Trybunał Sprawiedliwości Unii Europejskiej w wyroku z 5 grudnia 2023 r. zajął się kwestią granic odpowiedzialności administratora za przetwarzanie danych przez procesora.
Kontekst sprawy
Sprawa dotyczy zamówionej przez Narodowe Centrum Zdrowia Publicznego (NVSC) litewskiego Ministerstwa Zdrowia aplikacji COVID-19. NVSC wybrało UAB „IT sprendimai sėkmei” jako dostawcę usług IT do stworzenia aplikacji, przekazując mu informacje projektowe oraz pytania, które miały być zawarte w aplikacji. Ostatecznie aplikacja została udostępniona w Google Play, a jej polityka prywatności wskazywała NVSC i dostawcę usług jako administratorów. Niemniej jednak, pomimo udzielenia informacji i przekazania projektu, NVSC i usługodawca nie zawarli formalnej umowy, ponieważ NVSC nie dokończyła zamówienia z powodu braku środków finansowych.
Litewski organ ochrony danych nałożył administracyjne kary pieniężne na NVSC i usługodawcę jako współadministratorów. NVSC zakwestionowała tę decyzję, argumentując, że nie była administratorem danych w odniesieniu do przedmiotowego przetwarzania. To usługodawca stworzył aplikację, nie została również zawarta umowa między stronami, a NVSC nie wyraziła zgody ani nie upoważniła wykonawcy do publicznego udostępnienia aplikacji.
Zakres administrowania danymi
TSUE w swoim wyroku podkreślił, że pojęcie administratora danych należy rozumieć szeroko. Trybunał wskazał, że:
- podmiot może być administratorem danych, nawet jeśli nie ma umowy wskazującej go jako administratora i nawet jeśli nie dostarczyła pisemnych wytycznych lub instrukcji dotyczących przetwarzania oraz nie przetwarza żadnych danych osobowych.
- W tym przypadku NVSC zamówiła aplikację do własnych celów – tj. zarządzania przeciwdziałaniem COVID-19. NVSC przewidziała przetwarzanie danych, które zostanie przeprowadzone i uczestniczyła w określaniu parametrów aplikacji. W związku z tym NVSC należy uznać za administratora danych.
- Fakt, że NVSC nie nabyła aplikacji i nie zezwoliła na jej publiczne rozpowszechnianie, nie był istotny: wniosek byłby inny tylko wtedy, gdyby NVSC wyraźnie sprzeciwiła się publicznemu udostępnieniu aplikacji.
- Fakt, że dany podmiot jest wymieniony jako administrator danych w oświadczeniu dotyczącym ochrony prywatności, nie jest sam w sobie wystarczający, aby uczynić go administratorem danych, chyba że sam wyraził na to zgodę – wyraźnie lub w sposób dorozumiany.
Administrator danych, a podmiot przetwarzający – kto jest kim?
Odpowiedzialność za procesora
Jednym z istotnych aspektów decyzji TSUE jest stwierdzenie, że administrator danych może ponieść karę pieniężną za niezgodne z prawem przetwarzanie danych przez podmiot przetwarzający. Ten wniosek opiera się na założeniu, że zgodnie z treścią motywu 74 RODO, administrator jest odpowiedzialny za przetwarzanie danych dokonywane w jego imieniu. TSUE wyjaśnił, że administrator nie będzie ponosił odpowiedzialności w sytuacjach:
- gdy podmiot przetwarzający działał we własnych celach,
- gdy przetwarzanie danych przez podmiot przetwarzający odbywało się w sposób sprzeczny z ustaleniami dotyczącymi przetwarzania określonymi przez administratora,
- gdy nie ma racjonalnych podstaw do uznania, że administrator wyraził zgodę na takie przetwarzanie.
W tych przypadkach podmiot przetwarzający zostałby uznany za administratora zgodnie z postanowieniami art. 28(10) RODO.
Kiedy kara dla administratora?
Ponadto TSUE stwierdził, że administrator danych może otrzymać administracyjną karę pieniężną wyłącznie za umyślne lub wynikające z zaniedbania naruszenie RODO, tj. wyłącznie za bezprawne zachowanie. RODO nie zezwala na nakładanie administracyjnych kar pieniężnych przy braku winy (art. 83 RODO odnosi się do „umyślnego lub wynikającego z niedbalstwa charakteru naruszenia” jako jednego z czynników nakładania kary). Trybunał potwierdził jednak również, że nie ma wymogu, aby naruszenie RODO zostało popełnione przez kierownictwo administratora lub za jego wiedzą.
Kara za podpowierzenie. Administratorze pilnuj swojego procesora!
Wnioski dla administratorów
Administratorzy danych powinni być zatem ostrożni, gdy decydują się na zaangażowanie podmiotów przetwarzających. Utrzymywanie nadzoru nad ich działaniami jest niezwykle ważne. W przypadku niejasnych ustaleń lub ich niewłaściwego dokumentowania, administrator może napotkać trudności w wykazaniu, że podmiot przetwarzający działał w sposób niezgodny z jego instrukcjami. Ponadto należy podkreślić, że weryfikacja procesora przed podpisaniem umowy o powierzeniu przetwarzania, powinna być kompleksowa i staranna, co pozwala uniknąć kłopotów w przyszłości.
