Podmiot przetwarzający (procesor danych) powinien przetwarzać dane „dla” administratora wyłącznie w takim zakresie, w jakim zostało mu to zlecone, to oczywista oczywistość. Jakie są jednak konsekwencje braku zawarcia stosownej umowy lub przetwarzania danych w innym zakresie, niż nakazuje umowa? Czy w takim przypadku podmiot przetwarzający staje się administratorem danych osobowych? (nieprawomocny wyrok WSA w Warszawie z 27 października 2020 r., II SA/Wa 310/20).
Sprawa dotyczyła odwołania od decyzji, w której PUODO stwierdził, że przetwarzanie danych przez procesora bez stosownej umowy powierzenia przetwarzania naruszało przepisy RODO — oznaczało, że podmiot przetwarzający był administratorem.
Zaczęło się od kontroli, po której stwierdzono, że spółka zarządzająca nieruchomością w imieniu wspólnoty mieszkaniowej, (która świadczyła także usługi w zakresie monitoringu wizyjnego) nie miała umowy umowy na powierzenie przetwarzania danych, a także nie wdrożyła środków niezbędnych dla prawidłowego zabezpieczenia danych osobowych. W toku postępowania podpisano stosowne umowy na przetwarzanie wizerunku i numerów rejestracyjnych pojazdów, co jednak zdaniem PUODO nie zmienia faktu, iż doszło do wielomiesięcznych uchybień: dane były przetwarzane bez upoważnienia, co prowadzi do naruszenia zasady rozliczalności — ale też pozwala uznać, iż podmiot przetwarzający w istocie był administratorem — bo ustalała cele i sposoby przetwarzania danych. W wydanej decyzji organ nałożył na spółkę karę w wysokości 8 tys. złotych.
art. 28 ust. 10 rozporządzenia 2016/679 o ochronie danych osobowych
Bez uszczerbku dla art. 82, 83 i 84, jeżeli podmiot przetwarzający naruszy niniejsze rozporządzenie przy określaniu celów i sposobów przetwarzania, uznaje się go za administratora w odniesieniu do tego przetwarzania.
W skardze na decyzję ukarany podmiot zauważył, że wyłączną odpowiedzialność za zapewnienie środków niezbędnych do kontroli udostępnianych danych ponosi wspólnota mieszkaniowa jako administrator danych. To wspólnota bezpośrednio kontaktowała się z firmą ochroniarską i wyznaczała jej cele, zatem jeśli doszło do nieprawidłowości, to właśnie po stronie ochrony.
art. 29 rozporządzenia o ochronie danych osobowych
Podmiot przetwarzający oraz każda osoba działająca z upoważnienia administratora lub podmiotu przetwarzającego i mająca dostęp do danych osobowych przetwarzają je wyłącznie na polecenie administratora, chyba że wymaga tego prawo Unii lub prawo państwa członkowskiego.
Wojewódzki Sąd Administracyjny podzielił argumenty PUODO: administrator może powierzyć przetwarzanie danych w jego imieniu wyłącznie podmiotowi gwarantującemu wdrożenie odpowiednich środków technicznych i organizacyjnych niezbędnych ze względu na ochronę danych osobowych. Powierzenie przetwarzania następuje na podstawie pisemnej (także elektronicznej) umowy (art. 28 ust. 3 RODO), podmiot związany jest treścią polecenia, chyba że określony obowiązek wprost wynika z przepisów prawa.
Ustawa o gospodarce nieruchomościami nie określa obowiązków zarządcy w zakresie monitoringu wizyjnego, toteż wszelkie podejmowane przezeń czynności w zakresie przetwarzania danych osobowych na potrzeby ochrony powinny być określone w umowie. Konsekwencją przetwarzania danych przez podmiot przetwarzający bez stosownej umowy, w tym także wyjście poza zakres polecenia administratora, jest uznanie go za administratora danych osobowych.
Zawarta pomiędzy wspólnotą mieszkaniową a zarządcą umowa o administrowanie częścią wspólną nieruchomości nie powierzała mu obowiązków w zakresie przetwarzania danych osobowych. Nie tylko określono roli zarządcy w przetwarzaniu danych wizyjnych, nie uregulowano kwestii kontroli i nadzoru nad zapisami, ale też w gruncie rzeczy nie było wiadomo jaki jest cel przetwarzania przez zarządcę nagrań; umowa nie regulowała także trybu decydowania o udostępnianiu danych z monitoringu (procedura ta była uregulowana tylko zwyczajowo, nieformalnie).
Całościowo oznacza to, że zarządca nieruchomości dopuścił się naruszenia przepisów RODO, przeto PUODO miał prawo nałożyć nań karę, której wysokość została określona w sposób adekwatny do rozmiarów uchybień.