W przypadku, gdy firma decyduje się na promowanie własnych produktów lub usług poprzez samodzielną organizację konkursu, loterii czy sprzedaży premiowej sytuacja jest jednoznaczna – zarówno organizatorem jak i administratorem danych osobowych uczestników promocji będzie ten sam podmiot. Co natomiast w przypadku, gdy podmiot, którego produkty lub usługi będą promowane, powierzy organizację promocji wyspecjalizowanej firmie, np. agencji reklamowej?
Zgodnie z art. 7 pkt 4 ustawy o ochronie danych osobowych (UODO), administratorem danych osobowych jest ten, kto decyduje o celach i środkach przetwarzania danych osobowych. W relacji klient-agencja reklamowa pojawia się zatem pytanie, który z tych podmiotów pełni funkcję administratora danych osobowych. Z jednej strony bowiem to właśnie klient decyduje o celu przetwarzania (klient podejmuje decyzję o organizacji promocji), natomiast agencja, przyjmując funkcje organizatora, określa sposób przetwarzania danych (w tym kategorie danych, sposób ich zbierania, przetwarzania oraz ochrony), a więc decyduje tym samym o środkach przetwarzania.
Polskie prawo nie przewiduje możliwości łączenia funkcji administratora danych przez kilka podmiotów. Wydaje się zatem, że najrozsądniejszym rozwiązaniem byłoby ustalenie, że w omawianym przypadku administratorem danych jest agencja reklamowa, gdyż jako podmiot profesjonalny prawdopodobnie staranniej wypełniać będzie obowiązki administratora dzięki wyszkolonemu personelowi i utrwalonym procedurom.
Niestety, takiemu rozwiązaniu sprzeciwia się stanowisko Generalnego Inspektora Danych Osobowych. W decyzji z dnia 19 sierpnia 2008 r. (DIS/DEC -487/21468, 21472/08) organ ten uznał, że nie jest możliwe ustalanie podmiotu pełniącego funkcję administratora danych osobowych w drodze umowy, ponieważ sprawowanie tej funkcji nie zależy od decyzji stron, lecz od stanu faktycznego. Jednocześnie w powyższej decyzji GIODO wskazano, że w omawianej relacji klient-agencja reklamowa, to właśnie klient będzie pełnił funkcję administratora danych – niezależnie od tego, który z tych podmiotów podejmie się organizacji promocji. Według GIODO, okoliczność, iż to klient podjął decyzję o przeprowadzeniu promocji i na mocy umowy ma prawo kontrolować i weryfikować prawidłowość działań wykonywanych przez agencję marketingową, nie pozwala na przyjęcie innego rozwiązania – nawet w wypadku, gdy z faktycznym przetwarzaniem danych ani z decyzjami odnośnie sposobu ich zbierania, przetwarzania i zabezpieczenia klient nie miał w ogóle do czynienia.
Powyższe podejście należy uznać niewątpliwie za kontrowersyjne. Powoduje ono bowiem, że najbardziej odpowiedzialną funkcję musi przyjąć podmiot, który zazwyczaj z przetwarzaniem danych nie ma zbyt wiele do czynienia i często brakuje mu zwyczajnie środków i wiedzy, aby choćby kontrolować prawidłowość przetwarzania danych przez agencję-organizatora. Z drugiej jednak strony, takie podejście pozwala wyeliminować sytuacje, w których funkcję organizatora zrzuca się na inny podmiot wyłącznie po to, aby uniknąć odpowiedzialności za przewidywane zaniedbania i nieprawidłowości. Zdaniem autora, najlepszym rozwiązaniem tego konfliktu byłaby zmiana przepisów w taki sposób, aby umożliwić współdzielenie funkcji administratora i obowiązków z tym związanych przez obydwa podmioty.
