Wytyczne francuskiego regulatora co do zmiany statusu procesora na administratora

CNIL opublikował wytyczne odpowiadające na pytanie czy przedsiębiorca przetwarzający dane w charakterze procesora, a więc w celu zdeterminowanym (ustalonym) przez innego przedsiębiorcę, zaspokajając jego potrzebę, może wykorzystać te dane do własnych celów, jako odrębny administrator. Odpowiedź według francuskiego regulatora brzmi: TAK, jednak pod pewnymi warunkami:

1. Aktualny administrator przeprowadzi test zgodności celów

2. Jeśli z testu wyjdzie mu, że cel nowego administratora (aktualnego/byłego procesora) jest zgodny, to udzieli mu upoważnienia (zgody na rolę administratora). Po przyjęciu upoważnienia procesor zaczyna przetwarzać dane, jako odrębny administrator.

3. Pierwotny administrator ma spełnić wobec podmiotów danych obowiązek informacyjny, samodzielnie, albo zlecić to nowemu ado (byłemu procesorowi)

Stanowisko regulatora jest jak najbardziej trafne, jednak wydaje się, że z innych powodów i na innych warunkach niż podane.

Wygląda na to, że CNIL nie dostrzega, że art. 28 nie jest przepisem szczególnym wobec art. 4 pkt 7 w zw. z art. 6 rodo. Z tego powodu próbuje znaleźć rozwiązanie problemu nieistniejącego. Gdyby art. 28, a zwłaszcza ust. 3 lit. a oraz g rodo, były przepisami szczególnymi to wyłączałyby przepis, który przyznaje podmiotowi rolę administratora o ile legitymuje się jedną z przesłanek (podstaw prawnych). Taki podmiot mógłby być tylko procesorem i po zakończeniu swojej funkcji musiałby zwrócić lub usunąć dane. Tymczasem przepisy te regulują inną problematykę, nie może więc między nimi dojść do relacji przepis ogólny/przepis szczególny, taka relacja może mieć miejsce jeśli zakresy zastosowania norm pozostają w stosunku zawierania bądź krzyżowania, czyli hipoteza normy szczególnej wykazuje pewne cechy charakterystyczne bądź odmienności, ze względu na które dyspozycja musi być inna. Art. 28 rodo nie wyłącza możliwości zaistnienia podwójnej roli, dotychczasowy procesor nie potrzebuje żadnej zgody od aktualnego ado, ponieważ kompetencje wywodzi z samego rodo – jeśli ma cel, dla którego znajduje legalną podstawę, to jest administratorem. Gdyby nie miał danych w swoim władaniu, to mógłby żądać ich udostępnienia od innego ado, ale w tym wypadku udostępnienie jest bezprzedmiotowe.

Ta zbędna próba znalezienia rozwiązania na nieistniejący problem, pociąga za sobą kolejne błędy. Test zgodności celów, o którym mowa w art. 6 ust. 4 rodo, nie jest adekwatnym instrumentem nawet gdyby przyjąć, że aktualny ado udostępni dane, które wcześniej powierzał procesorowi. Ponieważ powierzał je dla własnego celu, a cel zgodny to cel stanowiący kontynuację pierwotnego, cel innego podmiotu z natury rzeczy nie jest zgodny, nie ma między nimi tożsamości, której konsekwencją byłaby zgodność (kontynuacja). Cel innego ado może nie być niezgodny, ale to nie to samo co zgodny. Zgodność celów może wystąpić u jednego administratora, ewentualnie u współadministratorów. Ponadto test zgodności celów przeprowadza się jeśli podstawa prawna celu zgodnego ma być tożsama z podstawą pierwotnego, co w opisywanej sytuacji zwykle nie zajdzie, bo dawny ado zwykle powierza przetwarzanie, którego podstawą legalizacyjną jest umowa z podmiotem danych. To nowy ado (dawny procesor) będzie musiał zwykle przeprowadzić test równowagi bo najczęściej będzie opierał się na prawnie uzasadnionym interesie. Test równowagi ma właściwie tożsame kryteria co test zgodności celów, jednak dodatkowo wymaga ważenia interesów ado i podmiotu danych.

Co do upoważnienia, rodo nie zna takiej instytucji prawnej występującej między dwoma przedsiębiorcami, realizującymi odmienne (własne) cele. Upoważnić trzeba pracownika, swego rodzaju czynnością prawną upoważniającą jest też umowa powierzenia, ale właśnie istotą czynności prawnej upoważniającej (klasycznym przykładem jest pełnomocnictwo), jest stworzenie warunków działania upoważnionego w imieniu, w interesie (dla celu) upoważniającego. Tymczasem nowy ado ma działać przecież we własnym celu. To oświadczenie woli nazwane tutaj upoważnieniem, ma być faktycznie swego rodzaju decyzją (aktem władczym) i to opartą na kaprysie, ponieważ jak mówi regulator, jeśli planowane przetwarzanie (operacja) przejdzie test zgodności to aktualny ado może, ale nie musi „upoważnić” nowego.

Oczywiście wobec podmiotu danych trzeba spełnić obowiązek informacyjny i powinien to zrobić nowy ado, ponieważ w momencie w którym ustalił własny legalny cel, dawny ado nie odpowiada za jego przetwarzanie, i wszelkie obowiązki wynikające z rodo obciążają nowego.

Stanowisko organu jest ważne. Z jednej strony potwierdza to co jest niezbędne do funkcjonowania przedsiębiorcy spełniającego świadczenie niepieniężne (procesora), który przede wszystkim, obok innych możliwych własnych celów, ma własny legalny cel i jednocześnie uprawnienie przechowywania dowodów (które zwykle zawierają dane osobowe z powierzonego uprzednio przetwarzania) na zgodne z prawem spełnienie świadczenia niepieniężnego. Z drugiej strony stawia nieuzasadnione warunki, moim zdaniem wynikające z błędu w wykładni systemowej. Niewątpliwie każdy przedsiębiorca ma uprawnienie do przechowywania dowodów zawierających dane osobowe na gruncie prawa procesowego, niezależnie od tego w jakiej roli działał na gruncie prawa ochrony danych osobowych. Takie przechowywanie (przetwarzanie) nie narusza też zasady ograniczonego przechowywania, ponieważ uzasadnione jest aktualnym zagrożeniem, które trwa przez okres przedawnienia roszczeń.

Zasadność powyższych uwag dodatkowo wzmacnia regulacja art. 5c ust. 1 pkt 2 lit. c ustawy o radcach prawnych:

Art. 5c. [Okres przechowywania danych osobowych]
1. Okres przechowywania danych osobowych wynosi:
(…)
2) 10 lat od końca roku, w którym zakończyło się postępowanie, w którym dane osobowe zostały zgromadzone – w przypadku danych osobowych przetwarzanych:
(…)
c) przez radców prawnych w ramach wykonywania zawodu;

W uzasadnieniu do ustawy wdrażającej rodo czytamy:

Proponowany okres 10 lat od zakończenia postępowania, w którym dane osobowe zostały zgromadzone – w przypadku opisanych w art. 16c ust. 1 pkt 2 ustawy – Prawo o adwokaturze i art. 5c ust. 1 pkt 2 ustawy o radcach prawnych wynika w zakresie danych adwokatów i radców prawnych oraz absolwentów odpowiedniej aplikacji z regulacji ustawowych dotyczących możliwości ponownego wpisu bez egzaminu na listę adwokatów lub radców prawnych osób skreślonych z listy oraz uprawnienia do wpisu w terminie 10 lat od zdania egzaminu, a w przypadku danych osobowych przetwarzanych przez adwokatów i radców prawnych w ramach wykonywania zawodu – z możliwości zgłoszenia roszczeń cywilnoprawnych przez klienta lub osobę trzecią.

Radca prawny ma status administratora, ponieważ zgodnie z art. 4 pkt 7 zd. 2 rodo cele i sposoby jego przetwarzania zostały określone w prawie państwa członkowskiego, chociaż gdyby nie ustawa o radcach prawnych, to należałoby niewątpliwie uznać go za procesora, ponieważ przyjmując zlecenie realizuje cel klienta i zlecenie jest przyczyną przetwarzania, a więc cel klienta determinuje przetwarzanie.

Fakt że radca prawny jest zawodem regulowanym powoduje, że ma status administratora, ale dodatkowo wprost ustawą wdrażającą ustawodawca określił okres przechowywania danych i jest to 10 lat, ze względu na, jak czytamy w uzasadnieniu, „możliwość zgłoszenia roszczeń cywilnoprawnych przez klienta lub osobę trzecią”. Musiało tu chodzić ustawodawcy o roszczenia również deliktowe, bo kontraktowe przedawniają się w krótszych terminach.

Powstaje więc pytanie czy inny przedsiębiorca, niebędący przedstawicielem zawodu regulowanego, ale tak jak radca prawny realizujący cel swojego klienta, ma być a contrario pozbawiony możliwości przechowywania dowodów wykonania umowy zawierających dane osobowe zarówno klienta jak i innych osób zaangażowanych w sprawę, które zostały mu powierzone. Czy może per analogiam ma takie same uprawnienia?

O tym czy w konkretnym przypadku zastosować wnioskowanie a contratio czy per analogiam decyduje wykładnia funkcjonalna, trzeba odpowiedzieć na pytania czy ustawodawca miał powody żeby wyróżnić konkretną kategorię podmiotów, czy jego zabieg stanowi jedynie podkreślenie uprawnień, które przysługują im na podstawie konkurencyjnie zbiegających się przepisów obejmujących szerszą grupę podmiotów.

Niewątpliwie regulacja art. 5c ust. 1 pkt 2 lit. c ustawy o radcach prawnych stanowi superfluum, ponieważ normę taką można wyprowadzić z art. 4 pkt 7 zd. 2 rodo w zw. z art. art. 442(1) k.c. w zw. z art.  443 k.c. w zw. z art. 3 k.p.c. – i dotyczy ona każdego przedsiębiorcy, który realizował cel klienta, obojętne czy w ramach wykonywania zawodu zaufaniu publicznego czy nie, na pewno celem ustawodawcy nie było stworzenie stanu prawnego, według którego tylko zawody regulowane mogą bronić się przed roszczeniami cywilnoprawnymi w postępowaniu sądowym, a inni zleceniobiorcy mają niszczyć albo zwracać dowody na spełnienie swojego świadczenia, stanowiącego treść zobowiązania, dlatego że dowody te zwierają dane osobowe. Różnica racjonalna dla zawodu zaufania publicznego (zawodu regulowanego) polega na tym, że mając status administratora nie musi być audytowany przed przekazaniem danych w formie udostępnienia przez zleceniodawcę (aktualnego ado), ponieważ ten nie odpowiada za innego administratora i jego przetwarzanie. Natomiast nie ma różnicy co do uprawnienia do przechowywania danych (dowodów) na potrzeby ewentualnego procesu. Zleceniobiorca obojętne czy mający status administratora czy procesora, ma potrzebę przechowywania dowodów (obowiązek wspierania procesu, wdania się w spór) i uprawnienie wynikające z prawa cywilnego materialnego i formalnego – i to w przeciwieństwie do wykonania umowy, która realizuje cel zleceniodawcy, rzeczywiście jest wyłączny cel zleceniobiorcy, dla którego ma status ado choćby początkowo miał status procesora. Nie jest też uprawnione twierdzenie, że pozwany nie potrzebuje dowodów, bo ciężar dowodowy spoczywa na powodzie – na ostateczną ocenę sądu wpływają twierdzenia i dowody przedstawione przez obie strony, a powód zwykle przedstawia część stanu faktycznego, który popiera jego twierdzenie, pozwany może ten obraz zmienić, o ile zachował dowody popierające jego twierdzenia, a nie oddał ich albo zniszczył, dlatego że był procesorem i nie ustalił swojego statusu administratora dla operacji przechowywania danych (dowodów zawierających dane osobowe).