Jeden zbiór danych osobowych – kilku administratorów danych

co-workers-294266_640Złożoność relacji występująca w obrocie cywilnoprawnym czy gospodarczym, w odniesieniu do których mamy do czynienia z procesem przetwarzania danych osobowych niesie za sobą konieczność spełnienia obowiązków wynikających z Ustawy o Ochronie Danych Osobowych (UODO). Podstawową kwestią w tym zakresie jest dokonanie ustaleń, czy w danym wypadku w ogóle mamy do czynienia z danymi osobowymi, jakie zbiory można zidentyfikować, jak również ustalanie kto jest w określonej sytuacji administratorem danych.

Ze względu na to, iż polski ustawodawca dokonując implementacji Dyrektywy 95/46/WE Parlamentu Europejskiego I Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych, zdefiniował wymienione wyżej pojęcia, dokonanie takich ustaleń nie powinno nastręczać problemów.

 Definicje

Zgodnie z art. 6 ust.1 UODO: za dane osobowe uważa się wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. W słowniczku UODO w art. 7 ust.1 zdefiniowane zostało także pojęcie zbioru danych jako – każdy posiadający strukturę zestaw danych o charakterze osobowym, dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest rozproszony lub podzielony funkcjonalnie. W tym samym artykule w ustępie 4 wyjaśnione zostało znaczenie terminu administratora danych przez którego rozumieć należy: organ, jednostkę organizacyjną, podmiot lub osobę, o których mowa w art. 3, decydujące o celach i środkach przetwarzania danych osobowych.

Zatem rozpoznanie tych pojęć w odniesieniu do sytuacji występujących w codziennych relacjach wiążących się z operacjami dokonywanymi na danych nie powinno budzić wątpliwości. Podczas gdy rzeczywistość w odniesieniu do tych terminów nie jest jednoznaczna, co potwierdzają liczne interpretacje i decyzje wydawane przez GIODO, orzeczenia sądów oraz wypowiedzi doktryny, które również wskazują na występowanie w tym zakresie wielu wątpliwości.

Przykład może stanowić sytuacja, gdzie w odniesieniu do jednego zbioru danych osobowych mamy do czynienia z wielością podmiotów, które należy uznać za administratorów danych. Nie jest to sytuacja, która stanowi novum w polskim systemie, bowiem możliwość taka wynika bezpośrednio ze wspomnianej dyrektywy 95/46/WE, która w artykule 2 definiuje pojęcie administratora danych jako: osobę fizyczną lub prawną, władzę publiczną, agencję lub inny organ, który samodzielnie lub wspólnie z innymi podmiotami określa cele i sposoby przetwarzania danych; jeżeli cele i sposoby przetwarzania danych są określane w przepisach ustawowych i wykonawczych lub przepisach wspólnotowych, administrator danych może być powoływany lub kryteria jego powołania mogą być ustalane przez ustawodawstwo krajowe lub wspólnotowe.

Praktyczny przykład

Jak wskazuje praktyka, pojawiają się: Trudności z ustaleniem, kto powinien być uznany za administratora danych osobowych(…), m.in. gdy chodzi o podmioty przetwarzające dane osobowe beneficjentów ostatecznych projektów finansowanych z programów operacyjnych funduszy europejskich. W ramach tych działań występują: instytucja zarządzająca – Minister Rozwoju Regionalnego; instytucja wdrażająca – Polska Agencja Rozwoju Przedsiębiorczości oraz podmioty, które realizują projekty. Po dokonaniu analizy zawiłych relacji między tymi podmiotami Wojewódzki Sąd Administracyjny uznał, że administratorem danych jest instytucja zarządzająca, natomiast instytucja wdrażająca (Polska Agencja Rozwoju Przedsiębiorczości – PARP) działa jako przetwarzający te dane na zlecenie (por. wyrok WSA w Warszawie z dnia 19 sierpnia 2008 r., II SA/Wa 734/08, LEX nr 515183). Stanowisko takie zakwestionował Naczelny Sąd Administracyjny, który podzielając częściowo argumenty przedstawione przez GIODO, uznał, że w omawianym zakresie administratorem danych osobowych jest instytucja wdrażająca – Polska Agencja Rozwoju Przedsiębiorczości, instytucji zarządzającej – Ministrowi Rozwoju Regionalnego – przyznał status administrującego zbiorem, natomiast spółka, która realizowała projekt, wskazana została jako podmiot przetwarzający dane na zlecenie (por. wyrok NSA z dnia 8 września 2009 r., I OSK 1378/08, niepubl.). Opisany wyżej kazus wywołuje wiele kontrowersji w doktrynie i jest kwestionowany w odniesieniu do sytuacji powierzenia przetwarzania danych.

Stanowisko GIODO i kluczowe wyroki NSA

Odnosząc się do definicji administratora danych, zarówno z UODO jak i dyrektywy, warto zapoznać się ze stanowiskiem GIODO odnoszącym się do tego zagadnienia. Stwierdził on bowiem iż: za administratora danych uznaje się zarówno organ państwowy lub samorządowy bank, fundusz emerytalny jak i dowolną spółkę. Te właśnie podmioty mają status administratora danych, natomiast administratorem nie jest osoba lub osoby pełniące funkcję kierownicze (minister, dyrektor, prezes, wójt), podobnie jak i oznaczony pracownik, któremu powierzono wykonywanie obowiązków związanych z ochroną i operacjami na danych osobowych.

Nawiązując w tym zakresie do wyroku NSA z dnia 30 stycznia 2002 r. II SA 1098/01, należy podkreślić, że Administratorem nie jest więc każdy dysponent danych osobowych. Jest nim ten, kto decyduje o celach i środkach przetwarzania, przy czym zasadnicze znaczenie ma rodzaj i charakter nadanych przez prawo kompetencji z zakresu spraw publicznych.

Natomiast w wyroku NSA z dnia 1 grudnia 2009 r. I OSK 227/09 przeprowadzona została wykładnia art. 7 ust. 4 UODO, zgodnie z którą: definicja ustawowa administratora danych opiera się na dwóch przesłankach: – po pierwsze, przesłance podmiotowej, stanowiącej, że administratorem danych jest organ, jednostka organizacyjna, podmiot lub osoba, o których mowa w art. 3 tej ustawy, – po drugie, przesłance przedmiotowej opartej o kryterium decydowania o celach i środkach przetwarzania danych osobowych.

Opierając się na takiej interpretacji należy zauważyć, że wielokrotnie występują sytuacje, w których mimo operacji dokonywanych na tym samym zbiorze danych, mamy w istocie do czynienia z kilkoma odrębnymi administratorami danych, z których każdy spełnia wymienione wyżej kryteria podmiotowe i przedmiotowe.

Kolejne praktyczne przykłady

Przykład sytuacji, w której w odniesieniu do tego samego zbioru występuje więcej niż jeden administrator danych, występuje m.in. w sytuacji gromadzenia danych na potrzeby realizacji rządowego programu dla rodzin wielodzietnych, w związku z przyznawaniem i wydawaniem Kart Dużej Rodziny.

Zgodnie z paragrafem 20 ust. 2 Rozporządzenia Rady Ministrów z dnia 27 maja 2014r w sprawie szczegółowych warunków realizacji rządowego programu dla rodzin wielodzietnych(Dz. U. z dnia 5 czerwca 2014 r.)Administratorami danych osobowych przetwarzanych w zakresie niezbędnym do przyznawania Karty oraz wydawania duplikatu Karty są wójt oraz minister właściwy do spraw zabezpieczenia społecznego.

Kolejny przykład, w którym względem jednego zbioru danych mamy wielu administratorów danych wiąże się z funkcjonowaniem systemu POLTAX wykorzystywanego w urzędach skarbowych do ewidencjonowania i przetwarzania danych o podatnikach, a rozwijanego i  obsługiwanego przez Ministerstwo Finansów. W nawiązaniu do tego stanu rzeczy aprobującą tezę przedstawił Paweł Litwiński: „Możliwość pełnienia przez dwa lub więcej podmioty roli administratora danych w stosunku do tego samego zbioru danych jest akceptowana w nauce prawa. Wskazuje się przy tym, że wielość administratorów danych może zaistnieć w przypadku, gdy dwa lub więcej podmioty działają wspólnie i wspólnie podejmują decyzje o celach i środkach przetwarzania danych bądź też każdy z nich podejmuje te decyzje samodzielnie w stosunku do przetwarzanych danych. Sytuacja taka występuje właśnie w związku z przetwarzaniem danych osobowych w systemie Poltax – zarówno Minister Finansów, jak i naczelnicy urzędów skarbowych podejmują w pewnym zakresie decyzje o celach i środkach przetwarzania danych osobowych. Stąd zasadne wydaje się przyjęcie, że podmioty te pełnią jednocześnie rolę administratorów danych osobowych przetwarzanych w systemie Poltax. Rolę administratora danych osobowych pełni minister właściwy do spraw finansów publicznych oraz naczelnicy danych urzędów skarbowych w stosunku do danych osobowych przetwarzanych w systemie Poltax w tych urzędach.

Podobna okoliczność ma miejsce, jak wskazuje GIODO – w odniesieniu do uprawnień starostów dotyczących rejestracji pojazdów i wydawania uprawnień do kierowania pojazdami: Starostowie są administratorami prowadzonych przez siebie zbiorów związanych z rejestracją pojazdów i wydawaniem dokumentów stwierdzających uprawnienia do kierowania pojazdami. Na podstawie przepisów ustawy Prawo o ruchu drogowym gromadzą w tych zbiorach dane, które następnie przekazywane są do zbioru danych, którego administratorem jest minister właściwy do spraw wewnętrznych. Udostępnianie danych osobowych gromadzonych przez starostów w ramach wskazanych zadań odbywać się będzie na podstawie ogólnych przesłanek przetwarzania danych wskazanych w ustawie z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (art. 23 ust. 1 pkt. 1 – 5). 

Wnioski

Nawiązując do opisywanej sytuacji występowania kilku administratorów danych osobowych w odniesieniu do jednego zbioru danych osobowych doktryna stoi na stanowisku, iż tacy administratorzy maja możliwość,  aby „działać wspólnie (a więc decyzje dotyczące zbioru podejmować we wzajemnym uzgodnieniu, w tym także opartym na podziale kompetencji) albo samodzielnie (i wtedy każdy z nich posiadałby status samodzielnego administratora łącznie z wiążącymi się z tym uprawnieniami i obowiązkami). /Janusz Barta, Paweł Fajgielski, Ryszard Markiewicz,  Komentarz, Ochrona danych osobowych. wyd. V, 2011/.

Podsumowując trzeba zaznaczyć, że dla pełnego zrealizowania wymagań ustawowych oraz rozporządzeń wykonawczych, na każdym z administratorów danych indywidualnie ciążą obowiązki związane z ochroną przetwarzanych danych, tj. zadbanie o legalność procesów przetwarzania danych osobowych, zastosowanie adekwatnych do zagrożeń środków organizacyjnych i technicznych, obowiązek wyznaczenia ABI, czy obowiązki informacyjne.

Źródła:

Barta J., Fajgielski P., Markiewicz R., Ochrona danych osobowych. Komentarz, LEX wyd. V, 2011

Rozporządzenie Rady Ministrów z dnia 27 maja 2014 r. w sprawie szczegółowych warunków realizacji rządowego programu dla rodzin wielodzietnych (Dz. U. z dnia 5 czerwca 2014 r.)

http://www.giodo.gov.pl/317/id_art/1966/j/pl/

Powiązane artykuły

Zasady pracy zdalnej a RODO – poradnik
Kontrola trzeźwości – co na to nowelizacja kodeksu pracy?
Praca zdalna a RODO – co na to nowelizacja kodeksu pracy?

Zostaw odpowiedź

* pola obowiązkowe

Administratorem danych osobowych jest Lex Artist sp. z o.o., ul. Szańcowa 74/1, 01-458 Warszawa. Dane osobowe będą przetwarzane w celu umieszczenia i obsługi komentarza na blogu. Przysługują Panu/Pani następujące prawa: prawo dostępu do treści danych, prawo do sprostowania danych, prawo do usunięcia danych, prawo do ograniczenia przetwarzania danych, prawo do wniesienia sprzeciwu, prawo do wniesienia skargi do organu nadzorczego. Pełna treść klauzuli informacyjnej znajduje się tutaj.

Zanonimizowany ciąg znaków stworzony na podstawie Pani/Pana adresu email (tak zwany hash) może zostać przesłany do usługi Gravatar w celu sprawdzenia czy jej Pan/Pani używa. Polityka prywatności usługi Gravatar jest dostępna tutaj. Po zatwierdzeniu komentarza obrazek profilowy jest widoczny publicznie w kontekście twojego komentarza.

Czas na rodo

Czy wiesz że?

Prowadzimy najpopularniejszy w Polsce kanał na YouTube poświęcony RODO.

Oglądaj czas na RODO