Administrator czy podmiot przetwarzający? – stanowisko Bawarskiego Organu

Na stronie internetowej Bawarskiego Urzędu Krajowego ds. Nadzoru nad Ochroną Danych (jeden z niemieckich organów nadzorczych działających na poziomie krajów związkowych),
dostępne jest stanowisko dotyczące określenia tego, czy w danej sytuacji mamy do czynienia z powierzeniem przetwarzania danych osobowych czy nie.

Zawiera ono wiele ciekawych przykładów, które w części pokrywają się z przykładami wymienionymi w podobnym dokumencie, przyjętym przez Niemiecką Konferencję Ochrony Danych (DSK – dokument  dostępny jest pod linkiem:

https://www.datenschutzkonferenz-online.de/media/kp/dsk_kpnr_13.pdf), jednak dodano w nim kilkanaście nowych przykładów jak należy te role przyporządkować.

Treść dokumentu w języku niemieckim, którego tłumaczenie zamieszczono poniżej znajduje się pod linkiem: https://www.lda.bayern.de/media/FAQ_Abgrenzung_Auftragsverarbeitung.pdf.

Pytanie: Co jest powierzeniem przetwarzania danych, a co nie?

Powierzenie przetwarzania danych z punktu widzenia przepisów o ochronie danych osobowych,  ma zdaniem organu miejsce jedynie wtedy, gdy jeden podmiot zleci innemu podmiotowi operacje, której istotą jest przetwarzanie danych osobowych. Innymi słowy, za powierzenie nie uważa się operacji, w ramach których przetwarzanie danych nie jest główną, pierwszorzędną aktywnością, a jedynie efektem pobocznych innych toczących się procesów. Czyli jest niejako przy okazji.

Do powierzenia przetwarzania danych w rozumieniu art. 4 punkt 8 RODO dochodzi zwykle w następujących sytuacjach:

• wsparcie techniczne przy obliczaniu wysokości wynagrodzenia, usługi księgowe, centra rozliczeniowe,
• outsourcing w ramach przetwarzania danych w chmurze, o ile nie jest potrzebny merytoryczny dostęp do danych dostawcy usług chmury;
• przetwarzanie adresów e-mail w celach reklamowych przez spółkę zajmującą się wysyłaniem wiadomości elektronicznych;
• przetwarzanie danych klientów przez Call-Center, bez istotnej własnej przestrzeni decyzyjnej;
• outsourcing administracji pocztą elektroniczną oraz podobnych usług dotyczących danych na stronie internetowej (np. wsparcie w zakresie formularzy kontaktowych lub pytań użytkowników);
• wprowadzanie danych, konwertowanie danych lub skanowanie dokumentów;
• outsourcing przechowywania zapasowych kopii bezpieczeństwa lub innego archiwizowania;
• niszczenie nośników danych przez usługodawcę;
• testowanie oraz konserwacja (np. zdalna konserwacja, wsparcie zewnętrzne); zautomatyzowanych procedur lub urządzeń do przetwarzania danych, jeżeli przy świadczeniu takich usług dostęp do danych osobowych nie może być wykluczony;
• scentralizowane centrum usług wspólnych w ramach koncernu, takie jak planowanie podróży służbowych czy obliczanie kosztów podróży (w każdym przypadku, gdy nie dochodzi do współadministrowania, zgodnie z art. 28 RODO).
• centra obliczeniowe aptek (zgodnie z § 300 niemieckiego Kodeksu Prawa Socjalnego część V);
• izba rozliczeniowa lekarzy/ dentystów, bez faktoringu;
• ochrona, która odbiera gości i przesyłki przy bramie;
• podmioty zewnętrzne, usługodawcy itd., którym zleca się odczytywanie oraz/ lub zbieranie, względnie przetwarzanie opłat za media w mieszkaniach czynszowych (ogrzewanie, prąd, woda, itd.);
• usługodawcy zajmujący się organizacją wiz, którzy otrzymują w tym celu dane zatrudnionych osób od pracodawcy.

Nie dochodzi do powierzenia przetwarzania danych w rozumieniu art. 4 ust. 8 RODO (lecz do odrębnego administrowania – udostępnienie ), zwykle w odniesieniu do następujących, przykładowych sytuacji:

a) przy korzystaniu z usług zewnętrznych ze strony samodzielnego administratora:

• w przypadku zawodów poddanych tajemnicy zawodowej (doradca podatkowy, adwokat, zewnętrzny lekarz zakładowy, rewident gospodarczy);
• w przypadku agencji windykacyjnych przy przeniesieniu roszczeń;
• w przypadku transferu pieniędzy przez instytucje bankowe;
• w przypadku usług pocztowych dostarczania listów lub paczek;
• działalność administracji budynku;
• detektywi dokonujący obserwacji/ nagrywania/ prowadzący dochodzenie;
• producenci oraz hurtownicy, którzy otrzymują od sprzedawców detalicznych adresy ich klientów, w związku z uzgodnioną z tymi klientami bezpośrednią wysyłką (zlecenie wysyłki towarów);
• podmiot wysyłający kwiaty lub wina, który otrzymuje listę adresów do wysyłki prezentów w postaci kwiatów, względnie win do osób trzecich (zlecenie wysyłki towarów);
• zarządca masy upadłościowej;
• agencja rekrutacyjna na zlecenie osoby szukającej pracy lub pracodawcy (więcej informacji w przykładzie 6 Opinii Grupy Roboczej WP169);
• dostawca platformy internetowej w celu pośredniczenia pomiędzy sprzedawcą
  a konsumentem, którzy mogą się spotkać na platformie;
• usługi telekomunikacyjne, chyba że dochodzą do nich usługi towarzyszące takie jak archiwizacja telefonów służbowych czy usuwanie danych z chmury, itd. (więcej informacji w przykładzie 1 Opinii Grupy Roboczej WP169);
• pośrednicy ubezpieczeniowi/ finansowi; pośrednicy w ramach umów z klientami;
• przedstawiciel handlowy w ramach doradztwa oraz pośrednictwa;
• przesłanie danych uczestnika szkolenia w celu przeprowadzenia szkolenia przez zewnętrznego trenera do organizatora szkolenia lub hotelu;
• wytwarzanie indywidualnych produktów medycznych, środków, protez, itd. dla pacjentów/ klientów na zlecenie lekarzy, dentystów, aptek, sklepów medycznych;
• laboratoria medyczne, laboratoria materiałowe itd. (zlecenie badań materiałowych);
• usługi płatnicze w przypadku płatności elektronicznych (przesyłanie danych płatniczych, kontrola prania pieniędzy oraz oszustw, zgodnie z wymogami niemieckiej ustawy o nadzorze finansowym oraz podstawowymi wymogami niemieckiego Federalnego Urzędu Nadzoru Usług Finansowych);
• dostawcy usług, przy których pośredniczy biuro podróży, jak np. hotele, podmioty wynajmujące samochody, spółki lotnicze, operatorzy autobusów, ubezpieczenia, itd. (więcej informacji w przykładzie 8 w Opinii Grupy Roboczej WP169)

W zależności od konkretnego przypadku administrator, jeżeli zajdzie taka potrzeba, precyzuje cel oraz określa poufność w odniesieniu do przekazanych danych.

b) co do zasady nie dochodzi do zlecenia czynności przetwarzania danych osobowych lecz umowa dotyczy innych czynności:

• rzemieślnik wynajęty przez osobę wynajmującą, który otrzymuje niezbędne dane najemcy;
• rzeczoznawca oceniający szkody w samochodzie;
• przewóz osób, usługi transportu chorych;
• usługi ochrony;
• usługi sprzątania oraz prace rzemieślników w przedsiębiorstwie;
• czyszczenie strojów roboczych, mających plakietkę z nazwiskiem;
• drukowanie prospektów, katalogów ze zdjęciami zatrudnionych lub fotomodelek;
• transport wystarczająco wybrakowanych materiałów papierowych;
• transport dokumentów oraz towarów przez kurierów, spółki spedycyjne, roznoszenie gazet;
• tłumaczenie tekstów z lub na języki obce.

W zależności od konkretnego przypadku administrator, jeżeli zajdzie taka potrzeba, precyzuje cel oraz określa poufność w odniesieniu do przekazanych danych.