Prawo i podatki,

Pojęcie „administratora” i „podmiotu przetwarzającego dane”

Zespół prawny

A.M. Jesiołowscy-Finanse sp. z o.o.

Wprowadzenie

            We wszystkich przedstawionych opracowaniach odnoszących się do tematyki RODO używane były terminy „administrator danych osobowych” i „podmiot przetwarzający dane osobowe”. Chociaż na pierwszy rzut oka mogłoby się wydawać, iż są to określenia o charakterze synonimicznym, to w rzeczywistości są to określenia mające swoje własne definicje legalne w przepisach RODO, jak również inny zakres obowiązków. Problematyka ta jest wbrew pozorom istotna, gdyż wiele organizacji może mieć trudności w określeniu swojego statusu. Przykładem wątpliwości prawnych może tu być status firm audytorskich oraz biegłych rewidentów, uznawanych przez dłuższy czas za „podmioty przetwarzające”. Dopiero po opublikowaniu interpretacji Urzędu Ochrony Danych Osobowych z 18 października 2019 roku rozstrzygnięto, że podmioty te są samodzielnymi „administratorami”.

Administrator danych osobowych

            Zgodnie z art. 2 pkt 7 RODO, „administrator” oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych.  Co więcej, jeżeli cele i sposoby takiego przetwarzania są określone w prawie Unii lub w prawie państwa członkowskiego, to również w prawie Unii lub w prawie państwa członkowskiego może zostać wyznaczony administrator lub mogą zostać określone konkretne kryteria jego wyznaczania. Jak wskazuje się w doktrynie, z definicji tej można wyróżnić 3 komponenty:

  1. element podmiotowy, którym jest adresat przepisu, tj. osoba fizyczna lub osoba prawna, organ publiczny, jednostka lub inny podmiot;
  2. sposób działania dopuszczający model kontroli pluralistycznej: „samodzielnie lub wspólnie z innymi”;
  3. zakres decyzyjny, który odróżnia administratora od innych podmiotów: „ustala (on) cele i sposoby przetwarzania danych osobowych”.

            Jeśli chodzi o aspekt podmiotowy, należy przyjąć, iż administratorem nie jest konkretna osoba sprawująca stanowisko kierownicze czy pracownik, któremu powierzono zadania związane z przetwarzaniem danych. Oczywiście w przypadku osób samodzielnie prowadzących działalność gospodarczą, to oni – jako przedsiębiorcy – będą posiadali status administratora. Jednakże w przypadku osób prawnych – przede wszystkim spółek kapitałowych – taki status nie będzie przysługiwał zarządowi czy konkretnemu pracownikowi odpowiadającemu za ochronę danych osobowych, a de iure konkretnej spółce. Kategorie te wyraźnie rozdzielił Sąd Najwyższy, wskazując, iż w odróżnieniu do administratora, podmiot, który zarządza, zawiaduje zbiorem danych lub danymi, ale nie decyduje o celach i środkach ich przetwarzania winien być określany jako „podmiot administrujący danymi” (Postanowienie SN z dnia 11.12.2000 roku, Sygnatura akt II KKN 438/00).

            Wedle drugiego kryterium może dochodzić zarówno do sytuacji, w której mamy do czynienia z jednym administratorem, jak i gdy ustalanie celów i sposobów przetwarzania następuje wspólnie z innymi administratorami. Jeśli administratorów jest przynajmniej dwóch, określa się ich mianem „współadministratorów”, niezależnie od tego czy dochodzi w danym przypadku do symetrycznej współpracy lub podziału zadań.

            Kluczowym z punktu widzenia odróżnienia administratora od innych podmiotów (w tym „podmiotu przetwarzającego”) jest jego zakres decyzyjny. W piśmiennictwie podkreśla się, iż decydowanie o celach i środkach przetwarzania powinno być rozumiane jako faktyczne podejmowanie we własnym imieniu i na własną rzecz decyzji o tym, w jakim celu i w jaki sposób przetwarzane są dane osobowe. Przy realizacji tego komponentu może okazać się pomocne kryterium kompetencji dorozumianej,  identyfikujące w pewnych stosunkach administratora jak np. pracodawca (zakład pracy) względem pracowników czy stowarzyszenie (partia polityczna, wspólnota religijna itp.) względem swoich członków. Ponadto, na co zwracają uwagę J. Błachut i S. Dudzik, przepis art. 4 pkt 7 RODO posługuje się tu spójnikiem „i”, tak więc wprowadza koniunkcję, co implikuje w konsekwencji, iż administratorem jest ten, kto jednocześnie decyduje o celach i o sposobach przetwarzania, nie zaś ten, kto podejmuje decyzję tylko co do jednej z tych kwestii.

Podmiot przetwarzający dane osobowe

            Jeśli chodzi o podmiot przetwarzający, to jego definicja zawarta jest w art. 2 pkt 8 RODO. Stosownie do tego przepisu, termin ten oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który przetwarza dane osobowe w imieniu administratora. Już na wstępie warto więc zasygnalizować, iż to od decyzji administratora zależeć będzie, czy powierzy dane do przetwarzania podmiotowi przetwarzającemu, czy też pozostawi te obowiązki we własnym zakresie. Jak zauważa P. Fajgielski, określenie „podmiot przetwarzający” nie najlepiej oddaje istotę omawianej konstrukcji prawnej, gdyż stanowi skrót myślowy, zaś znacznie lepszym sformułowaniem wydaje się być nazwa „podmiot przetwarzający na zlecenie”, która bardziej precyzyjnie oddaje istotę tego pojęcia. Zgodnie z uzasadnieniem Autora, termin „podmiot przetwarzający” w powiązaniu z przetwarzaniem przez osobę fizyczną danych w imieniu administratora może prowadzić do błędnego uznawania, że w przypadku niektórych osób (np. pracownika) mamy do czynienia z „podmiotem przetwarzającym”, podczas gdy istotą tego pojęcia jest nie tylko dokonywanie czynności w imieniu administratora, ale także na jego zlecenie, przez zewnętrzny podmiot, nieznajdujący się w strukturze organizacyjnej administratora.

            Należy zatem odróżnić „osoby przetwarzające dane z upoważnienia administratora bądź podmiotu przetwarzającego” od „podmiotu przetwarzającego” w imieniu administratora. Do pierwszej kategorii można zaliczyć wyłącznie osoby fizyczne, takie jak pracownicy administratora/podmiotu przetwarzającego, osoby przetwarzające dane na podstawie umów cywilnoprawnych, lecz w ramach struktury organizacyjnej administratora/podmiotu przetwarzającego, bądź też inne osoby, które zostały dopuszczone przez administratora/podmiot przetwarzający do czynności przetwarzania danych – np. praktykanci, stażyści czy wolontariusze. Idąc za P. Fajgielskim, mimo iż podobnie jak podmioty przetwarzające wykonują oni czynności na danych osobowych, to podstawą tego rodzaju czynności jest upoważnienie nadane przez administratora (bądź przez podmiot przetwarzający), a nie – jak w przypadku podmiotu przetwarzającego – zlecenie przetwarzania danych dla administratora.

            Jeśli zaś chodzi o katalog podmiotów przetwarzających, to analogicznie do administratorów, obejmuje on nie tylko osoby fizyczne, ale także osoby prawne i inne podmioty wymienione w art. 2 pkt 8 RODO (jest to de facto katalog otwarty). Zatem podmiotem przetwarzającym administratora będącego osobą fizyczną, stowarzyszeniem czy spółką kapitałową może być inna osoba fizyczna, spółka, stowarzyszenie bądź inny podmiot, któremu administrator zleci przetwarzanie danych. Istotne jest jednak to, iż cel i sposób przetwarzania danych ustala administrator, który ponosi również odpowiedzialność za swój wybór. Zadaniem podmiotu przetwarzającego jest zaś wykonywanie obowiązków administratora na jego zlecenie i w jego imieniu.

Ustalenie statusu danego podmiotu w praktyce

            Jak więc w praktyce ustalić, czy w konkretnej sytuacji dochodzi do powierzenia przetwarzania danych osobowych przez administratora (co implikuje przypisanie statusu „podmiotu przetwarzającego”), czy też do odrębnego administrowania (a więc przypisania statusu „administratora”? Oczywiście każda sytuacja wymaga indywidualnej analizy i zastanowienia się, kto faktycznie ustala sposoby i cele przetwarzania danych (należy więc odpowiedzieć na pytanie, który podmiot podejmuje decyzję dotyczącą określonego celu, czyli tego, czy, dlaczego i w jakim zakresie będą przetwarzane dane osobowe?). Pewnych wskazówek może udzielać orzecznictwo Trybunału Sprawiedliwości Unii Europejskiej. Przykładem jednego z przełomowych orzeczeń jest wyrok TS UE z dnia 13.05.2014 roku (Sygn. akt C-131/12), w którym za administratora uznany został operator wyszukiwarki internetowej w stosunku do informacji zawierających dane osobowe, przetwarzanych przez tego operatora, lokalizowanych i indeksowanych w sposób automatyczny, czasowo przechowywanych i udostępnianych internautom w sposób uporządkowany, zgodnie z określonymi preferencjami. Trybunał Sprawiedliwości uznał operatora wyszukiwarki internetowej za administratora danych, choć operator ten de facto pośredniczył w udostępnianiu informacji generowanych i publikowanych przez podmioty trzecie. Jednak, jak wskazano w wyroku, specyfika świadczenia tych usług wymagała przyjęcia właśnie takiej kwalifikacji.

Bardzo ciekawym i przydatnym jest stanowisko Bawarskiego Urzędu Krajowego ds. Nadzoru nad Ochroną Danych, dotyczące określenia tego, czy w danej sytuacji mamy do czynienia z powierzeniem przetwarzania danych osobowych czy nie. Dokument ten wymienia sytuacje, w których dochodzi do powierzenia przetwarzania danych osobowych „podmiotowi przetwarzającemu” (zgodnie z art. 2 pkt 8 RODO) oraz sytuacje, w których do takiego powierzenia nie dochodzi (a wówczas mamy do czynienia z odrębnym administratorem danych). Pomimo, że stanowisko to zostało zaprezentowane przez organ szczebla związkowego, to jest zbieżne (a wręcz poszerzone o kolejne przykłady) ze stanowiskiem przyjętym przez organ federalny – Niemiecką Konferencję Ochrony Danych. Wydaje się, że mając na względzie jednolitość prawa unijnego, wskazówki z gruntu niemieckiego mogą być z powodzeniem transponowane do realiów polskich, do czasu gdy organ polski (UODO) wyda własny dokument w tym zakresie.

Zgodnie zatem ze stanowiskiem Bawarskiego Urzędu Krajowego ds. Nadzoru nad Ochroną Danych, do powierzenia przetwarzania danych w rozumieniu art. 4 punkt 8 RODO dochodzi zwykle w następujących sytuacjach:

  1. wsparcie techniczne przy obliczaniu wysokości wynagrodzenia, usługi księgowe, centra rozliczeniowe,
  2. outsourcing w ramach przetwarzania danych w chmurze, o ile nie jest potrzebny merytoryczny dostęp do danych dostawcy usług chmury;
  3. przetwarzanie adresów e-mail w celach reklamowych przez spółkę zajmującą się wysyłaniem wiadomości elektronicznych;
  4. przetwarzanie danych klientów przez Call-Center, bez istotnej własnej przestrzeni decyzyjnej;
  5. outsourcing administracji pocztą elektroniczną oraz podobnych usług dotyczących danych na stronie internetowej (np. wsparcie w zakresie formularzy kontaktowych lub pytań użytkowników);
  6. wprowadzanie danych, konwertowanie danych lub skanowanie dokumentów;
  7. outsourcing przechowywania zapasowych kopii bezpieczeństwa lub innego archiwizowania;
  8. niszczenie nośników danych przez usługodawcę;
  9. testowanie oraz konserwacja (np. zdalna konserwacja, wsparcie zewnętrzne); zautomatyzowanych procedur lub urządzeń do przetwarzania danych, jeżeli przy świadczeniu takich usług dostęp do danych osobowych nie może być wykluczony;
  10. scentralizowane centrum usług wspólnych w ramach koncernu, takie jak planowanie podróży służbowych czy obliczanie kosztów podróży (w każdym przypadku, gdy nie dochodzi do współadministrowania, zgodnie z art. 28 RODO);
  11. centra obliczeniowe aptek;
  12. izba rozliczeniowa lekarzy/dentystów, bez faktoringu;
  13. ochrona, która odbiera gości i przesyłki przy bramie;
  14. podmioty zewnętrzne, usługodawcy itd., którym zleca się odczytywanie oraz/ lub zbieranie, względnie przetwarzanie opłat za media w mieszkaniach czynszowych (ogrzewanie, prąd, woda, itd.);
  15. usługodawcy zajmujący się organizacją wiz, którzy otrzymują w tym celu dane zatrudnionych osób od pracodawcy.

            Z kolei nie dochodzi do powierzenia przetwarzania danych w rozumieniu art. 4 ust. 8 RODO (lecz do (1) odrębnego administrowania bądź (2) w ogóle braku przetwarzania danych przez dany podmiot), zwykle w odniesieniu do następujących, przykładowych sytuacji:

Przy korzystaniu z usług zewnętrznych ze strony samodzielnego administratora – w następujących sytuacjach:

  1. w przypadku zawodów poddanych tajemnicy zawodowej (doradca podatkowy, adwokat, zewnętrzny lekarz zakładowy, rewident gospodarczy);
  2. w przypadku agencji windykacyjnych przy przeniesieniu roszczeń;
  3. w przypadku transferu pieniędzy przez instytucje bankowe;
  4. w przypadku usług pocztowych dostarczania listów lub paczek;
  5. w działalności administracji budynku;
  6. detektywi dokonujący obserwacji/ nagrywania/ prowadzący dochodzenie;
  7. producenci oraz hurtownicy, którzy otrzymują od sprzedawców detalicznych adresy ich klientów, w związku z uzgodnioną z tymi klientami bezpośrednią wysyłką (zlecenie wysyłki towarów);
  8. podmiot wysyłający kwiaty lub wina, który otrzymuje listę adresów do wysyłki prezentów w postaci kwiatów, względnie win do osób trzecich (zlecenie wysyłki towarów);
  9. zarządca masy upadłościowej;
  10. agencja rekrutacyjna na zlecenie osoby szukającej pracy lub pracodawcy;
  11. dostawca platformy internetowej w celu pośredniczenia pomiędzy sprzedawcą a konsumentem, którzy mogą się spotkać na platformie;
  12. usługi telekomunikacyjne, chyba że dochodzą do nich usługi towarzyszące takie jak archiwizacja telefonów służbowych czy usuwanie danych z chmury, itd.;
  13. pośrednicy ubezpieczeniowi/ finansowi; pośrednicy w ramach umów z klientami;
  14. przedstawiciel handlowy w ramach doradztwa oraz pośrednictwa;
  15. przesłanie danych uczestnika szkolenia w celu przeprowadzenia szkolenia przez zewnętrznego trenera do organizatora szkolenia lub hotelu;
  16. wytwarzanie indywidualnych produktów medycznych, środków, protez, itd. dla pacjentów/ klientów na zlecenie lekarzy, dentystów, aptek, sklepów medycznych;
  17. laboratoria medyczne, laboratoria materiałowe itd. (zlecenie badań materiałowych);
  18. usługi płatnicze w przypadku płatności elektronicznych (przesyłanie danych płatniczych, kontrola prania pieniędzy oraz oszustw, zgodnie z wymogami niemieckiej ustawy o nadzorze finansowym oraz podstawowymi wymogami niemieckiego Federalnego Urzędu Nadzoru Usług Finansowych);
  19. dostawcy usług, przy których pośredniczy biuro podróży, jak np. hotele, podmioty wynajmujące samochody, spółki lotnicze, operatorzy autobusów, ubezpieczenia, itd.

Co do zasady, nie dochodzi do zlecenia czynności przetwarzania danych osobowych lecz umowa dotyczy innych czynnościw następujących sytuacjach:

  1. rzemieślnik wynajęty przez osobę wynajmującą, który otrzymuje niezbędne dane najemcy;
  2. rzeczoznawca oceniający szkody w samochodzie;
  3. przewóz osób, usługi transportu chorych;
  4. usługi ochrony;
  5. usługi sprzątania oraz prace rzemieślników w przedsiębiorstwie;
  6. czyszczenie strojów roboczych, mających plakietkę z nazwiskiem;
  7. drukowanie prospektów, katalogów ze zdjęciami zatrudnionych lub fotomodelek;
  8. transport wystarczająco wybrakowanych materiałów papierowych;
  9. transport dokumentów oraz towarów przez kurierów, spółki spedycyjne, roznoszenie gazet;
  10. tłumaczenie tekstów z lub na języki obce.

Jak podkreślił bawarski organ, w obu podkategoriach (a więc zarówno w przypadku odrębnego administrowania, jak i przy braku czynności przetwarzania danych osobowych), administrator, w zależności od konkretnego przypadku i jeżeli zajdzie taka potrzeba, precyzuje cel oraz określa poufność w odniesieniu do przekazanych danych.

Podsumowanie

            Odróżnienie pojęcia „administratora” oraz „podmiotu przetwarzającego” jest niezwykle istotne, różny jest ich zakres obowiązków jak i odpowiedzialności. Niestety, przepisy RODO nie wymieniają kazuistycznie sytuacji pozwalających jednoznacznie zakwalifikować dany podmiot do jednej z kategorii, dlatego każdorazowo należy zestawiać faktyczne czynności z definicjami legalnymi zawartymi w art. 2 pkt 7 i 8 RODO. Przydatnym może być także przegląd orzecznictwa Trybunału Sprawiedliwości UE, który bardzo często zajmuje się rozstrzyganiem spraw z zakresu ochrony danych osobowych. Przykładem katalogu sytuacji w których dochodzi do powierzenia przekazania danych, oraz w których to nie następuje jest dokument Bawarskiego Urzędu Krajowego ds. Nadzoru nad Ochroną Danych, który może być pewną wskazówką dla polskich przedsiębiorców do czasu wydania podobnego dokumentu przez UODO.

Źródła

  1. Bielak-Jomaa Edyta (red.) Chomiczewski Witold Czerniawski Michał Drobek Piotr Góral Urszula Kuba Magdalena Łuczak Joanna Makowski Paweł Witkowska-Nowakowska Katarzyna Zawadzka Natalia, RODO. Ogólne rozporządzenie o ochronie danych. Komentarz., Wolters Kluwer Polska, 2018.
  2. Fajgielski Paweł, Komentarz do rozporządzenia nr 2016/679 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), [w:] Ogólne rozporządzenie o ochronie danych. Ustawa o ochronie danych osobowych. Komentarz., Wolters Kluwer Polska, 2018.
  3. Błachut Jacek i Dudzik Sławomir, Ochrona danych osobowych w działalności profesjonalnych uczestników rynku funduszy inwestycyjnych. Europejski Przegląd Sądowy, 2019, nr 4. s. 12-22, Teza
  4. https://www.lda.bayern.de/media/FAQ_Abgrenzung_Auftragsverarbeitung.pdf, za: https://gdpr.pl/administrator-czy-podmiot-przetwarzajacy-stanowisko-bawarskiego-organu (dostęp na dzień: 10 lipca 2020 roku).