorów. Wspólnota koordynując, organizując i wspierając działalność kaznodziejską swoich członków uczestniczy wspólnie z tymi członkami w określaniu celów i sposobów przetwarzania danych osobowych odwiedzonych osób.

Wyrok TSUE w sprawie Świadków Jehowy bardzo często jest niedoceniany w kontekście współadministrowania. Tymczasem ten wyrok miał bardzo istotny wpływ na kształt rozstrzygnięcia i uzasadnienia wyroku TSUE ws. Fashion ID, który został omówiony poniżej. W wyroku w sprawie C-25/17 TSUE jeszcze dobitniej przybliża rozumienie wspólnego ustalania celów i sposobów przetwarzania danych. Brak dostępności do danych ze strony wspólnoty religijnej, a także brak wyraźnego i utrwalonego ustalenia celów i sposobów przetwarzania danych nie oznacza, że nie można przyjąć, iż dochodzi do współadministrowania. Ten wyrok ponownie potwierdza tendencję TSUE do przyjęcia szerokiego rozumienia pojęcia administratora i współadministrowania.

Wyrok w sprawie Fashion ID

Najważniejszy obecnie wyrok TSUE, który został wydany w przedmiocie współadministrowania i który chyba najbardziej wstrząsnął praktyką ochrony danych osobowych pochodzi z 29 lipca 2019 r. (C – 40/17).

Fashion ID jest spółką zajmującą się sprzedażą modnej odzieży online. Fashion ID umieściła na swojej stronie internetowej wtyczkę społecznościową „Lubię to” Facebooka. Ta okoliczność różni się od stanu faktycznego w sprawie Wirtschaftsakademie, gdyż w tamtym przypadku chodziło o fanpage, a nie o wtyczkę umieszczoną na stronie internetowej danego podmiotu.

Specyfikę „działania” przycisku „Lubię to” TSUE opisuje krótko w pkt 27 uzasadnienia wyroku. Dane osobowe osoby, która odwiedza stronę internetową Fashion ID – z uwagi na umieszczenie wtyczki społecznościowej – są przekazywane do Facebook Ireland. Co istotne – podobnie jak w sprawie Wirtschaftsakademie – TSUE podkreśla, że do przekazywania tych danych dotyczy zarówno przypadku osób, które mają konto na Facebooku, jak i tych, które takiego konta nie posiadają. Zarzut skierowany do Fashion ID dotyczył tego, że osoby, których dane dotyczą nie są informowane o pozyskiwaniu wyżej wskazanych danych oraz że nie zostały odebranie zgody od tych osób. Pytanie zatem sprowadzało się do tego czy Fashion ID może być administratorem danych osób przeglądających witrynę internetową z uwagi na zainstalowanie wtyczki społecznościowej, skoro przecież Fashion ID ma nikły wpływ (a w zasadzie nie ma żadnego wpływu) na przetwarzanie tych danych po przekazaniu ich do Facebooka.

TSUE po raz kolejny „obrał kurs” na szerokie rozumienie pojęcia administratora oraz ochronę praw podmiotów danych, a ponadto w uzasadnieniu wyroku wyraźnie odniósł się do dotychczasowego dorobku, tj. do obu wyżej omówionych spraw. W pkt 67 TSUE – powołując się na wyrok w sprawie Wirtschaftsakademie – wyraźnie wskazał, że pojęcie administratora nie musi odnosić się do jednego podmiotu, ale również do kilku podmiotów uczestniczących w przetwarzaniu. W pkt 70 z kolei Trybunał ponownie podkreślił, że nie trzeba mieć dostępu do danych, aby być administratorem (z odniesieniem do sprawy Świadków Jehowy).

W pkt 75 pojawia się jedna z najważniejszych tez w uzasadnieniu wyroku: „wydaje się, że poprzez umieszczenie w swojej witrynie internetowej przycisku <Lubię to> Facebooka Fashion ID umożliwia Facebook Ireland uzyskiwanie danych osobowych osób odwiedzających jej witrynę internetową, przy czym taka możliwość pojawia się od momentu wejścia na taką witrynę i to niezależnie od tego, czy owe osoby odwiedzające są członkami serwisu społecznościowego Facebook lub czy kliknęły na przycisk <Lubię to> Facebooka, lub też czy wiedziały o takiej operacji”. „Umożliwienie uzyskiwania danych osobowych” jest właściwie kluczem do zrozumienia motywacji rozstrzygnięcia TSUE. Trybunał uznał, że skoro to Fashion ID decyduje o umieszczeniu wtyczki Facebooka na swojej stronie internetowej, to jednocześnie umożliwia pozyskiwania danych Facebookowi. Na pierwszy rzut oka wydaje się jednocześnie, że Fashion ID nie ma żadnego wpływu na określanie celów i sposobów przetwarzania danych, jednak – zdaniem TSUE – poprzez sam fakt umieszczenia wtyczki Fashion ID wpływa w decydujący sposób na gromadzenie i przekazywanie danych osobowych osób odwiedzających stronę internetową na rzecz Facebooka. Dlatego Trybunał przyjmuje, że Facebook i Fashion ID wspólne określaną sposoby dokonywania operacji gromadzenia danych osobowych. Ponadto dochodzi także do wspólnego ustalenia celów przetwarzania, gdyż Fashion ID poprzez umieszczenie wtyczki może optymalizować reklamy jej produktów, co przekłada się na korzyść handlową Fashion ID (a zatem podobne rozumowanie jak w sprawie Wirtschaftsakademie). Skoro zatem zarówno Fashion ID, jak i Facebook mają interes gospodarczy w gromadzeniu tych danych i ich przetwarzaniu, to wspólnie określają cele przetwarzania. Na marginesie należy jedynie wspomnieć, że ten wyrok jest pierwszym spośród trzech omówionych, gdzie TSUE wprost (choć tylko jeden raz) używa pojęcia „współadministrator” (pkt 102 uzasadnienia wyroku).

TSUE jednak wyraźnie podkreśla, że odpowiedzialność Fashion ID jest ograniczona jedynie do operacji  lub do zestawu operacji przetwarzania, których cele i sposoby rzeczywiście określa (pkt 85 uzasadnienia wyroku). I właśnie to zdanie stanowi swoistą sprzeczność w rozumowaniu TSUE. Skoro dla przyjęcia współadministrowania musi zajść wspólne ustalenie sposobów i celów przetwarzania, to dlaczego TSUE jednocześnie podkreśla, że jest jakaś sfera, gdzie Fashion ID „rzeczywiście określa cele i sposoby”? Czy nie sugeruje to pewnego rozdzielenia ustalenia celów i sposobów? A jeśli tak, to gdzie w takim razie mowa o wspólności tych ustaleń?

Powyższe pytania nie są jedynymi, jakie wielu praktyków ochrony danych osobowych postawiło sobie po lekturze uzasadnienia tego wyroku. Jego krytyka odbiła się szerokim echem. W szczególności należałoby w tym miejscy wyróżnić publikację dr hab. Jana Byrskiego i Henryka Hosera „Social media oraz technologie umożliwiające śledzenie użytkowników Internetu a współadministrowanie danymi osobowymi” (dodatek MoP 21/2019). Autorzy stawiają bardzo trafny zarzut rozumowaniu TSUE, który sprowadza się do pominięcia przez TSUE, że rola Fashion ID w przetwarzaniu danych w tym przypadku była faktycznie marginalna. Oczywiście TSUE wskazuje, że gdyby nie wtyczka, którą umieściło Fashion ID, nie doszłoby do pozyskania i przetwarzania danych przez Facebooka, jednak nie można pomijać, że Fashion ID nie miało właściwie żadnego wpływu na ustalanie celów i sposobów przetwarzania. Autorzy omawianej publikacji poddają również w wątpliwość realną możliwość uregulowania relacji między współadministratorami w omawianym przypadku (zawarcie porozumienia, które określi zakres odpowiedzialności współadministratorów, udostępnienie zasadniczej treści uzgodnień podmiotom danych, zapewnienie podmiotom danych możliwości realizacji swoich praw wobec każdego ze współadministratorów). Nie można sobie bowiem wyobrazić, aby np. administrator mający fanpage, którego śledzi 20 osób miał szanse na zawarcie umowy o współadministrowanie z Facebookiem, a – co więcej – aby miał wpływ na treść uzgodnień zawartych w tej umowie. Trudno także przyjąć, żeby podmiot danych mógł skutecznie realizować swoje prawa odnośnie przetwarzania danych przez Facebooka w stosunku do podmiotu, który umieścił wtyczkę społecznościową na swojej stronie. Jednak przecież takie wymogi stawia art. 26 RODO. Zasada rozliczalności nakazuje dokumentowanie uzgodnień między współadministratorami, a ponadto chroni podmioty danych, umożliwiając im realizację ich praw wobec każdego ze współadministratorów.

Czy wyrok TSUE w sprawie Fashion ID faktycznie umożliwia zatem realną ochronę praw podmiotów danych? Co do tego należy wyrazić znaczące wątpliwości. Jest oczywiste, że TSUE nie bierze w ogóle pod uwagę interesu i praw administratora, ale brak wzięcia pod uwagę realnej możliwości wykonania obowiązków wynikających ze współadministrowania jest już istotnym zarzutem. Administrator powinien oczywiście spełnić wszelkie obowiązki z RODO, ale jednocześnie nie można nakładać na niego obowiązków, których wykonanie w pełni w danej sytuacji ekonomicznej i organizacyjnej jest po prostu z góry niemożliwe. Należałoby zatem postawić tezę, że wyrok TSUE w omawianym zakresie i w odniesieniu do tego stanu faktycznego (lub podobnych) jest właściwie niewykonalny przy przyjęciu obowiązków z art. 26 RODO. Operator strony internetowej, który umieścił wtyczkę Facebooka nie ma realnej możliwości zawarcia w Facebookiem umowy o współadministrowanie przy jednoczesnym wpływie na jej kształt oraz zakres odpowiedzialności. Nie ma również realnej możliwości wykonania prawa podmiotu danych co do zakresu przetwarzania przez Facebooka. Marginalna rola operatora strony internetowej powinna zatem przesądzać o tym, że relacja między tym podmiotem a Facebookiem powinna być rozpatrywana jako relacja ADO – ADO, a nie jako współadministrowanie. Wykładnia celowościowa TSUE nie może bowiem prowadzić do wynaturzeń, które tak naprawdę finalnie kończą się nie na poszerzeniu praw podmiotów danych, ale na skomplikowaniu sytuacji administratorów, która pośrednio prowadzi do braku faktycznej możliwości realizacji praw osób fizycznych. Skoro zatem nie można dopatrzeć się w relacji Fashion ID i Facebooka wspólnych (i należy to wyraźnie podkreślić – wspólnych!) ustaleń celów i sposobów przetwarzania oraz skutecznych uzgodnień rozdzielenia zakresów odpowiedzialności, to czy wykładnia TSUE na gruncie RODO nie ociera się przypadkiem o wykładnię contra legem?

Jaki skutek powoduje wykładnia TSUE?

Przede wszystkim współadministrowania nie należy już unikać. Wręcz przeciwnie – należy go szukać! Tam, gdzie do tej pory myśleliśmy, że może dochodzić do powstania stosunku powierzenia lub relacji ADO – Ado, należy zweryfikować swoje stanowisko. Oczywiście można nie zgadzać się z argumentacją TSUE, która jest mocno kontrowersyjna, ale szanując autorytet Trybunału, którego wykładnia (chcąc – nie chcąc) kształtuje sposób stosowania przepisów o ochronie danych osobowych, należy ponownie dokonać analizy swoich procesów przetwarzania, operacji i relacji z procesorami oraz innymi administratorami. Czy wyrok ws. Fashion ID zatem wymusza ponowne wdrożenie RODO? Zależy, co należy rozumieć pod pojęciem „wdrożenia RODO” u danego podmiotu. Nie ulega jednak wątpliwości, że korekta (czasami nawet bardzo znacząca) dotychczasowych procedur, obowiązków informacyjnych i dokumentacji jest konieczna. Nigdy bowiem nie wiemy, kiedy dopadnie nas współadministrowanie według TSUE…

Skomentuj

Wprowadź swoje dane lub kliknij jedną z tych ikon, aby się zalogować:

Logo WordPress.com

Komentujesz korzystając z konta WordPress.com. Wyloguj /  Zmień )

Zdjęcie na Google

Komentujesz korzystając z konta Google. Wyloguj /  Zmień )

Zdjęcie z Twittera

Komentujesz korzystając z konta Twitter. Wyloguj /  Zmień )

Zdjęcie na Facebooku

Komentujesz korzystając z konta Facebook. Wyloguj /  Zmień )

Połączenie z %s