Wytyczne 07/2020 dotyczące pojęć administratora i podmiotu przetwarzającego zawartych w RODO Wersja 2.0 Przyjęta 7 lipca 2021 r. – Wyciąg

Erod wydał Wytyczne jak ustalać rolę ado/proc w procesach przetwarzania danych. Poniżej wyciąg z wytycznych, zawierający wszystkie przykłady ilustrujące ustalenie roli, i najważniejsze uwagi stanowiące wskazówki co brać pod uwagę i jak interpretować przepisy, art. 4 pkt 7 i 8 rodo:

7) „administrator” oznacza

(zd 1) osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych;

(zd 2) jeżeli cele i sposoby takiego przetwarzania są określone w prawie Unii lub w prawie państwa członkowskiego, to również w prawie Unii lub w prawie państwa członkowskiego może zostać wyznaczony administrator lub mogą zostać określone konkretne kryteria jego wyznaczania;

8) „podmiot przetwarzający” oznacza

osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który przetwarza dane osobowe w imieniu administratora;

Swoboda jak najlepiej służyć interesom ado

Podmiot przetwarzający nie może przetwarzać danych inaczej niż zgodnie z instrukcjami administratora. Możliwe jest jednak pozostawienie w ramach tych instrukcji pewnej swobody co do tego, jak najlepiej służyć interesom administratora i umożliwienie podmiotowi przetwarzającemu wyboru najodpowiedniejszych środków technicznych i organizacyjnych. (s. 3)

Przykład 1: komórka organizacyjna

Dział marketingu przedsiębiorstwa ABC rozpoczyna kampanię reklamową promującą produkty ABC. Dział marketingowy decyduje o charakterze kampanii, środkach, jakie należy zastosować (e-mail, media społecznościowe itp.), o tym, do jakich klientów należy dotrzeć i jakie dane należy wykorzystać, aby kampania była jak najskuteczniejsza. Nawet jeżeli dział marketingu działał w sposób w znacznym stopniu niezależny, co do zasady to przedsiębiorstwo ABC będzie uważane za administratora, ponieważ kampania reklamowa jest inicjowana przez przedsiębiorstwo i odbywa się w ramach jej działalności gospodarczej i do jej celów. (s. 10)

„lub prywatne” – zawody regulowane

Ogólniej mówiąc, prawo może również nakładać na podmioty publiczne lub prywatne obowiązek zatrzymywania lub przekazywania określonych danych. Podmioty te byłyby wówczas zazwyczaj uznawane za administratorów w odniesieniu do przetwarzania, które jest niezbędne do wykonania tego obowiązku. (s. 12)

Przykład 2: przepisy prawne – ado

Prawo krajowe w kraju A nakłada na władze miejskie obowiązek zapewnienia obywatelom świadczeń z zakresu opieki społecznej, takich jak miesięczne wypłaty, w zależności od ich sytuacji finansowej. W celu realizacji tych płatności władze miejskie muszą gromadzić i przetwarzać dane dotyczące sytuacji finansowej wnioskodawców. Nawet jeśli ustawa nie stanowi wyraźnie, że władze miejskie są administratorami w zakresie tego przetwarzania, wynika to w sposób dorozumiany z przepisów prawnych. (s. 12)

Rola ustalana w stosunku do procesu (czynności przetwarzania)

26. Potrzeba oceny faktów oznacza również, że rola administratora nie wynika z charakteru podmiotu przetwarzającego dane, ale z jego konkretnych działań w określonym kontekście. Innymi słowy, ten sam podmiot może działać jednocześnie jako administrator w przypadku niektórych operacji przetwarzania danych i jako przetwarzający w przypadku innych tego rodzaju operacji, a to czy kwalifikuje się jako administrator czy przetwarzający należy oceniać w odniesieniu do każdej konkretnej czynności przetwarzania danych. (s. 12)

Przykład 3: kancelarie prawne – ado

Przedsiębiorstwo ABC zatrudnia kancelarię prawną do reprezentowania jej w sporze. Aby wykonać to zadanie, kancelaria prawna musi przetwarzać dane osobowe związane ze sprawą. Podstawą przetwarzania danych osobowych jest upoważnienie kancelarii do reprezentowania klienta w sądzie. Mandat ten nie jest jednak ukierunkowany konkretnie na przetwarzanie danych osobowych. Kancelaria prawna działa w znacznym stopniu niezależnie, na przykład przy podejmowaniu decyzji o tym, z jakich informacji i w jak sposób będzie korzystać, a przedsiębiorstwo będące klientem nie wydało żadnych instrukcji dotyczących przetwarzania danych osobowych. Przetwarzanie, którego kancelaria dokonuje w celu wypełnienia zadania jako przedstawiciel prawny spółki, jest zatem związane z rolą funkcjonalną kancelarii, w związku z czym należy ją traktować jako administratora tego przetwarzania. (s. 13)

Komentarz:

to że kancelaria ma swobodę (niezależność) jak najlepiej zadbać o interesy zleceniodawcy, nie świadczy o roli ado, jak podano wyżej na s. 3 procesor może mieć taką swobodę. Ponadto jak podano na s. 28 powierzone procesy mogą być określone w sposób ogólny i szeroki. Kancelaria jest ado ponieważ wykonuje działalność regulowaną.

Przykład 4: operatorzy telekomunikacyjni  – ado/proc

Świadczenie usług łączności elektronicznej, takich jak usługi poczty elektronicznej, wiąże się z przetwarzaniem danych osobowych. Dostawca takich usług będzie zazwyczaj uważany za administratora w odniesieniu do przetwarzania danych osobowych, które jest niezbędne do świadczenia usługi jako takiej (np. danych dotyczących ruchu i rozliczeń). Jeżeli jedynym celem i rolą dostawcy jest umożliwienie przekazywania wiadomości e-mail, dostawca nie będzie uważany za administratora danych osobowych zawartych w samej wiadomości. Za administratora danych osobowych zawartych w wiadomości uznaje się zwykle osobę, od której pochodzi wiadomość, a nie dostawcę usług oferującego usługę transmisji. (s. 13)

Komentarz:

Podobnie jak w przypadku kancelarii, jeśli zleceniobiorca jest wpisany do rejestru przedsiębiorców telekomunikacyjnych (art. 10 PT), to jest odrębnym ado, ponieważ wykonuje działalność regulowaną. Zgodnie z art. 180a PT operator publicznej sieci telekomunikacyjnej oraz dostawca publicznie dostępnych usług telekomunikacyjnych są obowiązani na własny koszt zatrzymywać i przechowywać dane, o których mowa w art. 180c, generowane w sieci telekomunikacyjnej. Natomiast usługa poczty elektronicznej nie jest usługą telekomunikacyjną tylko usługą świadczoną drogą el (usługą społeczeństwa informacyjnego) i nie stanowi działalności regulowanej. Relację tych usług przedstawia art. 2 pkt 6 PT: „6) dostęp telekomunikacyjny – korzystanie z urządzeń telekomunikacyjnych, udogodnień towarzyszących lub usług świadczonych przez innego przedsiębiorcę telekomunikacyjnego, na określonych warunkach, w celu świadczenia usług telekomunikacyjnych, w tym świadczenia za ich pomocą usług świadczonych drogą elektroniczną (…)”. Usługa telekomunikacyjna (dostęp do internetu, łączność elektroniczna) stanowi drogę elektroniczną dla poczty el, czyli usługa telekomunikacyjna zapewnia przekaz sygnału, a poczta el zapewnia obsługę na początku i końcu drogi, w szczególności hosting.

W związku z projektowanymi zmianami prawa telekomunikacyjnego (PKE), wynikającymi z implementacji dyrektywy ustanawiającej Europejski kodeks łączności elektronicznej, wydaje się że ulegnie zmianie ocena roli dostawcy poczty elektronicznej na gruncie rodo. Prawodawca europejski dostrzegł, że komunikacja w coraz większym stopniu odbywa się przy udziale przedsiębiorców innych niż tradycyjni przedsiębiorcy telekomunikacyjni (dostawcy telefonii czy internetu) przekazujący sygnał. Nowa regulacja obejmie kategorię tzw. przedsiębiorców komunikacji elektronicznej. Wprawdzie nie będą podlegali wpisowi do rejestru Prezesa UKE, ale ich działalność będzie regulowana, m. in. będą zobowiązania do zachowania tajemnicy komunikacji elektronicznej, przechowywania i udostępniania danych na potrzeby sądów i służb (bezpieczeństwo państwa), zapewnienia bezpieczeństwa usług, realizacji obowiązków informacyjnych i sprawozdawczych. Przedsiębiorcy komunikacji elektronicznej to kategoria szersza niż przedsiębiorcy telekomunikacyjni, tak jak usługa komunikacji elektronicznej to kategoria szersza niż usługa telekomunikacyjna. W zakres usługi komunikacji elektronicznej wchodzić będzie również usługa komunikacji interpersonalnej (poczta elektroniczna, komunikatory internetowe) do tej pory wyjęta spod regulacji PT. Ponieważ usługa ta i jej dostawcy staną się de facto regulowani, w każdym razie cele ich przetwarzania (usługi) będą określone w prawie, to zmianie ulegnie ich status na administratora. Natomiast przedsiębiorcy telekomunikacyjni nadal będą podlegali wpisowi do rejestru.

Określenie sposobów przez przyjęcie zastanych u zleceniobiorcy

Nawet jeśli podmiot przetwarzający oferuje usługę, która jest wstępnie zdefiniowana w dany sposób, administrator musi otrzymać szczegółowy opis usługi i musi podjąć ostateczną decyzję, czy zatwierdza sposób przetwarzania, i zażądać zmian, jeśli jest to konieczne. Ponadto podmiot przetwarzający nie może na późniejszym etapie zmieniać istotnych elementów przetwarzania bez zgody administratora. (s. 14)

Przykład 5: znormalizowana usługa przechowywania w chmurze – proc

Duży dostawca usług przechowywania w chmurze oferuje swoim klientom możliwość przechowywania dużych ilości danych osobowych. Usługa jest całkowicie znormalizowana, a klienci mają niewielkie możliwości dostosowania jej do własnych potrzeb lub nie mają jej wcale. Warunki umowy są określane i sporządzane jednostronnie przez dostawcę usług w chmurze, a klient nie ma możliwości ich uzgodnienia. Przedsiębiorstwo X decyduje się na skorzystanie z usług dostawcy usług w chmurze w celu przechowywania danych osobowych swoich klientów. Przedsiębiorstwo X będzie nadal uznawane za administratora ze względu na podjętą decyzję o skorzystaniu z usług tego konkretnego dostawcy usług w chmurze w celu przetwarzania danych osobowych do swoich celów. W zakresie, w jakim dostawca usług w chmurze nie przetwarza danych osobowych do własnych celów i przechowuje dane wyłącznie w imieniu swoich klientów oraz zgodnie z instrukcjami, dostawca usług będzie uważany za podmiot przetwarzający. (s. 14)

Istotne i inne niż istotne sposoby przetwarzania (Uwaga 40)

40. Jeśli chodzi o określenie sposobów przetwarzania, można dokonać rozróżnienia między istotnymi sposobami przetwarzania a sposobami innymi niż istotne. „Istotne sposoby przetwarzania” są z natury zastrzeżone dla administratora. Podczas gdy sposoby przetwarzania inne niż istotne mogą być również określane przez podmiot przetwarzający, istotne sposoby przetwarzania określa administrator. „Istotne sposoby przetwarzania” to sposoby przetwarzania, które są ściśle związane z celem i zakresem przetwarzania, takie jak rodzaj przetwarzanych danych osobowych („jakie dane będą przetwarzane?”), czas trwania przetwarzania („jak długo będą przetwarzane?”), kategorie odbiorców („kto będzie miał do nich dostęp?”) oraz kategorie osób, których dane dotyczą („czyje dane osobowe są przetwarzane?”). Wraz z celem przetwarzania danych, podstawowe sposoby przetwarzania są również ściśle powiązane z kwestią, czy przetwarzanie danych jest zgodne z prawem, niezbędne i proporcjonalne. „Sposoby przetwarzania inne niż istotne” dotyczą bardziej praktycznych aspektów wdrażania, takich jak wybór konkretnego rodzaju sprzętu lub oprogramowania lub szczegółowych środków bezpieczeństwa, których wybór może pozostać w gestii podmiotu przetwarzającego. (s. 16)

Przykład 6: zarządzanie listą płac – proc

Pracodawca A zatrudnia inne przedsiębiorstwo, które zarządza wypłatą wynagrodzeń jego pracownikom. Pracodawca A wydaje jasne instrukcje dotyczące tego, komu należy wypłacić wynagrodzenie, jakie kwoty, w jakim terminie, przez jaki bank, jak długo dane mają być przechowywane, jakie dane należy ujawnić organowi podatkowemu itd. W tym przypadku przetwarzanie danych odbywa się na potrzeby przedsiębiorstwa A w celu wypłaty wynagrodzeń jego pracownikom, a administrator listy płac nie może wykorzystywać danych do żadnych własnych celów.

Sposób, w jaki administrator listy płac powinien dokonywać przetwarzania danych, jest w zasadzie jasno i ściśle określony. Administrator listy płac może jednak decydować o pewnych szczegółowych kwestiach związanych z przetwarzaniem, takich jak oprogramowanie, którego ma używać, sposób rozpowszechniania dostępu w ramach własnej organizacji itd. Nie zmienia to jego roli jako podmiotu przetwarzającego, o ile administrator nie postępuje z naruszeniem instrukcji przedsiębiorstwa A ani nie wykracza poza te instrukcje. (s. 16)

Przykład 7: płatności bankowe – ado

W ramach instrukcji od Pracodawcy A, administracja listy płac przekazuje informacje do Banku B, aby ten mógł dokonać faktycznej wypłaty pracownikom Pracodawcy A. Czynność ta obejmuje przetwarzanie danych osobowych przez Bank B, które odbywa się w celu prowadzenia działalności bankowej. W ramach tej działalności bank decyduje niezależnie od Pracodawcy A o tym, jakie dane muszą być przetwarzane w celu świadczenia usługi, jak długo dane muszą być przechowywane itd. Pracodawca A nie może mieć żadnego wpływu na cel i sposoby przetwarzania danych przez Bank B. Bank B należy zatem uznać za administratora w odniesieniu do tego przetwarzania, a przekazanie danych osobowych z administracji listą płac należy uznać za ujawnienie informacji między dwoma administratorami danych, od Pracodawcy A do Banku B. (s. 16)

Komentarz:

Bank jest ado, nie dlatego że przetwarzanie realizuje cel banku, ponieważ celem banku jest uzyskanie świadczenia pieniężnego za świadczenie niepieniężne, jak każdego zleceniobiorcy, czyli zgodnie z uwagą 62 na s. 23, kwalifikuje go to do roli proc, ale dlatego że wykonuje działalność regulowaną. Poza tym nie bank decyduje tylko ustawa Prawo bankowe decyduje jak wygląda działalność bankowa i jaki zakres danych jest potrzebny w tym celu, czyli nie tyle bank co ustawodawca. Cel ma zarówno zleceniodawca (cel niepieniężny) jak i zleceniobiorca (cel pieniężny), tylko jeśli zleceniobiorca nie wykonuje działalności regulowanej, to zwykle nie ma podstawy prawnej, dlatego musi mieć um powierzenia – musi działać w imieniu zleceniodawcy (na jego podstawie legalizacyjnej „przedłużonej” umową powierzenia) bo we własnym imieniu nie ma podstawy legalizacyjnej z art. 6.

Zwrot „ustala cele” w art. 4 pkt 7 zd. 1 oznacza „ma podstawę prawną dla celu”, a zwrot „w imieniu administratora” w art. 4 pkt 8 oznacza „na podstawie prawnej administratora”. W przypadku banku jego rola ado wynika z art. 4 pkt 7 zd. 2 „cele (…) określone w prawie”.

Przykład 8: biegły rewident – ado; księgowi – proc

Pracodawca A zatrudnia również Biuro rachunkowe C do przeprowadzania kontroli księgowości i w związku z tym przekazuje C dane dotyczące transakcji finansowych (w tym dane osobowe). Biuro rachunkowe C przetwarza te dane bez szczegółowych instrukcji ze strony A. Biuro rachunkowe C samo decyduje, zgodnie z przepisami prawnymi regulującymi zadania związane z działalnością audytową prowadzoną przez C, że gromadzone przez nie dane będą przetwarzane wyłącznie do celów audytu A i określa, jakie dane musi posiadać, jakie kategorie osób muszą być zarejestrowane, jak długo dane mają być przechowywane i jakie środki techniczne należy zastosować. W tych okolicznościach Biuro rachunkowe C należy uznać za samodzielnego administratora w odniesieniu do świadczenia usług audytorskich na rzecz A. Ocena ta może być jednak różna w zależności od instrukcji ze strony A.

W sytuacji, w której prawo nie określa szczegółowych obowiązków biura rachunkowego, a przedsiębiorstwo będące klientem dostarcza bardzo szczegółowych instrukcji dotyczących przetwarzania, biuro rachunkowe rzeczywiście działałoby jako podmiot przetwarzający.

Można dokonać rozróżnienia między sytuacją, w której przetwarzanie odbywa się – zgodnie z przepisami regulującymi ten zawód – w ramach podstawowej działalności biura rachunkowego, a sytuacją, w której przetwarzanie danych jest bardziej ograniczonym, pomocniczym zadaniem wykonywanym w ramach działalności przedsiębiorstwa będącego klientem. (s. 16)

Przykład 9: usługi hostingowe – proc

Pracodawca A zatrudnia dostawcę usług hostingowych H do przechowywania zaszyfrowanych danych na serwerach H. Dostawca usług hostingowych H nie określa, czy przechowywane przez niego dane są danymi osobowymi, ani też nie przetwarza danych w jakikolwiek inny sposób niż przechowując je na swoich serwerach. Ponieważ przechowywanie jest jedną z czynności przetwarzania danych osobowych, dostawca usług hostingowych H przetwarza dane osobowe w imieniu pracodawcy A, a zatem jest podmiotem przetwarzającym. Pracodawca A musi przekazać H niezbędne instrukcje, a zgodnie z art. 28 należy zawrzeć umowę o przetwarzaniu danych, zobowiązującą H do wdrożenia technicznych i organizacyjnych środków bezpieczeństwa. H musi wesprzeć A w zapewnieniu podjęcia niezbędnych środków bezpieczeństwa i powiadomić je o wszelkich przypadkach naruszenia ochrony danych osobowych. (s. 17)

Przykład 10: call center – proc

Przedsiębiorstwo X decyduje się na outsourcing części obsługi klienta do call center. Call center otrzymuje dane identyfikacyjne dotyczące zakupów dokonywanych przez klientów, jak również dane kontaktowe. Call center wykorzystuje własne oprogramowanie i infrastrukturę informatyczną do zarządzania danymi osobowymi klientów przedsiębiorstwa X. Przedsiębiorstwo X podpisuje umowę dotyczącą przetwarzania danych z dostawcą call center zgodnie z art. 28 RODO, po ustaleniu, że techniczne i organizacyjne środki bezpieczeństwa proponowane przez call center są odpowiednie dla danego ryzyka oraz że call center będzie przetwarzać dane osobowe wyłącznie do celów Przedsiębiorstwa X i zgodnie z jego instrukcjami. Przedsiębiorstwo X nie dostarcza call center żadnych dalszych instrukcji dotyczących konkretnego oprogramowania, którego należy używać, ani żadnych szczegółowych instrukcji dotyczących konkretnych środków bezpieczeństwa, które należy wdrożyć. W tym przykładzie Przedsiębiorstwo X pozostaje administratorem, mimo, że call center określiło pewne sposoby przetwarzania inne niż istotne. (s. 17)

Rola co do etapu przetwarzania

W rezultacie pojęcie administratora może być związane albo z pojedynczą operacją przetwarzania, albo z zestawem operacji. W praktyce może to oznaczać, że kontrola sprawowana przez dany podmiot może obejmować całość danego przetwarzania, ale może być również ograniczona do określonego etapu przetwarzania. (s. 18)

Przykład 11: badanie rynku 1 – proc

Przedsiębiorstwo ABC chce zrozumieć, jakie rodzaje konsumentów są najbardziej zainteresowane jego produktami i zleca dostawcy usług XYZ uzyskanie odpowiednich informacji.

Przedsiębiorstwo ABC instruuje XYZ, jakiego rodzaju informacje je interesują i przekazuje listę pytań, które należy zadać osobom biorącym udział w badaniu rynku.

Przedsiębiorstwo ABC otrzymuje od XYZ jedynie informacje statystyczne (np. identyfikujące trendy konsumenckie w danym regionie) i nie ma dostępu do samych danych osobowych. Przedsiębiorstwo ABC postanowiło jednak, że powinno odbywać się przetwarzanie danych; przetwarzanie odbywa się dla jego celu i na potrzeby jego działalności, przy czym ABC dostarczyło XYZ szczegółowych instrukcji co do tego, jakie informacje należy zgromadzić. Przedsiębiorstwo ABC nadal należy zatem uznawać za administratora przetwarzania danych osobowych, którego celem jest dostarczenie żądanych informacji. XYZ może przetwarzać dane wyłącznie do celów określonych przez przedsiębiorstwo ABC i zgodnie z jego szczegółowymi instrukcjami, w związku z czym należy go uznać za podmiot przetwarzający. (s. 19)

Przykład 12: badanie rynku 2 – ado

Przedsiębiorstwo ABC chce zrozumieć, jakie rodzaje konsumentów będą najbardziej zainteresowane jego produktami. Dostawca usług XYZ jest agencją zajmującą się badaniami rynku, która gromadziła informacje na temat upodobań konsumentów za pomocą różnych kwestionariuszy dotyczących szerokiej gamy produktów i usług. Dostawca usług XYZ zebrał i przeanalizował te dane niezależnie, zgodnie z własną metodologią, nie otrzymując żadnych instrukcji od przedsiębiorstwa ABC. Aby dostarczyć usługę, o którą zwróciło się przedsiębiorstwo ABC, dostawca usług XYZ wygeneruje informacje statystyczne, ale zrobi to bez otrzymania jakichkolwiek dalszych instrukcji dotyczących tego, które dane osobowe należy przetwarzać lub jak je przetwarzać w celu wygenerowania tych statystyk. W tym przypadku dostawca usług XYZ pełni funkcję jedynego administratora i przetwarza dane osobowe do celów badania rynku, samodzielnie określając sposoby osiągnięcia tego celu. Przedsiębiorstwo ABC nie odgrywa żadnej szczególnej roli ani nie ponosi odpowiedzialności za czynności przetwarzania na mocy prawa o ochronie danych, ponieważ przedsiębiorstwo ABC otrzymuje zanonimizowane dane statystyczne i nie uczestniczy w określaniu celów i sposobów przetwarzania. (s. 19)

Szczegółowe określanie roli co do operacji (Uwaga 57)

57. Należy również podkreślić, zgodnie z wyjaśnieniami TSUE, że podmiot będzie uznawany za współadministratora z innym(i) tylko w odniesieniu do tych operacji, dla których określa on, wspólnie z innymi, sposoby i cele tego samego przetwarzania danych, w szczególności w przypadku zbieżnych decyzji. Jeżeli jeden z tych podmiotów samodzielnie decyduje o celach i sposobach prowadzenia operacji, które następują wcześniej albo później w łańcuchu przetwarzania, podmiot ten musi być uznany za jedynego administratora tej wcześniejszej lub późniejszej operacji. (s. 22)

Usługa za pieniądze – proc, czyli uzyskanie świadczenia pieniężnego nie jest uznawane za cel relewantny (Uwaga 62)

62. W tym względzie należy podkreślić, że samo istnienie wzajemnych korzyści (np. handlowych) wynikających z działalności związanej z przetwarzaniem nie daje podstaw do sprawowania współadministracji. Jeżeli podmiot zaangażowany w przetwarzanie nie realizuje własnych celów w związku przetwarzaniem, a jedynie otrzymuje wynagrodzenie za świadczone usługi, działa raczej jako podmiot przetwarzający niż jako współadministrator. (s. 23)

Przykład 13: linia lotnicza i hotel – ado

Biuro podróży przesyła dane osobowe swoich klientów do linii lotniczych i sieci hoteli w celu rezerwacji pakietów turystycznych. Linia lotnicza i hotel potwierdzają dostępność potrzebnych miejsc i pokoi. Biuro podróży wystawia dokumenty i potwierdzenia dla swoich klientów. Każdy z podmiotów przetwarza dane w celu prowadzenia własnych działań i przy zastosowaniu własnych sposobów. W tym przypadku biuro podróży, linia lotnicza i hotel są trzema odrębnymi administratorami przetwarzającymi dane dla własnych i odrębnych celów i nie ma tu mowy o współadministracji.

Biuro podróży, sieć hoteli i linia lotnicza decydują się następnie wspólnie uczestniczyć w tworzeniu wspólnej platformy internetowej służącej wspólnemu świadczeniu usług turystycznych. Uzgadniają istotne sposoby przetwarzania danych, które będą stosowane, na przykład jakie dane będą przechowywane, w jaki sposób rezerwacja będzie przypisywana i zatwierdzana oraz kto może mieć dostęp do przechowywanych informacji. Postanawiają ponadto wymieniać się danymi swoich klientów w celu prowadzenia zintegrowanych działań marketingowych. W takim przypadku biuro podróży, linia lotnicza i sieć hoteli wspólnie ustalają, dlaczego i w jaki sposób przetwarzane są dane osobowe ich klientów, a zatem będą współadministratorami operacji przetwarzania dotyczących wspólnej internetowej platformy rezerwacji i wspólnych działań marketingowych. Każdy z podmiotów będzie jednak nadal sprawował wyłączną kontrolę nad innymi czynnościami przetwarzania, poza wspólną platformą internetową.

Komentarz:

Nic nie jest powiedziane o podstawie prawnej udostępnienia. Żeby linia lotnicza czy hotel mogli działać jako administrator a nie dziki administrator muszą mieć podstawę prawną dla przetwarzania. Jeśli biuro podróży działa na podstawie regulaminu, który przewiduje przekazanie danych do linii i hotelu, czyli dzieje się to zgodnie z wolą osoby, której dane dotyczą (klienta) to oczywiście mamy udostępnienie, przekazanie danych do odbiorcy jest niezbędne dla wykonania umowy, której stroną jest osoba. Ale gdyby biuro podróży chciało przekazać dane klienta innemu przedsiębiorcy bez zgody tego klienta, czy innej podstawy z art. 6, musiało by to być zalegalizowane um powierzenia. Akurat transport lotniczy i hotelarstwo to branże o znacznej doniosłości, które doczekały się odrębnych regulacji i te usługi, czyli cele przetwarzania są określone w prawie (art. 4 pkt 7 zd. 2 rodo), więc również z tego powodu działają jako ado.

Przykład 14: projekt badawczy realizowany przez instytuty – współado i ado

Kilka instytutów badawczych decyduje się na udział w określonym wspólnym projekcie badawczym i wykorzystanie w tym celu istniejącej platformy jednego z instytutów uczestniczących w projekcie. Każdy instytut wprowadza do platformy dane osobowe, które już posiada, do celów wspólnych badań i wykorzystuje dane dostarczone przez innych za pośrednictwem platformy do badań. W tym przypadku wszystkie instytuty kwalifikują się jako współadministratorzy przetwarzania danych osobowych w formie przechowywania i ujawniania informacji z tej platformy, ponieważ wspólnie zdecydowały o celu przetwarzania i sposobach przetwarzania (istniejąca platforma). Każdy z instytutów jest jednak odrębnym administratorem danych w odniesieniu do wszelkich innych operacji przetwarzania, które mogą być dokonywane poza platformą do ich własnych celów.

Przykład 15: działanie marketingowe – współado

Przedsiębiorstwa A i B wprowadziły na rynek produkt pod wspólną marką C i chcą zorganizować imprezę promującą ten produkt. W tym celu decydują się na udostępnienie danych ze swoich baz klientów i potencjalnych klientów i na tej podstawie ustalają listę osób zaproszonych na wydarzenie. Uzgadniają również zasady wysyłania zaproszeń na wydarzenie, sposób zbierania informacji zwrotnych podczas wydarzenia oraz dalsze działania marketingowe. Przedsiębiorstwa A i B można uznać za współadministratorów przetwarzania danych osobowych związanych z organizacją imprezy promocyjnej, ponieważ wspólnie decydują o wspólnie określonym celu i podstawowych sposobach przetwarzania danych w tym kontekście.

Przykład 16: badania kliniczne  – współado i ado

Świadczeniodawca opieki zdrowotnej (prowadzący badanie) i uniwersytet (sponsor) decydują się na wspólne rozpoczęcie badania klinicznego w tym samym celu. Współpracują ze sobą przy sporządzaniu protokołu badania (tj. cel, metodologia/projekt badania, dane, które należy zgromadzić, kryteria wykluczenia/włączenia, ponowne wykorzystanie bazy danych (w stosownych przypadkach) itd.). Można ich uznać za współadministratorów w odniesieniu do tego badania klinicznego, ponieważ wspólnie określają i uzgadniają ten sam cel i istotne sposoby przetwarzania danych. Gromadzenie danych osobowych z dokumentacji medycznej pacjenta do celów badawczych należy odróżnić od przechowywania i wykorzystywania tych samych danych do celów opieki nad pacjentem, w przypadku których świadczeniodawca opieki zdrowotnej pozostaje administratorem.

W przypadku gdy prowadzący badanie nie bierze udziału w sporządzaniu protokołu (akceptuje jedynie protokół już opracowany przez sponsora), a protokół jest opracowany wyłącznie przez sponsora, prowadzącego badanie należy uznać za podmiot przetwarzający, a sponsora za administratora tego badania klinicznego.

Przykład 17: rekruterzy – współado

Przedsiębiorstwo X pomaga przedsiębiorstwu Y w rekrutacji nowych pracowników za pomocą swojej słynnej usługi dodanej „global matchz”. Przedsiębiorstwo X poszukuje odpowiednich kandydatów zarówno wśród CV otrzymanych bezpośrednio od przedsiębiorstwa Y, jak i tych, które posiada już we własnej bazie danych. Tę bazę dany tworzy we własnym zakresie przedsiębiorstwo X i samo nią zarządza. Dzięki temu przedsiębiorstwo X zwiększa dopasowanie między ofertami pracy a osobami poszukującymi pracy, a tym samym zwiększa swoje obroty. Nawet jeśli formalnie nie podjęły one wspólnej decyzji, przedsiębiorstwa X i Y wspólnie uczestniczą w przetwarzaniu danych w celu znalezienia odpowiednich kandydatów w oparciu o zbieżne decyzje: decyzję o stworzeniu usługi „global matchz” i zarządzaniu nią dla przedsiębiorstwa X oraz decyzję przedsiębiorstwa Y o wzbogaceniu bazy danych o CV, które otrzymuje bezpośrednio. Decyzje te wzajemnie się uzupełniają, są nierozłączne i niezbędne do znalezienia odpowiednich kandydatów. Dlatego w tym konkretnym przypadku należy uznać te podmioty za współadministratorów takiego przetwarzania. Przedsiębiorstwo X jest jednak wyłącznym administratorem przetwarzania niezbędnego do zarządzania bazą danych, a firma Y jest wyłącznym administratorem późniejszego przetwarzania danych dotyczących zatrudniania dla własnych celów (organizacja rozmów kwalifikacyjnych, zawarcie umowy i zarządzanie danymi kadrowymi).

Przykład 18: analiza danych dotyczących zdrowia – współado

Przedsiębiorstwo ABC, twórca aplikacji do monitorowania ciśnienia krwi, oraz Przedsiębiorstwo XYZ, dostawca aplikacji dla pracowników służby zdrowia, chcą zbadać, w jaki sposób zmiany ciśnienia krwi mogą pomóc w przewidywaniu niektórych chorób. Przedsiębiorstwa postanawiają stworzyć wspólny projekt i dotrzeć do Szpitala DEF, aby go również zaangażować.

Dane osobowe, które będą przetwarzane w tym projekcie, składają się z danych osobowych, które Przedsiębiorstwo ABC, Szpital DEF i Przedsiębiorstwo XYZ przetwarzają oddzielnie jako indywidualni administratorzy. Decyzję o przetwarzaniu tych danych w celu oceny zmian ciśnienia krwi podejmują wspólnie trzy podmioty. Przedsiębiorstwo ABC, Szpital DEF i Przedsiębiorstwo XYZ wspólnie określiły cele przetwarzania danych. Przedsiębiorstwo XYZ proponuje istotne sposoby przetwarzania. Zarówno Przedsiębiorstwo ABC jak i Szpital DEF akceptują te istotne sposoby przetwarzania po tym, jak zostali włączeni w opracowanie niektórych funkcji aplikacji, tak aby mogli w odpowiedni sposób wykorzystywać wyniki. Te trzy organizacje zgadzają się więc co do wspólnego celu przetwarzania danych, jakim jest ocena, w jaki sposób zmiany ciśnienia krwi mogą pomóc w przewidywaniu niektórych chorób. Po zakończeniu badań Przedsiębiorstwo ABC, Szpital DEF i Przedsiębiorstwo XYZ mogą skorzystać z oceny, wykorzystując jej wyniki we własnej działalności. Z tych powodów organizacje te są współadministratorami tego konkretnego wspólnego przetwarzania danych.

Gdyby Przedsiębiorstwo XYZ zostało po prostu poproszone przez pozostałe organizacje o dokonanie tej oceny bez żadnego własnego celu i jedynie przetwarzało dane w imieniu innych, Przedsiębiorstwo XYZ byłoby podmiotem przetwarzającym, nawet gdyby powierzono mu określenie sposobów przetwarzania innych niż istotne. (s. 26)

Przykład 19: przekazywanie danych o pracownikach organom podatkowym – ado

Przedsiębiorstwo gromadzi i przetwarza dane osobowe swoich pracowników w celu zarządzania płacami, ubezpieczeniami zdrowotnymi itd. Prawo nakłada na przedsiębiorstwo obowiązek przesyłania organom podatkowym wszystkich danych dotyczących wynagrodzeń w celu wzmocnienia kontroli podatkowej.

W tym przypadku, chociaż zarówno przedsiębiorstwo, jak i organy podatkowe, przetwarzają te same dane dotyczące wynagrodzeń, brak wspólnego celu lub sposobów przetwarzania tych danych spowoduje zakwalifikowanie tych dwóch podmiotów jako dwóch odrębnych administratorów.

Przykład 20: działania marketingowe w grupie przedsiębiorstw korzystających ze wspólnej bazy danych – proc

Grupa przedsiębiorstw korzysta z tej samej bazy danych do zarządzania klientami i potencjalnymi klientami. Taka baza danych jest umieszczona na serwerach spółki dominującej, która w związku z tym jest podmiotem przetwarzającym dane przedsiębiorstw w odniesieniu do przechowywania danych. Każdy podmiot grupy wprowadza dane swoich klientów i potencjalnych klientów oraz przetwarza je wyłącznie do własnych celów. Ponadto każdy podmiot samodzielnie decyduje o dostępie, okresach przechowywania, poprawianiu lub usuwaniu danych swoich klientów i potencjalnych klientów. Nie mają one dostępu do danych innych podmiotów ani nie mogą z nich korzystać. Sam fakt, że przedsiębiorstwa te korzystają ze wspólnej bazy danych grupy, nie oznacza jeszcze, że są one współadministratorami. W tych okolicznościach każde przedsiębiorstwo jest zatem odrębnym administratorem.

Komentarz:

nie ma potrzeby legalizować takiego przekazania danych um powierzenia, ponieważ motyw 48 wprost przesądza, że przedsiębiorstwa z grupy mają PUI w przesyłaniu sobie danych dla wewnętrznych celów administracyjnych.

Przykład 21: niezależni administratorzy korzystający ze wspólnej infrastruktury – proc

Przedsiębiorstwo XYZ prowadzi bazę danych i udostępnia ją innym przedsiębiorstwom w celu przetwarzania i przechowywania danych osobowych o ich pracownikach. Przedsiębiorstwo XYZ jest podmiotem przetwarzającym dane w odniesieniu do przetwarzania i przechowywania danych o pracownikach innych przedsiębiorstw, ponieważ operacje te są wykonywane w imieniu tych innych przedsiębiorstw i zgodnie z ich instrukcjami. Ponadto inne przedsiębiorstwa przetwarzają dane bez żadnego udziału Przedsiębiorstwa XYZ i w celach, które w żaden sposób nie są tożsame z celami Przedsiębiorstwa XYZ.

Przykład 22: analiza statystyczna na potrzeby zadania realizowanego w interesie publicznym – ado

Zadaniem organu publicznego (Organu A) jest sporządzanie odpowiednich analiz i statystyk dotyczących zmian wskaźnika zatrudnienia w danym kraju. Wiele innych podmiotów publicznych jest prawnie zobowiązanych do ujawnienia określonych danych Organowi A, aby mógł zrealizować to zadanie. Organ A decyduje się na wykorzystanie określonego systemu do przetwarzania danych, w tym ich gromadzenia. Oznacza to również, że pozostałe jednostki są zobowiązane do korzystania z tego systemu do udostępniania swoich danych. W tym przypadku, bez uszczerbku dla jakiegokolwiek podziału ról wynikającego z prawa, Organ A będzie jedynym administratorem przetwarzania danych do celów analizy i statystyki wskaźnika zatrudnienia przetwarzanych w systemie, ponieważ to Organ A określa cel przetwarzania danych i zdecydował o sposobie przetwarzania. Oczywiście pozostałe podmioty publiczne, jako administratorzy ich własnych działań związanych z przetwarzaniem, są odpowiedzialne za zapewnienie dokładności danych, które wcześniej przetwarzały, a które następnie ujawniają Organowi A. (s. 27)

Polecenie (zadanie) określone ogólnie (Uwaga 75)

Czynności przetwarzania powierzone podmiotowi przetwarzającemu mogą ograniczać się do ściśle określonego zadania lub kontekstu bądź mogą być określone w sposób bardziej ogólny i szeroki. (s. 28)

Poza zwierzchnictwem lub kontrolą (Uwaga 80)

80. Po drugie, przetwarzanie musi odbywać się w imieniu administratora, ale poza jego bezpośrednim zwierzchnictwem lub kontrolą. Działanie „w czyimś imieniu” oznacza działanie w interesie innego podmiotu i przypomina pojęcie prawne „przekazania uprawnień”. W przepisach dotyczących ochrony danych wzywa się podmiot przetwarzający dane do wykonania instrukcji wydanych przez administratora, przynajmniej w odniesieniu do celu przetwarzania oraz istotnych elementów sposobu przetwarzania. Legalność przetwarzania danych zgodnie z art. 6, a w stosownych przypadkach art. 9 rozporządzenia, wynika z działalności administratora danych, a podmiot przetwarzający nie może przetwarzać danych inaczej niż zgodnie z instrukcjami administratora.

Swoboda co do tego jak najlepiej służyć interesom ado

Mimo to, jak opisano powyżej, możliwe jest pozostawienie w ramach tych instrukcji pewnej swobody co do tego, jak najlepiej służyć interesom administratora i umożliwienie podmiotowi przetwarzającemu wybór najodpowiedniejszych środków technicznych i organizacyjnych. (s. 29)

Przykład 23: przedsiębiorstwo nazywane podmiotem przetwarzającym, ale działające jak administrator – dziki administrator

Dostawca usług MarketinZ świadczy usługi reklamowe i marketingu bezpośredniego na rzecz różnych przedsiębiorstw. Przedsiębiorstwo GoodProductZ zawiera umowę z MarketinZ, zgodnie z którą przedsiębiorstwo MarketinZ świadczy usługi reklamy handlowej dla klientów GoodProductZ i jest określane jako podmiot przetwarzający dane. MarketinZ postanawia jednak korzystać z bazy danych klientów GoodProducts również do celów innych niż reklama GoodProducts, takich jak rozwijanie własnej działalności gospodarczej. Decyzja o dodaniu dodatkowego celu do celu, w którym dane osobowe zostały przekazane, przekształca MarketinZ w administratora zestawu operacji przetwarzania, a ich przetwarzanie w tym celu stanowiłoby naruszenie RODO.

Nie każdy zleceniobiorca jest proc (Uwaga 82)

82. Europejska Rada Ochrony Danych przypomina, że nie każdy dostawca usług, który przetwarza dane osobowe w trakcie świadczenia usługi, jest „podmiotem przetwarzającym” w rozumieniu RODO. Rola podmiotu przetwarzającego nie wynika z charakteru podmiotu, który przetwarza dane, lecz z jego konkretnych działań w określonym kontekście. Innymi słowy, ten sam podmiot może działać jednocześnie jako administrator w przypadku niektórych operacji przetwarzania danych oraz jako przetwarzający w przypadku innych tego rodzaju operacji, a to, czy kwalifikuje się go jako administratora czy podmiot przetwarzający należy oceniać w odniesieniu do konkretnych zestawów danych lub operacji. Charakter usługi będzie decydował o tym, czy czynność przetwarzania jest równoznaczna z przetwarzaniem danych osobowych w imieniu administratora w rozumieniu RODO.

Usługa nie ukierunkowana na przetwarzanie, przetwarzanie nie jest kluczowym elementem usługi (Uwaga 82)

W praktyce, jeżeli świadczona usługa nie jest konkretnie ukierunkowana na przetwarzanie danych osobowych lub jeżeli takie przetwarzanie nie stanowi kluczowego elementu usługi, dostawca usług może być w stanie niezależnie określić cele i sposoby takiego przetwarzania, które są wymagane do świadczenia tej usługi. W takiej sytuacji dostawca usług powinien być postrzegany jako odrębny administrator, a nie jako podmiot przetwarzający . Aby ustalić stopień wpływu, jaki każdy podmiot faktycznie ma na określanie celów i sposobów przetwarzania, konieczna jest jednak analiza poszczególnych przypadków. (s. 30)

Przykład 24: usługi taxi – ado

Korporacja taxi oferuje platformę internetową, która umożliwia przedsiębiorstwom zarezerwowanie taksówki do przewozu pracowników lub gości na lotnisko i z lotniska. Podczas rezerwacji taksówki przedsiębiorstwo ABC podaje imię i nazwisko pracownika, który powinien zostać odebrany z lotniska, tak aby kierowca mógł potwierdzić tożsamość pracownika w momencie odbioru. W tym przypadku korporacja taxi przetwarza dane osobowe pracownika w ramach obsługi Przedsiębiorstwa ABC, ale przetwarzanie jako takie nie jest celem usługi. Korporacja taxi zaprojektowała internetową platformę rezerwacji online w ramach rozwijania własnej działalności gospodarczej polegającej na świadczeniu usług przewozowych, bez żadnych instrukcji ze strony Przedsiębiorstwa ABC. Korporacja taxi również samodzielnie określa kategorie danych, które gromadzi i to, jak długo je przechowuje. Korporacja taxi działa zatem jako administrator we własnym imieniu, niezależnie od faktu, że przetwarzanie danych odbywa się na podstawie zapytania o usługę złożonego przez Przedsiębiorstwo ABC.

Komentarz:

Taxi jest ado nie dlatego, że przetwarzanie nie jest celem usługi, ponieważ jak podano w uwadze 83 to nie jest przesądzające. Obojętne czy przetwarzanie jest celem usługi (jak przechowywanie czy niszczenie danych) czy jest niezbędne żeby usługę, która ma inny cel wykonać, zawsze udostępnienie danych musi mieć podstawę prawną z art. 6. Zwykle jej nie ma dlatego potrzebna jest um powierzenia, chyba że odbiorca/zleceniobiorca wykonuje zawód regulowany (art. 4 pkt 7 zd. 2). W przypadku taxi zakres danych jest tak niewielki, że każdy ma podstawę prawną do jego przetwarzania (PUI), dlatego można je przekazać bez um powierzenie, czyli udostępnić. Przy założeniu że w konkretnym kontekście imię i nazwisko stanowi dane osobowe, bo zwykle ten zestaw nikogo nie identyfikuje, ale jeśli identyfikuje to stanowi identyfikator publiczny. Ponadto w przypadku pracownika taki zakres jak imię nazwisko nr tel służbowego może być udostępniony na podstawie um o pracę, czyli um, której stroną jest osoba której dane dotyczą (6.1(b)). To że taxi samodzielnie określa kategorie danych, które gromadzi, nie świadczy o roli legalnego administratora, EROD nie wyjaśnia jaką taxi ma podstawę prawną, żeby gromadzić dane z innych źródeł niż od osoby, której dane dotyczą.

Przetwarzanie nie jest głównym lub podstawowym przedmiotem usługi a jednak proc (Uwaga 83)

83. Europejska Rada Ochrony Danych zauważa, że dostawca usług może nadal działać jako podmiot przetwarzający, nawet jeśli przetwarzanie danych osobowych nie jest głównym lub podstawowym przedmiotem usługi, pod warunkiem że klient usługi nadal w praktyce określa cele i sposoby przetwarzania. Przy podejmowaniu decyzji o ewentualnym powierzeniu przetwarzania danych osobowych określonemu dostawcy usług administratorzy powinni dokładnie ocenić, czy dany dostawca usług umożliwia im sprawowanie wystarczającego stopnia kontroli, biorąc pod uwagę charakter, zakres, kontekst i cele przetwarzania, a także potencjalne zagrożenia dla osób, których dane dotyczą. (s. 30)

Przykład 25: call center – proc

Przedsiębiorstwo X zleca obsługę klienta Przedsiębiorstwu Y, które udostępnia call center, aby odpowiadać na pytania klientów Przedsiębiorstwa X. Aby świadczyć usługę wsparcia klienta, Przedsiębiorstwo Y musi mieć dostęp do baz danych klienta Przedsiębiorstwa X. Przedsiębiorstwo Y może uzyskać dostęp do danych wyłącznie w celu zapewnienia wsparcia, które zamówiło Przedsiębiorstwo X, i nie może przetwarzać danych w celach innych niż określone przez Przedsiębiorstwo X. Przedsiębiorstwo Y należy postrzegać jako podmiot przetwarzający dane osobowe, a pomiędzy Przedsiębiorstwem X i Y musi zostać zawarta umowa dotycząca przetwarzania danych.

Komentarz:

Call center jest proc tak jak każdy zleceniobiorca, który nie ma własnej podstawy legalizacyjnej do przetwarzania danych. Tutaj w przeciwieństwie do taxi zakres danych obejmuje prawdopodobnie więcej niż imię i nazwisko dlatego potrzebna jest um powierzenia. Było by inaczej gdyby call center wykonywał działalność regulowaną.

Przykład 26: ogólne wsparcie IT – proc

Przedsiębiorstwo Z zatrudnia dostawcę usług informatycznych, aby zapewnić ogólne wsparcie dla swoich systemów informatycznych, które zawierają ogromną ilość danych osobowych. Dostęp do danych osobowych nie jest głównym przedmiotem usługi wsparcia, ale jest nieuniknione, że dostawca usług IT ma systematyczny dostęp do danych osobowych podczas świadczenia usługi. Przedsiębiorstwo Z stwierdza zatem, że dostawcę usług IT – będącego odrębnym przedsiębiorstwem i nieuchronnie zobowiązanego do przetwarzania danych osobowych, nawet jeśli nie jest to głównym celem usługi – należy uznać za podmiot przetwarzający. W związku z tym z dostawcą usług IT zawarta zostaje umowa dotycząca przetwarzania danych.

Przykład 27: konsultant IT usuwający błąd w oprogramowaniu – upoważnienie

Przedsiębiorstwo ABC zatrudnia informatyka z innego przedsiębiorstwa w celu usunięcia błędu w oprogramowaniu, które jest wykorzystywane przez to przedsiębiorstwo. Konsultant IT nie jest zatrudniony do przetwarzania danych osobowych, a Przedsiębiorstwo ABC stwierdza, że jakikolwiek dostęp do danych osobowych będzie czysto incydentalny, a więc w praktyce bardzo ograniczony. ABC stwierdza zatem, że specjalista IT nie jest podmiotem przetwarzającym (ani samodzielnym administratorem) i że przedsiębiorstwo ABC podejmie odpowiednie środki zgodnie z art. 32 RODO w celu uniemożliwienia konsultantowi IT przetwarzania danych osobowych w sposób nieuprawniony.

Określenie sposobu przez jego zatwierdzenie (Uwaga 84)

84. Jak stwierdzono powyżej, nic nie stoi na przeszkodzie, aby podmiot przetwarzający oferował wstępnie określoną usługę, ale administrator musi podjąć ostateczną decyzję o aktywnym zatwierdzeniu sposobu przetwarzania, przynajmniej w zakresie dotyczącym istotnych sposobów przetwarzania. Podmiot przetwarzający dysponuje marginesem swobody w odniesieniu do sposobów przetwarzaniach innych niż istotne, zob. pkt 2.1.4. powyżej. (s. 31)

Przykład 28: dostawca usług w chmurze – proc

Gmina postanowiła skorzystać z usług dostawcy usług w chmurze w celu przetwarzania informacji w swoich szkołach i placówkach oświatowych. Usługa w chmurze zapewnia usługi przesyłania wiadomości, wideokonferencje, przechowywanie dokumentów, zarządzanie kalendarzem, przetwarzanie tekstów itd. i będzie obejmować przetwarzanie danych osobowych uczniów i nauczycieli. Dostawca usług w chmurze oferuje standardową usługę oferowaną na całym świecie. Gmina musi jednak upewnić się, że obowiązująca umowa jest zgodna z art. 28 ust. 3 RODO, aby dane osobowe, których jest administratorem, były przetwarzane wyłącznie do celów gminy. Musi również upewnić się, że dostawca usług w chmurze przestrzega szczegółowych instrukcji dotyczących okresów przechowywania, usuwania danych itd., niezależnie od tego, co zazwyczaj oferuje standardowa usługa.

Przykład 29: Usługi sprzątania – strona trzecia

Przedsiębiorstwo A zawiera umowę z przedsiębiorstwem świadczącym usługi sprzątania, aby sprzątało ich biura. Osoby sprzątające nie powinny mieć dostępu do danych osobowych ani w inny sposób przetwarzać tych danych. Nawet jeśli mogą oni sporadycznie natknąć się na takie dane podczas poruszania się po biurze, mogą wykonywać swoje zadania bez dostępu do danych i mają umowny zakaz dostępu do danych osobowych lub przetwarzania w inny sposób danych osobowych, które Przedsiębiorstwo A przechowuje jako administrator. Osoby sprzątające nie są zatrudnione przez Przedsiębiorstwo A ani nie są postrzegane jako podlegające bezpośrednio temu przedsiębiorstwu. Przedsiębiorstwo nie ma zamiaru angażować przedsiębiorstwa świadczącego usługi sprzątania ani jego pracowników w przetwarzanie danych osobowych w imieniu Przedsiębiorstwa A. Przedsiębiorstwo świadczące usługi sprzątania i jego pracownicy powinni być zatem postrzegani jako strona trzecia, a administrator musi upewnić się, że istnieją odpowiednie środki bezpieczeństwa uniemożliwiające im dostęp do danych i wprowadzić obowiązek zachowania poufności w przypadku przypadkowego ujawnienia danych osobowych.

Przykład 30: grupy przedsiębiorstw – spółka dominująca i jednostki zależne

Przedsiębiorstwa X i Y wchodzą w skład grupy Z. Przedsiębiorstwa X i Y przetwarzają dane dotyczące ich pracowników do celów zarządzania pracownikami. W pewnym momencie spółka dominująca ZZ decyduje się zażądać danych dotyczących pracowników od wszystkich jednostek zależnych w celu opracowania statystyk obejmujących całą grupę. Podczas przekazywania danych z przedsiębiorstw X i Y do ZZ, to ostatnie należy traktować jako stronę trzecią, niezależnie od faktu, że wszystkie przedsiębiorstwa są częścią tej samej grupy. Przedsiębiorstwo ZZ będzie administratorem danych przetwarzanych do celów statystycznych.

Przykład 31: ujawnianie danych między przedsiębiorstwami – odbiorcy

Biuro podróży ExploreMore organizuje podróże na życzenie swoich klientów indywidualnych. W ramach tej usługi przesyłają dane osobowe klientów liniom lotniczym, hotelom i organizatorom wycieczek, aby te mogły realizować swoje usługi. ExploreMore, hotele, linie lotnicze i organizatorzy wycieczek są postrzegani jako administratorzy przetwarzania, którego dokonują w ramach swoich odpowiednich usług. Nie istnieje relacja między administratorem a podmiotem przetwarzającym. Linie lotnicze, hotele i organizatorzy wycieczek powinni być jednak postrzegani jako odbiorcy w momencie otrzymywania danych osobowych od ExploreMore.

Obowiązki, które tylko potwierdza um powierzenia

W tym względzie EROD uważa, że art. 28 ust. 3 RODO, choć określa treść niezbędnej umowy między administratorem a podmiotem przetwarzającym, nakłada na podmioty przetwarzające bezpośrednie obowiązki, w tym obowiązek wspomagania administratora w zapewnianiu zgodności. (s. 34)

Wymiana dokumentacji

95. Gwarancje „zapewniane” przez podmiot przetwarzający to te, które podmiot przetwarzający jest w stanie wykazać w sposób zadowalający administratora, ponieważ są to jedyne gwarancje, które administrator może skutecznie uwzględnić przy ocenie wypełniania swoich obowiązków.

Często będzie to wymagało wymiany odpowiedniej dokumentacji (np. polityki prywatności, warunków świadczenia usług, rejestru czynności przetwarzania, polityki zarządzania dokumentacją, polityki bezpieczeństwa informacji, sprawozdań z zewnętrznych audytów ochrony danych, uznanych międzynarodowych certyfikatów, takich jak normy ISO 27000). (s. 35)

Główna różnica: znaczenie braku odpowiedzi

157. W związku z tym główna różnica między szczegółową a ogólną zgodą polega na znaczeniu braku odpowiedzi administratora: w przypadku ogólnej zgody brak sprzeciwu administratora w określonym terminie można interpretować jako udzielenie zgody. (s. 48)

Zgłoszenie naruszenia przez subproc do proc lub ado

Na przykład, jeżeli chodzi o pomoc w wypełnianiu obowiązków związanych z naruszeniem ochrony danych, podwykonawca przetwarzania może zgłosić naruszenie ochrony danych bezpośrednio administratorowi, jeżeli wszystkie trzy podmioty wyrażą na to zgodę. W przypadku takiego bezpośredniego zgłoszenia należy powiadomić podmiot przetwarzający i przesłać mu kopię zgłoszenia. (s. 49)

Wnioski

Jaki z tego wniosek? Dla przetwarzania trzeba mieć podstawę prawną. Jeśli przedsiębiorca A zbiera dane od osoby, której dane dotyczą, to przetwarzanie objęte jest jej wolą, czy to ma postać zgody (6.1.a) czy umowy (6.1.b) – jako zleceniobiorca dla osoby. Jeśli przedsiębiorca B ma otrzymać i przetwarzać dane tej osoby od przedsiębiorcy A, jako zleceniobiorca dla przedsiębiorcy A, też musi mieć podstawę. Zwykle nie będzie miał PUI dlatego musi korzystać z podstawy przedsiębiorcy A połączonej z um powierzenia. Jeśli jednak usługa co do której przyjmuje zlecenie, jest określona w prawie (art. 4 pkt 7 zd. 2 rodo), to będzie miał PUI lub obowiązek dla którego spełnienia przetwarzanie jest niezbędne, stąd ma własną podstawę i nie potrzebuje um powierzenia, mimo że jak każdy zleceniobiorca realizuje cel niepieniężny zleceniodawcy, przedsiębiorcy A.

Zagadnienie to jest dość kontrowersyjne, z jednej strony definicja jest lakoniczna i niewiele znaczy bez powiązania z art. 6 rodo, z drugiej wytyczne są obciążone licznymi zwrotami typu „zwykle” „raczej” itd., z trzeciej w różnych państwach co do tego samego stanu faktycznego są różne oceny organów nadzorczych. Stąd „ado czy proc” to taka niekończąca się opowieść. Moim zdaniem najważniejsza jest kwestia podstawy prawnej, trzeba patrzeć czy odbiorca/zleceniobiorca ma własną podstawę dla przetwarzania przy realizacji celu zleceniodawcy. Całkowicie zawodne jest kryterium „stopnia swobody” bo nigdy nie wiadomo jaki stopień uzasadnia rolę ado.

Odrębnie bardziej kompleksowo i obszernie temat przypisywania roli omawiam tutaj.