Czy podmiot przetwarzający dane ma obowiązek przeprowadzić DPIA?
PYTANIE SZCZEGÓŁOWE
Klient (administrator) zapytał, czy podmiot przetwarzający może korzystać ze zwolnienia z obowiązku przeprowadzenia DPIA przewidzianego w RODO? Czy takie zwolnienie jest przewidziane przez przepisy prawa, czy też podmiot przetwarzający powinien przeprowadzać DPIA?
ODPOWIEDŹ
Należy podkreślić, że zgodnie z art. 35 RODO wykonanie DPIA jest obowiązkiem administratora i to do niego jest kierowany cały ten przepis. W komentarzu do art. 35 RODO wskazano:
Przepis adresowany jest przede wszystkim do administratorów, ponieważ przeprowadzenie oceny skutków dla ochrony danych jest ich obowiązkiem. Ze względu na to, że udział w tej ocenie będzie miał także inspektor ochrony danych w ramach konsultacji przewidzianych w art. 35 ust. 2 RODO, zakresem tego przepisu objęte będą także osoby należące do tej grupy. Nie sposób także wykluczyć udziału podmiotów przetwarzających w procedurze DPIA, o ile rzecz jasna przetwarzanie danych odbywa się lub ma się odbywać na warunkach powierzenia przetwarzania (szerzej zob. komentarz do art. 28). Udział ten założony został już w treści art. 28 ust. 3 lit. f, zgodnie z którym podmiot przetwarzający, uwzględniając charakter przetwarzania oraz dostępne mu informacje, pomaga administratorowi wywiązać się z obowiązków określonych w art. 32–36 RODO, a więc także z tych, które związane są z oceną dokonywaną na warunkach określonych w art. 35 RODO. Ponadto w motywie 95 wskazuje się wprost, że w razie potrzeby i na żądanie podmiot przetwarzający powinien pomagać administratorowi w zapewnieniu przestrzegania obowiązków wynikających z dokonania oceny skutków dla ochrony danych oraz z uprzednich konsultacji z organem nadzorczym.
Z wykładni art. 35 ust. 8 RODO nie wynika zatem obowiązek przeprowadzenia DPIA przez procesora. Procesor powinien współdziałać z administratorem podczas DPIA, jeśli jest to niezbędne. Niemniej jednak DPIA to obowiązek administratora. Zgodnie z wykładnią:
Komentowany przepis w ust. 8 przewiduje, że „oceniając – w szczególności do celów oceny skutków dla ochrony danych – skutki operacji przetwarzania wykonywanych przez administratora lub podmiot przetwarzający, uwzględnia się przestrzeganie przez takiego administratora lub taki podmiot przetwarzający zatwierdzonych kodeksów postępowania, o których mowa w art. 40”. Biorąc jednak pod uwagę brzmienie tego przepisu, nie sposób jednoznacznie stwierdzić, do kogo jest on adresowany – czy do administratora, który dokonując oceny skutków dla ochrony danych, powinien brać pod uwagę to, co w kwestii takiej oceny wynika z kodeksu postępowania, czy też do organu nadzorczego, który dokonując weryfikacji prawidłowości działania administratora w kontekście DPIA, miał stosować się do takiego kodeksu. Zasadne wydaje się stwierdzić, że zasadniczo przepis ten kierowany jest do organu nadzorczego, bo to on dokonywać będzie weryfikacji administratora i podmiotu przetwarzającego w kontekście dokonania DPIA bądź braku takiej oceny, którzy stosować mają się do postanowień kodeksów. Niemniej, analizując ten przepis celowościowo, zasadne wydaje się także odczytywanie go w taki sposób, że w istocie przy dokonywaniu oceny skautów dla ochrony danych przez administratora oraz współdziałającego z nim przy tym procesora mają oni stosować się do postanowień zatwierdzonych kodeksów postępowania. Jeśli działają w tym względzie zgodnie z takim kodeksem, nie powinien być im czyniony zarzut dotyczący takiej oceny.
Procesor może – i powinien – aktywnie uczestniczyć w procesie DPIA, dostarczając niezbędnych informacji i zapewniając wsparcie. W ramach umowy strony mogą uregulować między sobą, jak takie wsparcie ma wyglądać. Trzeba jednak pamiętać, że przepis art. 35 RODO jest adresowany do administratora danych.
