Wytyczne francuskiego regulatora co do zmiany statusu procesora na administratora

CNIL opublikował wytyczne odpowiadające na pytanie czy przedsiębiorca przetwarzający dane w charakterze procesora, a więc w celu zdeterminowanym (ustalonym) przez innego przedsiębiorcę, zaspokajając jego potrzebę, może wykorzystać te dane do własnych celów, jako odrębny administrator. Odpowiedź według francuskiego regulatora brzmi: TAK, jednak pod pewnymi warunkami:

Warunki wg CNIL

1. Aktualny administrator przeprowadzi test zgodności celów

2. Jeśli z testu wyjdzie mu, że cel nowego administratora (aktualnego/byłego procesora) jest zgodny, to udzieli mu upoważnienia (zgody na rolę administratora). Po przyjęciu upoważnienia procesor zaczyna przetwarzać dane, jako odrębny administrator.

3. Pierwotny administrator ma spełnić wobec podmiotów danych obowiązek informacyjny, samodzielnie, albo zlecić to nowemu ado (byłemu procesorowi)

Stanowisko regulatora jest jak najbardziej trafne, jednak wydaje się, że z innych powodów i na innych warunkach niż podane.

Art. 28 dotyczy procesora

Wygląda na to, że CNIL nie dostrzega, że art. 28 nie jest przepisem szczególnym wobec art. 4 pkt 7 w zw. z art. 6 rodo. Z tego powodu próbuje znaleźć rozwiązanie problemu nieistniejącego. Gdyby art. 28, a zwłaszcza ust. 3 lit. a oraz g rodo, były przepisami szczególnymi to wyłączałyby przepis, który przyznaje podmiotowi rolę administratora o ile legitymuje się jedną z przesłanek (podstaw prawnych). Taki podmiot mógłby być tylko procesorem i po zakończeniu swojej funkcji musiałby zwrócić lub usunąć dane. Tymczasem przepisy te regulują inną problematykę, nie może więc między nimi dojść do relacji przepis ogólny/przepis szczególny, taka relacja może mieć miejsce jeśli zakresy zastosowania norm pozostają w stosunku zawierania bądź krzyżowania, czyli hipoteza normy szczególnej wykazuje pewne cechy charakterystyczne bądź odmienności, ze względu na które dyspozycja musi być inna. Art. 28 rodo nie wyłącza możliwości zaistnienia podwójnej roli, dotychczasowy procesor nie potrzebuje żadnej zgody od aktualnego ado, ponieważ kompetencje wywodzi z samego rodo – jeśli ma cel, dla którego znajduje legalną podstawę, to jest administratorem. Czyli może potrzebować zgody ale od osoby, której dane dotyczą, jeśli nie ma z nią umowy albo prawnie uzasadnionego interesu do wykorzystania jej danych, czy jakiejkolwiek innej podstawy legalizacyjnej. Gdyby nie miał danych w swoim władaniu, to mógłby żądać ich udostępnienia od innego ado, ale w tym wypadku udostępnienie jest bezprzedmiotowe.

Test równowagi a nie zgodności celów

Ta zbędna próba znalezienia rozwiązania na nieistniejący problem, pociąga za sobą kolejne błędy. Test zgodności celów, o którym mowa w art. 6 ust. 4 rodo, nie jest adekwatnym instrumentem nawet gdyby przyjąć, że aktualny ado udostępni dane, które wcześniej powierzał procesorowi. Ponieważ powierzał je dla własnego celu, a cel zgodny to cel stanowiący kontynuację pierwotnego, cel innego podmiotu z natury rzeczy nie jest zgodny, nie ma między nimi tożsamości, której konsekwencją byłaby zgodność (kontynuacja). Cel innego ado może nie być niezgodny, ale to nie to samo co zgodny. Zgodność celów może wystąpić u jednego administratora, ewentualnie u współadministratorów. Ponadto test zgodności celów przeprowadza się jeśli podstawa prawna celu zgodnego ma być tożsama z podstawą pierwotnego, co w opisywanej sytuacji zwykle nie zajdzie, bo dawny ado zwykle powierza przetwarzanie, którego podstawą legalizacyjną jest umowa z podmiotem danych. To nowy ado (dawny procesor) będzie musiał zwykle przeprowadzić test równowagi bo najczęściej będzie opierał się na prawnie uzasadnionym interesie. Test równowagi ma właściwie tożsame kryteria co test zgodności celów, jednak dodatkowo wymaga ważenia interesów ado i podmiotu danych.

Upoważnienie tylko co do tego samego celu

Co do upoważnienia, rodo nie zna takiej instytucji prawnej występującej między dwoma przedsiębiorcami, realizującymi odmienne (własne) cele. Upoważnić trzeba pracownika, swego rodzaju czynnością prawną upoważniającą jest też umowa powierzenia, ale właśnie istotą czynności prawnej upoważniającej (klasycznym przykładem jest pełnomocnictwo), jest stworzenie warunków działania upoważnionego w imieniu, w interesie (dla celu) upoważniającego. Tymczasem nowy ado ma działać przecież we własnym celu. To oświadczenie woli nazwane tutaj upoważnieniem, ma być faktycznie swego rodzaju decyzją (aktem władczym) i to opartą na kaprysie, ponieważ jak mówi regulator, jeśli planowane przetwarzanie (operacja) przejdzie test zgodności to aktualny ado może, ale nie musi „upoważnić” nowego.

Obowiązek informacyjny

Oczywiście wobec podmiotu danych trzeba spełnić obowiązek informacyjny i powinien to zrobić nowy ado, ponieważ w momencie w którym ustalił własny legalny cel, dawny ado nie odpowiada za jego przetwarzanie, i wszelkie obowiązki wynikające z rodo obciążają nowego.

Błąd w wykładni

Stanowisko organu jest ważne. Z jednej strony potwierdza to co jest niezbędne do funkcjonowania przedsiębiorcy spełniającego świadczenie niepieniężne (procesora), który przede wszystkim, obok innych możliwych własnych celów, ma własny legalny cel i jednocześnie uprawnienie przechowywania dowodów (które zwykle zawierają dane osobowe z powierzonego uprzednio przetwarzania) na zgodne z prawem spełnienie świadczenia niepieniężnego. Z drugiej strony stawia nieuzasadnione warunki, moim zdaniem wynikające z błędu w wykładni systemowej. Niewątpliwie każdy przedsiębiorca ma uprawnienie do przechowywania dowodów zawierających dane osobowe na gruncie prawa procesowego, niezależnie od tego w jakiej roli działał na gruncie prawa ochrony danych osobowych. Takie przechowywanie (przetwarzanie) nie narusza też zasady ograniczonego przechowywania, ponieważ uzasadnione jest aktualnym zagrożeniem, które trwa przez okres przedawnienia roszczeń.

Zasadność powyższych uwag dodatkowo wzmacnia regulacja art. 5c ust. 1 pkt 2 lit. c ustawy o radcach prawnych:

Art. 5c. [Okres przechowywania danych osobowych]
1. Okres przechowywania danych osobowych wynosi:
(…)
2) 10 lat od końca roku, w którym zakończyło się postępowanie, w którym dane osobowe zostały zgromadzone – w przypadku danych osobowych przetwarzanych:
(…)
c) przez radców prawnych w ramach wykonywania zawodu;

W uzasadnieniu do ustawy wdrażającej rodo czytamy:

Proponowany okres 10 lat od zakończenia postępowania, w którym dane osobowe zostały zgromadzone – w przypadku opisanych w art. 16c ust. 1 pkt 2 ustawy – Prawo o adwokaturze i art. 5c ust. 1 pkt 2 ustawy o radcach prawnych wynika w zakresie danych adwokatów i radców prawnych oraz absolwentów odpowiedniej aplikacji z regulacji ustawowych dotyczących możliwości ponownego wpisu bez egzaminu na listę adwokatów lub radców prawnych osób skreślonych z listy oraz uprawnienia do wpisu w terminie 10 lat od zdania egzaminu, a w przypadku danych osobowych przetwarzanych przez adwokatów i radców prawnych w ramach wykonywania zawodu – z możliwości zgłoszenia roszczeń cywilnoprawnych przez klienta lub osobę trzecią.

Radca prawny ma status administratora, ponieważ zgodnie z art. 4 pkt 7 zd. 2 rodo cele i sposoby jego przetwarzania zostały określone w prawie państwa członkowskiego, chociaż gdyby nie ustawa o radcach prawnych, to należałoby niewątpliwie uznać go za procesora, ponieważ przyjmując zlecenie realizuje cel klienta i zlecenie jest przyczyną przetwarzania, a więc cel klienta determinuje przetwarzanie.

Fakt że radca prawny jest zawodem regulowanym powoduje, że ma status administratora, ale dodatkowo wprost ustawą wdrażającą ustawodawca określił okres przechowywania danych i jest to 10 lat, ze względu na, jak czytamy w uzasadnieniu, „możliwość zgłoszenia roszczeń cywilnoprawnych przez klienta lub osobę trzecią”. Musiało tu chodzić ustawodawcy o roszczenia również deliktowe, bo kontraktowe przedawniają się w krótszych terminach, ponadto osoba trzecia nie jest stroną kontraktu.

Powstaje więc pytanie czy inny przedsiębiorca, niebędący przedstawicielem zawodu regulowanego, ale tak jak radca prawny realizujący cel swojego klienta, ma być a contrario pozbawiony możliwości przechowywania dowodów wykonania umowy zawierających dane osobowe zarówno klienta jak i innych osób zaangażowanych w sprawę, które zostały mu powierzone. Czy może per analogiam ma takie same uprawnienia?

A contrario czy per analogiam

O tym czy w konkretnym przypadku zastosować wnioskowanie a contratio czy per analogiam decyduje wykładnia funkcjonalna, trzeba odpowiedzieć na pytania czy ustawodawca miał powody żeby wyróżnić konkretną kategorię podmiotów, czy jego zabieg stanowi jedynie podkreślenie uprawnień, które przysługują im na podstawie konkurencyjnie zbiegających się przepisów obejmujących szerszą grupę podmiotów.

Niewątpliwie regulacja art. 5c ust. 1 pkt 2 lit. c ustawy o radcach prawnych stanowi superfluum, ponieważ normę taką można wyprowadzić z art. 4 pkt 7 zd. 2 rodo w zw. z art. art. 442(1) k.c. w zw. z art.  443 k.c. w zw. z art. 3 k.p.c. – i dotyczy ona każdego przedsiębiorcy, który realizował cel klienta, obojętne czy w ramach wykonywania zawodu zaufaniu publicznego czy nie, na pewno celem ustawodawcy nie było stworzenie stanu prawnego, według którego tylko zawody regulowane mogą bronić się przed roszczeniami cywilnoprawnymi w postępowaniu sądowym, a inni zleceniobiorcy mają niszczyć albo zwracać dowody na spełnienie swojego świadczenia, stanowiącego treść zobowiązania, dlatego że dowody te zwierają dane osobowe. Różnica racjonalna dla zawodu zaufania publicznego (zawodu regulowanego) polega na tym, że mając status administratora nie musi być audytowany przed przekazaniem danych w formie udostępnienia przez zleceniodawcę (aktualnego ado), ponieważ ten nie odpowiada za wybór wiarygodnego administratora, tylko za ocenę czy odbiorca ma status administratora. Natomiast nie ma różnicy co do uprawnienia do przechowywania danych (dowodów) na potrzeby ewentualnego procesu. Zleceniobiorca obojętne czy mający status administratora czy procesora, ma potrzebę przechowywania dowodów (obowiązek wspierania procesu, wdania się w spór) i uprawnienie wynikające z prawa cywilnego materialnego i formalnego – i to w przeciwieństwie do wykonania umowy, która realizuje cel zleceniodawcy, rzeczywiście jest wyłączny cel zleceniobiorcy, dla którego ma status ado choćby początkowo miał status procesora (status (rolę) ustala się co do procesu, który może się składać z jednej lub większej ilości operacji i jest wyznaczany głównie przez cel). Nie jest też uprawnione twierdzenie, że pozwany nie potrzebuje dowodów, bo ciężar dowodowy spoczywa na powodzie – na ostateczną ocenę sądu wpływają twierdzenia i dowody przedstawione przez obie strony, a powód zwykle przedstawia część stanu faktycznego, który popiera jego twierdzenie, pozwany może ten obraz zmienić, o ile zachował dowody popierające jego twierdzenia, a nie oddał ich albo zniszczył, dlatego że był procesorem i nie ustalił swojego statusu administratora dla procesu (operacji) przechowywania danych (dowodów zawierających dane osobowe).

Własne obowiązki procesora

Dodatkowo należy zauważyć, że procesor ma własne obowiązki bezpośrednio nałożone przez rodo, co potwierdza art. 82 ust. 2 rodo:

Artykuł 82 Prawo do odszkodowania i odpowiedzialność

1. Każda osoba, która poniosła szkodę majątkową lub niemajątkową w wyniku naruszenia niniejszego rozporządzenia, ma prawo uzyskać od administratora lub podmiotu przetwarzającego odszkodowanie za poniesioną szkodę.

2. Każdy administrator uczestniczący w przetwarzaniu odpowiada za szkody spowodowane przetwarzaniem naruszającym niniejsze rozporządzenie. Podmiot przetwarzający odpowiada za szkody spowodowane przetwarzaniem wyłącznie, gdy nie dopełnił obowiązków, które niniejsze rozporządzenie nakłada bezpośrednio na podmioty przetwarzające, lub gdy działał poza zgodnymi z prawem instrukcjami administratora lub wbrew tym instrukcjom.

(…)

Bezpośrednio na procesora rodo nakłada również obowiązki wobec organu nadzorczego, uprawnieniu organu nadzorczego odpowiada obowiązek procesora:

Artykuł 58 Uprawnienia

1. Każdemu organowi nadzorczemu przysługują wszystkie następujące uprawnienia w zakresie prowadzonych postępowań:

a) nakazanie administratorowi i podmiotowi przetwarzającemu, a w stosownym przypadku przedstawicielowi administratora lub podmiotu przetwarzającego, dostarczenia wszelkich informacji potrzebnych organowi nadzorczemu do realizacji swoich zadań;

(…)

e) uzyskiwanie od administratora i podmiotu przetwarzającego dostępu do wszelkich danych osobowych i wszelkich informacji niezbędnych organowi nadzorczemu do realizacji swoich zadań;

(…)

Procesor ma też obowiązek ustalenia w drodze krótkiego dochodzenia, czy incydent który zauważył stanowi naruszenie odo, zgodnie z art. 33 ust. 2 rodo, a jeśli tak musi zgłosić naruszenie do administratora.

W tych przypadkach kiedy procesor przetwarza dane w celu realizacji własnego obowiązku, robi to w swoim imieniu, chociaż przetwarza dane, które ma pod kontrolą w imieniu administratora dla innego celu, wynikającego zwykle z umowy cywilnoprawnej (o świadczenie usług). Procesor analizując dane lub korespondując z osobą, która zgłasza nieprawidłowość co do przetwarzania w celu wyjaśnienia czy incydent jest naruszeniem odo, działa jako administrator, następnie przechowując korespondencję lub wynik analizy robi to we własnym interesie, dla obrony przed roszczeniami, które mogą być skierowane przeciwko niemu. Jeśli UODO wezwie go do przekazania wyjaśnień i dowodów dot. przetwarzania wykonywanego w imieniu administratora, spełnia własny obowiązek wynikający z rodo, wysyła więc dokumenty (kopię dokumentów i zawartych w nich danych) w swoim imieniu i dla swojego celu, a nie w imieniu i dla celu zleceniodawcy (administratora).

Procesor ustali też własny cel co do danych, które ma pod kontrolą w imieniu ado, na podstawie art. 304 par. 1 k.p.k. w zw. z art. 6 ust. 1 lit. d rodo, bowiem ujawnienie przestępstwa ściganego z urzędu, jest objęte żywotnym interesem każdej osoby fizycznej:

Art. 304. [Obowiązek zawiadomienia o popełnieniu przestępstwa]
§ 1. Każdy, dowiedziawszy się o popełnieniu przestępstwa ściganego z urzędu, ma społeczny obowiązek zawiadomić o tym prokuratora lub Policję. Przepisy art. 148a oraz art. 156a stosuje się odpowiednio.

Upoważnienie do takiego przetwarzania procesor otrzymał od prawodawcy europejskiego (art. 6 ust. 1 lit. d rodo) działającego wspólnie i w porozumieniu z ustawodawcami krajowymi (304 par. 1 k.p.k.), nie potrzebuje w związku z tym zwracać się o „upoważnienie” do aktualnego ado, który skądinąd nie ma kompetencji do wydawania takiego „upoważnienia”.

Podobną sytuację opisuje Przykład 23 Opinii 1/2010 w sprawie „administrator danych” i „przetwarzający” GR Art. 29, gdzie księgowy w roli procesora identyfikuje rolę ado dla celu i operacji udostępnienia danych do odpowiednich organów, po wykryciu nieuczciwych działań.

Procesor może mieć też obowiązki wynikające z innych aktów prawnych, np. z ustawy o przeciwdziałaniu praniu pieniędzy, uwzględnia taką sytuację art. 28 ust. 3 lit. a rodo. Z tego, że rodo wyraźnie mówi o przetwarzaniu poza poleceniem ado w wykonaniu obowiązku prawnego, nie wynika jednak, że wyłączona jest norma z art. 4 pkt 7 w zw. z art. 6 rodo, przyznająca każdemu podmiotowi, który ma własny legalny cel, rolę administratora.

Przykłady podwójnej roli

Przykładowo firma A (ado) zleca firmie B (proc) wykonanie usługi wymagającej przetwarzania danych jednoosobowego przedsiębiorcy C. Firma B widzi, że przedsiębiorca C świadczy usługi, z których chciałaby skorzystać, przetwarza (wykorzystuje) więc jego dane, które ma pod kontrolą w imieniu A, we własnym celu nawiązania kontaktu i przedstawienia propozycji współpracy (art. 4 pkt 7 w zw. z art. 6 ust. 1 lit. f rodo). Dalej może z C podpisać umowę (lit. b) albo uzyskać od niego zgodę (lit. a) na przetwarzanie dla swojego celu. Rola procesora nie zamyka jej drogi do równoległej legalnej roli administratora.

Kolejnym przykładem jest działanie agencji rekrutacyjnej, działającej bez wpisu do rejestru agencji zatrudnienia, o którym mowa w art. 18 d ustawy o promocji zatrudnienia (jeśli jest wpisana wykonuje działalność regulowaną i nie potrzebuje podstawy w um powierzenia). Agencja taka może rekrutować kandydatów w imieniu pracodawcy dla jego doraźnego celu (rola procesora), ale jednocześnie uzyskać od kandydatów podstawę prawną dla własnego celu. Po uzyskaniu od kandydatów zgody na przetwarzanie w celu innych (przyszłych lub równoległych) rekrutacji dla pracodawców np. z określonej branży, agencja będzie legalnie działała w roli ado i procesora co do tego samego zakresu danych, tej samej osoby. Ponadto jeśli agencja działa jako procesor i nie zbiera zgód od kandydatów dla własnego celu, ale jej usługa polega nie tylko na zebraniu i przekazaniu CV ale na wyborze właściwego kandydata, co wiąże się z odpowiedzialnością kontraktową za niewykonanie bądź nienależyte wykonanie zobowiązania, a także z odpowiedzialnością deliktową wobec osób, z którymi nie łączy jej uprzedni stosunek zobowiązaniowy (kandydatów), to agencja ma własny legalny cel i podstawę w art. 3 k.p.c. w zw. z art. 6 ust. 1 lit. f rodo, aby przechowywać dane przez czas zagrożenia roszczeniem (przedawnienie).

Może być też oczywiście sytuacja odwrotna. Przedsiębiorca najpierw był ado co do pewnego zakresu danych, a w pewnym momencie zaczął ten zakres przetwarzać w wyniku zawarcia um o świadczenie usług i w ślad za nią zawartej um powierzenia, dla celu zleceniodawcy, a nie ma dla cudzego celu własnej podstawy legalizacyjnej. W pierwszej chwili wydawałoby się, że w takim układzie instytucja powierzenia nie spełni swojej głównej funkcji jaką jest podniesienie bezpieczeństwa podmiotu danych, bo organizacja już ma pod kontrolą dane osoby, w roli ado. Jednak należy zauważyć, że jeśli organizacja nie miała wdrożonego rodo, mając dane jako ado, a następnie zamierza przyjąć zlecenie i wykorzystać dane w cudzym imieniu, co zostanie poprzedzone audytem, w tym kontrolą dokumentacji – to po stwierdzeniu braków, organizacja będzie musiała (tego powinien oczekiwać zleceniodawca, inaczej ponosi odpowiedzialność) uzupełnić te braki – przez co wzrośnie bezpieczeństwo podmiotu danych, które są wykorzystywane w obydwu rolach, administratora i procesora.

Co mówi ICO

Wystąpienie równoległych ról co do tego samego zakresu danych potwierdza również ICO:

In some cases, you could be a controller and a processor of the same personal data – but only if you are processing it for different purposes. You may be processing some personal data as a processor for the controller’s purposes and only on its instruction, but also process that same personal data for your own separate purposes.

If you are acting as both a controller and processor, you must ensure your systems and procedures distinguish between the personal data you are processing in your capacity as controller and what you process as a processor on another controller’s behalf. If some of the data is the same, your systems must be able to distinguish between these two capacities, and allow you to apply different processes and measures to each.

Jak widać wystąpienie podwójnej roli co do tych samych danych jest sytuacją, która łatwo może się wydarzyć. Można wręcz powiedzieć że jest to sytuacja typowa, tylko nieliczne usługi ze swej natury nie stwarzają usługodawcy potrzeby równoległego przetwarzania danych we własnym imieniu, np. procesor, który zajmuje się niszczeniem danych.

Tzw. dziki administrator

Procesor naruszy rodo jeśli ustali własny cel bez podstawy legalizacyjnej, w takim razie rodo każe uznać go za administratora (art. 28 ust. 10 rodo), konkretnie tzw. dzikiego administratora, który ponosi pełną odpowiedzialność jak administrator co do tego przetwarzania:

10. Bez uszczerbku dla art. 82, 83 i 84, jeżeli podmiot przetwarzający naruszy niniejsze rozporządzenie przy określaniu celów i sposobów przetwarzania, uznaje się go za administratora w odniesieniu do tego przetwarzania.

Żeby ustalenie własnego celu przez procesora było naruszeniem rodo niezależnie od istnienia legalnej podstawy prawnej, ust. 10 musiałby brzmieć:

10. Bez uszczerbku dla art. 82, 83 i 84, podmiot przetwarzający naruszy niniejsze rozporządzenie jeżeli określi cele i sposoby przetwarzania, w takim wypadku uznaje się go za administratora w odniesieniu do tego przetwarzania.

Wracając do przykładu wyżej. Tym razem B wysyła do C oprócz marketingu, na który podstawę miał A i dlatego powierzył proces, również marketing innych swoich klientów, którzy podstawy prawnej (ani zgody C, ani dóbr zgodnych z przedmiotem jego działalności, którymi mógłby być zainteresowany, ani o wysokim stopniu płynności jak wierzytelność możliwa do potrącenia) nie mają.

Usunięcie danych

W przypadku podwójnej roli, w specyficzny sposób należy rozumieć „usunięcie danych”. Usunięcie to, zgodnie z art. 28 ust. 3 lit. g rodo, polega na zaprzestaniu przetwarzania w imieniu, dla celu ado (powierzony proces zostanie usunięty z rejestru kategorii) i usunięciu danych z miejsc (systemów) w organizacji, które temu służą. Dane takie pozostaną w innych miejscach przeznaczonych dla własnych celów organizacji np. w archiwum. Za takie przetwarzanie poprzedni (czy równoległy) ado nie odpowiada ani też nie ma kompetencji, żeby się tym interesować („upoważniać”), ponieważ podstawa legalizacyjna wynika z prawa stanowionego – art. 6 rodo.