Podmiot przetwarzający dane osobowe bez umowy lub wbrew poleceniu administratora — jest administratorem

Podmiot przetwarzający (procesor danych) powinien przetwarzać dane „dla” administratora wyłącznie w takim zakresie, w jakim zostało mu to zlecone, to oczywista oczywistość. Jakie są jednak konsekwencje braku zawarcia stosownej umowy lub przetwarzania danych w innym zakresie, niż nakazuje umowa? Czy w takim przypadku podmiot przetwarzający staje się administratorem danych osobowych? (nieprawomocny wyrok WSA w Warszawie z 27 października 2020 r., II SA/Wa 310/20).


monitoring części wspólnej nieruchomości

Podmiot przetwarzający, który nie zawarł umowy z art. 28 RODO, jest administratorem danych osobowych (fot. Olgierd Rudak, CC-BY-SA 3.0)


Sprawa dotyczyła odwołania od decyzji, w której PUODO stwierdził, że przetwarzanie danych przez procesora bez stosownej umowy powierzenia przetwarzania naruszało przepisy RODO — oznaczało, że podmiot przetwarzający był administratorem.

Zaczęło się od kontroli, po której stwierdzono, że spółka zarządzająca nieruchomością w imieniu wspólnoty mieszkaniowej, (która świadczyła także usługi w zakresie monitoringu wizyjnego) nie miała umowy umowy na powierzenie przetwarzania danych, a także nie wdrożyła środków niezbędnych dla prawidłowego zabezpieczenia danych osobowych. W toku postępowania podpisano stosowne umowy na przetwarzanie wizerunku i numerów rejestracyjnych pojazdów, co jednak zdaniem PUODO nie zmienia faktu, iż doszło do wielomiesięcznych uchybień: dane były przetwarzane bez upoważnienia, co prowadzi do naruszenia zasady rozliczalności — ale też pozwala uznać, iż podmiot przetwarzający w istocie był administratorem — bo ustalała cele i sposoby przetwarzania danych. W wydanej decyzji organ nałożył na spółkę karę w wysokości 8 tys. złotych.

art. 28 ust. 10 rozporządzenia 2016/679 o ochronie danych osobowych
Bez uszczerbku dla art. 82, 83 i 84, jeżeli podmiot przetwarzający naruszy niniejsze rozporządzenie przy określaniu celów i sposobów przetwarzania, uznaje się go za administratora w odniesieniu do tego przetwarzania.

W skardze na decyzję ukarany podmiot zauważył, że wyłączną odpowiedzialność za zapewnienie środków niezbędnych do kontroli udostępnianych danych ponosi wspólnota mieszkaniowa jako administrator danych. To wspólnota bezpośrednio kontaktowała się z firmą ochroniarską i wyznaczała jej cele, zatem jeśli doszło do nieprawidłowości, to właśnie po stronie ochrony.

art. 29 rozporządzenia o ochronie danych osobowych
Podmiot przetwarzający oraz każda osoba działająca z upoważnienia administratora lub podmiotu przetwarzającego i mająca dostęp do danych osobowych przetwarzają je wyłącznie na polecenie administratora, chyba że wymaga tego prawo Unii lub prawo państwa członkowskiego.

Wojewódzki Sąd Administracyjny podzielił argumenty PUODO: administrator może powierzyć przetwarzanie danych w jego imieniu wyłącznie podmiotowi gwarantującemu wdrożenie odpowiednich środków technicznych i organizacyjnych niezbędnych ze względu na ochronę danych osobowych. Powierzenie przetwarzania następuje na podstawie pisemnej (także elektronicznej) umowy (art. 28 ust. 3 RODO), podmiot związany jest treścią polecenia, chyba że określony obowiązek wprost wynika z przepisów prawa.
Ustawa o gospodarce nieruchomościami nie określa obowiązków zarządcy w zakresie monitoringu wizyjnego, toteż wszelkie podejmowane przezeń czynności w zakresie przetwarzania danych osobowych na potrzeby ochrony powinny być określone w umowie. Konsekwencją przetwarzania danych przez podmiot przetwarzający bez stosownej umowy, w tym także wyjście poza zakres polecenia administratora, jest uznanie go za administratora danych osobowych.

Zawarta pomiędzy wspólnotą mieszkaniową a zarządcą umowa o administrowanie częścią wspólną nieruchomości nie powierzała mu obowiązków w zakresie przetwarzania danych osobowych. Nie tylko określono roli zarządcy w przetwarzaniu danych wizyjnych, nie uregulowano kwestii kontroli i nadzoru nad zapisami, ale też w gruncie rzeczy nie było wiadomo jaki jest cel przetwarzania przez zarządcę nagrań; umowa nie regulowała także trybu decydowania o udostępnianiu danych z monitoringu (procedura ta była uregulowana tylko zwyczajowo, nieformalnie).
Całościowo oznacza to, że zarządca nieruchomości dopuścił się naruszenia przepisów RODO, przeto PUODO miał prawo nałożyć nań karę, której wysokość została określona w sposób adekwatny do rozmiarów uchybień.

subskrybuj
Powiadom o
guest

Witryna wykorzystuje Akismet, aby ograniczyć spam. Dowiedz się więcej jak przetwarzane są dane komentarzy.

6 komentarzy
Oldest
Newest
Inline Feedbacks
zerknij na wszystkie komentarze