Charakterystyka podmiotów stosunków prawnych w procesie przetwarzania

Stronami umowy powierzenia przetwarzania danych osobowych są administrator danych osobowych oraz podmiot przetwarzający, nazywany również procesorem. W źródłach anglojęzycznych odpowiednikiem administratora danych jest

data controller, a przetwarzającego – data procesor⁴⁹⁵. Strona uprawniona - administrator

- została nazwana bezpośrednio w treści przepisów prawa regulujących przetwarzanie danych w imieniu administratora. Można powiedzieć, że administrator danych pełni najważniejszą rolę nie tylko w stosunku powierzenia przetwarzania danych, ale globalnie, w całym procesie przetwarzania, z uwagi na to, że ma uprawnienia decyzyjne. Od jego woli oraz działania zależy de facto, czy zaistnieje relacja administratora z każdym innym podmiotem uczestniczącym w przetwarzaniu danych osobowych. Dlatego zazwyczaj najważniejszym okazuje się dokonanie właściwej identyfikacji podmiotu, który jest administratorem danych. Nie jest to zadanie proste i niejednokrotnie może prowadzić do niejednoznacznych ustaleń.

W celu wyjaśnienia kontekstu rozważań warto powołać się na pogląd wyrażony w nauce prawa, dotyczący podmiotów procesu przetwarzania danych osobowych⁴⁹⁶. W ramach tego procesu wyróżniono dwa stosunki: wewnętrzny i zewnętrzny. W stosunku wewnętrznym (wewnątrzorganizacyjnym) uczestniczą administrator danych osobowych i osoby, które zostały upoważnione do przetwarzania danych (na mocy art. 29 RODO). Natomiast w stosunku zewnętrznym wyróżnia się udział administratora danych, przetwarzającego, odbiorcy danych i przedstawiciela (zdefiniowany w art. 4 pkt 17 RODO, oznacza osobę fizyczną lub prawną mającą miejsce zamieszkania lub siedzibę w Unii, która została wyznaczona na piśmie przez administratora lub podmiot przetwarzający na mocy art. 27 do reprezentowania administratora lub podmiotu

przetwarzającego w zakresie ich obowiązków wynikających z niniejszego

rozporządzenia). Omawiając podmiotowy aspekt przetwarzania danych należy również

495 Opracowanie w języku angielskim, Data controllers and data processors: what the difference is and

what the governance implications are, dostępne na stronie internetowej

https://ico.org.uk/media/for-organisations/documents/1546/data-controllers-and-data-processors-dp-guidance.pdf.

188

zwrócić uwagę na podmiot zdefiniowany w art. 4 pkt 10 RODO), czyli stronę trzecią497

, która oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub podmiot inny niż osoba, której dane dotyczą, administrator, podmiot przetwarzający czy osoby, które – z upoważnienia administratora lub podmiotu przetwarzającego – mogą przetwarzać dane osobowe. Krótkie wyjaśnienie tych pojęć jest bardzo istotne z perspektywy dalszych rozważań, ponieważ implikuje wniosek, który wynika również z wypowiedzi Komisji Europejskiej: przetwarzający jest podmiotem zewnętrznym w stosunku do administratora danych, nie jest elementem jego struktury organizacyjnej⁴⁹⁸. W najnowszej literaturze przedmiotu wyrażono inny pogląd w kontekście podmiotów procesu przetwarzania danych⁴⁹⁹. Zgodnie z nim, dane osobowe mogą być przetwarzane przez podmioty należące do jednej z dwóch kategorii: administrator danych osobowych lub podmiot przetwarzający. Wydaje się, że jest to stanowisko, które prowadzi do zbytniego uproszczenia relacji istniejących w ramach przetwarzania danych i w konsekwencji do wyciągnięcia wniosków, które prowadzić mogą do niewłaściwego ustalenia statusu podmiotu zaangażowanego w przetwarzanie. Jednakże można się z tym zgodzić, jeśli mówimy o przetwarzaniu danych osobowych w stosunku powierzenia danych, wtedy bowiem dwupodział kategorii uczestników procesu przetwarzania jak najbardziej jest uzasadniony.

Chronologicznie pierwszym aktem, na który można się powołać przy analizie podmiotów stosunku prawnego powierzenia przetwarzania danych osobowych jest Konwencja Rady Europy nr 108 z 1981 roku. Faktycznie jednak treść Konwencji 108 nie rozwiązuje problemu, gdyż zawarto w niej pojęcie administratora zbioru danych, a nie administratora danych, natomiast brakuje definicji przetwarzającego. Zgodnie z treścią art. 2 lit. d Konwencji pod pojęciem administratora zbioru danych rozumie się osobę fizyczną lub prawną, władzę publiczną, agencję lub każdy inny organ właściwy na podstawie prawa wewnętrznego do określenia celu, któremu ma służyć zautomatyzowany zbiór danych, kategorii gromadzonych danych osobowych oraz sposobu przetwarzania, jakiemu dane będą poddawane. Z biegiem czasu, na etapie prac nad aktem prawnym wiążącym państwa

497 W polskiej ustawie nie identyfikuje się tego pojęcia.

498

“The data processor is usually a third party external to the company. However, in the case of groups of

undertakings, one undertaking may act as processor for another undertaking.”

(https://ec.europa.eu/info/strategy/justice-and-fundamental-rights/data-protection/reform/rules-business-and-organisations/obligations/controller-processor/what-data-controller-or-data-processor_en).

499 P. Litwiński [w:] D. Szostek (red.), Bezpieczeństwo danych i IT w kancelarii prawnej radcowskiej/

adwokackiej/ notarialnej/ komorniczej. Czyli jak bezpiecznie przechowywać dane w kancelarii prawnej,

189

członkowskie Unii Europejskiej (Dyrektywa 95/46/WE), zdecydowano o zmianie administratora zbioru danych na administratora danych. Nie jest to jednak tylko zmiana terminologiczna, ale nowe podejście do podmiotu procesu przetwarzania danych. Wskazuje się na to w treści Opinii 1/2010 w sprawie pojęć administrator danych i przetwarzający⁵⁰⁰ przyjętej w dniu 16 lutego 2010 roku przez Grupę Roboczą ds. ochrony danych powołaną na mocy art. 29 Dyrektywy 95/46/WE.

Administrator danych i przetwarzający występowali już na gruncie Dyrektywy 95/46/WE, w treści art. 17 ust. 2 Dyrektywy 95/46/WE Państwa Członkowskie zobowiązywały administratora danych, w przypadku przetwarzania danych w jego imieniu, do wybrania przetwarzającego. Polski ustawodawca nie formułował nazwy podmiotu przetwarzającego, a posługiwał się w treści art. 31 UODO z 1997 r. sformułowaniem nieokreślonym: „innemu podmiotowi”, a następnie opisowo „podmiot, o którym mowa w ust. 1”. Trudno logicznie uargumentować zasadność takiego zabiegu, wydaje się, że nazwanie drugiej strony stosunku powierzenia zapewniłoby ułatwienie stosowania przepisów i porządek terminologiczny. Natomiast w treści RODO proponuje się rozwiązanie polegające na wskazaniu z nazwy obydwu podmiotów, znane z Dyrektywy 95/46/WE. W treści art. 4 pkt 7 RODO mowa jest o administratorze, który oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych; jeżeli cele i sposoby takiego przetwarzania są określone w prawie Unii lub w prawie państwa członkowskiego, to również w prawie Unii lub w prawie państwa członkowskiego może zostać wyznaczony administrator lub mogą zostać określone konkretne kryteria jego wyznaczania. Wprost jest też wskazany podmiot przetwarzający, który oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który przetwarza dane osobowe w imieniu administratora (art. 4 pkt 8 RODO). W związku z powyższym, dla zachowania porządku terminologicznego warto pozostać przy nazewnictwie wypracowanym na gruncie prawa Unii Europejskiej.

W ramach ogólnych uwag dotyczących stron umowy powierzenia przetwarzania danych osobowych należy rozważyć kwestię wzajemnej relacji administratora i podmiotu przetwarzającego. Już na podstawie regulacji prawnej zawartej w treści art. 28 RODO można wywnioskować brak równorzędności stron umowy powierzenia, w większości przypadków z przewagą administratora. Na pierwszy rzut oka jest to widoczne w sposobie

500 Dalej jako Opinia 1/2010. Tekst dostępny na stronie internetowej http://www.giodo.gov.pl/pl/1520057/3595.

190

ukształtowania sfery praw i obowiązków stron, gdzie prawodawca wyszczególnił szereg obowiązków po stronie podmiotu przetwarzającego, a nie odniósł się do treści zobowiązania z perspektywy administratora. Ponadto z praktycznego punktu widzenia, niejednokrotnie zdarza się, że brak woli podmiotu przetwarzającego co do zawarcia umowy powierzenia w kształcie zaproponowanym przez administratora stanowi powód niedojścia do skutku umowy zasadniczej tj. dla przykładu umowy o świadczenie usług kadrowo-płacowych. Innymi słowy bywa, że administrator decyduje się nie zlecać określonych czynności podmiotowi, który nie akceptuje postanowień umowy powierzenia przetwarzania danych osobowych. Oznacza to, że może się zdarzyć, że umowa powierzenia będzie miała charakter adhezyjny501

. Na podstawie obserwacji kształtującej się praktyki stosowania instrumentu ochrony danych osobowych, jakim jest umowa powierzenia, można też powiedzieć, że w większości przypadków zlecania przetwarzania danych podmiotom zewnętrznym, treść umowy powierzenia jest konstruowana przez administratorów. W związku z tym nie ulega wątpliwości, że jej postanowienia będą bardziej korzystne właśnie dla tej strony. Jednakże zdarza się też tak, że to podmiot przetwarzający, oferując swoje usługi, przewidział również warunki co do zawarcia oraz samej treści umowy powierzenia. Postanowienia umowy są wtedy konstruowane jednostronnie przez podmiot przetwarzający, najczęściej w taki sposób, aby to jego interesy były chronione. Administrator staje wtedy przed wyborem albo zawarcia takiej umowy albo zrezygnowania z tego zleceniobiorcy i szukania nowego. Tego typu sytuacje występują najczęściej w odniesieniu do podmiotów zajmujących się infrastrukturą informatyczną, np. dostawcy usług chmurowych czy hostingodawców. Można powiedzieć, że są to przedsiębiorcy więksi i silniejsi ekonomicznie od potencjalnych klientów (będących w tym układzie administratorami) i dlatego nierównorzędność stron umowy powierzenia zostaje tu odwrócona. Podkreślenia wymaga, że przepis art. 28 ust. 3 RODO nie przesądza, czy na zawarciu umowy powierzenia bardziej powinno zależeć administratorowi, czy podmiotowi przetwarzającemu. Prawodawca ujął tę kwestię ogólnie, stanowiąc, że przetwarzanie przez podmiot przetwarzający odbywa się na podstawie umowy lub innego instrumentu prawnego. Wydaje się, że obie strony powinny być w tym samym stopniu zainteresowane, by do zawarcia umowy doszło. W przeciwnym razie można by powiedzieć, że administratorowi grozi zarzut udostępnienia danych

501

Takie sytuacje będą miały miejsce najczęściej przy usługach związanych z dostarczaniem infrastruktury informatycznej, wynajmowaniu przestrzeni na serwerach, usługach chmurowych.

191

nieuprawnionemu podmiotowi, natomiast podmiotowi przetwarzającego – zarzut przetwarzania danych bez podstawy prawnej.