30 grudnia 2020
Udostępnienie a powierzenie przetwarzania danych osobowych. Najważniejsze różnice
Udostępnij
W ramach prowadzonej działalności gospodarczej często zachodzi konieczność przekazania danych osobowych do innego podmiotu, np. w celu realizacji współpracy lub świadczenia usług. Z perspektywy ochrony danych osobowych skutkuje to obowiązkiem weryfikacji, czy taka operacja powinna być poprzedzona zawarciem umowy powierzenia przetwarzania danych osobowych czy też może być potraktowana jako udostępnienie danych innemu administratorowi. Ocena ta w praktyce bywa dosyć skomplikowana i wymaga rzetelnej, wieloaspektowej analizy.
Jak odróżnić powierzenie od udostępnienia danych osobowych?
Ustalenie rodzaju relacji pomiędzy podmiotami zaangażowanymi w proces przetwarzania danych osobowych sprowadza się de facto do przypisania im właściwych ról, tj. roli administratora lub podmiotu przetwarzającego (procesora). Oba pojęcia zostały zdefiniowane w art. 4 pkt 7 i 8 ogólnego rozporządzenia o ochronie danych[1]. Każda osoba fizyczna lub prawna, organ publiczny, jednostka lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych pełni w świetle RODO rolę administratora. Podmiotem przetwarzającym jest natomiast osoba fizyczna lub prawna, organ publiczny, jednostka lub inny podmiot, który przetwarza dane osobowe w imieniu administratora.
Na tle tak sformułowanych definicji dosyć wyraźne zarysowują się różnice pomiędzy statusami różnych podmiotów. Przede wszystkim administrator odgrywa rolę dominującą w tym znaczeniu, że decyduje o tym, czy w ogóle dojdzie do przetwarzania danych osobowych, jakie dane i w jaki sposób będą przetwarzane, jakimi sposobami, na jakiej podstawie prawnej itd. Status administratora może wynikać wprost z przepisów regulujących funkcjonowanie i uprawnienia niektórych podmiotów, jednak zwykle jest ustalany w oparciu o okoliczności faktyczne związane z przetwarzaniem danych osobowych. Administrator powinien być traktowany jako podmiot kontrolujący i zarządzający całym procesem przetwarzania danych osobowych, a w konsekwencji jako podmiot w pełni odpowiedzialny za prawidłowość tego procesu pod kątem wymagań zawartych w RODO[2]. To administratora obciąża szereg obowiązków prawnych związanych z zapewnieniem zgodności przetwarzania danych osobowych z RODO, w tym m.in. obowiązek przestrzegania zasad przetwarzania danych osobowych i wdrożenia odpowiednich środków organizacyjnych i technicznych, zapewnienie właściwego poziomu bezpieczeństwa danych osobowych, przeprowadzanie analizy ryzyka, realizowanie obowiązków informacyjnych oraz praw podmiotów danych osobowych itd. [3]
Administrator, poprzez ustalanie celów i sposobów przetwarzania danych osobowych, decyduje również o tym, w jaki sposób ma być zorganizowany cały proces przetwarzania danych, a w związku z tym, czy w procesie przetwarzania danych osobowych będą zaangażowane podmioty działające w jego imieniu, czyli wspomniane wcześniej podmioty przetwarzające czy też jedynie osoby bezpośrednio mu podlegające, upoważnione do przetwarzania danych osobowych. Uzyskanie statusu procesora nie ma więc charakteru samoistnego, lecz jest pochodną decyzji administratora[4]. Z kolei z racji tego, że to administrator ustala cele i sposoby przetwarzania danych osobowych, podmiot przetwarzający powierzone dane w jego imieniu powinien działać zgodnie z interesem administratora i w ustalonych przez niego celach. Podmiot przetwarzający powinien też dokonywać operacji przetwarzania wyłącznie na udokumentowane polecenie administratora, co oznacza, że w swoim działaniu jest on zasadniczo pozbawiony swobody i uznaniowości, ponieważ nie może on przekroczyć ram przetwarzania określonych przez administratora[5]. Mimo to w pewnych sytuacjach administrator może pozostawić w gestii procesora wybór właściwych środków technicznych i organizacyjnych, które najlepiej służyłyby z jednej strony realizacji interesów administratora w związku z przetwarzaniem danych osobowych na jego polecenie, a z drugiej zapewnieniu odpowiedniego poziomu bezpieczeństwa przetwarzanych danych osobowych. Niemniej jednak każdorazowe przekroczenie granicy dopuszczalnego działania wyznaczonej przez administratora oznacza niezgodne z prawem i stosunkiem powierzenia przetwarzanie danych osobowych. Należy też pamiętać, że w momencie, w którym podmiot przetwarzający zaczyna przetwarzać powierzone mu dane osobowe dla własnych celów, traci w tym zakresie przymiot procesora, stając się jednocześnie w odniesieniu do „własnych” operacji przetwarzania administratorem, wraz ze wszystkimi przewidzianymi z tego tytułu obowiązkami i konsekwencjami.
Jak zatem widać, podmiot przetwarzający, zgodnie z definicją, nie tylko przetwarza dane osobowe w imieniu administratora, ale też podlega różnym ograniczeniom w tym zakresie wynikającym wprost z RODO lub z umowy lub innego instrumentu prawnego regulującego powierzenie przetwarzania. Inaczej jest w przypadku podmiotu, któremu dane osobowe są udostępniane. To pojęcie nie zostało zdefiniowane w rozporządzeniu, aczkolwiek pojawia się w art. 4 pkt 2 RODO w kontekście definicji przetwarzania danych osobowych – udostępnianie zostało wskazane jako jedna z wielu operacji przetwarzania danych osobowych i jednocześnie zaliczone do szerszej kategorii ujawniania danych. Ujawnienie rozumiane jest jako uczynienie określonych informacji jawnymi dla osób, które ich wcześniej nie znały[6]. Co ważne ujawnienie danych musi być efektem działania administratora, ponieważ to administrator czyni dane jawnymi dla określonej osoby lub grupy osób, nawet jeśli działanie to było przez niego niezamierzone[7]. Jak wskazano w art. 4 pkt 2 RODO, ujawnienie może nastąpić poprzez „przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie”.
W praktyce udostępnienie danych osobowych następuje na rzecz innego administratora – podmiotu, który samodzielnie będzie decydować o celach i sposobach przetwarzania pozyskanych danych osobowych. Podmiot, któremu udostępniono dane osobowe, nie działa w imieniu administratora, lecz realizuje własne interesy związane z przetwarzaniem danych osobowych. W przeciwieństwie do powierzenia danych osobowych, w odniesieniu do relacji udostępnienia prawodawca unijny nie wprowadził więc obowiązku sformalizowania tej operacji przetwarzania w drodze umowy lub innego instrumentu prawnego. Niemniej jednak nie oznacza to, że na podmiocie, który udostępnia dane osobowe, jak i na tym, który je pozyskuje, nie spoczywają żadne obowiązki związane z czynnością udostępnienia. Po pierwsze, administrator udostępniający dane osobowe musi upewnić się, czy dysponuje odpowiednią podstawą prawną udostępnienia; podstawą taką może być przykładowo zgoda podmiotu danych czy przepis nakazujący udostępnienie danych osobowych w celu wykonania obowiązku prawnego[8]. Po drugie, administrator powinien zweryfikować, czy podmiot, któremu dane są udostępniane, został wskazany w ramach obowiązku informacyjnego z art. 13 RODO – jeśli nie, klauzula powinna być zaktualizowana w tym zakresie. Wreszcie po trzecie, należy pamiętać, aby udostępnienie danych nastąpiło z uwzględnieniem wymogów bezpieczeństwa przetwarzania, w tym zasady integralności i poufności. Z kolei po stronie podmiotu, któremu dane są udostępniane, powstają obowiązki wynikające z faktu, że staje się on ich administratorem, a zatem m.in. obowiązek zapewnienia zgodności przetwarzania z RODO, w tym przetwarzania danych osobowych w oparciu i przesłankę legalizującą z art. 6 ust. 1 lub art. 9 ust. 2 RODO, obowiązek wdrożenia odpowiednich środków technicznych i organizacyjnych, obowiązek informacyjny itp.
Jako przykład udostępnienia danych osobowych można wskazać przekazanie danych do organów lub instytucji państwowych, jak Zakład Ubezpieczeń Społecznych, organy ścigania czy też organy administracji publicznej, w ramach realizacji ciążących na administratorze obowiązków prawnych. Udostępnienie danych może nastąpić także na potrzeby realizacji umowy pomiędzy przedsiębiorcami, jeśli ujawniane są dane kontaktowe osób odpowiedzialnych za wykonanie umowy czy też na potrzeby zapewnienia opieki zdrowotnej pracownikom – w ramach współpracy z jednostką służby medycyny pracy. Podobnie będzie w przypadku współadministrowania – w zakresie, w jakim administratorzy wspólnie ustalają cele i sposoby przetwarzania danych osobowych, dane te będą pomiędzy nimi udostępniane.
Skąd się biorą wątpliwości?
Mimo dosyć wyraźnych różnic definicyjnych w praktyce odróżnienie administratora od podmiotu przetwarzającego może być kłopotliwe. Wynika to z faktu, że nie zawsze rodzaj lub zakres świadczonych usług czy pozycja danego podmiotu w konkretnej relacji gospodarczej w sposób oczywisty i intuicyjny determinują podział ról na gruncie ochrony danych osobowych. Nierzadko podmiot realizujący daną usługę, decydujący o sposobie, terminie jej wykonania czy użytych narzędziach, będzie jednocześnie podejmować decyzje w sferze ochrony danych osobowych, jeśli w ramach świadczonej usługi dochodzi do ich przetwarzania. Z tej przyczyny w celu prawidłowego ustalenia, kto pełni rolę administratora lub procesora, a w konsekwencji, czy zachodzi relacja powierzenia czy udostępnienia danych osobowych, warto poddać osobnej analizie sferę stosunków gospodarczych i sferę przetwarzania danych osobowych. Nie oznacza to przy tym, że podział obowiązków określony przez strony w umowie lub innym instrumencie prawnym pozostaje bez znaczenia – jest on ważny również dla określenia statusu podmiotów na gruncie RODO, jednak nie zawsze bezpośrednio go odzwierciedla. Dla zobrazowania takiej sytuacji można podać przykład przedsiębiorcy organizującego w ramach akcji promocyjnej konkurs dla konsumentów, w którym nagrodami są produkowane przez niego towary. W tym celu nawiązuje współpracę z agencją marketingową, której zleca przeprowadzenie konkursu – począwszy od jego ogłoszenia i rozpowszechnienia informacji w mediach społecznościowych, skończywszy na przyjmowaniu zgłoszeń konkursowych, ich ocenie i wyłonieniu zwycięzców. Szeroki zakres obowiązków i uprawnień agencji marketingowej związanych z organizacją konkursu nie przesądza o tym, że w świetle RODO będzie ona pełnić rolę administratora. Pierwotną decyzję o przetwarzaniu danych osobowych podejmuje bowiem przedsiębiorca – to on określa, w jakim celu i jakimi sposobami będą przetwarzane dane osobowe, nawet jeśli agencji marketingowej pozostawił autonomię decyzyjną w zakresie organizacji konkursu. Agencja w takiej relacji będzie więc pełnić rolę procesora, ponieważ przetwarza dane osobowe w imieniu administratora, działając w jego interesie i realizując jego cele. Pomiędzy podmiotami zachodzi relacja powierzenia, a zatem konieczne jest zawarcie umowy powierzenia przetwarzania danych osobowych.
Administrator lub procesor?
W procesie ustalania, czy określony podmiot rzeczywiście pełni rolę administratora, istotne jest przeprowadzenie analizy faktycznego wpływu na cele i sposoby przetwarzania danych osobowych. Zgodnie z definicją zawartą w art. 4 pkt 7 RODO administrator powinien określać zarówno cele, jak i sposoby przetwarzania danych osobowych. Zdarza się jednak, że decyzja co do sposobu przetwarzania danych pozostawiona jest podmiotowi przetwarzającemu. Taka sytuacja może rodzić wątpliwości w zakresie kwalifikacji takiego podmiotu jako procesora, skoro jego uprawnienia wkraczają w sferę decyzyjną administratora. Warto w tym kontekście pamiętać, że w ramach określania sposobów przetwarzania administrator decyduje o różnych elementach – zarówno zasadniczych dla procesu przetwarzania, jak i mniej kluczowych, tj. dotyczących wyłącznie kwestii techniczno-organizacyjnych[9]. Do elementów zasadniczych można zaliczyć wszystkie decyzje ważne dla procesu przetwarzania i związane z realizacją celów przetwarzania, jak np. zakres przetwarzanych danych osobowych, kategorie osób, których dane są przetwarzane, czas przetwarzania, kategorie odbiorców danych itp. Z kolei elementy techniczno-organizacyjne odnoszą się do praktycznych aspektów przetwarzania danych osobowych, takich jak np. wybór oprogramowania czy narzędzi informatycznych, za pomocą których dane osobowe będą przetwarzane. Decyzja w zakresie doboru elementów techniczno-organizacyjnych może być, i nierzadko jest, pozostawiona właśnie procesorowi.
Przykładowo, korzystanie z hostingu w celu przechowywania danych wiąże się z koniecznością zawarcia umowy powierzenia przetwarzania z dostawcą takiej usługi. Przechowywanie danych jest jedną z operacji przetwarzania danych osobowych; w przypadku hostingu operacja ta będzie wykonywana przez dostawcę usługi, ale w imieniu administratora, nawet jeśli dostawca usługi samodzielnie podejmuje decyzje dotyczące niektórych aspektów przetwarzania danych osobowych (np. w zakresie wyboru oprogramowania, z którego korzysta na potrzeby świadczenia usługi). Nie ma to jednak wpływu na podział ról w procesie przetwarzania. Podobnie będzie, gdy przedsiębiorca skorzysta z usług zewnętrznego podmiotu specjalizującego się w zarządzaniu płacami lub prowadzącego obsługę księgową – z perspektywy ochrony danych osobowych podmioty te pozyskują dane osobowe, np. pracowników i kontrahentów, oraz przetwarzają je w imieniu administratora, tj. realizując jego cele przetwarzania, jakimi są wypłata wynagrodzeń, odprowadzenie składek na ubezpieczenia społeczne itp. Konieczne będzie zatem zawarcie umowy powierzenia przetwarzania danych osobowych spełniającej wymagania określone w art. 28 ust. 3 RODO.
Podsumowanie
Pojęcia administratora i podmiotu przetwarzającego, a w konsekwencji również pojęcia powierzenia i udostępnienia danych osobowych, należy przede wszystkim rozumieć w aspekcie funkcjonalnym, nie zaś formalnym. Przypisanie ról poszczególnym podmiotom uczestniczącym w procesie przetwarzania danych osobowych wymaga ustalenia, który z nich decyduje o celach i sposobach przetwarzania danych osobowych, biorąc pod uwagę zakres obowiązków i uprawnień tych podmiotów w konkretnej relacji gospodarczej. Uzgodnienia poczynione przez strony co do ich relacji w sferze przetwarzania danych osobowych, nieznajdujące odzwierciedlenia w okolicznościach faktycznych, nie tylko mogą rodzić konsekwencje i odpowiedzialność za naruszenie RODO, ale przede wszystkim mogą negatywnie wpływać na gwarantowany poziom ochrony osób fizycznych w związku z przetwarzaniem ich danych osobowych.
Adrianna Michałowicz
adwokat w Lubasz i Wspólnicy – Kancelaria Radców Prawnych sp.k.; doktorantka w Katedrze Europejskiego Prawa Gospodarczego na Wydziale Prawa i Administracji Uniwersytetu Łódzkiego. Specjalizuje się w prawie ochrony danych osobowych, prawie gospodarczym i prawie własności intelektualnej
Przeczytaj więcej takich artykułów w strefie wiedzy PARP
Artykuł pochodzi z Biuletynu Euro Info 7/2020
[1] Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), Dz. Urz. L 119 z 04. 05. 2016, str. 1–88 (dalej: „RODO” lub „rozporządzenie”).
[2] Nie wyklucza to jednak odpowiedzialności podmiotu przetwarzającego za szkody spowodowane przetwarzaniem, jeśli nie dopełnił on obowiązków nałożonych na mocy RODO bezpośrednio na podmioty przetwarzające lub gdy działał poza zgodnymi z prawem instrukcjami administratora lub wbrew tym instrukcjom – zob. art. 82 ust. 2 RODO.
[3] Należy w tym miejscu zaznaczyć, że niektóre z wymienionych obowiązków adresowane są również do podmiotów przetwarzających, np. obowiązek zapewnienia bezpieczeństwa przetwarzania poprzez wdrożenie odpowiednich środków technicznych i organizacyjnych (art. 32 ust. 1 RODO). Podmiot przetwarzający powinien również wspierać administratora w realizowaniu praw podmiotów danych, w tym w udzielaniu odpowiedzi na żądania osób, których dane dotyczą (art. 28 ust. 3 pkt e) RODO). Ponadto, podmiot przetwarzający może być zobowiązany, na mocy postanowień umowy powierzenia przetwarzania danych osobowych, do wykonywania w imieniu administratora obowiązku informacyjnego wobec podmiotów danych; obowiązek ten jest nakładany zwłaszcza, gdy podmiot przetwarzający pozyskuje dane osobowe.
[4] Decyzyjność administratora w zakresie powierzenia przetwarzania danych osobowych może być jednak w określonych przypadkach ograniczona. Ograniczenie to może wynikać przykładowo z przepisów regulujących przetwarzanie danych osobowych w sferze publicznej.
[5] K. Witkowska-Nowakowska, Artykuł 4 pkt 8 [w:] E. Bielak-Jomaa (red.), D. Lubasz (red.), RODO. Ogólne rozporządzenie o ochronie danych. Komentarz, Warszawa 2018 r., s. 225–226.
[6] Zob. https://sjp.pwn.pl/slowniki/ujawnienie.html (dostęp: 10.11.2020 r.).
[7] Ujawnieniem danych osobowych nie będzie przykładowo uzyskanie przez osobę trzecią dostępu do danych np. na skutek złamania zabezpieczeń technicznych, kradzieży danych, ataku hackerskiego itp. Takie sytuacje należy zakwalifikować jako uzyskanie dostępu do danych osobowych, w dodatku bezprawne.
[8] Udostępnienie danych osobowych powinno następować w oparciu o przesłanki wskazane w art. 6 ust. 1 lub art. 9 ust. 2 RODO.
[9] Podział na elementy zasadnicze i elementy techniczno-organizacyjne przyjęła Grupa Robocza Art. 29 w Opinii 1/2010 w sprawie pojęć „administrator danych” i „przetwarzający” z dnia 16.02.2010 r., WP 169. Podział ten został zachowany również w najnowszych wytycznych Europejskiej Rady Ochrony Danych – Guidelines 07/2020 on the concepts of controller and processor in the GDPR, przyjętych w dniu 2.09.2020 r. i będących na etapie konsultacji społecznych.