iSecure logo
Blog

Kiedy procesor staje się administratorem?

Agnieszka Rapcewicz
Obowiązki informacyjne przedsiębiorcy zawierającego umowy na odległość drogą elektroniczną…
Kategorie

Czy w toku obowiązywania umowy powierzenia przetwarzania danych osobowych procesor może jednocześnie pełnić rolę administratora? Czy po rozwiązaniu umowy powierzenia procesor może stać się administratorem danych osobowych, które wcześniej przetwarzał wyłącznie w imieniu innego podmiotu? Odpowiedzi na te pytania mają istotne znaczenie dla określenia obowiązków i potencjalnej odpowiedzialności podmiotów biorących udział w procesie przetwarzania danych osobowych.

Z definicji podmiot przetwarzający nie decyduje samodzielnie o celach i sposobach przetwarzania danych osobowych, lecz wykonuje operacje przetwarzania wyłącznie na polecenie administratora i w jego imieniu. Zasadniczo podstawą dla przetwarzania danych osobowych jest umowa, która musi określać przede wszystkim: przedmiot, czas trwania, charakter i cel przetwarzania, rodzaj danych osobowych, kategorie osób, których dane dotyczą. Procesor jest uprawniony do przetwarzania danych osobowych wyłącznie w ramach wyznaczonych powyższą umową i poleceniami administratora.

Zmiana roli w toku obowiązywania umowy powierzenia

Może się zdarzyć, że w toku obowiązywania umowy powierzenia przetwarzania danych osobowych procesor wykroczy poza zakres przetwarzania określony przez umowę. Nie będzie wówczas działał na podstawie polecenia administratora – np. z powodu zmiany celu lub sposobu przetwarzania danych osobowych wyznaczonych przez zleceniodawcę. Czy w takiej sytuacji dalej pełni on dalej rolę podmiotu przetwarzającego? To zależy od okoliczności konkretnego przypadku, tzn. jak daleko procesor wykroczy poza polecenie administratora i z jakiego powodu. Należy pamiętać, że to nie umowa wyznacza role w procesie przetwarzania danych osobowych, lecz stan faktyczny.

Podmiot przetwarzający może wykroczyć poza polecenie administratora po to, aby zapewnić jak największą zgodność przetwarzania z przepisami prawa (jeśli z jakichś przyczyn ramy wyznaczone przez administratora nie zapewniały tej zgodności). Wówczas należy uznać, że podmiot przetwarzający zachowa swoją pierwotną rolę. Może jednak stać się też tak, że procesor będzie wykorzystywać powierzone mu dane osobowe we własnych celach i decydować samodzielnie o sposobach przetwarzania. Wówczas, jeśli nie ma własnej, zgodnej z prawem podstawy przetwarzania danych osobowych, należy taki przypadek traktować jako zawinione naruszenie umowy powierzenia. Procesor będzie w tym zakresie pełnił rolę administratora ze wszystkimi tego konsekwencjami. Będzie więc ponosił odpowiedzialność za brak podstawy prawnej przetwarzania, brak realizacji obowiązków informacyjnych wobec podmiotów danych, jak również za ewentualne nieadekwatne zabezpieczenie przetwarzanych danych.

Pełnienie podwójnej roli zgodnie z prawem

Czy w toku obowiązywania umowy powierzenia przetwarzania danych osobowych możliwe jest jednak, aby podmiot przetwarzający jednocześnie pełnił zgodnie z prawem rolę administratora w stosunku do danych osobowych o zakresie identycznym jak zakres danych powierzonych przez inny podmiot? Moim zdaniem, tak. Jako przykład wskazałabym relację pomiędzy agencją rekrutacyjną a jej klientem – potencjalnym pracodawcą. Z jednej strony agencja rekrutacyjna, tworząc swoją bazę kandydatów, pozyskuje zgody na przetwarzanie danych osobowych tych osób w celu uwzględniania ich w przyszłych procesach rekrutacyjnych prowadzonych dla swoich klientów. Zakres przetwarzanych danych osobowych to informacje zawarte w CV. Ponadto agencja może przetwarzać dane kandydatów w innych celach – np. imię i nazwisko oraz adres e-mail będą wykorzystywane do celów marketingowych (informowanie o różnych wydarzeniach organizowanych przez agencję, przeprowadzanie ankiet dotyczących sytuacji na rynku pracy i przygotowywania na tej podstawie raportów, itp.). Z drugiej strony, agencja rekrutacyjna, po przekazaniu potencjalnemu pracodawcy danych wyselekcjonowanego kandydata ze swojej bazy, może dostać od klienta zlecenie podjęcia określonych czynności wobec tego konkretnego kandydata, które standardowo nie należą do zakresu usług rekrutacyjnych. Może chodzić o negocjowanie umowy o pracę, przekazanie kandydatowi w imieniu klienta informacji dotyczących przetwarzania danych osobowych, czy o przeprowadzenie ankiety satysfakcji zatrudnionej osoby w pierwszym okresie pracy. Agencja będzie wówczas przetwarzać dane identyfikacyjne (i ewentualnie inne) kandydata, które posiada już w swojej bazie, ale cele i sposób przetwarzania w zakresie zleconym przez klienta będą zupełnie inne od celów wyznaczonych przez agencję rekrutacyjną na własne potrzeby. Uważam, że w tym przypadku agencja rekrutacyjna będzie więc – zgodnie z przepisami prawa – pełnić w stosunku do tych samych danych (tj. danych o tej samej treści), dotyczących tej samej osoby, zarówno funkcję administratora, jak i rolę podmiotu przetwarzającego.

Dalsze przetwarzanie po rozwiązaniu lub wygaśnięciu umowy powierzenia

Umowa powierzenia przetwarzania danych osobowych najczęściej jest zawierana na czas umowy głównej (umowy o świadczenie usług). Co do zasady z chwilą rozwiązania lub wygaśnięcia umowy podmiot przetwarzający powinien w zależności od jej postanowień, zwrócić lub usunąć powierzone dane osobowe. Wówczas przestaje w jakichkolwiek sposób uczestniczyć w procesie przetwarzania danych osobowych, które wcześniej przetwarzał w imieniu administratora. Czy jednak zawsze tak się dzieje? Niekoniecznie.

Po pierwsze, podmiot przetwarzający z przyczyn technicznych może nie mieć możliwości zwrotu lub usunięcia powierzonych danych osobowych w niedługim czasie (np. w terminie do 14 dni) od zakończenia współpracy. Może być też tak, że to administrator zleca procesorowi dalsze przechowywanie danych osobowych, mimo rozwiązania umowy głównej. Będzie to się wiązało z dalszym pełnieniem roli podmiotu przetwarzającego przez zleceniobiorcę (mimo zakończenia świadczenia głównej usługi) do czasu ustalonego przez strony okresu usunięcia (lub zwrotu) danych osobowych. Powinno to być jednak wyraźnie uregulowanie w umowie powierzenia przetwarzania danych osobowych.

Po drugie, zgodnie z art. 28 ust. 3 lit. g RODO, po zakończeniu świadczenia usług związanych z przetwarzaniem podmiot przetwarzający nie jest zobowiązany do zwrotu lub usunięcia powierzonych danych osobowych, jeśli prawo Unii lub prawo państwa członkowskiego nakazują przechowywanie danych osobowych. Wówczas dany podmiot będzie nadal pełnił rolę procesora, ale na podstawie właściwych przepisów prawa i przetwarzanie będzie ograniczone wyłącznie do przechowywania danych osobowych. W praktyce trudno jednak znaleźć przykład takiej regulacji. W tych przypadkach, gdzie określony podmiot świadczy usługi na rzecz administratora i ma obowiązek przechowywania danych osobowych przez okres wskazany w przepisach, usługodawca jest raczej od początku uznawany za odrębnego administratora (przykładem mogą być brokerzy ubezpieczeniowi lub adwokaci i radcy prawni).

Po trzecie, w praktyce spotykam się z sytuacjami, gdy podmioty przetwarzające chcą przetwarzać powierzone dane osobowe po rozwiązaniu umowy we własnych celach, a konkretnie w celach dowodowych. W umowach powierzenia można spotkać postanowienia, zgodnie z którymi administrator wyraża zgodę, że po wykonaniu usług przez procesora będzie on przetwarzał dane osobowe otrzymane przez niego od administratora. Jako cel takiego przetwarzania zazwyczaj jest wskazywana konieczność udowodnienia podjętej pomiędzy stronami współpracy, obrona przed potencjalnymi roszczeniami podmiotów danych czy konieczność udowodnienia przetwarzania danych osobowych zgodnie z przepisami prawa. Czy taka praktyka jest prawidłowa? Jaki jest wówczas status pierwotnego podmiotu przetwarzającego? Przede wszystkim należy podkreślić, że w razie przetwarzania przez taki podmiot powierzonych danych osobowych po zakończeniu świadczenia usług, we własnym interesie i wyłącznie we własnych celach, stanie się on niezależnym administratorem. W konsekwencji będzie zobowiązany do spełnienia wobec osób, których dane przetwarza, obowiązku informacyjnego na podstawie art. 14 RODO (ze względu na pozyskanie danych osobowych od podmiotu trzeciego). Będzie musiał również wykazać, że posiada podstawę prawną do przetwarzania tych danych i należycie je zabezpieczyć.

Czy jednak pierwotny administrator może i powinien wyrazić zgodę na dalsze przetwarzanie danych osobowych przez usługodawcę jako administratora? Należy pamiętać, że w takiej sytuacji pierwotny administrator będzie udostępniał dane osobowe odrębnemu podmiotowi i musi mieć do tego podstawę prawną. Udostępnienie jest bowiem jedną z form przetwarzania danych osobowych. Można by twierdzić, że taką przesłanką mógłby być prawnie uzasadniony interes byłego usługodawcy. Na tę przesłankę przetwarzania można jednak się powołać wówczas, gdy przetwarzanie danych osobowych jest niezbędne dla realizacji celu tego podmiotu, a ponadto gdy interesy podmiotu trzeciego będą przeważały nad interesami lub podstawowymi prawami i wolnościami osoby, której dane dotyczą. Zarówno pierwotny administrator, jak i odbiorca danych (który również będzie zapewne powoływał się na swój prawnie uzasadniony interes w zakresie przetwarzania udostępnionych mu danych), powinni dokonać testu równowagi, aby stwierdzić, czy rzeczywiście ta przesłanka może mieć zastosowanie. Moim zdaniem w większości przypadków wynik takiego testu nie pozwoli na udostępnienie danych przez pierwotnego administratora i przetwarzanie danych przez byłego usługodawcę. Dlaczego?

Otóż dane osobowe muszą być zawsze przetwarzane zgodnie z podstawowymi zasadami  określonymi w art. 5 RODO. Wśród nich znajdują się m.in. zasada legalności, rzetelności i przejrzystości oraz zasada minimalizacji. Dane osobowe mogą być przetwarzane wyłącznie wtedy, kiedy jest to niezbędne do osiągnięcia wyznaczonego celu i tylko w takim zakresie, jaki jest niezbędny. Czy usługodawca faktycznie potrzebuje zachować powierzone wcześniej dane osobowe po to, aby udowodnić fakt nawiązania współpracy pomiędzy stronami i prawidłowego wykonania usług? Moim zdaniem, nie. Przecież fakt nawiązania współpracy dokumentuje sama umowa o świadczenie usług oraz umowa powierzenia, które to dokumenty będą zazwyczaj przechowywane dalej przez obie strony. Nie będą więc potrzebne do wykazania powyższych okoliczności dane osobowe, które stanowiły przedmiot powierzenia. Jeśli były usługodawca chciałby zachować np. korespondencję, która miałaby wykazać prawidłowe spełnienie przez niego zobowiązań, mógłby zanonimizować dane osobowe znajdujące się w takiej korespondencji. Innym rozwiązaniem mogłoby być choćby podpisanie protokołu przy rozwiązaniu umowy, w którym usługobiorca potwierdzi prawidłowe wykonanie umowy przez usługodawcę.

Czy usługodawca musi zachować dane osobowe, aby bronić się przed roszczeniami podmiotów danych lub wykazać, że przetwarzał dane zgodnie z prawem? Jeśli w trakcie obowiązywania umowy nie będzie żadnego spornego przypadku dotyczącego przetwarzania powierzonych danych, nie potrafię znaleźć przykładu, kiedy dalsze przetwarzanie danych przez usługodawcę byłoby konieczne. Działanie to byłoby po prostu nieadekwatne. Mam wrażenie, że wiele podmiotów przetwarzających wprowadza omawiane postanowienia bezrefleksyjnie, nie zadając sobie nawet pytania: po co nam dane osobowe po rozwiązaniu umowy? Czy rzeczywiście musimy przetwarzać te dane?

Wnioski

Podsumowując, może zdarzyć się, że zarówno aktualny, jak i były podmiot przetwarzający będzie występował w roli administratora w stosunku do powierzonych mu danych. Będzie to wiązało się z koniecznością spełnienia wszystkich obowiązków, jakie na administratorów nakłada RODO. Pełnienie roli administratora nie jest zależne od tego, czy dany podmiot przetwarza dane osobowe zgodnie z prawem, czy działa z naruszeniem przepisów z uwagi np. na brak podstawy prawnej wynikającej z art. 6 lub art. 9 RODO. Szczególną uwagę należy moim zdaniem przyłożyć do tych przypadków, gdy dane, pierwotnie powierzone, mają zostać udostępnione przez pierwotnego administratora byłemu usługodawcy po zakończeniu współpracy. Bardzo ważne jest wówczas dokładne zweryfikowanie, czy faktycznie były procesor musi przetwarzać dane osobowe w wyznaczonym przez siebie celu. W wielu przypadkach może okazać się, że w ogóle ich nie potrzebuje. W takiej sytuacji zarówno pierwotny administrator może ponosić odpowiedzialność za niezgodne z prawem udostępnienie danych osobowych, jak i były procesor – za nieadekwatne przetwarzanie danych osobowych w wyznaczonych przez siebie celach.

Pobierz wpis w wersji pdf

Podobne wpisy:

Jak przetwarzać dane - poradnik (cz. III)
Maria Lothamer

Jak przetwarzać dane – poradnik (cz. III)

W ostatnich dwóch poradnikach z cyklu „Jak przetwarzać dane” przedstawiliśmy i krótko opisaliśmy Wam dwie z pięciu przesłanek, umożliwiających przetwarzanie danych tzw. „zwykłych” zgodnie z ustawą o ochronie danych osobowych. Jak się zapewne domyślacie, w tej części poradnika przedstawimy Wam kolejną, trzecią już, przesłankę legalizującą przetwarzanie danych (w praktyce ustawodawca w art. 23 ust. 1 pkt. 3 określił na dobrą sprawę dwie sytuacje legalizujące przetwarzanie danych).

Profilowanie klientów – nowe plany zarobkowe Alior Banku
Damian Bielecki

Powierzenie po duńsku, czyli jak przy pomocy klocków w art. 28 ust. 3 stworzyć umowę powierzenia?

Od czasu wejścia w życie RODO minęło już ponad dwa lata. 25 maja 2018 roku umowa powierzenia była niemalże całkowicie nieznana biznesowi, a idea zawierania umowy w przypadkach przetwarzania danych osobowych w imieniu zlecającego dopiero nabierała na znaczeniu – mimo, że samo umowne powierzanie danych osobowych było obowiązkiem jeszcze przed obowiązywaniem stosowania RODO (na podstawie ustawy […]

Przetwarzanie danych służbowych
Przemysław Siarka

DPIA w organizacji

Jednym z częstych uchybień, które mają miejsce podczas wdrażania RODO, jest błędna ocena co do braku przesłanek do przeprowadzenia oceny skutków dla ochrony danych (Data Protection Impact Assessment, DPIA). Często może być wynikiem przeświadczenia, że skoro niejedna analiza procesu została zrobiona przed wdrożeniem RODO (np. podczas audytu), to już nic więcej nie trzeba oceniać. Natomiast […]

Zapis do newslettera
Dodanie e-maila i potwierdzenie "Zapisz się" oznacza zgodę na przetwarzanie przez iSecure Sp. z o.o. podanego adresu e-mail w celu wysyłania newslettera o usługach, wydarzeniach, czy innych działaniach dotyczących naszej Spółki