Ponowne wykorzystanie danych osobowych przez podmiot przetwarzający (procesora)

Najpierw musimy sobie uświadomić, w jakim celu administrator zawiera z procesorem umowę powierzenia przetwarzania danych, a następnie wskazać, na podstawie jakich przesłanek procesor uzyskuje dostęp do tych danych. Co istotne, zgodnie z art. 4 pkt 8 oraz art. 28 ust. 3 lit. a RODO przetwarzanie może odbywać się jedynie na udokumentowane polecenie administratora przez zawarcie umowy powierzenia przetwarzania danych (na mocy art. 28 ust. 3 RODO dopuszczalne jest też powierzenie w formie innego instrumentu prawnego podlegającego prawu UE lub prawu państwa członkowskiego).

Oznacza to, że przetwarzanie danych, które należą do konkretnego katalogu wskazanego przez administratora, w wyraźnie oznaczonym celu możliwe jest po spełnieniu warunków wskazanych w RODO, takich jak określenie przedmiotu i czasu trwania przetwarzania, jego charakteru i celu, a także rodzaju danych osobowych oraz kategorii osób, których zgromadzone dane dotyczą. Po spełnieniu tych przesłanek i podpisaniu umowy przez obie strony (procesora i administratora) dochodzi do powierzenia danych – i wówczas procesor dokonuje ich przetwarzania na zasadach określonych w umowie . W praktyce administrator zawiera umowę powierzenia danych najczęściej w sytuacji, gdy korzysta z usług podmiotu zewnętrznego (outsourcing).

Potrzeba ponownego wykorzystania danych – stanowisko organu nadzorczego

W tym miejscu dochodzimy do kluczowego problemu, co zrobić, gdy po zakończeniu umowy powierzenia przetwarzania danych procesor zgłosi się do administratora z zapytaniem, czy nadal może przetwarzać dane otrzymane w ramach tej samej umowy powierzenia. Konieczność dalszego przetwarzania danych podmiot występujący w roli byłego procesora może uzasadniać chociażby potrzebą biznesową, opartą np. na konieczności wykorzystania danych do analizy potrzeb rynku w celu podniesienia jakości świadczonych usług czy stworzenia nowych produktów na bazie uzyskanych wcześniej danych.

W kwestii dopuszczalności ponownego wykorzystania danych przez procesora wypowiedział się francuski organ nadzorczy (CNIL). Podkreślił, że procesor może wykorzystać zebrane dane osobowe we własnym imieniu, pod warunkiem jednak, że ich ponowne wykorzystanie będzie pozostawało w zgodności z pierwotnym celem przetwarzania (określonym w umowie powierzenia) oraz że administrator udzieli temu podmiotowi pisemnej zgody.

Podmiot przetwarzający, który chce ponownie wykorzystać dane, będzie musiał zgłosić taką potrzebę administratorowi danych, ponieważ nie może z własnej woli ponownie przetwarzać danych (z wyjątkiem sytuacji, gdy taki obowiązek nakłada na niego prawo UE lub prawo państwa członkowskiego, któremu podlega, bądź gdy posiada wyraźną zgodę osoby, której dane dotyczą). Jest to działanie niezbędne, gdyż w przeciwnym razie procesor nie tylko naruszyłby przepisy RODO, lecz także podlegałby sankcjom przewidzianym w pierwotnej umowie powierzenia.

Konieczny test zgodności

Jak wskazuje CNIL, gdy cel przetwarzania różni się od celu pierwotnie wskazanego w umowie zawartej z administratorem, niezbędne jest przeprowadzenie testu zgodności (ang. compatibility test). Taki test pozwala na ocenienie, czy podmiot może dalej korzystać ze zgromadzonych danych, mimo że pierwotny cel, dla którego dane zostały zebrane, był inny. Test zgodności przeprowadza się na podstawie takich kryteriów, jak:

• istnienie związku między celami, dla których dane zostały zebrane, a celami przetwarzania, dla których dane mają teraz być zbierane,
• ocena kontekstu, w jakim dane zostały zebrane - dotyczy to oceny różnicy celu w jakim dane zostały pierwotnie  zebrane a celu administratora odnośnie ich ponownego wykorzystania,
• ocena charakteru danych osobowych – należy zwrócić uwagę zwłaszcza na szczególne kategorie danych (czy przetwarzanie dotyczy danych wrażliwych),
• analiza możliwych do przewidzenia konsekwencji dalszego przetwarzania dla osób, których dane dotyczą,
• analiza zastosowanych zabezpieczeń (jak szyfrowanie i pseudonimizacja).

Jeśli administrator i procesor uznają, że zachodzi zgodność pozwalająca stwierdzić, że cel nowego przetwarzania co najmniej będzie pozostawać w zgodności z pierwotnym celem administratora, to ponowne wykorzystanie danych będzie dopuszczalne. Należy przy tym pamiętać, że zgoda administratora musi mieć formę pisemną lub formę elektroniczną.

Jako przykład ponownego wykorzystania danych osobowych (poprzedzonego testem zgodności) CNIL wskazał ulepszanie usług przetwarzania danych w chmurze. Jego zdaniem tę sytuację można uznać za przetwarzanie zgodne z pierwotnym celem przetwarzania.

A jak należy postąpić, gdy test nie wykaże wymaganej zgodności? Odpowiedź na to pytanie jest jednoznaczna. W takiej sytuacji administrator nie będzie mógł udzielić podmiotowi zgody na ponowne wykorzystanie danych.

Spełnienie obowiązków informacyjnych wynikających z RODO

Skoro procesor pozostaje w zgodności z pierwotnym celem przetwarzania oraz uzyskał zgodę administratora na ponowne wykorzystanie danych, to czy może przystąpić do realizacji zamierzonych celów? Niestety nie. Trzeba ponownie pamiętać o obowiązkach przewidzianych w RODO, w tym o konieczności realizacji obowiązku informacyjnego. Dochodzimy bowiem do bardzo ciekawej sytuacji, w której dotychczasowy procesor staje się nowym administratorem danych osobowych (gdyż dane te będą przetwarzane w nowym celu). Dlatego też „nowy administrator” musi dopełnić wszelkich obowiązków względem osób, których dane dotyczą (art. 12 – 23 RODO).

Warto podkreślić, że dotychczasowy administrator danych będzie również zobowiązany do spełnienia obowiązku informacyjnego względem osób, których dane dotyczą, odnoszącego się do przekazania danych nowemu administratorowi w nowym celu. W szczególności CNIL wskazał, że należy te osoby poinformować o prawie do wniesienia sprzeciwu (art. 21 RODO).

Zgodnie z obowiązującym stanem prawnym nowy administrator danych będzie musiał dodatkowo przeprowadzić szereg czynności związanych z zapewnieniem zgodności przetwarzania dla wybranego procesu. Mowa tu przede wszystkim o zapewnieniu wszelkich środków bezpieczeństwa, przeprowadzeniu analizy ryzyka, zidentyfikowaniu możliwych zagrożeń dla bezpieczeństwa danych, a także o identyfikacji i weryfikacji kręgu odbiorców danych osobowych. Oznacza to, że konieczne będzie dopełnienie obowiązków z art. 24 RODO, takich jak wdrożenie odpowiednich środków technicznych
i organizacyjnych w celu zapewnienia zgodności przetwarzania danych, wdrożenie odpowiednich polityk ochrony danych czy też stosowanie zatwierdzonych kodeksów postępowania, jeżeli w stosunku do danego procesu zatwierdzony kodeks postępowania ma zastosowanie.

Zgodność przetwarzania danych z interesem administratora

Wiemy już, jakie przesłanki musi spełnić podmiot, by móc ponownie wykorzystać dane powierzone przez administratora do własnych celów – przy założeniu, że dzięki zastosowaniu odpowiednich środków technicznych i organizacyjnych takie przetwarzanie będzie prawnie dopuszczalne. Warto jednak pochylić się nad jeszcze jednym niezwykle istotnym zagadnieniem, jakim jest zgodność przetwarzania z interesem administratora.

Jeżeli nie otrzymamy zgody na przetwarzanie zwykłych danych osobowych, która pochodziłaby wprost od osoby fizycznej, to zazwyczaj podstawą prawną ich przetwarzania będzie art. 6 ust. 1 lit. f RODO, a więc prawnie uzasadniony interes administratora. Powszechnie przyjęło się, że zastosowanie tej przesłanki jest dość szerokie, a sama doktryna pozwala interpretować jej zakres w sposób elastyczny. Niemniej należy pamiętać, że administrator, który chce przetwarzać dane na podstawie art. 6 ust. 1 lit. f RODO, musi zweryfikować swój interes prawny, chociażby dzięki przeprowadzeniu tzw. testu równowagi. W praktyce oznacza to, że prawny interes administratora w każdym przypadku będzie musiał pozostawać w zgodności z ogólnie obowiązującymi przepisami prawa. Warto podkreślić, że uzasadniony interes administratora nie musi wynikać z konkretnego przepisu prawa. Wystarczające będzie dowiedzenie przez administratora, że jego interes prawny jest związany np. z interesem gospodarczym.

W odniesieniu do omawianego przez nas przypadku procesor po przeprowadzeniu testu zgodności i upewnieniu się, że jest w stanie wprowadzić odpowiednie środki techniczne i organizacyjne, powinien pochylić się nad kluczową kwestią – podstawą prawną przetwarzania danych. Można ją określić np. za pomocą wspomnianego wcześniej testu równowagi. Pozytywny wynik testu równowagi pozwoli wykluczyć sytuacje, w których ta podstawa przetwarzania będzie nadużywana. Innymi słowy, przeprowadzenie testu równowagi pozwoli potencjalnemu administratorowi na zweryfikowanie, czy przetwarzanie danych osobowych będzie naprawdę niezbędne do osiągnięcia jego uzasadnionych interesów.

Podsumowanie

Ponowne wykorzystanie danych przez procesora jest zagadnieniem na tyle złożonym, że wymaga dokładnej analizy pod kątem regulacji przewidzianych przez RODO. Procesor zgłaszający administratorowi potrzebę wykorzystania otrzymanych danych osobowych, aby realizować inny cel niż ten, dla którego dane zostały pierwotnie zebrane, będzie musiał liczyć się z koniecznością przeprowadzenia wielu działań w celu zidentyfikowania przesłanek dopuszczalności takiego ponownego wykorzystania danych. Wymagane jest nie tylko potwierdzenie pozytywnego wyniku testu zgodności i uzyskanie zgody administratora na wykorzystanie danych, lecz także wdrożenie odpowiednich środków technicznych i organizacyjnych oraz – jeżeli dane będą przetwarzane na podstawie art. 6 ust. 1 lit. f RODO –  wykonanie testu równowagi. Co ważne, dotychczasowy procesor stanie się wówczas odrębnym administratorem danych. Należy pamiętać, że administrowanie danymi jest związane z realizacją szeregu obowiązków przewidzianych przez RODO. W sytuacji gdy dochodzi do ponownego wykorzystania danych, konieczne jest też spełnienie obowiązku informacyjnego wobec osób, których dane dotyczą.