Skip to main content
//

Artykuł ukazał się w Magazynie ODO

Autor: Henryk Hoser


Współadministrowanie nie jest instytucją nową w europejskim porządku prawnym. Przewidywała ją już Dyrektywa 95/46/WE[1], jednak rozwiązanie to nie zostało wprowadzone w poprzednio obowiązującej ustawie o ochronie danych osobowych. Obecnie instytucja ta uregulowana jest bezpośrednio w przepisach RODO[2], jednak jest ona traktowana z dużą dozą nieufności przez podmioty uczestniczące w procesach przetwarzania danych osobowych. Pomimo tego, że przepisy RODO stosowane są już od ponad 4 lat instytucja ta (przynajmniej w Polsce) nie przyjęła się w praktyce, a jej znaczenie, pomimo dużego potencjału jaki ze sobą niesie, nadal wydaje się marginalne. Jednocześnie nie należy zapominać, że naruszenie przepisów dotyczących współadministrowania danymi może skutkować skorzystaniem przez Prezesa Urzędu Ochrony Danych Osobowych z uprawnień naprawczych określonych w art. 58 ust. 2 RODO, jak również nałożeniem administracyjnej kary pieniężnej.

Wprowadzenie

W ramach niniejszego artykułu przedstawione zostaną jedynie wybrane aspekty dotyczące instytucji współadministrowania, ponieważ jej całościowe omówienie wykraczałoby poza ramy tego opracowania. W artykule zasygnalizowane zostaną natomiast przyczyny, które mogły wpłynąć na ograniczone wykorzystanie współadministrowania w praktyce oraz potencjalne obszary zastosowania tej instytucji. Należy mieć przy tym na uwadze, że ustalenie, czy w danym przypadku dochodzi do współadministrowania wymaga każdorazowo szczegółowej analizy stanu faktycznego, a w szczególności badania przyjętych założeń biznesowych, roli jaką poszczególne podmioty odgrywają w procesach przetwarzania danych (w tym realizowanych celów przetwarzania) oraz sposobów zarządzania procesami związanymi z przetwarzaniem danych osobowych.

Nie zawsze możliwe jest przy tym jednoznaczne stwierdzenie, czy w danym przypadku współadministrowanie jest jedynym możliwym rozwiązaniem. W praktyce mogą występować sytuacje w których zastosowanie takiej konstrukcji nie będzie oczywiste, a modyfikacja jednego lub kilku przyjętych wstępnie założeń może uzasadnić zastosowanie innej konstrukcji (w szczególności osobnych administratorów danych, a niekiedy także powierzenia przetwarzania danych osobowych). Niezależnie od powyższego w orzecznictwie Trybunału Sprawiedliwości Unii Europejskiej (TSUE) zauważalna jest tendencja do rozszerzania instytucji współadministrowania, co dodatkowo utrudnia spójne podejście do stosowania tej instytucji w praktyce.

Brak swobody w podejmowaniu decyzji o współadministrowaniu a praktyka rynkowa

Instytucja współadministrowania uregulowana jest w art. 26 RODO. Zgodnie z art. 26 ust. 1 RODO jeżeli co najmniej dwóch administratorów wspólnie ustala cele i sposoby przetwarzania, są oni współadministratorami. W drodze wspólnych uzgodnień współadministratorzy w przejrzysty sposób określają odpowiednie zakresy swojej odpowiedzialności dotyczącej wypełniania obowiązków wynikających z RODO, w szczególności w odniesieniu do wykonywania przez osobę, której dane dotyczą, przysługujących jej praw, oraz ich obowiązków w odniesieniu do podawania informacji, o których mowa w art. 13 i 14 RODO, chyba że przypadające im obowiązki i ich zakres określa prawo Unii lub prawo państwa członkowskiego, któremu administratorzy ci podlegają. W uzgodnieniach można wskazać punkt kontaktowy dla osób, których dane dotyczą.

Przepisy RODO nie pozwalają tym samym na swobodne decydowanie o zastosowaniu instytucji współadministrowania. W związku z tym współadministrowanie zasadniczo powinno być traktowane jako stan faktyczny, który obliguje do zawarcia wspólnych uzgodnień przez współadministratorów. Nie jest zatem możliwe umowne przyjęcie w ramach poczynionych uzgodnień, że poszczególne podmioty występują w charakterze współadministratorów, jeśli faktycznie nie ustalają one wspólnie celów i sposobów przetwarzania, jak również zrezygnowanie z zastosowania instytucji współadministrowania gdy takie wspólne ustalenie celów i sposobów przetwarzania występuje. W tym kontekście w literaturze wskazuje się, że „[z] treści art. 26 RODO wywodzić można, że współadministrowanie kwalifikować należy jako stan faktyczny, z którym RODO wiąże określone obowiązki i skutki prawne. W art. 26 zd. 1 czytamy bowiem, że „jeżeli co najmniej dwóch administratorów wspólnie ustala cele i sposoby przetwarzania, są oni współadministratorami”, przy czym tak określonego współadministrowania nie uzależnia się od uprzedniego istnienia przepisu prawa, czy umowy, które byłyby źródłem relacji administratorów (…) Wspólne ustalanie przez co najmniej dwóch administratorów celów i sposobów przetwarzania stanowi konstytutywną cechę pozwalającą twierdzić, że w danym przypadku mamy do czynienia ze współadministratorami. Spełnienie tego kryterium ma charakter obiektywny i nie jest uzależnione od tego, w jaki sposób nominalnie rola poszczególnych podmiotów w przetwarzaniu danych osobowych określona została w umowie stanowiącej podstawę ich współdziałania, a więc, jak dany podmiot w umowie został nazwany ”[3]. Także Europejska Rada Ochrony Danych (EROD) w swoich wytycznych wskazała iż: „Ocenę współadministracji należy przeprowadzać na podstawie faktycznej, a nie formalnej analizy rzeczywistego wpływu na cele i sposoby przetwarzania. Wszystkie istniejące lub planowane uzgodnienia należy sprawdzić w świetle faktycznych okoliczności dotyczących stosunków między stronami.”[4]

Literalne brzmienie art. 26 ust. 1 RODO niewątpliwie skłania do przyjęcia takiej interpretacji. Niemniej jednak z uwagi na niechęć podmiotów biorących udział w procesach przetwarzania danych do stosowania instytucji współadministrowania częstą praktyką jest jej unikanie na rzecz stosowania innych rozwiązań (w szczególności konstrukcji w której występują osobni administratorzy danych). Jakkolwiek podejście takie nie wydaje się poprawne, to trzeba mieć na uwadze, że jest ono dosyć powszechne w praktyce. Niekiedy w celu uniknięcia stosowania współadministrowania modyfikowane są także przyjęte pierwotnie założenia biznesowe, takie jak zamierzone cele przetwarzania danych osobowych.

Przyczyny sporadycznego stosowania instytucji współadministrowania danymi w praktyce

Instytucja współadministrowania traktowana jest w Polsce z dużym dystansem, przez co w praktyce nie jest ona często stosowana. Jako główne przyczyny takiego stanu rzeczy można wskazać:

  • brak praktyki zawierania porozumień dotyczących współadministrowania przed 25 maja 2018 roku. W poprzednim stanie prawnym występowały dokładnie te same (lub bardzo podobne) stany faktyczne, w których konstrukcja współadministrowania danymi nie była stosowana, w związku z tym wcześniejsze rozwiązania w tym zakresie są w sposób naturalny kontynuowane (w myśl zasady, że jeżeli coś działało do tej pory, to nie ma potrzeby tego zmieniać);
  • postrzeganie instytucji współadministrowania jako dodatkowego utrudnienia dla prowadzenia biznesu w związku z koniecznością zawarcia uzgodnień określających odpowiednie zakresy odpowiedzialności współadministratorów dotyczącej wypełniania obowiązków wynikających z RODO (art. 26 ust. 1 RODO) oraz obowiązkiem udostępnienia zasadniczej treści uzgodnień osobom, których dane dotyczą (art. 26 ust. 2 RODO) – w przypadku konstrukcji w której występują osobni administratorzy danych nie ma konieczności wypracowywania dodatkowych uzgodnień;
  • trudności w wypracowaniu treści uzgodnień pomiędzy podmiotami posiadającymi sprzeczne interesy (co bywa zauważalne zwłaszcza w przypadku większej ilości potencjalnych współadministratorów);
  • brak spójnego podejścia do instytucji współadministrowania w orzecznictwie oraz w doktrynie.

Nie można jednak wykluczyć, że aktualna sytuacja ulegnie zmianie i współadministrowanie będzie chętniej wykorzystywane przez podmioty uczestniczące w procesach przetwarzania danych. Warto w tym miejscu zwrócić uwagę  na coraz bogatsze orzecznictwo TSUE dotyczące tej instytucji[5]. Wypada przy tym zgodzić się z prezentowanymi w doktrynie stanowiskami, które wskazują na widoczną tendencję poszerzania konstrukcji współadministrowania danymi, co w praktyce prowadzi do dodatkowych wątpliwości: „Wykładnia zaprezentowana we wskazanych powyżej orzeczeniach zdaje się pomijać istotny element określony w komentowanym przepisie (wspólnego ustalania celów i sposobów przetwarzania), przez co prowadzi do znacznego poszerzenia zakresu pojęcia współadministrowania, a w konsekwencji może pociągać za sobą liczne wątpliwości i problemy. W piśmiennictwie przedmiotu wskazuje się, że z orzeczeń tych wynika, iż „cel przetwarzania danych nie musi być wspólny dla współadministratorów, co oznacza, że każdy z nich może przetwarzać dane osobowe dla własnego celu, które to cele w sumie składają się na cel przetwarzania danych w ramach procesu przetwarzania objętego współadministrowaniem” (patrz: P. Barta, M. Kawecki, P. Litwiński, Komentarz do art. 26, teza 2 [w:] Ogólne rozporządzenie o ochronie danych…, red. P. Litwiński, s. 300”[6]. Problem ten zauważył także D. Karwala: „W każdym bowiem przypadku niezbędne jest ustalenie, czy cele realizowane (…) są tożsame. Ten (…) element nie jest przy tym w praktyce łatwy do uchwycenia, tym bardziej, że zarówno wytyczne Grupy Roboczej art. 29, jak również orzecznictwo Trybunału Sprawiedliwości UE nie dostarczają jednoznacznych wskazówek, które pozwalałyby na przybliżenie konstrukcji współadministrowania danymi. Wprost przeciwnie, najnowsze wyroki TSUE wprowadzają w tym zakresie dodatkową niepewność, rozszerzając istotnie analizowaną tu konstrukcję.”[7]

Możliwe obszary zastosowania instytucji współadministrowania

Instytucja współadministrowania pozostaje w Polsce niedoceniona, pomimo tego, że w świetle przepisów RODO mogłaby ona znaleźć zastosowanie w wielu przypadkach, nawet w przypadku stosowania wykładni zawężającej. W orzecznictwie TSUE, o czym była już mowa powyżej, zauważalna jest natomiast tendencja do pewnego rozszerzania instytucji współpadministrowania na obszary, w których jej zastosowanie może być wątpliwe[8]. Rozciąganie współadministrowania na przypadki w których trudno znaleźć element „wspólności” w ustalaniu celów i sposobów przetwarzania należy ocenić raczej negatywnie, ponieważ prowadzi on do rozmycia istoty instytucji współadministrowania. Może to skutkować dopatrywaniem się współadministrowania w większości przypadków, w których różne podmioty przyczyniają się do przetwarzania danych na dowolnym etapie w ramach luźno powiązanych ze sobą procesów. W piśmiennictwie zauważono przy tym, że „nowa linia orzecznicza konstruuje alternatywną wobec obecnie przyjmowanej w Polsce definicję (współ) administrowania, zgodnie z którą wywieranie wpływu na przetwarzanie danych osobowych jest jednoznaczne ze sprawowaniem kontroli nad celami i sposobami przetwarzania danych osobowych”[9]. Na ryzyko związane ze stosowaniem zbyt szerokiej definicji administratora w kontekście współadministrowania danymi zwrócił uwagę także w swojej opinii dot. sprawy C-40/17 (Fashion ID) Rzecznik Generalny Michal Bobek: „na podstawie przyjmowanej do tej pory szerokiej definicji administratora danych nie można rozróżnić zakresu odpowiedzialności ponoszonej przez poszczególne podmioty. Niebezpieczeństwo związane z przyjęciem nazbyt szerokiej definicji tego pojęcia polega na tym, że prowadzi ono do sytuacji, w której za przetwarzanie danych osobowych współodpowiedzialnych jest wiele osób”[10]

Pewną niekonsekwencję można dostrzec także w stanowisku zaprezentowanym w Wytycznych EROD, w ramach którego wskazano z jednej strony iż: „Współadminsitracja istnieje wtedy, gdy podmioty uczestniczące w tym samym przetwarzaniu dokonują przetwarzania we wspólnie określonych celach. Ma to miejsce w przypadku, gdy zaangażowane podmioty przetwarzają dane w tych samych lub wspólnych celach”[11], a z drugiej strony wskazano iż: „ Ponadto jeżeli podmioty nie mają tego samego celu przetwarzania danych, w świetle orzecznictwa TSUE współadministracja może również mieć miejsce, gdy zaangażowane podmioty realizują cele, które są ściśle ze sobą powiązane lub wzajemnie się uzupełniają. Może to mieć miejsce na przykład w przypadku wzajemnych korzyści wynikających z tej samej operacji przetwarzania, pod warunkiem że każdy z zaangażowanych podmiotów uczestniczy w określaniu celów i sposobów danej operacji przetwarzania. Pojęcie wzajemnych korzyści nie jest jednak rozstrzygające i może być jedynie wskazówką.”[12]. Następnie EROD dodaje jeszcze, że  „należy podkreślić, że samo istnienie wzajemnych korzyści (np. handlowych) wynikających z działalności związanej z przetwarzaniem nie daje podstaw do sprawowania współadministracji. Jeżeli podmiot zaangażowany w przetwarzanie nie realizuje własnych celów w związku przetwarzaniem, a jedynie otrzymuje wynagrodzenie za świadczone usługi, działa raczej jako podmiot przetwarzający niż jako współadministrator”[13]. Prezentowane podejście niestety nie pomaga w ustaleniu jasnych kryteriów tego, czy współadministrowanie występuje, czy też nie, dlatego wbrew stanowisku prezentowanemu w orzecznictwie TSUE oraz w Wytycznych EROD wydaje się, że dla przesądzenia czy w danym  przypadku ma miejsce współadministrowanie nie powinno jednak wystarczyć samo szeroko rozumiane współdziałanie przy ustalaniu powiązanych lub wzajemnie uzupełniających się celów przetwarzania danych, ale powinna występować także tożsamość (wspólność) celów realizowanych przez współadministratorów. W szczególności w procesach w których przez różnych administratorów realizowane są odrębne cele współadministrowanie nie powinno znaleźć zastosowania, nawet jeśli cele te teoretycznie wydają się powiązane. W przeciwnym razie przyjęcie w miarę jednolitych ram pozwalających na ustalenie kiedy współadministrowanie występuje (a kiedy nie) wydaje się niemożliwe, przez co podmioty uczestniczące w złożonych procesach przetwarzania danych w których istnieje potencjalna możliwość wystąpienia „wzajemnych korzyści” (np. o charakterze gospodarczym) działałyby w stanie permanentnej niepewności prawnej.

Przy uwzględnieniu kryterium tożsamości celu będącego warunkiem koniecznym dla wystąpienia współadministrowania jako potencjalne obszary zastosowania tej instytucji można wskazać m. in.:  przetwarzanie danych osobowych w ramach grup kapitałowych lub podmiotów powiązanych w inny sposób w szczególności w ramach procesów dotyczących:

– rekrutacji (np. w związku z tworzeniem wspólnych baz kandydatów do pracy dla celów prowadzenia przyszłych rekrutacji);

– wspólnego przetwarzania danych pracowników lub współpracowników (np. w ramach usprawnienia wewnętrznych procesów komunikacji w grupie kapitałowej, zarządzania organizacją pracy w oparciu o wspólne standardy zarządzania personelem w podmiotach powiązanych, itp.);

– wspólnej organizacji konkursów (w szczególności gdy różne podmioty występują w charakterze organizatora);

– prowadzenia działań marketingowych (np. w ramach wspólnych akcji marketingowych);

– monitoringu wizyjnego (np. w sytuacji podjęcia wspólnej decyzji o monitorowaniu określonego obszaru takiego jak współdzielona część budynku);

Współadministrowanie  może występować także w przypadku podmiotów publicznych, np. w ramach wspólnego zarządzania określonym rejestrem lub systemem.[14]

Jednocześnie w przypadku przyjęcia rozszerzającej wykładni pojęcia współadministrowania, zwłaszcza w kontekście aktualnego orzecznictwa TSUE, możliwe jest zastosowanie instytucji współadministrowania w ramach wielu innych procesów, nawet jeśli tożsamość celów nie jest zachowana, a element „wspólności” związany jest z celami które są ze sobą jednie powiązane lub uzupełniają się. W istocie wydaje się, że w większości przypadków sprowadza się to w zasadzie do wspólnej korzyści gospodarczej (komercyjnej) uzyskiwanej przez różne podmioty, co przynajmniej teoretycznie w świetle Wytycznych EROD samo w sobie nie daje podstaw do przyjęcia konstrukcji współadministrowania. W tym ujęciu współadministrowanie może jednak potencjalnie znaleźć szerokie zastosowanie np. w kontekście prowadzenia działań marketingowych w Internecie, czy też korzystania z różnych rozwiązań oferowanych przez media społecznościowe[15], jak również innych przypadków w których ma miejsce wspólny udział w procesach przetwarzania danych osobowych, jeśli realizowane cele przetwarzana można ze sobą powiązać.

Konsekwencje naruszenia przepisów dotyczących współadministrowania  

Naruszenie przepisów dotyczących współadministrowania danymi może skutkować skorzystaniem przez organ nadzorczy z uprawnień naprawczych określonych w art. 58 ust. 2 RODO, w tym nakazaniem, administratorowi dostosowania operacji przetwarzania do przepisów RODO, jak również wprowadzaniem czasowego lub całkowitego ograniczenia przetwarzania, w tym zakazu przetwarzania. Ponadto nie można zapominać o tym, że naruszenie przepisów dotyczących współadministrowania (w szczególności w razie braku wspólnych uzgodnień o których mowa w art. 26 ust. 1 RODO) zagrożone jest administracyjną karą pieniężną w kwocie w wysokości do 10 000 000 EUR, a w przypadku przedsiębiorstwa – w wysokości do 2 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego zgodnie z art. 83 ust. 4 lit. a RODO

Wypada także podkreślić, że prawidłowe określenie statusu poszczególnych podmiotów uczestniczących w procesach przetwarzania danych osobowych ma kluczowe znaczenie z punktu widzenia realizacji innych obowiązków wynikających z przepisów RODO. W związku z tym pośrednią konsekwencją naruszenia art. 26 poprzez niezastosowanie instytucji współadministrowania (pomimo tego że w danym przypadku powinna ona znaleźć zastosowanie) może być naruszenie innych przepisów RODO, w tym m. in. zakresie:

– pozyskiwania zgód na przetwarzanie danych (jeśli zgoda ma stanowić podstawę prawną przetwarzania);

– prawidłowej realizacji obowiązku informacyjnego;

– prawidłowego postępowania z żądaniami podmiotów danych;

– wdrażania odpowiednich środków technicznych i organizacyjnych, aby przetwarzanie odbywało się zgodnie z RODO;

– uwzględnienia zasad privacy by default i privacy by design w procesach przetwarzania danych;

– zgłaszania naruszeń do organu nadzorczego;

– zawiadamiania podmiotów danych o naruszeniu;

– prowadzenia rejestru czynności przetwarzania danych;

– przeprowadzania oceny skutków dla ochrony danych osobowych.

Podsumowanie

Instytucja współadministrowania posiada duży potencjał, który nie jest w pełni wykorzystywany w praktyce. Jakkolwiek stosowanie tego rozwiązania w Polsce wydaje się marginalne, to nie należy traktować tej instytucji jako niepotrzebnej. Możliwość precyzyjnego określenia wzajemnych zakresów odpowiedzialności powinna służyć lepszej, a z pewnością bardziej świadomej, realizacji poszczególnych wymogów wynikających z przepisów RODO przez współadministratorów. Obecnie zdarza się niekiedy, że konstrukcje w których występują samodzielni administratorzy danych utrzymywane są w pewien sposób sztucznie. Zawarcie wspólnych uzgodnień w ramach których konieczne jest precyzyjne określenie zakresów odpowiedzialności poszczególnych współadministratorów wymaga jednak zmiany sposobu myślenia i modyfikacji rozwiązań funkcjonujących niekiedy przez wiele lat, co nie jest procesem łatwym. Mając na uwadze przepisy RODO nie jest to przy tym kwestia swobodnego wyboru, ponieważ instytucja współadministrowania powinna być zawsze, jeśli wynika to ze stanu faktycznego.

Przemyślane korzystanie z możliwości jakie daje współadministrowanie w wielu przypadkach sprzyjałoby interesom podmiotów danych, mając w szczególności na uwadze, że pomimo obowiązku określenia przez współadministratorów w ramach wspólnych uzgodnień odpowiednich zakresów swojej odpowiedzialności dotyczącej wypełniania obowiązków wynikających z RODO w każdym przypadku możliwe jest wykonywanie praw przysługujących na mocy RODO wobec każdego z administratorów. W tym kontekście trafnie podnosi się w literaturze, że „[p]odstawowym celem przepisu art. 26 jest zapewnienie należytej ochrony praw i wolności osób, których dane dotyczą, oraz ustalenia zasad określania zakresu obowiązków i zakresu odpowiedzialności każdego z administratorów”[16].

Widoczna w orzecznictwie TSUE tendencja do rozszerzania konstrukcji współadministrowania także na przypadki, w których nie występuje tożsamość celów przetwarzania nie sprzyja przy tym niestety spójnemu stosowaniu tej instytucji w całej UE.

Bibliografia:

  • Bielak-Jomaa E. (red.), Lubasz D. (red.), Ogólne rozporządzenie o ochronie danych. Komentarz, Warszawa 2018,
  • Byrski J., Hoser H., Social media oraz technologie umożliwiające śledzenie użytkowników Internetu a współadministrowanie danymi osobowymi, Prawo Nowych Technologii, dodatek specjalny do Monitora Prawniczego, nr 21/2019
  • Fajgielski P., Ogólne rozporządzenie o ochronie danych. Ustawa o ochronie danych osobowych. Komentarz, wyd. II, Warszawa 2022,
  • Karwala D., Przekazywanie danych osobowych klientów w grupie kapitałowej instytucji finansowej, Monitor Prawa Bankowego 2019, nr 104-105
  • Kowalczuk-Pakuła I., Chołuj M., Współadministrowanie – nowy paradygmat w prawie ochrony danych osobowych, Prawo Nowych Technologii, dodatek specjalny do Monitora Prawniczego, nr 21/2019
  • Sakowska-Baryła M., Ogólne rozporządzenie o ochronie danych osobowych. Komentarz, Warszawa 2018

[1] Dyrektywa 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych (Dz.Urz.UE.L nr 281 str. 31); dalej jako „Dyrektywa 95/46/WE”

[2] Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w prawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz. U. UE z 04.05.2016 r., L 119/1); dalej jako „RODO”

[3] Sakowska-Baryła M. (red.), Ogólne rozporządzenie o ochronie danych osobowych. Komentarz, Warszawa 2018.

[4] Wytyczne 07/2020 dotyczące pojęć administratora i podmiotu przetwarzającego zawartych w RODO, wersja 2.0. przyjęta 7 lipca 2021 r. (dalej jako „Wytyczne EROD”); s. 21

[5] Chodzi o następujące orzeczenia TSUE: 1) wyrok z dnia 5 czerwca 2018 r. w sprawie; Wirtschaftsakademie Schleswig-Holstein (C-210/16); 2) wyrok z dnia 10 lipca 2018 r. w sprawie Tietosuojavaltuutettu przy udziale Jehovan todistajat – uskonnollinen yhdyskunta (C-25/17); 3)  wyrok z dnia 29 lipca 2019 r. w sprawie Fashion ID GmbH & Co.KG przeciwko Verbraucherzentrale NRW eV (C-40/17).

[6] Fajgielski P. [w:] Komentarz do rozporządzenia nr 2016/679 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) [w:] Ogólne rozporządzenie o ochronie danych. Ustawa o ochronie danych osobowych. Komentarz, wyd. II, Warszawa 2022,.;

[7] Karwala D., Przekazywanie danych osobowych klientów w grupie kapitałowej instytucji finansowej, Monitor Prawa Bankowego 2019, nr 104-105, s. 52. Podobnie także J. Byrski i H. Hoser: „w świetle orzecznictwa TSUE trudno jest jednoznacznie wskazać kryteria które powinny przesądzać o zastosowaniu konstrukcji współadministrowania, mając na uwadze, że orzecznictwo wydaje się rozszerzać konstrukcję współadministrowania danymi.”; Byrski J., Hoser H., Social media oraz technologie umożliwiające śledzenie użytkowników Internetu a współadministrowanie danymi osobowymi, Prawo Nowych Technologii, dodatek specjalny do Monitora Prawniczego, nr 21/2019, s. 10

[8] Szczególnie kontrowersyjne wydaje się stanowisko zaprezentowane w wyroku TSUE z 10.7.2018 r. w sprawie Tietosuojavaltuutettu przy udziale Jehovan todistajat – uskonnollinen yhdyskunta (C‑25/17) w ramach którego uznano, że poszczególne osoby fizyczne uczestniczące w procesie przetwarzania danych mogą być uznane za administratorów wspólnie ze wspólnotą religijną, w imieniu której działają.

[9] Kowalczuk-Pakuła I., Chołuj M., Współadministrowanie – nowy paradygmat w prawie ochrony danych osobowych, Prawo Nowych Technologii, dodatek specjalny do Monitora Prawniczego, nr 21/2019, s.15.

[10] Opinia rzecznika generalnego Michala Bobeka z 19.12.2018 r. w sprawie C-40/17, Fashion ID. Pełna treść opinii dostępna jest pod adresem: https://curia.europa.eu/juris/document/document.jsf?text=&docid=209357&pageIndex=0&doclang=PL&mode=req&dir=&occ=first&part=1&cid=4571761 [dostęp 21.08.2022]

[11] Wytyczne EROD s. 22

[12] Wytyczne EROD s. 22-23

[13] Wytyczne EROD s. 23

[14] Przykładem w tym zakresie może być rozwiązanie przewidziane w art. 14ha ust. 1 ustawy z dnia 24 sierpnia 1991 r. o ochronie przeciwpożarowej (t. j. Dz. U. z 2021 r. poz. 869 ze zm.) zgodnie z którym Komendant Główny Państwowej Straży Pożarnej, komendanci wojewódzcy Państwowej Straży Pożarnej, komendanci powiatowi (miejscy) Państwowej Straży Pożarnej, Rektor-Komendant Szkoły Głównej Służby Pożarniczej i komendanci szkół Państwowej Straży Pożarnej są współadministratorami danych osobowych przetwarzanych w SWD PSP (System Wspomagania Decyzji Państwowej Straży Pożarnej).

[15] W nawiązaniu do wyroku TSUE z 29 lipca 2019 r. w sprawie C-40/17 Fashion ID GmbH & Co.KG przeciwko Verbraucherzentrale NRW eV na stronie urzędu ochrony danych osobowych pojawił się komunikat w którym wskazano, że użycie wtyczki „lubię to” prowadzi do współadministrowania danymi w zakresie operacji polegających na zbieraniu danych osobowych oraz ich przekazywaniu do Facebooka, który jest jednym z niewielu stanowisk zaprezentowanych przez organ nadzorczy w kontekście współadministrowania – https://uodo.gov.pl/pl/138/1140 [dostęp 21.08.2022]

[16] Witkowska-Nowakowska K. [w:] RODO. Ogólne rozporządzenie o ochronie danych. Komentarz, Bielak-Jomaa E. (red.), Lubasz D. (red.), Warszawa 2018, art. 26


Szkolenia, webinary i konferencje