Administrator czy podmiot przetwarzający – kto jest kim w procesach przetwarzania danych osobowych?
Jedne z podstawowych dla ochrony danych osobowych pojęcia administratora i podmiotu przetwarzającego dane osobowe wciąż budzą wiele wątpliwości. Jak się okazuje nie są to tylko wątpliwości osób, których dane dotyczą czy podmiotów profesjonalnych biorących udział w procesach przetwarzania danych osobowych. Podczas ostatniego, 37 posiedzenia plenarnego Europejskiej Rady Ochrony Danych („EROD”), EROD przyjęła Wytyczne dotyczące pojęć administratora i podmiotu przetwarzającego dane osobowe* („Wytyczne”). Przyjęte wytyczne podlegają publicznym konsultacjom (do dnia 19 października 2020 r.). Treść wytycznych wywołała w środowisku praktyków ochrony danych osobowych szereg komentarzy, głównie z uwagi na obszerność Wytycznych, a także ich ograniczoną przejrzystość.
Niniejsze opracowanie ma na celu przekazanie kilku praktycznych porad, istotnych w procesie badania zależności: administrator – podmiot przetwarzający, a także wskazanie głównych wniosków wynikających z Wytycznych.
Kto jest kim w procesach przetwarzania danych?
W procesach projektowania architektury lub podczas przeprowadzania audytów dot. zgodności z przepisami dot. ochrony danych osobowych często można spotkać się z sytuacją, w której nie jest łatwe ustalenie, czy dany podmiot powinien zostać uznany za podmiot przetwarzający, czy też za administratora danych osobowych, przetwarzanych w konkretnym procesie. Ma to szczególne znaczenie w przypadku transferu danych poza Europejski Obszar Gospodarczy oraz w grupach kapitałowych, w których częstokroć jedna spółka z grupy wykonuje pewnego rodzaju czynności (np. marketingowe lub z zakresu HR) dla innych spółek z grupy.
O ile teoretycznie RODO dostarcza jasnych definicji administratora („osoba fizyczna lub prawna (…), która samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych”) i podmiotu przetwarzającego („osoba fizyczna lub prawna (…), która przetwarza dane osobowe w imieniu administratora”), to w praktyce częstokroć występują wątpliwości w procesie ustalania ról w procesach przetwarzania danych. Część z nich może wynikać z niezrozumienia tych koncepcji lub nieznajomości zasad postępowania z danymi osobowymi wynikającymi z RODO (np. profilowanie przez bramki płatności danych konsumentów podmiotu, z którym umowę o procesowanie płatności posiada „właściwy” administrator). Niektóre zaś z prób kontraktowego uregulowania relacji pomiędzy podmiotami w taki sposób, żeby stosunek administrator – podmiot przetwarzający powstał (pomimo tego, że mamy do czynienia ze stosunkiem innego rodzaju). Konsekwencją wyciągnięcia błędnych wniosków co do natury danej relacji będzie zazwyczaj naruszenie przepisów z zakresu ochrony danych osobowych, w tym np. zasady transparentności przetwarzania danych.
W procesie ustalania rodzaju relacji pomiędzy podmiotami należy przede wszystkim ustalić kto faktycznie podejmuje decyzje dot. celów i sposobów przetwarzania danych. Najlepszym sposobem będzie stworzenie mapy procesów przetwarzania, zawierającej rodzaje przetwarzanych danych oraz podmioty biorące udział w przetwarzaniu. Należy zaznaczyć, że jeżeli dany podmiot co prawda przetwarza np. dane konsumentów, ale nie ma „bezpośredniej” relacji z tymi konsumentami, a przetwarzania odbywa się w celu podrzędnym do celu głównego (którym jest np. dokonanie zakupu w sklepie internetowym) to w dużej części badanych przypadków taki podmiot będzie podmiotem przetwarzającym.
Wnioski zawarte w Wytycznych
Tak jak wspomniano powyżej – Wytyczne wciąż podlegają konsultacjom, a o ich ostatecznym kształcie będziemy informować na bieżąco. Już teraz warto zasygnalizować, że EROD wskazała, że o ile treść umowy pomiędzy administratorem a podmiotem przetwarzającym może zawierać elementy pomocne w ustaleniu rodzaju relacji pomiędzy podmiotami, to nie ma ona charakteru decyzyjnego. Prawidłowa analiza powinna opierać się o analizę faktyczną, nie kontraktową, zachodzących procesów i udziału w nich poszczególnych podmiotów. Trzeba pamiętać, że Administrator decyduje przy tym zarówno o tym, dlaczego dane osobowe są przetwarzane, jak i o tym, w jaki sposób przetwarzanie się odbywa. Oznacza to, że pewne aspekty sposobu przetwarzania („non essential means”) mogą być ustalane przez podmiot przetwarzający. W ocenie EROD może nawet dochodzić do sytuacji, w jakiej administrator nie ma dostępu do danych osobowych wobec których pełni funkcję administratora. Co oczywiste, podmiot przetwarzający nie może wychodzić „poza” instrukcje przetwarzania, jakie otrzymał od administratora.
Umowa przetwarzania danych osobowych pomiędzy administratorem a podmiotem przetwarzającym powinna zawierać elementy wskazane w RODO, ale nie powinna ograniczać się do przepisania tekstu RODO.
EROD wskazała także, że w przypadku współadministrowania, do uznania danych podmiotów za będące współadministratorami, kluczowe jest wykazanie, że przetwarzanie nie byłoby możliwe bez udziału tych współadministratorów. Oznacza to, że te podmioty są nie do rozdzielenia we współadministrowaniu, a wspólne ustalenia powinny dotyczyć zarówno celów, jak i sposobów przetwarzania danych. W świetle powyższego nie do końca jasne jest, w jaki sposób miałoby się odbywać wspólne ustalanie celów i sposobów przetwarzania np. w przypadku współadministrowania danymi osobowymi zbieranymi za pomocą tzw. fanpages portali społecznościowych, czego dotyczył wyrok TSUE w sprawie C-210/16 Wirtschaftsakademie.
Przewodnik EDPB do pobrania:
