Procesor, który stał się administratorem

Czy rola procesora nie podlega zmianie? Wiadomo, że można być administratorem i procesorem co do tego samego zakresu danych, jeśli procesor przetwarza ten sam zakres danych niejako obok (niezależnie od) przetwarzania realizowanego dla celów innego podmiotu. Ale czy stosunek podstawowy, który stał się przyczyną powierzenia, może na dalszym etapie stać się przyczyną zmiany roli procesora? Czy procesor zawsze musi usunąć albo zwrócić dane po zakończeniu świadczenia usługi podstawowej?

Przepis art. 28 ust. 3 lit. g rodo, który brzmi „po zakończeniu świadczenia usług związanych z przetwarzaniem zależnie od decyzji administratora usuwa lub zwraca mu wszelkie dane osobowe oraz usuwa wszelkie ich istniejące kopie, chyba że prawo Unii lub prawo państwa członkowskiego nakazują przechowywanie danych osobowych”, odczytany bez powiązania z innymi przepisami sugeruje, że procesor musi bezwzględnie zakończyć przetwarzanie po zakończeniu usługi. Jednak aby treść tego przepisu była decydująca, trzeba by ustalić że ma on charakter szczególny wobec przepisów, które dopuszczają zaistnienie roli administratora uprawniającej do dalszego przetwarzania danych. Art. 28 ust. 3 lit. g rodo musiałby być szczególny wobec art. 4 pkt 7 w zw. z art. 6 ust. 1 rodo. Tymczasem przepisy te regulują inną problematykę, nie może więc między nimi dojść do relacji przepis ogólny/przepis szczególny, taka relacja może mieć miejsce jeśli zakresy zastosowania norm pozostają w stosunku zawierania bądź krzyżowania, czyli hipoteza normy szczególnej wykazuje pewne cechy charakterystyczne bądź odmienności, ze względu na które dyspozycja musi być inna.

Stąd płynie wniosek, że jeśli tylko procesor podczas realizacji celu administratora, zidentyfikuje własny cel, będzie występował również w roli administratora. Typowym przypadkiem jest potrzeba zachowania dowodów na prawidłowe spełnienie świadczenia przez zleceniobiorcę, który przetwarzał dane w ramach realizowanej usługi. Nie zawsze realizacja usługi wymaga dowodu, w który wplecione są dane osobowe, np. spełnienie świadczenia w ramach usług ochroniarskich nie wymaga zachowania danych osobowych pracowników chronionego administratora czy jego gości w celu wykazania, że świadczenie zostało wykonane. Jednak, jeśli dowód na spełnienie świadczenia stanowią dokumenty zawierające dane osobowe, zleceniobiorca ma prawnie uzasadniony interes w tym, żeby dla celów obrony przed roszczeniem zarówno zleceniodawcy jaki i podmiotów danych, móc wykazać postępowanie zgodne z prawem, zwłaszcza że powód w postępowaniu sądowym nie ma obowiązku prowadzić dowodu na fakt negatywny, że zleceniobiorca czegoś nie zrobił, tylko właśnie pozwany sam musi dowodzić, że zrobił i to w dodatku prawidłowo. Często można spotkać się z poglądem, że skoro już procesor ma własny legalny cel i jest też administratorem, to już niech będzie tylko administratorem. Taka rezygnacja z podwójnej roli jest zrozumiała pod względem praktycznym, ale omija wyraźną intencję prawodawcy i nie znajduje podstaw prawnych. Przecież po to funkcjonują pojęcia administratora i procesora, żeby tego pierwszego objąć odpowiedzialnością administracyjną i cywilną za wybór tego drugiego. Rezygnacja z przypisywania zleceniobiorcy podwójnej roli zwalnia zleceniodawcę z tej odpowiedzialności, i przez to obniża bezpieczeństwo podmiotów danych, których ze zleceniobiorcą nie łączyły żadne stosunki, bo nie wybrali go na swojego kontrahenta.

Pytając czy dany podmiot jest administratorem, mamy zwykle na myśli legalnego administratora, a więc ustalając tę rolę nie tyle jest istotne pytanie, czy podmiot ten ma (ustala) własny cel przetwarzania, tylko czy ma legalną podstawę dla swojego celu. Zarówno zleceniodawca jak i zleceniobiorca mają cel w przetwarzaniu danych, jeden zaspokojenie doraźnej potrzeby drugi ogólny cel zarobkowy, ale zwykle tylko zleceniodawca ma podstawę – dlatego zasadą jest, że zleceniodawca jest administratorem, a zleceniobiorca procesorem. Tym niemniej wyjątkowo, może mieć miejsce sytuacja, kiedy to zleceniobiorca ma legalną podstawę do przetwarzania danych otrzymanych od zleceniodawcy, czy też zebranych na jego zlecenie. Taka sytuacja nie ma miejsca często, bo zwykle jedynie zleceniodawca ma umowę z osobą, której dane dotyczą czy jej zgodę, nie zaś zleceniobiorca, który nigdy nie miał z nią kontaktu. Dla zobrazowania takiej sytuacji można posłużyć się przykładem firmy windykacyjnej, która na zlecenie wierzyciela windykuje z jednej strony przedsiębiorców i z drugiej konsumentów. Co do przedsiębiorców, których dane osobowe są zgromadzone w ceidg i krs, właśnie po to aby były publicznie dostępne dla każdego, nie tylko dla wierzyciela, na potrzeby obrotu prawnego, firma windykacyjna ma własną podstawę w postaci art. 6 ust. 1 lit. f rodo, nie potrzebuje więc umowy powierzenia dla zalegalizowania swojego działania. Co innego w przypadku konsumenta, którego dane nie są powszechnie dostępne i tylko aktualny wierzyciel ma upoważnienie do przetwarzania jego danych płynące właśnie od samego konsumenta, który zawarł z nim umowę, będącą przyczyną dochodzonego roszczenia. Co do danych konsumenta firma windykacyjna nie znajdzie własnej podstawy w art. 6 ust. 1 rodo, musi więc tę podstawę uzyskać w postaci instytucji powierzenia uregulowanej w art. 28 rodo i w ślad za nią idącej umowy powierzenia, której nota bene bliżej do klauzuli informacyjnej, nie opiera się bowiem na zasadzie swobody umów, w każdym razie nie w zakresie narzuconym przez art. 28 rodo.

Dane publicznie dostępne zawsze podlegają przesłance z art. 6 ust. 1 lit. f rodo, z tym ograniczeniem, że jeśli z kontekstu upublicznienia wynika jego cel, to można je przetwarzać w tym właśnie celu. Wynika to z normy powstałej z art. 9 ust. 2 lit. e rodo, który mówi że przetwarzanie danych wrażliwych nie jest zabronione jeśli „przetwarzanie dotyczy danych osobowych w sposób oczywisty upublicznionych przez osobę, której dane dotyczą”. Skoro dane wrażliwe, silniej chronione niż dane zwykłe, można przetwarzać jeśli zostały upublicznione przez osobę, to z wnioskowania a fortiori wynika norma zgodnie z którą, tym bardziej można przetwarzać upublicznione dane zwykłe. Przesłanki legalizacyjne dotyczące danych wrażliwych nie zawierają klauzuli generalnej prawnie uzasadnionego interesu, wszak chwiejność ocen i niepewność wynikająca ze stosowania klauzuli generalnej była by nie do pogodzenia z potrzebą ścisłej ochrony danych wrażliwych. W art. 9 ust. 2 lit. e rodo prawodawca sam przesądził, że w prawnie uzasadnionym interesie uczestników obrotu leży możliwość wykorzystania danych upublicznionych przez osobę, której dane dotyczą – tym bardziej taka ocena dotyczy danych zwykłych, już bez potrzeby przeprowadzania testu równowagi, który sam prawodawca brał pod uwagę redagując ten przepis. Osoba, która decyduje się na prowadzenie działalności gospodarczej, zdając sobie sprawę z istnienia publicznych rejestrów takich jak ceidg czy krs, jednocześnie godzi się na upublicznienie swoich danych w zakresie wynikającym z przepisów te rejestry regulujących i dla celu obrotu prawnego.