Poczta Polska, poza wyjątkowymi sytuacjami określonymi w ustawie z dnia 23 listopada 2012 r. Prawo pocztowe (t.j. Dz. U. z 2018 poz. 2188, dalej: p.p.), nie ma uprawnienia do zapoznawania się z treścią przekazywanych przesyłek. Nie zmienia to jednak faktu, że przetwarza dane osobowe, które się w nich znajdują.
Przetwarzanie określone w prawie
Termin „przetwarzanie”, którym posługuje się rodo jest bardzo szeroki i obejmuje wszelkie postacie wykorzystywania danych osobowych, zarówno zapoznawanie się z danymi, jak i ich przechowywanie bez zapoznania się, przenoszenie itd. Poczta przetwarza wiec zarówno dane znajdujące się na przesyłce, jak i dane będące przedmiotem przesyłki i od stosowanych przez Pocztę środków (organizacyjnych, technicznych itd.) zależy bezpieczeństwo zarówno jednych jak i drugich – ponadto, co w tym wypadku najważniejsze, jedne i drugi przetwarza w celach wynikających z prawa pocztowego, czyli spełniona jest przesłanka z art. 4 pkt 7 zd. 2 rodo.
Z powyższych względów należy ocenić że Poczta Polska jest administratorem obydwu rodzajów danych, przy czym nadawca również nie traci statusu administratora co do tych danych. Dodatkowo jeśli dane dotrą do adresata również on będzie administratorem danych (chyba że przetwarza je dla celów i na polecenie nadawcy), nawet jeśli na skutek błędu (nadawcy lub Poczty) dane dotrą do niewłaściwego adresata.
Obowiązek zgłoszenia naruszenia
Ustalenie, że Poczta Polska jest administratorem co do danych osobowych znajdujących się w przesyłce, nie rozwiązuje jednak problemu, na którym z administratorów spoczywa obowiązek notyfikacyjny. Nie wynika bowiem wprost z rodo, czy zgłoszenia ma dokonać administrator u którego doszło do naruszenia, czy administrator, który ma wiedzę niezbędną aby zgłoszenia dokonać i ocenić czy w ogóle występuje ryzyko uzasadniające zgłoszenie. W przypadku nadawcy i Poczty, dochodzi do specyficznej sytuacji, kiedy to do spełnienia wymogów zgłoszenia z art. 33 rodo, potrzebna jest wiedza i zaangażowanie obydwu podmiotów. Pozostaje więc rozstrzygnąć czy obydwa podmioty mają obowiązek zgłoszenia we własnym zakresie, czy też obowiązek obciąża jednego z nich, a drugi ma obowiązek współdziałać.
Ten zgłasza u którego doszło do naruszenia
Wydaje się, że obowiązek zgłoszenia powinien obciążać tego z administratorów, u którego doszło do naruszenia, czyli tego którego infrastruktura zawiodła, ze względu na to, że celem zgłoszenia jest również (a może przede wszystkim) umożliwienie organowi nadzorczemu podjęcia działań mających na celu zapobieganie podobnym naruszeniom na przyszłość przez wydawanie ostrzeżeń, zaleceń, upomnień i nakazów w stosunku do administratora lub podmiotu przetwarzającego. Można przyjąć, że nadawca spełnia swój obowiązek zgłoszenia, przez udzielenie informacji Poczcie nt. zakresu i charakteru danych, które znajdowały się z przesyłce – to pozwoli administratorowi u którego doszło do naruszenia ocenić, czy istnieje ryzyko uzasadniające zgłoszenie. Niezależnie od tego nadawca który przez brak współdziałania z administratorem, którego obciąża obowiązek zgłoszenia (tu Poczta), doprowadzi do powstania szkody, będzie zobowiązany do jej naprawienia.