Czy kancelaria reprezentująca klienta może być też administratorem danych? ‒ projekt wytycznych EDPB

Bezpieczne Finanse / Bezpieczny Klient / Komentarze ekspertów

RODO, GDPR
Fot. stock.adobe.com / Oleh

Europejska Rada Ochrony Danych (EDPB, European Data Protection Board) opublikowała 6 września 2020 r. dwa projekty wytycznych dot. interpretacji przepisów Rozporządzenia 2016/679. Jeden dokument to „Guidelines 07/2020 on the concepts of controller and processor in the GDPR”, natomiast drugi „Guidelines 8/2020 on the targeting of social media users”. Projekt wytycznych podlegać będzie konsultacjom do 19 października br. ‒ pisze Michał Nowakowski z Finregtech.pl.

#MichałNowakowski: Umowa powinna określać kto jest #Administrator, a kto #Przetwarzający i zawierać określenie, jakie #Usługi będą świadczone przez przetwarzającego. Do decyzji administratora należy czy powierzy mu to #PrzetwarzanieDanych #Ochrona Danych #EDPB #EROD @FinregtechPL

Na początek trochę podstaw. Wymogi, w tym obowiązki w stosunku do administratora oraz podmiotu przetwarzającego określają przepisy Rozdziału IV RODO.

W pewnym uproszczeniu można stwierdzić, że administrator (do definicji za chwilę przejdziemy) musi wykazać, że jego działania są zgodne z art. 5 ust. 1 RODO, który wyznacza podstawowe zasady przetwarzania danych osobowych i z tego obowiązku jest rozliczany oraz ponosi odpowiedzialność, w tym przede wszystkim administracyjną i odszkodowawczą.

Z kolei art. 28 i w pewnym zakresie art. 29 RODO określają wymagania względem podmiotu przetwarzającego.

Zależności pomiędzy administratorem a podmiotem przetwarzającym mogą być czasami zaskakujące, a jasne określenie roli poszczególnych podmiotów zarządzających i przetwarzających dane osobowe może być niekiedy utrudnione.

Projekt wytycznych ma ułatwić zrozumienie wzajemnych korelacji i obowiązków pomiędzy nimi.

Kim jest administrator?

Z punktu widzenia Rozporządzenia 2016/679 jest to dowolny podmiot, który samodzielnie lub wspólnie z innym (kwestię współadministrowania określa nam art. 26) ustala cele i sposoby przetwarzania danych osobowych.

Jeżeli spojrzymy na tę definicję ‒ to pierwsze wątpliwości mogą pojawić się w kontekście „ustalania” – determines.

EDPB wskazuje tutaj, że zasadniczo chodzi tutaj o wpływ administratora na przetwarzanie danych poprzez możliwość podejmowania decyzji (by virtue of an exercise of decision-making power), czyli determinowania „wartości” kluczowych elementów (etapów) przetwarzania. Taka moc decyzyjna może wynikać z kilku źródeł, w tym z mocy ustawy czy – co bardzo istotne – okoliczności danej sprawy. Jest to o tyle istotne, że nieświadomie możemy stać się administratorami danych osobowych.

Ważne jest to, że EDPB podkreśla, iż „(…) the concept of controller is a functional concept [that is] based on a factual rather than a formal analysis”.

Czytaj także: TSUE, RODO, Facebook, ochrona danych osobowych i duży problem w relacjach USA – UE

Administrator „z mocy prawa” a okoliczności faktyczne

Jak wspomniałem prawo do kontroli procesu przetwarzania może wynikać z przepisów prawa, np. ustawy o usługach płatniczych (art. 10) czy prawa bankowego (art. 105a), choć w tym przypadku mamy do czynienia z „dorozumianym” nadaniem statusu administratora, bo przepisy mogą przecież wskazywać wprost, że dany, konkretny podmiot nim zostaje na mocy konkretnego przepisu. Warto tutaj zwrócić uwagę na art. 10a ustawy o usługach płatniczych. Ta druga sytuacja będzie występowała jednak rzadziej.

Czasami może się jednak zdarzyć, że funkcja administratora jest nadawana w związku z konkretnymi okolicznościami faktycznymi, dotyczącymi przetwarzania danych. W takiej sytuacji, dla oceny czy dany podmiot rzeczywiście pełni taką funkcję, konieczne uwzględnienie wszystkich tych aspektów, aby wykazać czy ten podmiot ma rzeczywisty wpływ na przetwarzanie danych. Tak twierdzi też EDPB.

Ważne jest też to, że taki podmiot może występować zarówno w roli administratora, jak i podmiotu przetwarzającego.

Przykład? EDPB wskazuje tutaj na pracodawcę, który przetwarza dane swoich pracowników. Będzie on też administratorem, bo przecież to on określa cel przetwarzania danych, a także sposób ich przetwarzania. Tutaj chyba nie ma wątpliwości. Są też jednak i inne przykłady.

Czy zastanawialiście się kiedyś czy kancelaria prawna reprezentująca klienta może być administratorem danych? Zdaniem EDPB taka sytuacja może zajść, jeżeli ten podmiot ma na tyle dużą swobodę (a zazwyczaj ma), że w związku z przetwarzaniem danych stron, świadków czy biegłych, może stać się administratorem. Prawda, że ciekawy przykład?

Czytaj także: Ile są warte nasze dane? Wystarczy na spłatę kredytu hipotecznego czy zakup samochodu

Umowa rozwiązaniem?

W przypadku takich sytuacji, gdzie nie mamy wprost określonego przepisu, z którego wynikać może obowiązek działania w charakterze administratora, z pomocą może przyjść dobrze skonstruowana umowa, choć nie jest ona gwarantem 100% bezpieczeństwa.

Jak wskazuje EDPB jasne określenie ról, funkcji jakie pełnią strony kontraktu może wspomóc ocenę. I co ciekawe, umowa może być też dorozumiana, a jej postanowienia mogą determinować poszczególne role również w odniesieniu do RODO.

I ważne zastrzeżenie Rady – „It is not possible either to become a controller or to escape controller obligations simply by shaping the contract in a certain way where the factual circumstances say something else”.

W projekcie wytycznych znajdziemy też wskazanie, że jeżeli jedna ze stron ma prawo do określenia celu i sposobu przetwarzania, to nawet jeżeli wpiszemy sobie na twardo, że nie jest ona administratorem, to nie zmieni to faktu, że w rzeczywistości nim będzie.

Dodatkowo, nawet jeżeli mamy podwykonawcę, np. w ramach outsourcingu, to nie oznacza to wcale automatycznie, że taki podmiot będzie wyłącznie podmiotem przetwarzającym. Nadal może być administratorem.

Czytaj także: Odpowiedzialne przetwarzanie danych to podstawa zaufania do e-gospodarki

Tutaj EDPB doprecyzowuje, że w „normalnych” warunkach umowa powinna określać wprost ‒ kto jest administratorem, a kto przetwarzającym. Umowa powinna zawierać też wyraźne określenie, szczegółowo opisane, jakie usługi będą świadczone przez przetwarzającego i to do decyzji administratora należy, czy powierzy mu to przetwarzanie.

Administrator musi mieć też możliwość żądania wprowadzenia stosownych zmian, a przetwarzający nie powinien mieć możliwości wpływania na istotne elementy procesu przetwarzania danych.

Wspólnie i w porozumieniu

Może zdarzyć się tak, że ustalenie środków i celów przetwarzania należy do więcej niż jednego podmiotu. Oznacza to, że będziemy w takiej sytuacji mieli więcej administratorów, choć przetwarzamy te same dane i dla tego samego celu.

Zakres i siła decyzyjna nie musi być przy tym taka sama dla wszystkich administratorów.

Michał Nowakowski
Michał Nowakowski, https://pl.linkedin.com/in/michal-nowakowski-phd-35930315, Counsel w Citi Handlowy, założyciel www.finregtech.pl.
Opinie wyrażone w artykule są osobistymi opiniami Autora i nie mogą być utożsamiane z jakąkolwiek instytucją, z którą Autor jest lub był związany.

Źródło: FinregtechPl
Udostępnij artykuł: