Wprowadzenie
Odróżnienie współadministrowania danymi osobowymi od powierzenia danych osobowych jest niezwykle ważne w procesie przetwarzania danych osobowych w badaniach klinicznych. Administrator to podmiot, który ustala cele i sposoby przetwarzania danych osobowych. Ma rzeczywisty wpływ na to, co dzieje się z danymi osobowymi. To on określa w jakim celu są one gromadzone i dalej przetwarzane. Decyduje o tym w jakim zakresie i w jaki sposób dane osobowe są przetwarzane. Zdarza się jednak, że podmioty wspólnie decydują o przejęciu odpowiedzialności za projekt, w którym uczestniczą i wspólnie decydują o zakresie i sposobie przetwarzania. Współadministratorzy wspólnie podejmują wtedy wszelkie decyzje związane z przetwarzaniem danych. Co do zasady wydaje się to rzadka sytuacja w badaniach klinicznych. Zazwyczaj rozdzielenie ról sponsora i badacza w tym procesie jest bardzo wyraźne i dochodzi do powierzenia danych osobowych. Podmiot przetwarzający nie ma wtedy uprawnień decydowania o celach i sposobach przetwarzania, a dane przetwarza jedynie w imieniu administratora i ściśle według jego wskazówek. Sama konstrukcja współadministrowania jest stosunkowo nowym pojęciem wprowadzonym w RODO.
Jest to temat, który dopiero od niedawna funkcjonuje na polskim rynku, ustawa o ochronie danych osobowych z 1997 roku, nie przewidywała takich postanowień. Współadministrowanie danymi osobowymi w praktyce w badaniach klinicznych nie pojawia się zbyt często. Muszą zaistnieć określone przesłanki, które jednoznacznie wskażą na taką konstrukcję oraz możliwość jej zastosowania. Pomimo dość jasnych zasad często możemy zaobserwować mylne używanie pojęcia współadministrowania danych w przypadku, gdy tak naprawdę mamy do czynienia z podmiotem przetwarzającym dane, a nie współadministratorem. Właściwe określenie ról pełnionych przez sponsora i badacza w świetle przepisów o ochronie danych osobowych jest bardzo istotne, ponieważ uczestnik badania musi być poinformowany kto jest administratorem jego danych.
Czym jest Współadministrowanie danych osobowych ?
Najlepszym sposobem na odróżnienie współadministrowania od powierzenia przetwarzania jest zrozumienie odmiennych funkcji, jakie pełnią te dwie konstrukcje prawne.
Powierzenie przetwarzania zabezpiecza interesy administratora, który podczas przetwarzania danych osobowych oraz do realizacji swoich celów decyduje się skorzystać z usług zewnętrznych podmiotów. Wówczas administrator zwykle nie ma fizycznej kontroli nad danymi osobowymi – nie przetwarza osobiście tych danych, w odróżnieniu od sytuacji, gdyby dane przetwarzali jego wewnętrzni pracownicy. Umowa powierzenia przetwarzania jest wtedy niezbędna, aby administrator mógł dochodzić ewentualnej odpowiedzialności za działania niezgodne z jego wytycznymi od zewnętrznego podmiotu. W badaniach klinicznych najczęściej będziemy mieć do czynienia właśnie z powierzeniem przetwarzania, które odbywa się, gdy podmiot przetwarzający, czyli Badacz lub CRO (firma, której Sponsor zleci przeprowadzenie badania klinicznego) przetwarza dane osobowe w imieniu administratora. Prostym przykładem powierzenia przetwarzania jest właśnie korzystanie z usług firmy zewnętrznej. Nie ma tutaj wspólnego ustalania celów ani sposobów – cele ustala administrator, a podmiot przetwarzający jedynie świadczy usługę, z której administrator skorzysta.
Zgodnie z postanowieniami RODO do współadministrowania danymi osobowymi dochodzi jeżeli mamy do czynienia z sytuacją, gdy co najmniej dwóch administratorów danych wspólnie ustala cele i sposoby przetwarzania danych osobowych. Co istotne obie te przesłanki muszą zaistnieć łącznie.
Z technicznego punktu widzenia konstrukcja jest dosyć prosta. Co najmniej dwa podmioty wspólnie decydują o współpracy i ustalają cele i sposoby przetwarzania. Aby współadministrowanie zabezpieczyło interesy każdego z administratorów, powinni zawrzeć umowę o podziale odpowiedzialności. Porozumienie powinno jasno wskazywać za jaki zakres odpowiada każdy z nich. Przykładowo więc jeden administrator zapewnia techniczne i organizacyjne środki bezpieczeństwa danych, a drugi zbiera zgody oraz spełnia obowiązek informacyjny. Co istotne jeżeli dwóch lub więcej administratorów wspólnie ustala cele i sposoby przetwarzania, to są oni współadministratorami niezależnie od tego, czy została zawarta odpowiednia umowa. Podobnie gdy jeden podmiot przetwarza dane w imieniu drugiego, to jest on podmiotem przetwarzającym niezależnie od tego, czy została zawarta umowa o powierzeniu danych. Warto jednak wiedzieć, że brak takich umów stanowi niezgodność dla realizacji zasady rozliczalności, a więc udowodnienia, że podmioty wywiązały się ze swoich obowiązków, uzgodnienia te powinny być udokumentowane.
W zakresie samej umowy administratorzy mają sporą swobodę. Przepisy RODO nie regulują ani formy porozumienia ani sposobu jego zawarcia. Zakłada się więc, że prawidłowym będzie zawarcie oddzielnej umowy, podpisanie porozumienia do umowy o współpracy czy spisanie zasad w regulaminie.
Przepisy RODO podkreślają tylko, że podmioty te będą uzgadniać ten podział obowiązków „w drodze wspólnych uzgodnień…”. RODO podkreśla, że zasady te powinny być przejrzyste, a ustalenia muszą zawierać kwestie związane z realizacją praw oraz obowiązkiem informacyjnym, a także wskazywać punkt kontaktowy dla osób, których dane dotyczą, aby ułatwić im między innymi możliwość realizacji praw. Jest to minimalny zakres wspólnych uzgodnień niezbędny do tego, aby można było mówić o współadministrowaniu. Oczywiście w umowie powinny znaleźć się też inne kwestie, które będą chronić współadministratorów przed odpowiedzialnością i niepotrzebnymi problemami. Warto tutaj wymienić np. cel i sposób przetwarzania, kategorie osób, których dane dotyczą, okres przetwarzania danych czy sposoby zabezpieczenia danych. Im więcej uzgodnień tym łatwiej określić po czyjej stronie jest odpowiedzialność w przypadku wystąpienia uchybień. W razie kontroli podmioty będą musiały wykazać, który za co odpowiada oraz w jakim zakresie. Co istotne, a na co wskazuje EROD, współadministratorom przysługuje pewien stopień elastyczności co do podziału obowiązków między sobą, o ile zapewnią pełną zgodność z RODO w odniesieniu do danego przetwarzania. Ta elastyczność wiąże się również z tym, że obowiązki nie muszą być rozdzielone równomiernie. Ważne natomiast jest, aby zgodnie z zasadą przejrzystości osoby, których dane dotyczą miały dostęp do treści tych uzgodnień, aby mogły w sposób swobodny korzystać z praw jej przysługujących oraz znały okoliczności przetwarzania czyli co najmniej tożsamość współadministratorów, cele przetwarzania czy zakresy ich odpowiedzialności. Podczas podziału obowiązków administratorów należy pamiętać, że elastyczność w podziale obowiązków nie oznacza, że realizację każdego obowiązku można rozdzielić. Przykładem takiego niepodzielnego obowiązku jest prowadzenie własnego rejestru czynności przetwarzania, który powinien być prowadzony przez każdego współadministratora. Ponadto, w sytuacji, gdy współadministratorzy np. korzystają ze wspólnych systemów przetwarzania danych, muszą zapewnić zgodność z zasadą celowości oraz wdrożyć odpowiednie środki ochrony danych osobowych przetwarzanych w ramach wspólnych narzędzi.
Aby ustalić, czy w określonej sytuacji dochodzi do współadministrowania danymi osobowymi, należy zastanowić się także czy relacja dwóch podmiotów polega w istocie na wspólnym przetwarzaniu danych osobowych oraz wspólnym ustalaniu celu przetwarzania. Dopiero później, gdy wszystkie zaangażowane podmioty będą pewne, że wspólnie ustalają cele i środki przetwarzania, mogą zawrzeć umowę lub porozumienie dotyczące współadministrowania danymi.
Przykładowo, EROD wskazuje w swoich wytycznych, że w sytuacji, w której grupa przedsiębiorstw korzysta ze wspólnej bazy danych (np. bazy klientów), ale każdy podmiot wchodzący w skład grupy niezależnie określa swoje własne cele, to w takim przypadku współadministrację należy wykluczyć. W wielu sytuacjach może okazać się, że pomimo nawiązania między podmiotami współpracy, jeden z nich nie będzie faktycznie zaangażowany w proces przetwarzania danych lub pracował będzie na danych zanonimizowanych. Przykładem takiej sytuacji będzie właśnie współpraca między Sponsorem badania klinicznego, a Ośrodkiem badawczym, w którym wykonywane są badania kliniczne. Sam fakt, że podmiot uzyskuje dostęp do danych osobowych nie determinuje tego, że staje się on współadministratorem danych osobowych. Pamiętać musimy w pierwszej kolejności o wyżej wskazanych przesłankach oraz o tym, że na gruncie RODO możemy skorzystać też z innej konstrukcji prawnej takiej jak powierzenie przetwarzania danych osobowych. Każdorazowo, więc przed nawiązaniem współpracy z podmiotem, która polegała będzie na dostępie do danych osobowych, należy zadać sobie pytanie jaki charakter będzie miała ta współpraca. Należy pamiętać, że podstawą uznania administrowania danymi osobowymi za współadministrowanie jest realizacja jednego, bądź kilku celów przez więcej niż jednego administratora z wykorzystaniem tych samych danych osobowych. Cel, czyli określenie powodu przetwarzania ma tutaj kluczowe znaczenie. Od celu bowiem zależy określenie sposobu przetwarzania danych nie tylko w aspekcie technicznym, ale też organizacyjnym. Decyzja o współadministrowaniu danymi osobowymi nie może oznaczać dla któregokolwiek administratora utraty kontroli nad przetwarzaniem danych, czy mniejszym wpływem i decyzyjnością w zakresie samego procesu przetwarzania i zabezpieczenia danych osobowych.
W sytuacji przeprowadzania badań klinicznych taka sytuacja będzie mieć miejsce rzadko. Współadministratorami danych osobowych mogą być jednak podmioty realizujące wspólne badanie kliniczne np. gdy kilka podmiotów wykorzystuje w ramach projektu jeden ośrodek badawczy, który należy do jednego z tych podmiotów i wykorzystuje w ramach badania narzędzia i środki należące do tego ośrodka. Sponsor byłby więc w takiej sytuacji współadministratorem z badaczem i ośrodkiem badawczym. Sytuacja taka możliwa jest np. w przypadku badań prowadzonych przez Uczelnię, do której przynależy szpital uniwersytecki.
Wnioski
Właściwe zrozumienie współadministrowania danych osobowych jest niezbędne dla ustalenia przez administratora danych osobowych jaką konstrukcję współpracy z innym podmiotem należy przyjąć. Ważnym jest odróżnienie sytuacji, w której dochodzi do powierzenia danych od tej, w której będziemy mieć do czynienia ze współadministrowaniem. Ocena decyzyjności i odpowiedzialności podmiotów w ramach konkretnego projektu musi opierać się na dokładnej analizie całego przedsięwzięcia.
Dokładna analiza każdego przypadku współpracy podmiotów oraz zrozumienie różnicy między współadministrowaniem, a powierzeniem przetwarzania danych pozwala zminimalizować ryzyko błędnego określenia współadministrowania bez zaistnienia wyraźnej konieczności. W razie wątpliwości powinniśmy zbadać, kto faktycznie ustala cel i sposób przetwarzania danych oraz ma faktyczną kontrolę nad danymi. Jeśli w którymś z przypadków decyzyjne okazują się być przynajmniej dwa podmioty, to najprawdopodobniej mamy do czynienia ze współadministrowaniem. Ustalenie, z którą konstrukcja prawną będziemy mieć do czynienia jest również ważne ponieważ administrator nie może powierzyć przetwarzania danych osobowych, w stosunku do których nie posiada statusu administratora, tj. nie dysponuje podstawą prawną przetwarzania. Taka praktyka naruszałaby przepisy RODO (zarówno po stronie administratora, jak i procesora). Dodatkowo administrator, informując osobę, której dane dotyczą o przetwarzaniu jej danych osobowych, powinien przekazać jej informacje o odbiorcach danych osobowych lub o kategoriach odbiorców, jeżeli istnieją, a takim odbiorcą będzie m.in. podmiot, któremu dane będą powierzane. Podsumowując więc, w sytuacji, w której Sponsor, Badacz i Ośrodek decydują się na współpracę w zakresie badań klinicznych, to pomimo realizowania wspólnie poszczególnych celów przetwarzania danych osobowych w całym procesie to nie zawsze możliwe będzie przyjęcie, że między tymi podmiotami będzie zachodził stosunek współadministrowania.
Podstawy prawne:
Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. U. UE. L. z 2016 r. Nr 119, str. 1 z późn. zm.).
Rozporządzenie Parlamentu Europejskiego i Rady (UE) nr 536/2014 z dnia 16 kwietnia 2014 r. w sprawie badań klinicznych produktów leczniczych stosowanych u ludzi oraz uchylenia dyrektywy 2001/20/WE (Dz. U. UE. L. z 2014 r. Nr 158, str. 1 z późn. zm.).
Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2017/745 z dnia 5 kwietnia 2017 r. w sprawie wyrobów medycznych, zmiany dyrektywy 2001/83/WE, rozporządzenia (WE) nr 178/2002 i rozporządzenia (WE) nr 1223/2009 oraz uchylenia dyrektyw Rady 90/385/EWG i 93/42/EWG (Dz. U. UE. L. z 2017 r. Nr 117, str. 1 z późn. zm.).
Opinia nr 3/2019 Europejskiej Rady Ochrony Danych