środa, Wrzesień 30

EDPB: projekt wytycznych w sprawie administratora i przetwarzającego dane osobowe. Pierwsze zderzenie

Google+ Pinterest LinkedIn Tumblr +

Dwa dni temu Europejska Rada Ochrony Danych opublikowała dwa bardzo ciekawe projekty wytycznych dot. interpretacji przepisów Rozporządzenia 2016/679. Jeden dokument to „Guidelines 07/2020 on the concepts of controller and processor in the GDPR”, natomiast drugi “Guidelines 8/2020 on the targeting of social media users”. Dzisiaj rozpoczniemy cykl artykułów omawiających ten pierwszy (w podobnej formule jak wcześniej przeszliśmy przez wytyczne dot. styku PSD2 i RODO). Projekt wytycznych podlegać będzie konsultacjom do 19 października br. Przejdźmy do szczegółów. Zaczynamy!

Na początek trochę podstaw. Wymogi (w tym obowiązki) w stosunku do administratora oraz podmiotu przetwarzającego określają przepisy Rozdziału IV RODO. W pewnym uproszczeniu można stwierdzić, że administrator (do definicji za chwilę przejdziemy) musi wykazać, że jego działania są zgodne z art. 5 ust. 1 RODO, który wyznacza podstawowe zasady przetwarzania danych osobowych i z tego obowiązku jest rozliczany oraz ponosi odpowiedzialność (w tym przede wszystkim administracyjną i odszkodowawczą).

Z kolei art. 28 i w pewnym zakresie 29 RODO określają nam wymagania względem podmiotu przetwarzającego, o czym „powiemy” sobie w kolejnej odsłonie. Zależności pomiędzy administratorem a podmiotem przetwarzającym mogą być czasami zaskakujące, a jasne określenie roli poszczególnych podmiotów zarządzających i przetwarzających dane osobowe może być niekiedy utrudnione. Projekt wytycznych ma ułatwić zrozumienie wzajemnych korelacji i obowiązków pomiędzy nimi.

Kim jest administrator?

No alt text provided for this image

Z punktu widzenia Rozporządzenia 2016/679 jest to dowolny podmiot, który samodzielnie lub wspólnie z innym (kwestię współadministrowania określa nam art. 26) ustala cele i sposoby przetwarzania danych osobowych. Jeżeli spojrzymy na tą definicję to pierwsze wątpliwości mogą pojawić się w kontekście „ustalania” – determines.

EDPB wskazuje tutaj, że zasadniczo chodzi tutaj o wpływ administratora na przetwarzanie danych poprzez możliwość podejmowania decyzji (by virtue of an exercise of decision-making power), czyli determinowania „wartości” kluczowych elementów (etapów) przetwarzania. Taka moc decyzyjna może wynikać z kilku źródeł, w tym z mocy ustawy czy – co bardzo istotne – okoliczności danej sprawy. Jest to o tyle istotne, że „nieświadomie” możemy stać się administratorami danych osobowych. Ważne jest to, że EDPB podkreśla, że „(…) the concept of controller is a functional concept [that is]based on a factual rather than a formal analysis”.

Administrator “z mocy prawa” a okoliczności faktyczne 

Jak wspomnieliśmy prawo do kontroli procesu przetwarzania może wynikać z przepisów prawa, np. ustawy o usługach płatniczych (art. 10) czy prawa bankowego (art. 105a), choć w tym przypadku mamy do czynienia z „dorozumianym” nadaniem statusu administratora, bo przepisy mogą przecież wskazywać wprost, że dany (konkretny) podmiot nim zostaje na mocy konkretnego przepisu (warto tutaj zwrócić uwagę na art. 10a ustawy o usługach płatniczych).  Ta druga sytuacja będzie występowała jednak rzadziej.

No alt text provided for this image

Czasami może się jednak zdarzyć, że funkcja administratora jest „nadawana” w związku z konkretnymi okolicznościami faktycznymi dotyczącymi przetwarzania danych. W takiej sytuacji dla oceny czy dany podmiot rzeczywiście pełni taką funkcję konieczne uwzględnienie wszystkich tych aspektów, aby wykazać czy ten podmiot ma rzeczywisty wpływ na przetwarzanie danych. Tak twierdzi też EDPB. Ważne jest też to, że taki podmiot może występować zarówno w roli administratora, jak i podmiotu przetwarzającego.

Przykład? EDPB wskazuje tutaj na pracodawcę, który przetwarza dane swoich pracowników. Będzie on też administratorem, bo przecież to on określa cel przetwarzania danych, a także sposób ich przetwarzania. Tutaj chyba nie ma wątpliwości. Są też jednak i inne przykłady.

Czy zastanawialiście się kiedyś czy kancelaria prawna reprezentująca klienta może być administratorem danych? Zdaniem EDPB taka sytuacja może zajść, jeżeli ten podmiot ma na tyle dużą swobodę (a zazwyczaj ma), że w związku z przetwarzaniem danych stron, świadków czy biegłych, może stać się administratorem. Prawda, że ciekawy przykład?

Umowa rozwiązaniem?

No alt text provided for this image

W przypadku takich sytuacji, gdzie nie mamy wprost określonego przepisu, z którego wynikać może obowiązek działania w charakterze administratora z pomocą może przyjść dobrze skonstruowana umowa, choć nie jest ona gwarantem 100% bezpieczeństwa. Jak wskazuje EDPB jasne określenie ról (funkcji) jakie pełnią strony kontraktu może wspomóc ocenę. I co ciekawe, umowa może być też dorozumiana, a jej „postanowienia” mogą determinować poszczególne role również w odniesieniu do RODO.

I ważne zastrzeżenie Rady – „It is not possible either to become a controller or to escape controller obligations simply by shaping the contract in a certain way where the factual circumstances say something else”.

W projekcie wytycznych znajdziemy też wskazanie, że jeżeli jedna ze stron ma prawo do określenia celu i sposobu przetwarzania, to nawet jeżeli wpiszemy sobie „na twardo”, że nie jest ona administratorem, to nie zmieni to faktu, że w rzeczywistości nim będzie. Dodatkowo, nawet jeżeli mamy podwykonawcę (np. w ramach outsourcingu), to nie oznacza to wcale automatycznie, że taki podmiot będzie wyłącznie podmiotem przetwarzającym. Nadal może być administratorem.

No alt text provided for this image

Tutaj EDPB doprecyzowuje, że w „normalnych” warunkach umowa powinna określać wprost kto jest administratorem, a kto przetwarzającym. Umowa powinna zawierać też wyraźne określenie (szczegółowo opisane) jakie usługi będą świadczone przez przetwarzającego i to do decyzji administratora należy, czy powierzy mu to przetwarzanie. Administrator musi mieć też możliwość żądania wprowadzenia stosownych zmian, a przetwarzający nie powinien mieć możliwości wpływania na istotne elementy procesu przetwarzania danych.

Wspólnie i w porozumieniu 

Może zdarzyć się tak, że ustalenie środków i celów przetwarzania należy do więcej niż jednego podmiotu. Oznacza to, że będziemy w takiej sytuacji mieli więcej administratorów, choć przetwarzamy te same dane i dla tego samego celu. Zakres i (siła) decyzyjna nie musi być przy tym taka sama dla wszystkich administratorów. O tym powiemy sobie jednak przy okazji kolejnych artykułów.

Na dzisiaj koniec.

Udostępnij.

Zostaw komentarz