Europejska Rada Ochrony Danych przyjęła Wytyczne w sprawie pojęć administratora i podmiotu przetwarzającego na gruncie RODO. Choć zdaniem EROD potrzeba takich wytycznych wyniknęła z wielu wątpliwości wokół wskazanych pojęć, to wydaje się, że wytyczne niekoniecznie będą stanowić odpowiedź na nurtujące administratorów pytania – mimo 48 stron można odnieść wrażenie, że EROD nie pochylił się nad zagadnieniami, które najbardziej wymagały rozstrzygnięcia.

35 milionów euro kary dla H&M

Wytyczne są podzielone na rozdziały: cztery z nich są poświęcone definicjom administratora, współadministratorów, podmiotu przetwarzającego i strony trzeciej, natomiast kolejne dwa  relacji powierzenia i stosunku między współadministratorami.

Poniżej przedstawiamy nasz subiektywny przegląd najciekawszych zagadnień podniesionych przez EROD.

Administrator

EROD rozkłada na czynniki pierwsze definicję administratora z art. 4 pkt 7 RODO i analizuje wszystkie składniki tej definicji:

1. Osoba fizyczna lub prawna, organ publiczny, jednostka lub inny podmiot …

Poza oczywistością, że administratorem nie jest prezes zarządu ani konkretny pracownik, tylko sama organizacja, EROD podkreśla konieczność dokładnej analizy w zakresie stosunków w ramach grupy kapitałowej i szczegółowej oceny, czy podmioty z grupy będą odrębnymi administratorami, czy może dochodzić będzie między nimi do stosunku powierzenia, np. w sytuacji przetwarzania danych w imieniu spółki-matki. Szkoda, że EROD nie poruszyła przy okazji kwestii naprawdę problematycznych, chociażby kwestii dopuszczalności administrowania danymi przez oddział przedsiębiorcy.

2. …ustala…

EROD podpowiada, że aby zrozumieć, kto faktycznie administruje danymi w konkretnym procesie, warto zadań pytania: „Dlaczego w ogóle dochodzi do przetwarzania danych?” i „Kto zdecydował o tym, że dane mają być przetwarzane w tym konkretnym celu?”. Ponadto EROD wyróżnia dwa rodzaje sytuacji, które determinują administrowanie danymi. Sam fakt posiadania statusu administratora danych należy wywodzić z (1) okoliczności faktycznych i faktycznego wpływu na operacje przetwarzania, a nie – przykładowo – postanowień umownych (nawet jeśli umowa przewiduje, że jedna strona jest podmiotem przetwarzającym, podczas gdy w rzeczywistości ta strona decyduje o celach i sposobach przetwarzania – pomimo zapisów umownych będzie ona administratorem). Zdarza się natomiast, że to (2) przepisy prawa wskazują na administratora. Częściej jednak zamiast bezpośrednio wyznaczać administratora lub określać kryteria dla jego mianowania, prawo określa zadanie do wykonania dla konkretnego podmiotu lub nakłada na niego obowiązek przetwarzania jakichś danych.

Przykład 1:
Prawo krajowe kraju A nakłada na władze gminne obowiązek zapewnienia świadczeń socjalnych, takich jak okresowe świadczenia dla obywateli warunkowane ich sytuacją finansową. Aby dokonać tych płatności, władze miejskie muszą pobrać i przetwarzać dane o sytuacji finansowej wnioskodawców. Chociaż prawo nie przewiduje wprost, że władze gminne będą pełnić rolę administratorów, wynika to pośrednio z przepisów prawnych.

Przykład 2:
Firma ABC wynajmuje kancelarię prawną do reprezentowania jej w postępowaniu sądowym. Aby wykonać to zadanie, kancelaria musi przetwarzać dane osobowe związane ze sprawą. Powodem przetwarzania danych osobowych jest umocowanie kancelarii do reprezentowania klienta w sądzie. Ten mandat nie jest jednak konkretnie ukierunkowany na przetwarzanie danych osobowych. Kancelaria zachowuje znaczny stopień niezależności, na przykład przy podejmowaniu decyzji, jakich informacji użyć i w jaki sposób, a klient nie wydaje kancelarii instrukcji dotyczących tego, jak przetwarzać dane osobowe. Przetwarzanie, którego dokonuje kancelaria w celu realizacji zlecenia jest więc związane z funkcjonalną rolą kancelarii, co determinuje rolę kancelarii jako administratora danych.

3. …samodzielnie lub wspólnie z innymi…

Administrator nie musi mieć stuprocentowej niezależności przy określaniu celów i sposób przetwarzania danych. Zgodnie z RODO szereg odrębnych podmiotów może mieć status administratora przy danej operacji przetwarzania i jednocześnie być przedmiotem obowiązków wynikających z przepisów prawa. Jednocześnie organizacja może wciąż posiadać status administratora nawet jeśli nie podejmuje wszystkich decyzji o celach i sposobach przetwarzania.

4.… cele i sposoby …

Przy konkretnej operacji przetwarzania administratorem będzie podmiot, który zadecydował, dlaczego przetwarzanie w ogóle się odbywa (tj. „w jakim celu” lub „po co”) i jak ten cel ma zostać osiągnięty (tj. „jakie środki należy zastosować, aby go osiągnąć”). Administrator musi zdecydować o celu i sposobach przetwarzania – nie może on poprzestać na określeniu samego celu. Musi także podejmować decyzje o sposobach przetwarzania. i odwrotnie, strona działająca jako podmiot przetwarzający nigdy nie może określać celu przetwarzania.

EROD uznaje, że może istnieć pewien margines manewru dla podmiotu przetwarzającego w zakresie podejmowania decyzji związanych z przetwarzaniem. EROD poczuł się w obowiązku, aby określić, jaki poziom wpływu na „dlaczego” i „jak” powinien pociągać za sobą kwalifikację podmiotu jako administratora oraz w jakim zakresie podmiot przetwarzający może samodzielnie podejmować decyzje. z tego powodu EROD dokonał rozróżnienia na essential vs. non-essential means.

Essential means (niezbędne środki) to te, które są ściśle powiązane z celem i zakresem przetwarzania, zastrzeżone wyłącznie dla administratora. Przykładami niezbędnych środków są kategorie danych osobowych, które są przetwarzane („jakie dane będą przetwarzane?”), czas trwania przetwarzania („jak długo dane będą przetwarzane?”), kategorie odbiorców („kto będzie miał dostęp do danych?”) oraz kategorie osób, których dane dotyczą („czyje dane osobowe są przetwarzane?”). Non-essential means (środki inne niż niezbędne) dotyczą bardziej praktycznych aspektów związanych z przetwarzaniem, takich jak wybór konkretnego rodzaju sprzętu czy oprogramowania lub szczegółowe środki bezpieczeństwa, co do których decyzję w sprawie można pozostawić podmiotowi przetwarzającemu.

Przykład :
Pracodawca A zatrudnia firmę księgową C do przeprowadzania audytu swojej księgowości, co wiąże się z koniecznością przekazania danych o transakcjach finansowych (w tym danych osobowych). Firma księgowa C przetwarza te dane bez szczegółowych instrukcji od A. Firma księgowa C decyduje sama, zgodnie z przepisami prawa regulującymi zadania rewizji finansowej przeprowadzanej przez C, że dane, które zbiera, będą przetwarzane wyłącznie w celu przeprowadzenia audytu A i na tej podstawi określa jakie dane musi posiadać, jakich kategorii osób one dotyczą, jak długo dane będą przechowywane i jakich środków technicznych należy użyć. W tych okolicznościach, podczas przeprowadzania audytu firmę księgową C należy traktować jako niezależnego administratora usług dla A. Jednak ocena ta może się różnić w zależności od poziomu instrukcji A. W sytuacji, gdyby prawo nie nakładało precyzyjnych obowiązków na biuro rachunkowe, a firma klienta udzielałąby bardzo szczegółowych instrukcji dotyczących przetwarzania, firma księgowa rzeczywiście działałaby jako podmiot przetwarzający (podsumowując: biuro księgowe jest odrębnym administratorem, chyba że jest podmiotem przetwarzającym).

5. … przetwarzania danych osobowych”

Podmiot będzie uważany za administratora danych, nawet jeśli jego działania nie są celowo ukierunkowane na dane osobowe jako takie, lub błędnie ocenił, że nie przetwarza danych osobowych. Co więcej, nie jest konieczne, aby administrator miał dostęp do danych, którymi administruje.

Przykład:
Firma ABC chce lepiej zrozumieć konsumentów i w tym celu zawiera umowę z dostawcą usług XYZ w celu pozyskania interesujących ją informacji. Spółka ABC poucza XYZ o tym, jakie informacje są dla niej interesujące i dostarcza listę pytań, które należy zadać osobom uczestniczącym w badaniu rynku. Spółka ABC otrzymuje od XYZ jedynie informacje statystyczne (np. identyfikujące trendy konsumenckie w poszczególnych krajach) i nie ma dostępu do samych danych osobowych. Niemniej jednak Spółka ABC zdecydowała o przetwarzaniu i o celu przetwarzania oraz przekazała XYZ szczegółowe instrukcje dotyczące tego, jakie informacje o konsumentach należy pozyskać. Przedsiębiorstwo ABC należy zatem nadal uważać za administratora danych osobowych konsumentów, a XYZ – za podmiot przetwarzający.

Współadministratorzy

Zgodnie z art. 26 RODO, „Jeżeli co najmniej dwóch administratorów wspólnie ustala cele i sposoby przetwarzania, są oni współadministratorami”. Nie wszystkie operacje przetwarzania, w których uczestniczy kilka podmiotów, prowadzą do współadministrowania. Nadrzędnym kryterium jest tu wspólne uczestnictwo dwóch lub większej liczby podmiotów przy określaniu celów i sposobów przetwarzania. Zdaniem EROD współadministrowanie musi obejmować z jednej strony określenie celów, a z drugiej strony określenie sposobów. Jeżeli każdy z tych elementów jest określany przez wszystkie zainteresowane podmioty, powinny one być uważane za współadministratorów przedmiotowego przetwarzania.

Ważnym kryterium pozwalającym określić, czy dochodzi do współadministrowania, jest ocena, czy przetwarzanie byłoby możliwe bez udziału obu stron – jeśli nie, jeśli strony w tym przetwarzaniu są ze sobą nierozerwalnie związane, wówczas dochodzi do współadministrowania. Fakt, że jedna ze stron nie ma dostępu do przetwarzanych danych osobowych, nie jest wystarczający, aby wykluczyć współadministrowanie.

Z drugiej strony, wspólna odpowiedzialność nie musi oznaczać jednakowej odpowiedzialności różnych podmiotów zaangażowanych w przetwarzanie. Wręcz przeciwnie: TSUE wyjaśnił, że podmioty te mogą być zaangażowane w różnym stopniu i na różnych etapach przetwarzania, tak więc poziom odpowiedzialności każdego z nich musi być oceniany w odniesieniu do wszystkich istotnych okoliczności danej sprawy.

Wspólne określanie celów to sytuacja, w której zaangażowane podmioty będą przetwarzać dane w tym samym lub wspólnym celu. W świetle orzecznictwa TSUE, nawet jeśli podmioty nie realizują tego samego/wspólnego celu, do współadministrowania może dojść, gdy zaangażowane podmioty realizują cele, które są ze sobą blisko związane lub są względem siebie komplementarne. Tak może być na przykład w przypadku, gdy istnieją wzajemne korzyści wynikające z tej samej operacji przetwarzania. Na przykładzie Fashion ID TSUE wyjaśnił, że operator strony internetowej uczestniczy w ustaleniu celów (i środków) przetwarzania poprzez zamieszczenie wtyczki społecznościowej na stronie internetowej w celu zoptymalizowania reklamy swoich towarów poprzez zwiększenie ich widoczności na portalach społecznościowych. TSUE uznał, że przedmiotowe operacje przetwarzania zostały przeprowadzone w interesie gospodarczym obu stron – Fashion ID oraz dostawcy wtyczki społecznościowej, w związku z czym dojdzie tu do współadministrowania.

Przejęcie IOD

Podobnie, jak zauważył TSUE w sprawie Wirtschaftsakademie, przetwarzanie danych osobowych w postaci statystyk dot. odwiedzających fanpage ma na celu umożliwienie Facebookowi ulepszenia systemu reklam przesyłanych za pośrednictwem jego sieci, a administratorowi – uzyskania statystyk do zarządzania promocją swojej działalności. Każdy podmiot w tym przypadku realizuje swój własny interes, ale obie strony biorą udział w określaniu celów i sposobów przetwarzania danych osób odwiedzających fanpage.

Wspólne określanie sposobów – aby mówić o współadministrowaniu nie jest konieczne, aby każdy podmiot, który przetwarza dane, był zaangażowany w określanie wszystkich sposobów przetwarzania. Dopuszczalna jest sytuacja, w której jeden z zaangażowanych podmiotów zapewni środki do przetwarzania i udostępni je do działań związanych z przetwarzaniem danych osobowych przez inne podmioty. Podmiot, który decyduje się na korzystanie z tych środków, aby dane osobowe mogły być przetwarzane w konkretnym celu, również uczestniczy w określeniu środków przetwarzania.

Należy jednak podkreślić, że stosowanie wspólnego systemu przetwarzania danych lub infrastruktury nie we wszystkich przypadkach prowadzi do zakwalifikowania zaangażowanych stron jako współadministratorów, w szczególności gdy przetwarzanie danych jest możliwe do wyodrębnienia i może być wykonywane przez jedną stronę bez interwencji ze strony pozostałych podmiotów lub gdy dostawca jest podmiotem przetwarzającym i nie ma własnego celu przetwarzania.

Przykład 1:
Biuro podróży wysyła dane osobowe swoich klientów do linii lotniczych i sieci hoteli w celu dokonania rezerwacji na pakiet turystyczny. Linie lotnicze i hotel potwierdzają dostępność miejsc i pokoi na życzenie. Biuro podróży wydaje dokumenty podróży i vouchery dla swoich klientów. Każdy z podmiotów przetwarza dane w celu realizacji swoich zadań. W tym przypadku biuro podróży, linia lotnicza oraz hotel są trzema odrębnymi administratorami danych i nie dochodzi do współadministrowania. Następnie biuro podróży, sieć hoteli i linia lotnicza decydują się na stworzenie wspólnej platformy internetowej do wspólnego celu, jakim jest zapewnienie zorganizowanych podróży. Zgadzają się co do podstawowych środków, które mają być stosowane, takich jak: jakie dane będą przechowywane, jak rezerwacje zostaną przydzielone i potwierdzone oraz kto może mieć dostęp do tych informacji. Ponadto decydują się oni na udostępnienie danych swoich klientów w celu przeprowadzenia wspólnych działań marketingowych. w tym przypadku biuro podróży, linia lotnicza i sieć hoteli wspólnie ustalają, dlaczego i w jaki sposób przetwarzane są dane osobowe ich klientów, a co za tym idzie – są współadministratorami w odniesieniu do operacji przetwarzania dotyczących internetowej platformy i wspólnych działań marketingowych. Jednak każde z nich nadal zachowuje wyłączną kontrolę w odniesieniu do innych działań związanych z przetwarzaniem poza wspólną platformą internetową.

Przykład 2:
Firmy A i B wprowadziły produkt pod wspólną marką C i chcą zorganizować imprezę w celu promocji tego produktu. W tym celu decydują się na wzajemne udostępnienie danych swoich klientów i na tej podstawie podejmują decyzję o liście gości zaproszonych na wydarzenie. Wspólnie ustalają oni sposoby wysyłania zaproszeń na imprezę, zbierania informacji zwrotnych podczas wydarzenia i prowadzenia dalszych działań marketingowych. Firmy A i B mogą być uznane za współadministratorów danych w celach związanych z organizacją wydarzenia.

Przykład 3:
Firma X pomaga firmie Y w rekrutacji nowych pracowników przy wykorzystaniu swojej słynnej usługi "global matchz". Firma X poszukuje odpowiednich kandydatów zarówno na podstawie CV otrzymanych bezpośrednio przez Firmę Y i tych, które ma już w swojej własnej bazie danych. Taka baza danych jest tworzona i zarządzana przez Spółkę X we własnym zakresie. Umożliwia to firmie X lepsze dopasowanie pomiędzy ofertami pracy a osobami poszukującymi pracy, co ma wpłynąć na zwiększenie dochodów firmy. Przedsiębiorstwa X i Y wspólnie uczestniczą w przetwarzaniu danych w celu znalezienia odpowiednich kandydatów w oparciu o zbieżne decyzje: decyzję o stworzeniu i zarządzaniu usługą "global matchz" dla Spółki X oraz decyzję Spółki Y, aby wzbogacić bazę danych o CV, które bezpośrednio otrzymuje. Takie decyzje wzajemnie się uzupełniają, są nierozerwalnie ze sobą związane i niezbędne do przeprowadzenia procesu poszukiwania odpowiednich kandydatów. Dlatego w tym konkretnym przypadku należy uznać ich za współadministratorów. Jednakże firma X jest odrębnym administratorem jeśli chodzi o przetwarzanie niezbędne do zarządzania swoją bazą danych, a firma Y jest administratorem w zakresie organizacji późniejszego procesu rekrutacyjnego na swoje własne potrzeby (organizacja wywiadów, zawarcie umowy i zarządzanie danymi działu HR).

Podmiot przetwarzający

Procesorem może być zarówno organizacja, jak i osoba fizyczna. Dwoma kryteriami pozwalającymi zakwalifikować dany podmiot jako procesora są: a) bycie odrębnym podmiotem w stosunku do administratora danych, b) przetwarzanie danych w imieniu administratora. Działanie "w imieniu" oznacza, że procesor nie może przetwarzać danych we własnych celach. Jak przewidziano w art. 28 ust. 10, wykraczając poza instrukcje administratora, procesor narusza RODO, i tym samym określa własne cele i środki przetwarzania, za co grożą mu określone w RODO sankcje.

Przykład 1:
Usługodawca MarketinZ świadczy usługi w zakresie reklamy promocyjnej i marketingu bezpośredniego. Spółka GoodProducts zawiera umowę z MarketinZ, zgodnie z którą ta ostatnia zapewnia reklamę handlową dla GoodProducts i jest określana jako podmiot przetwarzający. Jednakże MarketinZ decyduje się na użycie bazy danych klientów GoodProducts również do innych celów niż reklama GoodProducts, takich jak chociażby rozwijanie własnej działalności gospodarczej. Decyzja o dodaniu dodatkowego celu, wykraczającego poza ten, dla którego dane osobowe zostały przekazane, przekształca MarketinZ w administratora danych w zakresie realizowanych własnych celów i jednocześnie stanowi poważne naruszenie RODO.

Przykład 2:
Korporacja taksówkarska oferuje platformę internetową, która pozwala firmom na zarezerwowanie taksówki do transportu pracowników lub gości na i z lotnisko/a. Przy rezerwacji taksówki Spółka ABC podaje nazwisko pracownika, który powinien zostać odebrany z lotniska, aby kierowca mógł potwierdzić tożsamość pracownika w momencie odbioru. W tym przypadku usługa taksówkarska przetwarza dane osobowe pracownika w ramach usługi świadczonej na rzecz Spółki ABC, ale samo ich przetwarzanie nie stanowi celu usługi. Serwis taksówkowy zaprojektował platformę rezerwacyjną online w ramach rozwijania własnej działalności gospodarczej i doskonalenia usług transportowych, bez konieczności otrzymywania instrukcji od Spółki ABC. Serwis taksówkowy również samodzielnie określa kategorie danych, które gromadzi i okres ich przechowywania. Korporacja działa zatem jako administrator, niezależnie od faktu, że przetwarzanie odbywa w związku z usługą świadczoną na rzecz Spółki ABC.

Strona trzecia

Zgodnie z art. 4 pkt 10 RODO, strona trzecia to osoba fizyczna lub prawna, organ publiczny, jednostka lub inny podmiot niż osoba, której dane dotyczą, administrator, podmiot przetwarzający czy osoby, które z przetwarzają dane na podstawie upoważnienia administratora/podmiotu przetwarzającego.

Przykładowo, administrator może zatrudnić procesora i poinstruować go, aby przekazywał dane osobowe stronie trzeciej. Ta osoba trzecia będzie wtedy uważana za administratora danych w zakresie przetwarzania, które realizuje dla własnych celów. Należy zauważyć, że w ramach grupy przedsiębiorstw, przedsiębiorstwo inne niż administrator lub podmiot przetwarzający jest stroną trzecią, nawet jeśli należy do tej samej grupy co firma, która działa jako administrator lub podmiot przetwarzający.

Przykład:
Spółka A zawiera umowę z firmą sprzątającą na sprzątanie swoich biur. Osoby sprzątające nie powinny mieć dostępu do danych osobowych ani przetwarzać ich w inny sposób. Nawet jeśli mogą od czasu do czasu natknąć się na takie dane podczas przemieszczania się po biurze, mogą wykonywać swoje obowiązki bez dostępu do danych, a dostęp do nich jest umownie zabroniony lub w żaden sposób nie jest niezbędny do świadczenia usługi sprzątania. Osoby sprzątające nie są zatrudniane przez firmę A, ani w żaden sposób nie podlegają bezpośrednio tej firmie. Nie ma tu zamiaru zaangażowania firmy sprzątającej lub jej pracowników do przetwarzania danych osobowych w imieniu firmy A. Firma świadcząca usługi sprzątania i jej pracownicy mają zatem być postrzegani jako osoba trzecia i administrator musi upewnić się, że istnieją odpowiednie środki uniemożliwiające dostęp do danych i ustanawiające obowiązek zachowania poufności w przypadku, gdy osoby sprzątające przypadkowo natkną się na dane osobowe.

Odbiorca danych

Odbiorcą danych jest każdy, kto otrzymuje dane osobowe, niezależnie od tego, czy jest osobą trzecią

Przykład:
Biuro podróży ExploreMore organizuje podróże na życzenie swoich klientów indywidualnych. W ramach tej usługi przesyłają oni dane osobowe klientów do linii lotniczych, hoteli oraz organizatorów wycieczek. ExploreMore, hotele, linie lotnicze i organizatorzy wycieczek powinni być postrzegani jako administratorzy danych przetwarzanych w ramach świadczonych przez siebie usług. Nie istnieje tu relacja administrator-procesor. Jednak linie lotnicze, hotele i organizatorzy wycieczek powinni być postrzegani jako odbiorcy danych osobowych udostępnianych przez ExploreMore.

Ciąg dalszy nastąpi …

Na tym kończy się pierwsza część opracowania Wytycznych EROD. Druga część jest poświęcona relacji pomiędzy administratorem a podmiotem przetwarzającym oraz konsekwencjom wiążącym się ze współadministrowaniem danymi. To właśnie te zagadnienia będą przedmiotem drugiej części tego artykułu, do którego lektury – serdecznie zapraszamy.