Wojewódzki Sąd Administracyjny w Warszawie oddalił skargę spółki, na którą Urząd Ochrony Danych Osobowych nałożył karę w wysokości 8 tys. zł (wyrok z 27 października 2020 r., sygn. akt II SA/Wa 310/20). Organ nadzorczy stwierdził, że spółka będąca procesorem (firma zarządzająca nieruchomościami) przetwarzała dane w sposób wykraczający poza cele wskazane w umowie powierzenia zawartej z administratorem (tu: wspólnotą mieszkaniową).
UODO w toku kontroli ustalił, że pracownicy spółki mieli dostęp do nagrań z monitoringu wizyjnego. Co więcej, istniała zwyczajowa procedura działania, w której rola spółki polegała na przekazywaniu informacji o konieczności udostępnienia nagrania koordynatorowi wyznaczonemu przez podmiot świadczący usługę ochrony. Przy czym przyjęty sposób działania nie wynikał z zapisów umów ani przyjętych przez wspólnotę mieszkaniową procedur wewnętrznych.
WSA potwierdził ocenę UODO, że taka praktyka narusza art. 28 ust. 10 RODO. Przepis ten wprost stanowi, że jeżeli podmiot przetwarzający przy określaniu celów i sposobów przetwarzania naruszy RODO, uznaje się go za administratora w odniesieniu do tego przetwarzania. – To pierwszy przypadek w Polsce, gdy zastosowano ten przepis – informuje dr hab. Grzegorz Sibiga, adwokat i partner w kancelarii Traple Konarski Podrecki & Partners oraz kierownik Zakładu Prawa Administracyjnego Instytutu Nauk Prawnych PAN.

Przykłady nieprawidłowych działań

Wyrok wywołał spore poruszenie wśród przedsiębiorców oraz specjalistów od RODO. Wiele firm już sprawdza – z ostrożności – czy sposoby przetwarzania danych przez procesorów nie są nadmierne. – I słusznie, bo na rynku wciąż można zauważyć wiele przypadków nieprawidłowych działań, które prezes UODO mógłby ocenić jako naruszenie art. 28 ust. 10 RODO – przyznaje dr hab. Sibiga.
Przykład? W grupach kapitałowych nierzadko jest tak, że spółki córki przekazują, zgodnie z umową powierzenia, dane osobowe spółce matce, która zapewnia obsługę ich działalności (np. kadrowej lub księgowej). Ta jednak dokonuje dalszych operacji na pozyskanych danych i wykorzystuje je dla celów całej grupy kapitałowej (np. analiz). – Taka praktyka dalszego przetwarzania może zostać uznana za administrowanie. Z wyroku WSA wynika potrzeba precyzyjnego ustalania celów i sposobów przetwarzania danych w umowie powierzenia i odgraniczenia ich od administrowania. Luki mogą powodować, że to procesor zostanie uznany za administratora bezpodstawnie podejmującego decyzję o przetwarzaniu – stwierdza dr hab. Sibiga.
Inny przykład nieprawidłowości: przedsiębiorcy zawierają umowy powierzenia w celu zestawienia własnych baz kontaktów marketingowych z bazami innych podmiotów i na tej podstawie zweryfikowania poprawności danych i uzupełnienia bazy nowymi danymi. – Sęk w tym, że oba podmioty są w tej sytuacji osobnymi administratorami i każdy z nich decyduje o przetwarzaniu w projekcie własnych danych osobowych. To wykracza poza proste spektrum relacji administrator–procesor – uważa ekspert.
Co ciekawe, w 2013 r. głośna była podobna sprawa prezydent Warszawy Hanny Gronkiewicz-Waltz, która – realizując projekt Karty Warszawiaka –zwróciła się do Ministerstwa Finansów o potwierdzenie adresów zamieszkania obywateli wnioskujących o wydanie wspomnianej karty. Generalny inspektor ochrony danych osobowych (poprzednik UODO) uznał takie działanie za bezprawne. A ponieważ brakowało wówczas przepisu analogicznego do art. 28 ust. 10 RODO, to dopiero Naczelny Sąd Administracyjny w wyroku z 27 października 2017 r. (sygn. akt I OSK 3192/15) przychylił się do argumentacji nadzoru.

Bezprawne według RODO

Warto przypomnieć, że rolą procesora nie jest podejmowanie samodzielnych decyzji, lecz działania w ramach umowy powierzenia oraz innych poleceń administratora. Polecenia powinny zostać udokumentowane, aby w toku ewentualnej kontroli UODO był w stanie ocenić, czy procesor działał na polecenie administratora, czy też samodzielnie ustalał cele przetwarzania danych osobowych.
Przy czym kluczowe jest to, czy organ nadzorczy stwierdzi, czy procesor może być de facto uznany za administratora. Jeśli tak, wówczas najpewniej skończy się to stwierdzeniem naruszenia ochrony danych osobowych przez tego procesora. Bo – mówiąc wprost – procesor nie będzie mógł wówczas wykazać podstaw do wykazania podstaw do przetwarzania tychże danych we własnych celach.
Celem art. 28 ust. 10 jest określenie zasad odpowiedzialności procesora podejmującego samowolne decyzje. – W związku z tym procesor uznany za administratora może spodziewać się sankcji ze strony prezesa UODO, w tym nałożenia kary pieniężnej – mówi dr hab. Grzegorz Sibiga. Kara finansowa może wynieść nawet do 20 mln euro lub 4 proc. obrotu przedsiębiorcy w roku poprzedzającym naruszenie. Ponadto osoby poszkodowane działaniem takiego procesora mogą dochodzić odszkodowania w sądzie.

Jak można zdobyć podstawę

Co jednak istotne, istnieje możliwość, aby procesor miał jednak podstawę do przetwarzania danych osobowych we własnych celach i nie zostało to uznane za przekroczenie uprawnień zawartych w umowie powierzenia. Doktor Marlena Sakowska-Baryła, radca prawny i partner w Sakowska-Baryła Czaplińska Kancelaria Radców Prawnych sp.p. oraz redaktor naczelna „ABI Expert”, podpowiada, że procesor, realizując zadania dla administratora, np. kontaktując się w określonym przez administratora celu z osobami fizycznymi, może jednocześnie prosić owe osoby o wyrażenie zgody na przetwarzanie ich danych osobowych na jego rzecz, np. w celach marketingowych. – Nie stanowi to naruszenia obowiązków procesora zawartych w umowie powierzenia. Procesor realizuje bowiem wówczas równolegle własne cele – jako osobny administrator, a więc zaczyna występować w podwójnej roli – podkreśla dr Sakowska-Baryła.

Odpowiedzialność zlecającego

Pojawia się też pytanie: czy administrator może zostać ukarany za to, że procesor przetwarza dane osobowe niezgodnie z przeznaczeniem lub bez podstawy? Doktor Marlena Sakowska-Baryła wyjaśnia, że zarówno administrator, jak i procesor odpowiadają w zakresie własnych decyzji dotyczących przetwarzania danych osobowych. W pewnych sytuacjach może być jednak tak, że administrator zostanie ukarany za działania procesora. Przykładowo wtedy, gdy przekaże on dane osobowe bez podpisania umowy powierzenia, bądź gdy nie sformalizuje odpowiednio poleceń wydawanych temu procesorowi.
A co, jeśli doszło do poprawnego zawarcia umowy powierzenia i procesor przekroczy uprawnienia w niej zawarte? – Choć każdy taki przypadek należy rozpatrywać indywidualnie, a RODO wiele obowiązków nakłada na procesora, to jednak nie jest wykluczone poniesienie odpowiedzialności przez administratora w związku z tym powierzeniem. Może być to konsekwencja braku odpowiedniego nadzoru nad działaniami procesora – ocenia dr Sakowska-Baryła.