Na stronie internetowej Europejskiego Inspektora Ochrony Danych pojawiły się Wytyczne
w sprawie pojęcia administratora, podmiotu przetwarzającego oraz współadministrowania, zgodnie z Rozporządzeniem 1725/2018/UE.
Treść wytycznych w języku angielskim jest dostępna tutaj.
Ww. Rozporządzenie 1725/2018/UE dotyczy instytucji Unii Europejskiej, jednakże pojęcia administratora, podmiotu przetwarzającego oraz współadministrowania zostały zdefiniowane w prawie w taki sam sposób jak w Rozporządzeniu 2016/679/UE.
W związku z powyższym, ww. dokument może być użyteczny również dla innych podmiotów i właśnie z punktu widzenia tych elementów, które mogą być użyteczne nie tylko dla instytucji EU jest on omówiony w niniejszym artykule.
Dość obszerny oraz dobrze ustrukturyzowany dokument obejmuje trzy zasadnicze działy, poświęcone odpowiednio każdemu z ww. pojęć (do tego dwa punkty wstępne oraz trzy załączniki).
W części poświęconej administratorowi, rozbito jego definicję na pięć elementów, które poddano następnie analizie. Wskazano między innymi, jak w praktyce ocenić faktyczny wpływ administratora na operację przetwarzania. Pomocne w tym zakresie będą odpowiedzi na pytania: „dlaczego przetwarzanie się odbywa?”; „kto zainicjował przetwarzanie?” oraz „kto korzysta na przetwarzaniu?”. EIOD stwierdził również, że administrator może być określony bezpośrednio, gdy prawo wprost wskazuje, kto pełni tą funkcję; pośrednio, gdy dany podmiot nie jest nazwany administratorem, ale spoczywają na nim obowiązki określone w prawie albo to czy jest administratorem wynika z konkretnego stanu faktycznego, w którym to przypadku ww. pytania są szczególnie pomocne.
Odnosząc się do kwestii ustalania celu oraz sposobu przetwarzania danych EIOD podkreślił, że chociaż są one ze sobą powiązane, to jednak nie jest konieczne, aby strona w równym stopniu decydowała o obu, aby została uznana za administratora. W praktyce administratorem jest podmiot, który podejmuje faktyczną decyzję o celu przetwarzania. Natomiast jeżeli chodzi o określenie środków, to pojęcie to obejmuje różne elementy, ale odnosi się to w szczególności do środków technicznych oraz organizacyjnych, które stosuje się do określonej operacji przetwarzania. Jednakże określenie sposobów przetwarzania pociąga za sobą bycie administratorem jedynie jeżeli obejmuje kluczowe elementy tych sposobów, które obejmują: rodzaj przetwarzanych danych, okres przez który będą przechowywane, osoby, od których dane będą zbierane, kto będzie miał do nich dostęp, odbiorców danych, etc. Określenie bardziej praktycznych aspektów przetwarzania, tzn. elementów, które nie są kluczowe może być również dokonane przez podmiot przetwarzający o ile działa on na podstawie ogólnych instrukcji administratora. Obejmują one np. wykorzystywany sprzęt oraz oprogramowanie, jak również techniczne środki bezpieczeństwa danych.
Dodatkowo EIOD sformułował osiem pytań, na które należy odpowiedzieć tak lub nie. Jeżeli większość odpowiedzi brzmi tak, wtedy należy uznać, że dany podmiot jest administratorem. Pytania te są następujące:
- zdecydowałeś o przetwarzaniu danych lub spowodowałeś, że inny podmiot je przetwarza;
- zdecydowałeś jaki ma być celu lub wynik operacji przetwarzania;
- zdecydowałeś o kluczowych elementach operacji przetwarzania […];
- osobami, których dane dotyczą w odniesieniu do Twoich operacji przetwarzania są Twoi pracownicy;
- ponosisz odpowiedzialność za przetwarzanie danych osobowych;
- posiadasz bezpośrednią relację z osobami, których dane dotyczą;
- posiadasz autonomię i niezależność […] odnośnie tego jak dane osobowe są przetwarzane;
- wyznaczyłeś podmiot przetwarzający do prowadzenia operacji przetwarzania w Twoim imieniu […].
W odniesieniu do podmiotu przetwarzającego EIOD zauważył, że fakt, iż działa on w imieniu administratora nie musi oznaczać, że nie posiada on swobody w wykonywaniu swoich zadań. Podmiot przetwarzający może dysponować znacznym stopniem autonomii w dostarczaniu usług oraz może określać elementy operacji przetwarzania, które nie są kluczowe.
Ponadto EIOD przypomniał, że administrator musi ocenić, czy podmiot przetwarzający gwarantuje należyte postępowanie z danymi osobowymi. W tym celu można wziąć pod uwagę dokumentację, jak np. polityki prywatności, polityki zarządzania rejestrami, polityki dotyczące bezpieczeństwa informacji, zewnętrzne raporty audytowe, certyfikacji etc. Administrator powinien również uwzględnić wiedzę podmiotu przetwarzającego (np. wiedzę techniczną dotyczącą naruszeń ochrony danych oraz środków technicznych), jego wiarygodność oraz zasoby. Niezależnie od tej początkowej oceny, zgodnie z zasadą rozliczalności, administrator musi regularnie sprawdzać zgodność działań podmiotu przetwarzającego z przepisami oraz wykorzystywane przez niego środki.
Co interesujące, odnosząc się do kwestii odpowiedzialności podmiotu przetwarzającego, EIOD stwierdził, że w praktyce podmiot dokonujący określonych operacji przetwarzania zgodnie ze ścisłymi poleceniami administratora nie podlegałby odpowiedzialności za jakiekolwiek naruszenie wymogów Rozporządzenia, o ile postępowałby ściśle według instrukcji administratora.
Podobnie jak w przypadku administratora, również w przypadku podmiotu przetwarzającego EIOD sformułował osiem pytań, na które należy odpowiedzieć tak lub nie. W przypadku gdy większość odpowiedzi jest pozytywna, dany podmiot jest prawdopodobnie podmiotem przetwarzającym.
Pytania są następujące:
- przestrzegasz instrukcji innej strony w odniesieniu do przetwarzania danych osobowych;
- nie decydujesz o zebraniu danych osobowych od osób;
- nie decydujesz o podstawie prawnej zebrania oraz wykorzystania danych osobowych;
- nie decydujesz o celu lub celach dla których dane będą wykorzystywane;
- nie decydujesz czy lub komu udostępnić dane;
- nie decydujesz o okresie przechowywania danych;
- podejmujesz pewne decyzje odnośnie tego jak dane są przetwarzane, jednakże wdrażasz te decyzje na mocy umowy […];
- nie jesteś zainteresowany końcowym wynikiem przetwarzania.
Odnosząc się do współadministrowania, EIOD stwierdził, że należy je rozumieć jako sytuację, gdy każdy administrator ma możliwość/ prawo określać cele oraz kluczowe sposoby operacji przetwarzania. Oznacza to, że przed zawarciem konkretnego porozumienia z innymi stronami, każdy administrator jest świadomy ogólnego celu oraz kluczowych elementów sposobów przetwarzania. Poprzez przystąpienie do takiego porozumienia strony dokonują wspólnego ustalenia celu (lub dążą do niego), co samo w sobie jest wystarczające do wywołania sytuacji współadministrowania. Reasumując, już ogólny poziom komplementarności oraz jedności celu może wywołać sytuację współadministrowania, jeżeli cele oraz kluczowe elementy sposobów przetwarzania są określane wspólnie.
EIOD stwierdził również, że współadministratorzy nie muszą także ponosić takiej samej odpowiedzialności. Jednakże kluczowe jest precyzyjne przypisanie obowiązków. Np. jeżeli jeden ze współadministratorów ma kontakt z osobami, których dane dotyczą a drugi nie, to logiczne wydaje się, żeby to ten pierwszy spełniał obowiązek informacyjny oraz odpowiadał na pytania osób. Poruszona została również kwestia skorzystania z usług podmiotu przetwarzającego w przypadku współadministrowania. EIOD zasugerował co prawda, żeby współadministratorzy stworzyli specjalną procedurę, która wymaga konsultacji z drugim współadministratorem, jednakże stwierdził również, że sytuacja w której jeden ze współadministratorów decyduje się zlecić operacje podmiotowi przetwarzającemu, nie ma wpływu na współadministrowanie.
EIOD sformułował również zalecenia dotyczące elementów, które powinny być zawarte w porozumieniu pomiędzy współadministratorami. Obejmują one przynajmniej:
- obowiązki, role oraz relacje, tak aby można było stwierdzić zgodność z prawem, rzetelność oraz proporcjonalność operacji przetwarzania;
- obowiązki każdego ze współadministratorów, dotyczące spełnienia obowiązku informacyjnego;
- obowiązki dotyczące bezpieczeństwa informacji, co obejmuje zgłaszanie naruszeń ochrony danych;
- punkt kontaktowy do składania wniosków przez osoby, których dane dotyczą;
- współpracę pomiędzy współadministratorami w odpowiadaniu na wnioski osób, których dane dotyczą w odniesieniu do spełnienia pozostałych praw osób, których dane dotyczą;
- współpracę pomiędzy współadministratorami przy przeprowadzaniu Oceny Skutków dla Ochrony Danych;
- możliwe angażowanie podmiotów przetwarzających przez jednego (lub większą) liczbę administratorów.
Omawiany dokument należy ocenić pozytywnie. Co prawda EIOD korzystał z dorobku Grupy Roboczej Art. 29, w szczególności z jej opinii 1/2010 w sprawie pojęcia administrator oraz podmiot przetwarzający, ale po pierwsze trudno czynić z tego zarzut, po drugie opinia ta ma już prawie 10 lat a od tego czasu ukazały się m. in. wyroki Trybunału Sprawiedliwości UE, które EIOD również wziął pod uwagę, a po trzecie nawet powtórzenie informacji może być cenne, w szczególności jeśli robi się to w ustrukturyzowany sposób, tak jak w tym przypadku.
Dodatkowo należy wspomnieć, że omawiane wytyczne zawierają również znaczną ilość praktycznych przykładów. Np. w jednym z nich EIOD stwierdził, że w przypadku zewnętrznej firmy ochroniarskiej jest ona podmiotem przetwarzającym w odniesieniu do przetwarzania danych gości podmiotu, który ochrania, ale administratorem w odniesieniu do danych swoich własnych pracowników. W niniejszym omówieniu przywołano tylko jeden przykład, ponieważ większość z nich odnosi się ściśle do działań instytucji Unii Europejskiej.
Jednie ma marginesie zwrócić można uwagę na dwa drobne elementy. Po pierwsze w wytycznych podkreślono, że samo zawarcie umowy o współadministrowaniu pociąga za sobą zaistnienie tej relacji. Wydaje się jednak, że nie zawsze tak jest, tzn. nie wystarczy zawrzeć umowy o współadministrowaniu, aby dwa podmioty niezależnie od swoich faktycznych działań posiadły ten status. Tym niemniej w dalszej części EIOD wydaje się lekko modyfikować swoje stanowisko i wspomina o dodatkowych elementach. Po drugie wskazano, że w praktyce podmiot przetwarzający nie poniesie odpowiedzialności działając niezgodnie z RODO, jeżeli czyni to zgodnie ze ścisłymi poleceniami administratora. Uniwersalny charakter tej tezy budzić jednak może uzasadnione wątpliwości.
Niezależnie jednak od powyższych uwag, należy docenić to, że dokument skierowany właściwie jedynie do instytucji europejskich cechuje tak wysoka jakość pozwalająca korzystać z niego również innym podmiotom.