Istnienie w strukturach jednostki więcej niż jednego podmiotu będącego odrębnym administratorem, nie musi oznaczać obowiązku stworzenia wewnętrznych procedur i polityk ochrony danych osobowych w oddzielnych dokumentach dla każdego z administratorów.
Doktryna stoi na stanowisku, iż kilku administratorów ma możliwość, aby „działać wspólnie”, a jedna dokumentacja może regulować kwestie ochrony danych dotyczące administratorów w ramach jednej jednostki, ale to zagadnienie w kontekście prowadzonego przetwarzania należy starannie przemyśleć oraz zapewnić, aby z dokumentacji jasno wynikało, jakich administratorów i jakich danych ta dokumentacja dotyczy.
Należy pamiętać przede wszystkim, że złożoność relacji niesie za sobą konieczność spełnienia obowiązków wynikających z Ustawy o Ochronie Danych Osobowych (UODO).
RODO nakłada na administratora obowiązek wdrożenia odpowiednich środków technicznych i organizacyjnych, zapewniających przetwarzanie danych osobowych zgodnie z wymogami tego rozporządzenia. W przepisach RODO nie przewidziano szczegółowego zakresu dotyczącego wymaganej dokumentacji, zatem w świetle zasady rozliczalności do administratora należy decyzja, w jaki sposób skonstruuje funkcjonujący u siebie system ochrony danych osobowych, przy czym system ten powinien dotyczyć całości procesów przetwarzania prowadzonych u danego administratora i realnie wpływać na prawidłowość, bezpieczeństwo oraz przejrzystość przetwarzania.
Zdarzyć się też mogą sytuacje, w których poszczególni administratorzy funkcjonujący w ramach jednej jednostki organizacyjnej podlegać będą jednocześnie również innym przepisom dotyczącym ochrony danych osobowych. Regulacje te mogą nakładać specyficzne rozwiązania dotyczące prowadzenia dokumentacji ochrony danych, które również winny być uwzględnione przez administratorów w prowadzonej dokumentacji.
Trzeba zaznaczyć, że dla kompletnego zrealizowania wymagań ustawowych oraz rozporządzeń wykonawczych, na każdym z administratorów danych ciążą obowiązki związane z ochroną przetwarzanych danych. Każdy z administratorów – niezależnie od tego, czy będzie to wspólny, czy odrębny dokument, musi być w stanie wykazać, że wywiązał się ze wszystkich ciążących na nim obowiązków wynikających z przepisów o ochronie danych osobowych.
Podsumowując, administratorzy funkcjonujący w obrębie tej samej jednostki uwzględniając strukturę i realizowane przez nich zadania powinni dokonać oceny co do odpowiedniego w ich przypadku sposobu prowadzenia dokumentacji ochrony danych osobowych. W sytuacji, gdy nie będzie możliwości objęcia jednym dokumentem procesów i procedur funkcjonujących u różnych administratorów, stworzenie oddzielnego dokumentu może ułatwić tym administratorom przestrzeganie zasad ochrony danych i obowiązków określonych w różnych przepisach o ochronie danych osobowych.
Podstawa prawna:
Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych)