Określanie ról w procesach przetwarzania danych

Stan prawny przed 25.5.2018 r.

Dyrektywa 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r.

w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych:

Artykuł 2

Definicje

Do celów niniejszej dyrektywy:

d) “administrator danych” oznacza osobę fizyczną lub prawną, władzę publiczną, agencję lub inny organ, który samodzielnie lub wspólnie z innymi podmiotami określa cele i sposoby przetwarzania danych; jeżeli cele i sposoby przetwarzania danych są określane w przepisach ustawowych i wykonawczych lub przepisach wspólnotowych, administrator danych może być powoływany lub kryteria jego powołania mogą być ustalane przez ustawodawstwo krajowe lub wspólnotowe;

e) “przetwarzający” oznacza osobę fizyczną lub prawną, władzę publiczną, agencję lub inny organ przetwarzający dane osobowe w imieniu administratora danych;

g) “odbierający dane” oznacza osobę fizyczną lub prawną, władzę publiczną, agencję lub inny organ, któremu ujawniane są dane, będący lub niebędący osobą trzecią; jednakże władze, które mogą otrzymywać dane w ramach konkretnego dochodzenia, nie są uważane za odbiorcę;

Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych:

Art.  7.  [Słowniczek ustawowy]

4) administratorze danych – rozumie się przez to organ, jednostkę organizacyjną, podmiot lub osobę, o których mowa w art. 3, decydujące o celach i środkach przetwarzania danych osobowych;

6) odbiorcy danych – rozumie się przez to każdego, komu udostępnia się dane osobowe, z wyłączeniem:

a) osoby, której dane dotyczą,

b) osoby upoważnionej do przetwarzania danych,

c) przedstawiciela, o którym mowa w art. 31a,

d) podmiotu, o którym mowa w art. 31,

e) organów państwowych lub organów samorządu terytorialnego, którym dane są udostępniane w związku z prowadzonym postępowaniem;

Art.  31.  [Powierzenie przetwarzania danych innemu podmiotowi]

1. Administrator danych może powierzyć innemu podmiotowi, w drodze umowy zawartej na piśmie, przetwarzanie danych.

2. Podmiot, o którym mowa w ust. 1, może przetwarzać dane wyłącznie w zakresie i celu przewidzianym w umowie.

2a. Nie wymaga zawarcia umowy między administratorem a podmiotem, o którym mowa w ust. 1, powierzenie przetwarzania danych, w tym przekazywanie danych, jeżeli ma miejsce między podmiotami, o których mowa w art. 3 ust. 1.

3. Podmiot, o którym mowa w ust. 1, jest obowiązany przed rozpoczęciem przetwarzania danych podjąć środki zabezpieczające zbiór danych, o których mowa w art. 36-39, oraz spełnić wymagania określone w przepisach, o których mowa w art. 39a. W zakresie przestrzegania tych przepisów podmiot ponosi odpowiedzialność jak administrator danych.

4. W przypadkach, o których mowa w ust. 1-3, odpowiedzialność za przestrzeganie przepisów niniejszej ustawy spoczywa na administratorze danych, co nie wyłącza odpowiedzialności podmiotu, który zawarł umowę, za przetwarzanie danych niezgodnie z tą umową.

5. Do kontroli zgodności przetwarzania danych przez podmiot, o którym mowa w ust. 1, z przepisami o ochronie danych osobowych stosuje się odpowiednio przepisy art. 14-19.

Stan prawny po 24.5.2018 r.

ROZPORZĄDZENIE PARLAMENTU EUROPEJSKIEGO I RADY (UE) 2016/679

z dnia 27 kwietnia 2016 r.

w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych):

Artykuł 4

Definicje

Na użytek niniejszego rozporządzenia:

7) „administrator” oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych; jeżeli cele i sposoby takiego przetwarzania są określone w prawie Unii lub w prawie państwa członkowskiego, to również w prawie Unii lub w prawie państwa członkowskiego może zostać wyznaczony administrator lub mogą zostać określone konkretne kryteria jego wyznaczania;

8) „podmiot przetwarzający” oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który przetwarza dane osobowe w imieniu administratora;

9) „odbiorca” oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, któremu ujawnia się dane osobowe, niezależnie od tego, czy jest stroną trzecią. Organy publiczne, które mogą otrzymywać dane osobowe w ramach konkretnego postępowania zgodnie z prawem Unii lub prawem państwa członkowskiego, nie są jednak uznawane za odbiorców; przetwarzanie tych danych przez te organy publiczne musi być zgodne z przepisami o ochronie danych mającymi zastosowanie stosownie do celów przetwarzania;

10) „strona trzecia” oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub podmiot inny niż osoba, której dane dotyczą, administrator, podmiot przetwarzający czy osoby, które – z upoważnienia administratora lub podmiotu przetwarzającego – mogą przetwarzać dane osobowe;

Artykuł 28

Podmiot przetwarzający

1. Jeżeli przetwarzanie ma być dokonywane w imieniu administratora, korzysta on wyłącznie z usług takich podmiotów przetwarzających, które zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi niniejszego rozporządzenia i chroniło prawa osób, których dane dotyczą.

2. Podmiot przetwarzający nie korzysta z usług innego podmiotu przetwarzającego bez uprzedniej szczegółowej lub ogólnej pisemnej zgody administratora. W przypadku ogólnej pisemnej zgody podmiot przetwarzający informuje administratora o wszelkich zamierzonych zmianach dotyczących dodania lub zastąpienia innych podmiotów przetwarzających, dając tym samym administratorowi możliwość wyrażenia sprzeciwu wobec takich zmian.

3. Przetwarzanie przez podmiot przetwarzający odbywa się na podstawie umowy lub innego instrumentu prawnego, które podlegają prawu Unii lub prawu państwa członkowskiego i wiążą podmiot przetwarzający i administratora, określają przedmiot i czas trwania przetwarzania, charakter i cel przetwarzania, rodzaj danych osobowych oraz kategorie osób, których dane dotyczą, obowiązki i prawa administratora. Ta umowa lub inny instrument prawny stanowią w szczególności, że podmiot przetwarzający:

a) przetwarza dane osobowe wyłącznie na udokumentowane polecenie administratora – co dotyczy też przekazywania danych osobowych do państwa trzeciego lub organizacji międzynarodowej – chyba że obowiązek taki nakłada na niego prawo Unii lub prawo państwa członkowskiego, któremu podlega podmiot przetwarzający; w takim przypadku przed rozpoczęciem przetwarzania podmiot przetwarzający informuje administratora o tym obowiązku prawnym, o ile prawo to nie zabrania udzielania takiej informacji z uwagi na ważny interes publiczny;

b) zapewnia, by osoby upoważnione do przetwarzania danych osobowych zobowiązały się do zachowania tajemnicy lub by podlegały odpowiedniemu ustawowemu obowiązkowi zachowania tajemnicy;

c) podejmuje wszelkie środki wymagane na mocy art. 32;

d) przestrzega warunków korzystania z usług innego podmiotu przetwarzającego, o których mowa w ust. 2 i 4;

e) biorąc pod uwagę charakter przetwarzania, w miarę możliwości pomaga administratorowi poprzez odpowiednie środki techniczne i organizacyjne wywiązać się z obowiązku odpowiadania na żądania osoby, której dane dotyczą, w zakresie wykonywania jej praw określonych w rozdziale III;

f) uwzględniając charakter przetwarzania oraz dostępne mu informacje, pomaga administratorowi wywiązać się z obowiązków określonych w art. 32–36;

g) po zakończeniu świadczenia usług związanych z przetwarzaniem zależnie od decyzji administratora usuwa lub zwraca mu wszelkie dane osobowe oraz usuwa wszelkie ich istniejące kopie, chyba że prawo Unii lub prawo państwa członkowskiego nakazują przechowywanie danych osobowych;

h) udostępnia administratorowi wszelkie informacje niezbędne do wykazania spełnienia obowiązków określonych w niniejszym artykule oraz umożliwia administratorowi lub audytorowi upoważnionemu przez administratora przeprowadzanie audytów, w tym inspekcji, i przyczynia się do nich.

W związku z obowiązkiem określonym w akapicie pierwszym lit. h) podmiot przetwarzający niezwłocznie informuje administratora, jeżeli jego zdaniem wydane mu polecenie stanowi naruszenie niniejszego rozporządzenia lub innych przepisów Unii lub państwa członkowskiego o ochronie danych.

4. Jeżeli do wykonania w imieniu administratora konkretnych czynności przetwarzania podmiot przetwarzający korzysta z usług innego podmiotu przetwarzającego, na ten inny podmiot przetwarzający nałożone zostają – na mocy umowy lub innego aktu prawnego, które podlegają prawu Unii lub prawu państwa członkowskiego – te same obowiązki ochrony danych jak w umowie lub innym akcie prawnym między administratorem a podmiotem przetwarzającym, o których to obowiązkach mowa w ust. 3, w szczególności obowiązek zapewnienia wystarczających gwarancji wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie odpowiadało wymogom niniejszego rozporządzenia. Jeżeli ten inny podmiot przetwarzający nie wywiąże się ze spoczywających na nim obowiązków ochrony danych, pełna odpowiedzialność wobec administratora za wypełnienie obowiązków tego innego podmiotu przetwarzającego spoczywa na pierwotnym podmiocie przetwarzającym.

5. Wystarczające gwarancje, o których mowa w ust. 1 i 4 niniejszego artykułu, podmiot przetwarzający może wykazać między innymi poprzez stosowanie zatwierdzonego kodeksu postępowania, o którym mowa w art. 40 lub zatwierdzonego mechanizmu certyfikacji, o którym mowa w art. 42.

6. Bez uszczerbku dla indywidualnych umów między administratorem a podmiotem przetwarzającym, umowa lub inny akt prawny, o których mowa w ust. 3 i 4 niniejszego artykułu, mogą się opierać w całości lub w części na standardowych klauzulach umownych, o których mowa w ust. 7 i 8 niniejszego artykułu, także gdy są one elementem certyfikacji udzielonej administratorowi lub podmiotowi przetwarzającemu zgodnie z art. 42 i 43.

7. Komisja może określić standardowe klauzule umowne dotyczące kwestii, o których mowa w ust. 3 i 4 niniejszego artykułu, zgodnie z procedurą sprawdzającą, o której mowa w art. 93 ust. 2.

8. Organ nadzorczy może przyjąć standardowe klauzule umowne dotyczące kwestii, o których mowa w ust. 3 i 4 niniejszego artykułu, zgodnie z mechanizmem spójności, o którym mowa w art. 63.

9. Umowa lub inny akt prawny, o których mowa w art. 3 i 4, mają formę pisemną, w tym formę elektroniczną.

10. Bez uszczerbku dla art. 82, 83 i 84, jeżeli podmiot przetwarzający naruszy niniejsze rozporządzenie przy określaniu celów i sposobów przetwarzania, uznaje się go za administratora w odniesieniu do tego przetwarzania.

Analiza definicji.

Administratorem danych osobowych jest podmiot, który ustala cele i sposoby przetwarzania (art. 4 pkt 7 zd. 1 rodo), a także podmiot, któremu ze względu na jego działalność, system prawa narzuca cele i sposoby przetwarzania danych osobowych (art. 4 pkt 7 zd. 2 rodo). W art. 4 pkt 7 zd. 2 rodo zawarto normę kompetencyjną, zgodnie z którą ustawodawca, zarówno unijny jak i krajowy, może wyznaczyć administratora albo określić kryteria pozwalające na jego wyznaczenie, o ile cele i sposoby przetwarzania są określone w prawie Unii lub w prawie państwa członkowskiego. Oznacza to po pierwsze, że rodo przewiduje także inne kryterium wyznaczenia administratora niż określone w art. 4 pkt 7 zd. 1 rodo, czyli, że nie musi to być podmiot, który osobiście decyduje o celach i sposobach konkretnego przetwarzania, po drugie zaś, daje asumpt do twierdzenia, że nawet jeśli ustawodawca nie skorzysta z tej normy kompetencyjnej i nie wyznaczy administratora albo kryteriów jego wyznaczenia, to sam fakt że abstrakcyjnie określił cele i sposoby przetwarzania oznacza, że ta kategoria podmiotów o abstrakcyjnie określonych celach i sposobach przetwarzania, występuje w roli administratora. Podmiotem przetwarzającym jest zaś ten, który przetwarza dane osobowe w imieniu administratora danych. Oznacza to, że rola administratora danych osobowych może wynikać zarówno z relacji umownych (prawo umowne), których stroną jest dany podmiot, jak i bezpośrednio z przepisu prawa (prawo stanowione), który z prowadzeniem określonej działalności wiąże prawa i obowiązki w zakresie przetwarzania danych osobowych. Zwrot „ustala cele przetwarzania” nie może być odczytywany w oderwaniu od art. 6 rodo, tzn. legalnie ustalić cel przetwarzania można wyłącznie w oparciu o podstawę prawną, czyli tylko administrator dysponujący podstawą prawną jest administratorem działającym legalnie. Procesorem jest zaś ten, kto przetwarza dane osobowe z bezpośrednim skutkiem (w imieniu) dla reprezentowanego – jeśli przetwarza dane przy okazji dokonywania czynności prawnej (art. 734 ustawy z dnia 23.4.1964 r. – Kodeks cywilny (Dz.U. z 2017 r. poz. 459 ze zm., dalej: k.c.) albo w wykonaniu umowy o świadczenie usług (750 k.c.), jeśli chodzi o zleconą czynność faktyczną. Wprawdzie w wersji angielskiej RODO w definicji procesora użyto zwrotu „on behalf” co oznacza nie tylko w imieniu, ale również na rzecz, na rachunek drugiego, jednak użyte sformułowanie w polskim tłumaczeniu rozporządzenia („w imieniu”) jest trafne, ponieważ podmiot, który działa na rachunek drugiego, ale we własnym imieniu nie może być uznany za procesora, bowiem działanie we własnym imieniu oznacza bezpośrednie decydowanie o celach i sposobach przetwarzania danych, czyli okoliczność przesądzającą o roli administratora, działający we własnym imieniu ma także własne podstawy przetwarzania, przykładowo jest stroną umowy (art. 6 ust. 1 lit. b rodo) albo w swoim imieniu zbiera zgodę (art. 6 ust. 1 lit. a rodo), a więc stosowanie instytucji powierzenia w takiej sytuacji było by zbędnym tworzeniem dodatkowej podstawy prawnej dla przetwarzania. W takim układzie zlecający decyduje pośrednio, właśnie za pośrednictwem tzw. zastępcy pośredniego, działającego w swoim imieniu, ale na jego rachunek.

Zgodnie z drugą częścią definicji rodo, okoliczność że podmiot w konkretnym procesie przyjmując zlecenie, nie decyduje o celach i sposobach przetwarzania (nie działa w swoim imieniu) nie stoi na przeszkodzie przypisaniu mu roli administratora, o ile system prawa określa cele i sposoby przetwarzania takiego zleceniobiorcy i/lub system prawa wprost określa jego rolę jako administratora. Należy zwrócić uwagę, że o ile art. 4 pkt 7 zd. 1 rodo odnosi się do konkretnego procesu przetwarzania danych, to zd. 2 tego przepisu musi odnosić się do przetwarzania abstrakcyjnego, skoro jest to przetwarzanie o którego celach ma przesądzić ustawodawca, a nie uczestnik życia gospodarczego lub społecznego, najczęściej przedsiębiorca. W art. 4 pkt 7 zd. 1 chodzi o decyzję co do tego, że konkretny proces będzie miał miejsce (zlecenie), a w zd. 2 tego przepisu, chodzi o decyzję, że przetwarzanie danych osobowych w określonym celu (np. świadczenie pomocy prawnej) zostanie określone w ustawie, czyli otrzyma ramy i gwarancje prawne (zawody regulowane).

Zleceniodawca administratorem, zleceniobiorca procesorem – zasada.

Zasadniczo podmiotem ustalającym cele i sposoby przetwarzania będzie ten, który otrzymał upoważnienie do przetwarzania danych osobowych od samego podmiotu danych. Upoważnienie to może wynikać zarówno z jednostronnej czynności prawnej upoważniającej, jaką jest zgoda podmiotu danych (art. 6 ust. 1 lit. a rodo) jak i z umowy zawartej z podmiotem danych, który wyrażając zgodę na związanie się skutkami dwustronnej czynności prawnej, tym samym upoważnił administratora do przetwarzania jego danych osobowych (art. 6 ust. 1 lit. b rodo). Aktualny administrator, który już dysponuje własnymi podstawami prawnymi do przetwarzania danych osobowych, ma z kolei możliwość upoważnienia (zgodnie z zasadą nemo plus iuris in alium transferre potest quam ipse habet) innego podmiotu do korzystania z tych danych osobowych w imieniu administratora, na jego rachunek i na jego rzecz (w jego interesie). Taką możliwość stwarza mu przepis art. 28 rodo, stanowiący samoistną przesłankę legalizującą przetwarzanie danych osobowych. Aktualny administrator danych nie potrzebuje wykazywać prawnie usprawiedliwionego interesu w przekazaniu danych innemu podmiotowi, ponieważ już sam ustawodawca uznał, że przekazanie danych osoby fizycznej w celu korzystania z usług innych uczestników życia gospodarczego znajduje usprawiedliwienie w interesie aktualnego administratora. Przy czym przez przekazanie nie należy tu rozumieć fizycznego przeniesienia władztwa nad danymi, bowiem administrator może nie dysponować danymi, które powierza procesorowi do przetwarzania, przetwarzanie może polegać na zbieraniu danych przez procesora w imieniu administratora.

Przy tym należy zwrócić uwagę, że w definicji administratora sformułowania „ustala cele i sposoby przetwarzania” nie należy rozumieć abstrakcyjnie, tylko co do konkretnego procesu, a więc to zawsze zleceniodawca jest tym podmiotem, którego decyzja stała się przyczyną przetwarzania. Jeśli więc cele i sposoby przetwarzania zleceniobiorcy nie są określone w przepisach, nie można przypisać mu roli administratora, chyba że wyjątkowo dysponuje własną podstawą legalizacyjną.

Zleceniobiorca, któremu system prawa wyznacza cele i sposoby przetwarzania danych osobowych – wyjątek zawodów regulowanych.

Zdarzają się również sytuacje, kiedy podmiot otrzymuje zlecenie od aktualnego administratora danych osobowych i działa na jego rzecz, zaspokajając jego potrzebę, na skutek jego decyzji, jednak upoważnienie do przetwarzania danych otrzymuje wprost z systemu prawa, nie zaś od aktualnego administratora i dlatego nie można przypisać mu roli procesora. Taka sytuacja występuje w przypadku przyjmujących zlecenie adwokatów, radców prawnych, lekarzy, doradców podatkowych, biegłych rewidentów, doradców inwestycyjnych, architektów, rzeczników patentowych czy też innych przedstawicieli zawodów regulowanych. Zasadniczo tak samo należy oceniać rolę jeśli zlecenie przyjmuje przedstawiciel wolnego zawodu, lub zawodu zaufania publiczne. Pojęcia te nie są tożsame, często ich zakresy krzyżują się, jednak ich cechą wspólną, jest to że odznaczają się znaczną samodzielnością i zapewniają podwyższony standard działania, w tym również ochrony danych osobowych.

Definicję zawodu regulowanego można odnaleźć w ustawie z dnia 22 grudnia 2015 r. o zasadach uznawania kwalifikacji zawodowych nabytych w państwach członkowskich Unii Europejskiej (Dz.U. z 2016 r., poz. 65). Warto przytoczyć ją dosłownie: „4) zawodzie regulowanym – oznacza to zespół czynności zawodowych, których wykonywanie jest uzależnione od posiadania określonych w przepisach regulacyjnych formalnych kwalifikacji niezbędnych do wykonywania tych czynności zawodowych oraz, o ile jest to wymagane, od spełnienia innych warunków określonych w tych przepisach;”. Przedstawiciel zawodu regulowanego musi więc potwierdzić swoje kwalifikacje przez złożenie egzaminu, odbycie udokumentowanej praktyki pod okiem osoby doświadczonej, często również jego działalność jest dodatkowo nadzorowana przez określony samorząd zawodowy. Okoliczności te przesądzają o podwyższonym standardzie działania w stosunku do innych aktywności wykonywanych w ramach prowadzenia działalności gospodarczej.

Jeśli chodzi o zawód zaufania publicznego to w polskim systemie prawa nie ma jego legalnej definicji. Normatywny materiał do ustalenia treści tego pojęcia daje już Konstytucja w art. 17, zgodnie z którym:

„Art.  17.

1. W drodze ustawy można tworzyć samorządy zawodowe, reprezentujące osoby wykonujące zawody zaufania publicznego i sprawujące pieczę nad należytym wykonywaniem tych zawodów w granicach interesu publicznego i dla jego ochrony.

2. W drodze ustawy można tworzyć również inne rodzaje samorządu. Samorządy te nie mogą naruszać wolności wykonywania zawodu ani ograniczać wolności podejmowania działalności gospodarczej.”

Widać więc, że cechą charakterystyczną zawodu zaufania publicznego, jest możliwość powołania samorządu zawodowego, którego zadaniem jest sprawowanie pieczy nad jego należytym wykonywaniem.

Komentując wskazany wyżej przepis prof. Sarnecki tak rozgranicza pojęcia „praca”, „zawód”, „zawód zaufania publicznego”:

„„Zawód” może być określony jako wyuczona umiejętność prowadzenia pewnej działalności, przynoszącej dochód materialny. Konstytucja w art. 65 wyraźnie odróżnia „wykonywanie zawodu” od „pracy”, aczkolwiek „zatrudnionymi” (jest to również termin z art. 65) mogą być zarówno osoby posiadające pewien wyuczony zawód i których praca polega na wykorzystywaniu tych umiejętności („profesjonaliści”), jak i osoby wykonujące takie czynności, które nie wymagają posiadania jakichkolwiek wyuczonych kwalifikacji. Osoby wykwalifikowane zawodowo mogą wykorzystywać swoje kwalifikacje nie tylko będąc „zatrudnionymi”, lecz również funkcjonując w sytuacji „zawodu wolnego”, którym to terminem posługiwał się np. art. 76 ust. 1 konstytucji kwietniowej. W odróżnieniu od tamtego sformułowania, o treści czysto formalnej, komentowany przepis konstytucyjny reguluje zawody mieszczące w sobie pewien ładunek emocjonalny, polegający, po pierwsze, na wykonywaniu czynności zawodowych zawsze wobec konkretnej, zindywidualizowanej osoby i, po drugie, na dopuszczaniu w trakcie tych czynności do sfery prywatności osób korzystających z owych świadczeń zawodowych (osoby te wyrażają wówczas zgodę na ograniczenie swego prawa do prywatności). Dlatego nie można przyjąć bez zastrzeżeń tezy, wyrażonej przez TK w wyroku z 8 listopada 2006 r., K 30/06, jakoby pojęcie „zawodu zaufania publicznego” było pojęciem o „zastanej treści”.

Dopełnieniem tego drugiego elementu jest silnie podkreślany w tych sytuacjach obowiązek dotrzymywania tajemnicy zawodowej. Tylko tak wyjaśnić można określenie „zawód zaufania publicznego”: dopuszczanie przez konkretną osobę osoby świadczącej ów zawód do sfery jej prywatności musi mieć bowiem jako swój korelat zaufanie, że dopuszczenie to nie zostanie nadużyte. Tym bardziej że dopuszczanie to, choć na ogół dochodzi do skutku w wyniku świadomej decyzji zainteresowanego (np. poddanie się opiece lekarskiej), czasem ma za swą podstawę tylko umocowanie ustawowe (np. wystąpienie o, ale i poddanie się egzekucji komorniczej). Szczególna waga w regulacji prawnej wykonywania tego zawodu powinna być więc położona na zagadnienia tajemnicy zawodowej jako istotnego elementu zaufania publicznego. Konstytucja wymaga obdarzenia szczególnym statusem osoby wykonujące pewien zawód, ale jednocześnie wymaga, aby regulacja prawna sposobu jego wykonywania potwierdzała i instytucjonalizowała zaufanie do nich, jako konieczny element tego wykonywania, czyli czyniła owo zaufanie „publicznym”, obiektywnie istniejącym, a nie będącym jedynie rezultatem kontraktu między wykonującym zawód a korzystającym z jego usług. „W ocenie Trybunału zawody zaufania publicznego wymagają szczególnej ochrony odbiorców świadczonych w ich ramach usług” (tak TK w wyroku z 19 kwietnia 2006 r., K 6/06). Szczególnym wyrazem takiego podejścia jest praktyka (znajdująca często oparcie ustawowe) uchwalania rozmaitych „kodeksów etyki zawodowej”, ustanawiających deontologiczne wymogi wykonywania tych zawodów.

Oczywiście „zaufanie publiczne” w potocznym znaczeniu tego określenia powinno istnieć wobec wszystkich zawodów (np. przewoźnicy, handlowcy, wytwórcy produktów spożywczych itd.) – społeczeństwo ma prawo oczekiwać, że działania osób uprawiających jakiekolwiek zawody odpowiadać będą wymogom fachowości, solidności, rzetelności itd. i na straży takiego zaufania funkcjonuje wiele gwarancji i rękojmi, prawnych i pozaprawnych. Często jednak nie ma się wówczas do czynienia ani z działalnością zawodową skierowaną do konkretnego odbiorcy ani, tym bardziej, z „odsłanianiem” sfery prywatności tego odbiorcy. Nie ma więc na ogół potrzeby instytucjonalizowania występującego tu „zaufania” w takim ogólnym sensie. Sama więc „wolna” forma wykonywania pewnych zawodów nie wystarcza, w świetle komentowanego przepisu, aby osoby je wykonujące miały być zorganizowane jako „samorząd (korporacja) zawodowy”, muszą ponadto występować szczególne, powyżej wskazane, cechy spełniania danego zawodu.”

Oznacza to, że zawód zaufania publicznego, którego wykonywanie nierozerwalnie wiąże się z dostępem do prywatności osoby fizycznej, musi mieć gwarancje ustawowe, które to zaufanie stwarzają, jest więc siłą rzeczy zawodem regulowanym. Działalność gospodarcza wymagająca stworzenia szczególnych instrumentów wywołujących zaufanie, może być prowadzona również przez podmioty działające w formie organizacji, jak np. instytucje finansowe takie jak banki czy zakłady ubezpieczeń, które z racji specyfiki świadczonych usług mają dostęp do prywatności swoich klientów (tzw. instytucje zaufania publicznego). Gwarancje ich prawidłowego działania są zapewnione zarówno przez ustawy regulujące ich działalność, jak również przez niezależne organy państwowe powołane do nadzoru nad nimi jak np. Komisja Nadzoru Finansowego.

Patrząc funkcjonalnie na instytucję powierzenia nie ulega wątpliwości, że została ona stworzona w celu zapewnienia dodatkowej ochrony podmiotowi danych, poprzez rozszerzenie odpowiedzialności aktualnego administratora o czyn cudzy (działalność podwykonawcy/zleceniobiorcy) i obowiązek wstępnej weryfikacji. Dla ustawodawcy oczywistym jest, że usprawiedliwiony interes administratora przemawia za tym aby bez przeszkód mógł korzystać z pomocy zleceniobiorcy, podczas prowadzenia działalności gospodarczej. Jeśli jednak ten zleceniobiorca sam posiada odpowiedni cenzus, który daje gwarancje ochrony danych, co najmniej takie same jak instytucja powierzenia, to stosowanie do niego tej instytucji, staje się bezprzedmiotowe, a podstawą udostępnienia danych do takiego podmiotu jest art. 6 ust. 1 lit. c rodo albo art. 6 ust. 1 lit. f rodo. Taka motywacja musiała przyświecać ustawodawcy, kiedy zdecydował się na wprowadzenie do systemu prawa normy wnikającej z art. 4 pkt 7 zd. 2 rodo. Korzystając z tego funkcjonalnego uzasadnienia można na zasadzie analogii przypisać status administratora, nie tylko zleceniobiorcom, których cele i sposoby przetwarzania zostały określone w ustawie (zawody regulowane), ale również zleceniobiorcom, którzy ze względu na rozmiar swojej działalności często połączony z faktem, że działają w formie prawnej spółki publicznej podlegającej rygorom ustawy  o ofercie publicznej i warunkach wprowadzania instrumentów finansowych do zorganizowanego systemu obrotu oraz o spółkach publicznych z dnia 29 lipca 2005 r. (Dz.U. Nr 184, poz. 1539 ze zm.), dają gwarancje bezpieczeństwa danych co najmniej równoważne instytucji powierzenia.

Niekiedy w literaturze można spotkać pogląd, że kryterium służącym do określenia roli podmiotów, jest stopień samodzielności podmiotu w ustalaniu celów przetwarzania danych. Wniosek ten nie wydaje się być trafnym. Samodzielność podmiotów w ustalaniu celów przetwarzania nie jest stopniowalna. Albo podmiot ma własne podstawy do przetwarzania danych z art. 6 ust. 1 rodo i wtedy rodo przypisuje mu rolę administratora ze wszystkimi tego konsekwencjami, albo brak mu takich podstaw i wtedy może uzyskać podstawę z art. 28 rodo, o ile aktualny administrator zdecyduje się zlecić mu swój cel do realizacji. Przy czym podmiot, który otrzymał dane do przetwarzania od aktualnego administratora, może mieć własną podstawę w postaci art. 6 ust. 1 lit. c albo art. 6 ust. 1 lit. f, o ile system prawa zgodnie z art. 4 pkt 7 zd. 2 określa mu cele i sposoby przetwarzania.

Zleceniobiorca świadczący usługę na rzecz osoby trzeciej – wyjątek z art. 393 k.c.

Zdarzają się również sytuacje, kiedy wprawdzie aktualny administrator zleca świadczenie usługi innemu podmiotowi (zleceniobiorcy), jednak odbiorcą tej usługi jest osoba trzecia (tzw. osoba której dane dotyczą). Klasycznym przykładem takiej sytuacji, jest zlecenie świadczenia usługi multisport. Pracodawca będący administratorem danych osobowych swoich pracowników, zawiera umowę z dostawcą usługi, który w jego interesie, świadczy tę usługę na rzecz jego pracowników. To pracodawca ustala cele przetwarzania, które są jego celami, realizowanymi za pomocą zleceniobiorcy, jednak upoważnienie do przetwarzania danych pochodzi od samej osoby której dane dotyczą, bowiem konstrukcja prawna zakłada jej zgodę (przystąpienie, potwierdzenie) na umową, co jest wyrazem bardziej ogólnej zasady prawa cywilnego, że skutki prawne nie mogą powstać dla podmiotu prawa cywilnego bez jego woli, nawet jeśli są to skutki korzystne (nie jest zobowiązany do skorzystania z zastrzeżenia modyfikacyjnego poczynionego na jego rzecz). Jest to sytuacja odmienna od relacji administrator – procesor, również z tego względu, że na przekazanie danych osobowych do procesora, zgoda podmiotu danych nie jest potrzebna, a na gruncie dawnego stanu prawnego, kiedy procesor nie wchodził w zakres pojęcia odbiorcy, o takim przekazaniu nawet nie trzeba było osoby informować.

W literaturze, a także w rozstrzygnięciach organu nadzorczego i sądów, można spotkać pogląd, że w takiej sytuacji zleceniobiorca powinien zawrzeć ze zleceniodawcą (pracodawcą, klientem) umowę powierzenia, dla przetwarzania polegającego na gromadzeniu danych pracowników na potrzeby przystąpienia do programu i przekazywania ich zleceniobiorcy. Może tu chodzić zarówno o dane, których pracodawca jest administratorem z tytułu stosunku pracy, jak i o dodatkowe dane potrzebne wyłącznie do realizacji umowy o świadczenie usług rekreacyjnych. Jako argument wskazuje się okoliczność, że stosunek pracy nie stanowi podstawy do przekazania danych do podmiotu świadczącego usługi rekreacyjne, więc przekazanie nastąpiłoby bez podstawy prawnej, ponieważ nie można jej znaleźć również w umowie o świadczenie usług, gdyż pracownik nie jest jej stroną. Nie wydaje się słuszna taka argumentacja, bowiem podstawą prawną przekazania tych danych (w obydwu zakresach) jest zgoda osoby, której dane dotyczą, która dopiero po jej wyrażeniu (przystąpienie, potwierdzenie, a nawet sam fakt podania danych) staje się podmiotem stosunku prawnego, wykreowanego przez strony umowy (zleceniodawcę i zleceniobiorcę). Tworzenie dodatkowej podstawy w postaci umowy powierzenia jest bezprzedmiotowe. Idąc konsekwentnie tym błędnym tropem administrator bazy danych, który dysponuje zgodą podmiotów danych na sprzedaż tej bazy musiałby zawierać umowę powierzenia z kupującym, dla procesu przekazania (przeniesienia posiadania) danych do kupującego bazę danych, w wykonaniu umowy sprzedaży. Osoba przystępująca do programu multisport wyraża zgodę nie tylko na przetwarzanie danych przez zleceniobiorcę, ale jej świadomością jest objęte również to, że dane zostaną przekazane (przetworzone) przez aktualnego administratora (pracodawcę) – gdy tymczasem samą istotę powierzenia stanowi to, że podmiot danych nie jest pytany o zgodę na korzystanie (przetwarzanie) z danych przez procesora. Zawarcie umowy powierzenia powoduje, że funkcjonują jednocześnie dwie podstawy (zgoda i umowa powierzenia) dla jednego procesu (przekazania danych do usługodawcy).

Z taką samą konstrukcją prawną mamy do czynienia gdy pracodawca korzysta z usług bankowych, których odbiorcą jest pracownik. Tego rodzaju stan faktyczny został poddany ocenie Naczelnego Sądu Administracyjnego w wyroku z dnia 1 grudnia 2009 r., sygn. I OSK 227/09. Warto przytoczyć dosłownie fragment uzasadnienia zawierający wymianę poglądów między stroną skarżącą (bankiem) a sądem:

Stanowisko banku:

„W uzasadnieniu skargi kasacyjnej wywodzono, że definicja administratora danych powinna być rozumiana w ten sposób, że administratorem jest ten kto decyduje, że konkretne dane będą wykorzystane w określonym (często w ustawie) celu. W sprawie jedynym decydentem co do określonego celu wykorzystania konkretnych danych jest posiadacz karty, ponieważ to on wskazuje użytkownika karty, a zatem to on decyduje o tym, że dane konkretnej osoby zostaną wykorzystane w danym celu. Bank nie ma najmniejszego wpływu na określenie tego celu. Bank określa jedynie funkcję karty, jako narzędzia oferowanego posiadaczowi. W ramach tej funkcji, mającej jedynie walory techniczne, posiadacz precyzuje swoje cele, które Bankowi są obojętne. Podobnie należy rozumieć kwestię decydowania o środkach wykorzystywania danych, przez które należy rozumieć cały zespół okoliczności towarzyszących przetwarzaniu danych. W tym zakresie jedynym dysponentem jest posiadacz karty. To on decyduje o sposobie przetwarzania danych, czyli o tym, że dane konkretnej osoby będą przetwarzane przez Bank. Gdyby posiadacz wybrał inny bank, wówczas podjąłby decyzję o zastosowaniu odmiennych środków przetwarzania przekazanych przez siebie danych osobowych. Wybierając Bank […] posiadacz podjął świadomie decyzję o zastosowaniu takich a nie innych środków przetwarzania danych osobowych. O tym, kto jest administratorem danych decyduje władztwo nad konkretnymi danymi, a nie władztwo nad samym procesem przetwarzania. Przyjęta w wyroku wykładnia zaciera różnice pomiędzy administratorem a zleceniobiorcą w rozumieniu art. 31 u.o.d.o.

Z powyższych względów należy uznać, ze jedynym kryterium odróżniającym jest nie to, kto określił cel i sposób przetwarzania danych, ale kto “przeznaczył” konkretne dane dla przetwarzania w tym celu i w ten sposób. Sąd ingeruje w ustawową definicję administratora danych osobowych poprzez rozszerzenie warunków decydujących o statusie administratora danych. Sąd odmawiając uznania umowy zawartej przez Bank z posiadaczem za umowę zlecenia, wprowadza pojęcie “własnych potrzeb” Banku, które to “własne potrzeby” mają decydować, że jest on administratorem danych osobowych.”

Stanowisko sądu:

„Według art. 7 pkt 4 ustawy z 29 sierpnia 1997 r. o ochronie danych osobowych (tekst jedn. Dz.U. z 2002 r. Nr 101, poz. 926 ze zm.), administratorem danych jest organ, jednostka organizacyjna, podmiot lub osoba, o których mowa, decydujące o celach i środkach przetwarzania danych osobowych. Administratorem danych osobowych jest więc jedynie taki dysponent danych, który decyduje o celach i środkach ich przetwarzania. Powołany przepis w swej treści posługuje się pojęciem “przetwarzania danych osobowych”, a zatem konieczne jest także odwołanie się do ustawowej definicji tego pojęcia, gdyż “cele” i “środki” należy odnosić do procesu przetwarzania danych osobowych. Zgodnie z art. 7 pkt 2 ustawy o ochronie danych osobowych przez przetwarzanie danych – rozumie się jakiekolwiek operacje wykonywane na danych osobowych, takie jak zbieranie, utrwalanie i usuwanie, a zwłaszcza te, które wykonuje się w systemach informatycznych.

W zaskarżonym wyroku Sąd przeprowadził prawidłową wykładnię art. 7 ust. 4 powołanej ustawy o ochronie danych osobowych. Przyjęta definicja ustawowa administratora danych opiera się na dwóch przesłankach: – po pierwsze, przesłance podmiotowej, stanowiącej, że administratorem danych jest organ, jednostka organizacyjna, podmiot lub osoba, o których mowa art. 3 tej ustawy, – po drugie, przesłance przedmiotowej opartej o kryterium decydowania o celach i środkach przetwarzania danych osobowych. Bank […] w W. S.A. spełnia łącznie te dwie przesłanki. Spełnienie tej drugiej przesłanki wynika z uzasadnienia skargi kasacyjnej, w której wskazano, że “posiadacz wybierając Bank […], jako jeden z wielu banków oferujących karty przepłacone, podjął świadomie decyzję o zastosowaniu takich, a nie innych środków przetwarzania danych dotyczących jego pracowników lub współpracowników”. Cele i środki przetwarzania danych osobowych objęte są decyzją Banku, a nie posiadacza karty imiennej przedpłaconej. Podporządkowanie się decyzji Banku co do celów i środków przetwarzania danych przez posiadacza karty nie powoduje, że to posiadacz karty podejmując decyzję o celach i środkach przetwarzania danych. Przy czym należy podkreślić, że zgodnie z art. 7 pkt 2 powołanej ustawy o ochronie danych osobowych, przetwarzanie danych osobowych to jakiekolwiek operacje wykonywane na danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie. Zakresem pojęcia przetwarzania danych objęte są jakiekolwiek operacje wykonywane na danych osobowych, co oznacza, ze ograniczenie przetwarzania danych to utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie, usuwanie jest też przetwarzaniem danych. Przekazanie przez posiadacza kart przepłaconych danych osobowych pracowników nie zamyka procesu przetwarzania danych osobowych. W zakresie celów i środków pozostałych operacji wykonywanych na danych osobowych jest objęte czynnościami Banku […] S.A. w W. Tym samym nie jest zasadny zarzut niewłaściwego zastosowania art. 31 ust. 1 powołanej ustawy o ochronie danych osobowych. Jeżeli cele i środki przetwarzania danych określa Bank […] S.A., to nie można wyprowadzić niewłaściwego zastosowania art. 31 ust. 1 powołanej ustawy o ochronie danych osobowych, który należy interpretować w związku z art. 31 ust. 2 tej ustawy, a ten stanowi, że przetwarzanie danych może nastąpić wyłącznie w zakresie i celu przewidzianym w umowie. Art. 31 ust. 1 i ust. 2 powołanej ustawy o ochronie danych osobowych nie miał zastosowania w sprawie.”

Analizując przedstawione wypowiedzi, należy uznać, że sąd ma rację, bank jest administratorem, ale z innych powodów, nie wymienionych przez sąd. Rację ma bank kiedy twierdzi, że to zleceniodawca decyduje o celach i sposobach przetwarzania, dokonanego w wyniku zlecenia, jednak przypadek banku po pierwsze wchodzi w zakres wyjątku z art. 4 pkt 7 zd. 2 rodo (w chwili wyrokowania obowiązywała dyrektywa 95/46/WE zawierająca analogiczny przepis), tzn. bank jest instytucją zaufania publicznego, którego cele i sposoby przetwarzania są określone w przepisach prawa i dlatego stosowanie do niego instytucji powierzenia jest absurdalne, ponieważ nie ma żadnej doniosłości praktycznej, nie jest pożyteczne, po drugi zaś, dane osobowe pracowników klienta banku są przetwarzane na podstawie ich zgody (akceptacja umowy zawartej na ich rzecz), i dlatego bank ma własną podstawę przetwarzania tych danych, umowa powierzenia nie jest mu więc potrzebna. Sąd w swoich wywodach pominął fakt, że art. 4 pkt 7 zd. 1 rodo (wtedy dyrektywa), dotyczy konkretnego procesu. Przyjęcie, że chodzi o abstrakcyjne określenie celów (świadczenie usług polegających na czynnościach bankowych), jest interpretacją stojącą w sprzeczności z fundamentalną zasadą racjonalności ustawodawcy, który nie tworzy przepisów, nie mogących mieć zastosowania. Gdyby bowiem uznać, że określanie celów, może dotyczyć generalnych procesów, to zniknęły by desygnaty nazwy „procesor” ponieważ każdy zleceniobiorca, który decyduje się na prowadzenie działalności gospodarczej, określa swój generalny cel przetwarzania w postaci świadczenia usług. W takim wypadku pod definicję administratora podpadałby również zleceniobiorca, który wykonuje usługi IT (powszechnie oceniany jako procesor), ponieważ ustalonym przez niego celem przetwarzania jest wykonywanie usług IT na zlecenie.

Cele a sposoby przetwarzania

Na koniec warto jeszcze zwrócić uwagę, że restrykcyjne odczytywanie definicji administratora znacznie ograniczyłoby ilość podmiotów, którym można by przypisać status procesora. Zarówno dyrektywa i za nią uodo na starym stanie prawnym, jak i obecnie rodo stosuje koniunkcję „i” oznaczając czym się zajmuje administrator. Oznacza to że powinien on determinować zarówno cele jak i sposoby przetwarzania. Tymczasem zarówno doktryna jak i judykatura, nie traktuje tego łącznika poważnie. Powszechnie przyjmuje się, że administrator ma samodzielnie decydować o celach, natomiast sposoby może ustalić, przez przyjęcie sposobów już zastanych u procesora, czyli przez niego określonych (stanowiących jego know-how). Gdyby koniunkcję traktować poważnie za procesora mógłby uchodzić tylko podmiot, któremu zlecono przetwarzanie w ramach tego samego przedmiotu działalności, którym zajmuje się zleceniodawca (ado) np. większa firma informatyczna mogła by podzlecić mniejszej proces, na którym sama się zna i ma samodzielnie ustalone sposoby, tożsame ze sposobami zleceniobiorcy.

Można by się zastanawiać, czy takie odejście od tożsamego rozumienia zwrotu „ustala” (ang. „determines”) i przypisywanie mu odmiennego znaczenia co do celów (samodzielnie) a odmiennego co do sposobów (przez przyjęcie już ustalonych) jest właściwe. Czy zleceniodawca (aktualny ado) powinien odpowiadać za działalność zleceniobiorcy (procesora), którego działalności (i procesów przetwarzania danych) nie zna i nawet nie ma szansy poznać w rozsądnym terminie? Na szczęście o istnieniu i rozmiarze odpowiedzialności nie decyduje sam status ado/procesor.

Warto też właściwie oceniać stany faktyczne i nie mieszać stanów zasługujących na miano „ustalania celów” z tymi zasługującymi na miano „ustalania sposobów”. Przykładowo, czy określenie zakresu danych, który będzie przetwarzany w procesie stanowi ustalenie celu czy sposobu. Z jednej strony przez sposoby należy rozumieć aspekty techniczne (nie co i dlaczego, tylko jak), natomiast określanie zakresu danych, stanowi badanie czy dla zamierzonego celu zakres spełnia wymogi minimalizacji, a więc czy w danym celu przetwarzanie konkretnych danych jest usprawiedliwione i ma podstawę prawną, jest to więc ustalanie celu przetwarzania i takie czynności przesądzają o roli administratora. Z drugiej strony art. 28 ust. 3 rodo, określając wymogi minimalne umowy powierzenia, nie nakłada obowiązku określenia przez administratora zakresu danych, czyli precyzyjnego przeznaczenia danych zgodnie z zasadą minimalizacji, wystarczające jest określenie rodzaju danych (kategorii), czyli że np. procesor ma zbierać dane kontaktowe, a jaki będzie zakres tych danych, procesor ustali mając na uwadze cel administratora, który realizuje i zasadę minimalizacji danych – nie tracąc przez to statusu procesora. Wygląda więc na to, że ustalenie zakresu danych, według rodo, stanowi ustalenie sposobu dla realizacji celu.

Podsumowanie

Definicja administratora zawarta w art. 4 pkt 7 rodo została sformułowana w ten sposób, że w zdaniu pierwszym tego przepisu określono zasadę polegającą na tym, że podmioty stosunków gospodarczych mogą samodzielnie ustalać cele i sposoby konkretnego przetwarzania, korzystając z podstaw zawartych w art. 6 rodo – w takim wypadku zlecający będzie administratorem, a przyjmujący zlecenie procesorem, chyba że dla tego konkretnego przetwarzania sam ma podstawę w art. 6 rodo. W zdaniu drugim tego przepisu przewidziano wyjątek, polegający na tym, że ustawodawcy przyznano kompetencję do generalnego określenia celów przetwarzania, niezależnie od tego, czy te cele są pierwotne, czy wtórne w stosunku do celów aktualnego administratora, a realizowane w wyniku przyjęcia zlecenia (np. świadczenie usług pomocy prawnej, a także inne zawody regulowane). Ponadto wydaje się, że na zasadnie analogii powinno się przypisać rolę administratora, podmiotowi, który wprawdzie realizuje cele innego administratora, jego cele przetwarzania nie zostały określone w prawie (nie wykonuje zawodu regulowanego i nie jest instytucją zaufania publicznego), ale z innych powodów zapewnia poziom bezpieczeństwa co najmniej równoważny temu, który kreuje instytucja powierzenia (np. spółki publiczne).