Administrator danych oraz procesor, to główni aktorzy w procesie przetwarzania danych osobowych. Praktyka pokazuje, że w niektórych przypadkach wcale nie jest oczywiste, jaka relacja zachodzi między tymi dwoma podmiotami – poniżej wyjaśnienie kluczowych kwestii.
Podsumowanie
- Aby można było mówić o relacji powierzenia danych do przetwarzania, przedmiot umowy generujący konieczność przetwarzania danych – np. usługa, powinna być integralnie związana z operacjami na danych, bez powierzenia których jej wykonanie nie byłoby możliwe.
- Stosunek prawny przetwarzania danych w imieniu administratora najczęściej generować będą umowy o świadczenie usług lub umowy o współpracę, ale nie można też wykluczyć umów, których przedmiotem jest dokonywanie czynności faktycznych i prawnych.
Administrator danych oraz podmiot przetwarzający (procesor), to główni aktorzy w procesie przetwarzania danych osobowych. Relacja pomiędzy nimi może nawiązać się dopiero wówczas, gdy zajdzie konieczność przekazania danych osobowych przez administratora. Przekazanie danych może odbywać się bowiem albo poprzez powierzenie albo poprzez udostępnienie. Różnica polega na tym, że w pierwszym przypadku podmiot, który dane otrzymuje, przetwarza te dane w imieniu administratora i wówczas staje się procesorem. W drugim przypadku, podmiot, który dane otrzymuje, przetwarza je w imieniu własnym i dla własnych celów, jako administrator. Praktyka pokazuje, że w niektórych przypadkach wcale nie jest oczywiste jaka relacja zachodzi między dwoma podmiotami, stąd też kwestie te wymagają wyjaśnienia.
Administrator a procesor
Próbując określić podmiot przetwarzający (procesora), należy wskazać kilka charakterystycznych cech, które pozwolą na odróżnienie go od administratora. Najistotniejszą cechą jest prawna i faktyczna możliwość określenia celu przetwarzania przez administratora, zaś po stronie procesora – obowiązek przetwarzania danych w imieniu administratora (dla celów określonych przez administratora i w sposób przez niego określony lub zatwierdzony). Aby dany podmiot zakwalifikować jako procesora, musi on również posiadać odrębność organizacyjno-prawną / samodzielność występowania w obrocie gospodarczym. Jeśli zatem istnieją dwa podmioty, które w stosunku do określonych danych wykazują dwa różne cele przetwarzania, i każdy z nich posiada podstawę prawną do przetwarzania, zachodzi relacja pomiędzy dwoma niezależnymi administratorami. Jeśli natomiast jeden z nich posiada prawną i faktyczną możliwość określenia celu przetwarzania, a drugi takiej możliwości nie posiada i przetwarza te dane w celu określonym przez pierwszego, zachodzi relacja powierzenia.
Określenie celu a przetwarzanie
Wspomniana wyżej możliwość określenia celu przetwarzania oznacza zdolność podjęcia wiążącej decyzji o tym, że przetwarzanie będzie w ogóle prowadzone (np. zostaną zebrane określone dane i będą dalej przetwarzane). Decyzja taka zazwyczaj powiązana jest lub wynika z celu/ów, dla których powołany został dany podmiot (prowadzenie działalności gospodarczej w zakresie sprzedaży towarów, świadczenia usług).
Stosunek prawny przetwarzania danych w imieniu administratora najczęściej generować będą umowy o świadczenie usług lub umowy o współpracę, ale nie można też wykluczyć umów, których przedmiotem jest dokonywanie czynności faktycznych i prawnych. Mogą to być również umowy, których przedmiotem jest jednorazowe świadczenie, np. przeprowadzenie określonych badań, analiz, wydanie, do których potrzebne są dane osobowe. W stosunkach tego typu zazwyczaj usługodawca jest procesorem, a usługobiorca administratorem. Usługobiorca (administrator) przekazuje dane osobowe usługodawcy (procesorowi) aby ten wyświadczył dla usługobiorcy (administratora) jakąś usługę, dla realizacji której niezbędne jest przetwarzanie tych danych osobowych.
Cele szczegółowe
Decyzje generujące cele przetwarzania danych na najwyższym poziomie, rodzą dalsze konsekwencje w obszarze celów szczegółowych przetwarzania danych, gdyż pochodną decyzji o rodzaju prowadzonej działalności są z kolei decyzje szczegółowe, np. decyzja przeprowadzenia akcji marketingowej w celu zwiększenia dochodów, decyzja o zatrudnieniu pierwszego pracownika, decyzja o skorzystaniu z usług outsourcingu. Decyzje takie odzwierciedlają kolejne cele przetwarzania danych. Na przykład podjęcie określonej działalności produkcyjnej czy handlowej może rodzić skutki w obszarze obowiązków z zakresu prawa cywilnego, np. obowiązki gwaranta, obowiązki sprzedawcy z tytułu rękojmi, mających wpływ na status podmiotu w przetwarzaniu danych. Cele przetwarzania wynikać mogą również z powierzonych do realizacji zadań o charakterze publicznym, np. prowadzenie publicznie dostępnego rejestru, celów statutowych fundacji, stowarzyszeń, np. przeciwdziałanie określonego rodzaju przestępstwom, pomoc ofiarom przemocy w stosunku do danych, działalności partii politycznych, spółdzielni.
Decyzja o rozpoczęciu przetwarzania
Jako, że status administratora najczęściej nie jest wprost wyrażony w przepisach prawa, analizując dany stan faktyczny pod kątem ustalenia ról w procesie, a tym samym podstawy przekazania danych osobowych, w przypadku wątpliwości należy zadać sobie pytanie: kto rozpoczął przetwarzanie danych i dlaczego inny podmiot został w ten proces włączony oraz czy obowiązek przetwarzania nie wynika z przepisu prawa lub treści stosunku prawnego. W typowych przypadkach decyzję o rozpoczęciu przetwarzania podejmuje administrator (planuje akcje marketingową), a podmiot przetwarzający zostaje włączony w przetwarzanie decyzją administratora o wyborze agencji marketingowej, która taką akcję przeprowadzi, a więc wykona dla administratora usługę. Innym wskazaniem czy mamy w danej relacji do czynienia ze stosunkiem powierzenia będzie to, czy czynności danego typu mogłyby być wykonywane również przez administratora w zakresie swojego przedsiębiorstwa (np. prowadzenie ksiąg rachunkowych czy serwis IT przez wewnętrzne działy), ale np. ze względów biznesowych zostały one powierzone do wykonania innym wyspecjalizowanym podmiotom.
Ważny fragment
Jeżeli bowiem dany podmiot nie musi korzystać z usług danego typu, a robi to tylko ze względów biznesowych, może to stanowić dodatkowe kryterium pomocne przy kwalifikacji danej relacji między dwoma podmiotami, w kontekście przekazywania danych osobowych takiemu podmiotowi.
Obowiązek / powinność prawna skorzystania z usług danego typu przy równoczesnym braku możliwości realizacji takiego działania we własnym zakresie może wskazywać, że dostawca takich usług posiada szczególny status uprawniający go do określania celów przetwarzania, jak jest np. w przypadku podmiotów z sektora finansów. Nierzadko zdarza się, że konieczna jest wnikliwa analiza wszystkich okoliczności faktycznych oraz zapisów umów, aktów prawnych, statutów czy innych źródeł prawa. W trakcie tej analizy warto jeszcze raz zapytać o to, kto zdecydował o rodzaju operacji na danych, ilości przetwarzanych danych, długości okresu przechowywania danych. Decyduje o tym administrator, a procesor co do zasady nie podejmuje takich decyzji, choć może na nie wpływać.
Rozróżnienie celów
W niektórych sytuacjach istotne jest również precyzyjne rozróżnienie celów, gdyż te same dane mogą być przez jeden podmiot przetwarzane w różnych celach, co może rodzić różne konsekwencje w zakresie powierzenia. Dla przykładu, dane osobowe osób kontaktowych realizujących umowę o usługi z biurem rachunkowym wykorzystywane są przez biuro rachunkowe raz do przekazywania / odbierania zamówień, wykonywania innych czynności faktycznych lub prawnych, a raz do naliczania wynagrodzeń, rozliczania urlopów, sporządzania umów o pracę, naliczania zasiłków. W pierwszym przypadku wykorzystywane są przez usługodawcę do realizacji umowy o usługi, w drugim przypadku do świadczenia usługi. Powyższe rozróżnienie zaczyna nabierać znaczenia dopiero po rozwiązaniu umowy o powierzenie danych do przetwarzania. Rozwiązanie umowy wiąże się bowiem z koniecznością usunięcia danych lub/i ich zwrotu przez usługodawcę, któremu dane te nie są już potrzebne, jako że realizacja usługi została zakończona. A zatem, czy usługodawca z chwilą zakończenia realizacji usługi i rozwiązania umowy o powierzenie danych do przetwarzania powinien usunąć również dane osób kontaktowych, zawarte w korespondencji mailowej dotyczącej przebiegu realizacji umowy, czy też może je zachować. Odpowiedź na to pytanie, do czasu utrwalenia się pewnej praktyki, pozostawać będzie w sferze lepiej lub gorzej uzasadnionych interpretacji.
Newsletter "Alerty RODO" - nie daj się zaskoczyć!
Dwie podstawy przetwarzania
Można stwierdzić, że na pewno dane w obu wyżej wymienionych sytuacjach są wykorzystywane przez usługodawcę do różnych celów, tj. nie tylko do realizacji usługi na rzecz administratora danych (usługobiorcy), ale również w celu prawidłowego wykonania umowy o usługę – w tym do jej ewentualnej zmiany lub rozwiązania. Takie rozróżnienie daje podstawę do sformułowania pewnych wniosków: istnieją dwie różne podstawy przetwarzania danych przez usługodawcę.
- Pierwszą podstawą jest umowa o usługi, na mocy której dane osób kontaktowych usługobiorcy (administratora tych danych) zostają przez niego udostępniane usługobiorcy do realizacji umowy o usługi. W tym zakresie oba podmioty działają jak niezależni administratorzy, udostępniając dane osobowe swoich pracowników do celu realizacji łączącej ich umowy o usługi. Każdy z tych podmiotów powinien legitymować się podstawą do ich przetwarzania: usługobiorca do ich udostępnienia, a usługodawca do ich zapisania i dalszego przetwarzania. Co do zasady w takich przypadkach przesłanką pozwalającą usługodawcy na przetwarzanie tych danych jest art. 6 ust. 1 lit. f).
- Drugą podstawą jest umowa o powierzenie danych do przetwarzania, na podstawie której usługobiorca wchodzi w posiadanie danych niezbędnych mu do zrealizowania usługi. Jeżeli zatem dojdzie do rozwiązania umowy o usługi oraz umowy o powierzenie, z pewnością usługodawca zobowiązany będzie do wydania i/lub usunięcia danych osobowych, jakie otrzymał do realizacji umowy o usługi (danych powierzonych mu do przetwarzania w imieniu administratora), jako że podstawa do ich przetwarzania wygasła. W przypadku danych udostępnionych, usługodawca jako ich administrator, będzie miał prawo dalej je przetwarzać, jeśli przetwarzanie takie będzie uzasadnione w świetle zasad, o których mowa w art. 5 RODO.
Przetwarzanie danych w imieniu administratora
Przetwarzanie danych przez procesora jest działaniem wtórnym wobec zaspokojenia potrzeb administratora związanych ze świadczeniem na jego rzecz określonych usług (np. obsługa kadrowo-płacowa, prowadzenie ksiąg rachunkowych, serwis i wsparcie IT, prowadzenie rekrutacji pracowników, prowadzenie akcji marketingowych, udzielenie dostępu do narzędzi informatycznych w chmurze obliczeniowej). Usługi te mają zaspokoić interesy administratora, mają być świadczone dla niego, dlatego działanie procesora jest działaniem w interesie administratora. Aby można było mówić o relacji powierzenia danych do przetwarzania, przedmiot umowy generujący konieczność przetwarzania danych – np. usługa, powinna być integralnie związana z operacjami na danych, bez powierzenia których jej wykonanie nie byłoby możliwe. Wówczas przetwarzanie danych odbywa się w imieniu administratora.
Dla przykładu, aby biuro rachunkowe mogło prowadzić księgi rachunkowe jakiegoś podmiotu, niezbędne do tego są określone dokumenty zawierające dane osobowe kontrahentów / klientów podmiotu, który zleca wykonanie takiej usługi, i który posiada względem nich status administratora danych osobowych.
Innym przykładem są np. usługi z zakresu działalności marketingowej. Aby agencja marketingowa mogła przeprowadzić akcję marketingową / zorganizować event, niezbędne do tego są dane osób, które w takiej akcji miałyby wziąć udział. Bez znaczenia jest natomiast fakt, że w chwili gdy dochodzi do zawarcia umowy o powierzenie danych pomiędzy administratorem a procesorem, dane osobowe nie zostały jeszcze zebrane, gdyż może to uczynić procesor w imieniu administratora.
Można zatem przyjąć, że powierzenie danych do przetwarzania procesorowi nie stanowi celu samego w sobie, a jest czynnością wtórną i służebną względem stosunku podstawowego łączącego te same strony, np. umowy o usługowe prowadzenie ksiąg rachunkowych, umowy o przeprowadzenie akcji marketingowej, umowy o serwis IT, z którym przetwarzanie danych jest ściśle związane i bez którego wykonane być nie może.
Usługi częściowo regulowane
Pewnym wyjątkiem w zakresie ustalonych wyżej ról w obszarze usług, są usługi świadczone przez podmioty, których działalność regulowana jest przez przepisy prawa. Te właśnie przepisy prawa nakładają na konkretne podmioty określone obowiązki lub sposób wykonania obowiązków, z czym wiąże się przetwarzanie danych przekazanych przez usługobiorcę. W takim przypadku wykazanie przez usługodawcę podstawy do przetwarzania danych osobowych w oparciu o np. art. 6 ust. 1 lit. c) RODO przesądza o przyznaniu statusu administratora.
Przykładem mogą tu być operatorzy pocztowi, świadczący usługi pocztowe stanowiące realizację umów z nadawcami, do czego konieczne jest przetwarzanie danych dotyczących adresatów oraz miejsc dostarczenia przesyłek pocztowych (adresów). Jednakże w przypadku przekazywania operatorowi pocztowemu danych adresatów, nie należy dopatrywać się relacji powierzenia danych do przetwarzania, gdyż operator pocztowy posiada samodzielną podstawę prawną do przetwarzania tych danych, opartą na przepisach prawa. Powyższe nie dotyczy innych usług, niż usługa pocztowa.
W podobnym kontekście i z zastrzeżeniami należy rozważać świadczenie usług telekomunikacyjnych, gdzie z kolei pojawiają się dane użytkowników końcowych w opozycji do danych abonentów zawierających umowy o świadczenie usług telekomunikacyjnych.
Nieco odmiennie wygląda sytuacja świadczeń zdrowotnych, realizowanych przez podmioty lecznicze w ramach tzw. prywatnej opieki medycznej, świadczonej na rzecz pracowników na podstawie umowy pomiędzy pracodawcą, a podmiotem leczniczym. Realizacja tych świadczeń, po pierwsze podlega ustawie o działalności leczniczej, która stanowi podstawę do przetwarzania danych. Po drugie, świadczenie to samo w sobie jest na tyle specyficzne, że o tym jakie dane, w jaki sposób i jak długo mają być przetwarzane, decyduje w pełni samodzielnie podmiot leczniczy. Działalność ta podlega również innym przepisom prawa, które określają w jaki sposób i jak długo ma być przechowywana dokumentacja medyczna. Zatem status tych podmiotów, jako administratorów danych, nie może być kwestionowany, co wskazuje, że dane pracowników nie są powierzane tylko udostępniane przez jednego administratora (pracodawcę) innemu administratorowi (podmiotowi leczniczemu).
Kontrowersja dotyczące podmiotów świadczących usługi medycyny pracy
Dyskusyjne wydaje się być uznanie podmiotów świadczących usługi medycyny pracy za podmioty przetwarzające, jako że posiadają one własne cele określone ustawą o służbie medycyny pracy. Zadania służby medycyny pracy wykonują podmioty prowadzące działalność leczniczą, które zostały wyposażone w kompetencje do określania rodzaju pozyskiwanych danych oraz które wywierają decydujący wpływ na proces przetwarzania danych i przechowywanie dokumentacji medycznej. Trudno również mówić, aby placówki medycyny pracy przetwarzały dane w imieniu pracodawców, tzn. w celach określonych przez pracodawcę, gdyż nie są to cele leżące w gestii pracodawców. Jak wynika bowiem z art. 1 ustawy o służbie medycyny pracy „W celu ochrony zdrowia pracujących przed wpływem niekorzystnych warunków środowiska pracy i sposobem jej wykonywania oraz sprawowania profilaktycznej opieki zdrowotnej nad pracującymi, w tym kontroli zdrowia pracujących, tworzy się służbę medycyny pracy”. Celem pracodawcy nie jest ani sprawowanie profilaktycznej opieki zdrowotnej, ani stwierdzenie niekorzystnego wpływu warunków pracy na zdrowie. Przyznać jednak należy, że w pewnych obszarach cele mogą być wspólne – np. ochrona zdrowia pracowników. Jednak tu służba medycy pracy określa sposób powinnego działania, a pracodawca jest tylko wykonawcą. Ponadto z art. 3 ustawy wprost wynika, że „Osoby realizujące zadania służby medycyny pracy przy wykonywaniu czynności zawodowych są niezależne od pracodawców, pracowników i ich przedstawicieli oraz innych podmiotów, na których zlecenie realizują zadania tej służby”, co wskazuje na całkowitą niezależność od pracodawców, a tym samym samodzielność i podległość w przetwarzaniu podmiotom wykonującym zadania medycyny pracy.
Typowe usługi
W obszarze umów o świadczenie usług stosunek powierzenia najczęściej generują umowy o świadczenie usług outsourcingowych. Do najbardziej typowych przedstawicieli podmiotów przetwarzających należy zaliczyć przedsiębiorców z branży usług outsourcingowych (biura rachunkowe, agencje marketingowe, agencje zatrudnienia, usługi z zakresu IT w tym serwisantów oprogramowania), dostawców usług chmurowych – w tym typu IaaS (Infrastructure as a Service), SaaS (Software as a Service) czy PaaS (Platform as a Service), agencje bankowe i ubezpieczeniowe działające na zlecenie. Do tej kategorii podmiotów należą również dostawcy usług z zakresu archiwizacji lub niszczenia dokumentów, dostawcy usług hostingowych, dostawcy usług poczty elektronicznej, serwisy dokonujące napraw gwarancyjnych na zlecenie producentów udzielających gwarancji, podmioty upoważnione do kontroli biletów działające w imieniu przewoźników. Podmioty te posiadają status procesora, ale w odniesieniu do danych, które przekazuje im podmiot zamawiający daną usługę dla realizacji tej usługi. Zatem, np.: agencja marketingowa – w stosunku do danych osób fizycznych, do których zostanie przesłana informacja o promocjach; serwis IT – w stosunku do danych osób fizycznych, które będzie przeglądał podczas serwisowania oprogramowania; dostawca narzędzia SaaS – w stosunku do danych przetwarzanych przez użytkownika w takim narzędziu.
Inaczej należy traktować dane pracowników dedykowanych do realizacji danej usługi przez obie strony. Pracownicy tacy działają za stronę, dokonują czynności prawnych i faktycznych, składają i odbierają oświadczenia woli, realizują umowę za osobę prawną, która jest stroną umowy. Trudno jest w takim przypadku przyjąć, że strony nawzajem powierzają sobie dane takich osób, gdyż trudno tu mówić o jakimś działaniu w imieniu jednej bądź drugiej strony powierzającej.
Konieczność indywidualnej analizy
Określony powyżej katalog przesłanek, które należałoby zbadać analizując rolę procesora oraz zależność występującą między nim a administratorem, nie jest ani zamknięty (co do rodzaju przesłanek – co oznacza, że w danym przypadku należy przeprowadzić dodatkowe analizy), ani dostatecznie szczegółowy (co do zakresu i znaczenia poszczególnych okoliczności – co oznacza w pewnych sytuacjach konieczność bardziej szczegółowej analizy poszczególnych przesłanek). Różny też może być stopień zawiłości okoliczności faktycznych i wzajemnych relacji, co może zmienić optykę. Stąd każdy przypadek należy rozpatrywać indywidualnie.
