Poprzedni artykuł w numerze
1. Wprowadzenie
Choć odwołanie się w definicji administratora danych z ustawy z 29 sierpnia 1997 r. o ochronie danych osobowychUstawa z 29 sierpnia 1997 r. o ochronie danych osobowych (Dz.U. z 2002 r. nr 926, poz. 101, dalej „Ustawa”). do decydowania o celach i środkach przetwarzania danych osobowych wydaje się racjonalne i uzasadnione, to jednak zastosowanie wspomnianych kryteriów w praktyce może wywoływać wiele wątpliwości. Przede wszystkim dość często, przy sytuacjach przetwarzania danych osobowych w konstelacjach wielopodmiotowych, a więc wtedy, gdy pewne działania na danych osobowych dokonywane są przez różne, często niezależne od siebie podmioty, może dochodzić do wątpliwości, kto faktycznie pozostaje administratorem danych osobowych, a więc kto w istocie decyduje o celach i środkach ich przetwarzania. Uznanie określonego podmiotu za administratora danych osobowych nieuchronnie prowadzi do przypisania mu wielu obowiązków, których niewypełnienie może być zagrożone zarówno sankcją administracyjną, jak również karną. Dalej, rozstrzygnięcie co do faktu, który podmiot lub osoba fizyczna pozostaje administratorem danych, ma to znaczenie, że tylko ten podmiot zachowuje prawo decydowania o danych osobowych, a więc w zakresie dozwolonym przepisami prawa będzie uprawniony samodzielnie przetwarzać dane osobowe dla swoich własnych celów. W sytuacji wspomnianego przetwarzania danych w konstelacjach wielopodmiotowych można wyróżnić co najmniej kilka odmiennych stanów faktycznych. Dwa główne to przede wszystkim te sytuacje, w których administrator danych powierza dane osobowe do przetwarzania innemu podmiotowiUstawa daje administratorowi danych prawo powierzania przetwarzania danych osobowych innemu podmiotowi. Takie powierzenie powinno zostać dokonane – zgodnie z treścią art. 31 ust. 1 Ustawy – na podstawie zawartej na piśmie umowy między stronami. Takie zlecenie innemu podmiotowi przetwarzania danych dotyczyć może zarówno przetwarzania ręcznego, jak i przetwarzania realizowanego przy wykorzystaniu technik informatycznych. Przedmiotem zlecenia mogą być też tylko niektóre czynności składające się na pojęcie przetwarzania danych. Zleceniobiorca może więc być zobowiązany przez administratora danych np. tylko do przechowywania danych bądź np. jedynie do ich udostępniania, usuwania itp. lub w których przetwarzanie tych samych danych następuje wspólnie przez kilku samodzielnych administratorów danych osobowych. Właśnie na tle takich stanów faktycznych powstają dość często trudne do rozstrzygnięcia zagadnienia, w jakim charakterze występują poszczególne podmioty – samodzielnego administratora danych, czy też przetwarzającego na zlecenie administratora tzw. procesora (z ang. processor).
Odpowiedź na pytanie, kto może zostać uznany za administratora danych osobowych, sprowadza się przede wszystkim do wykładni pojęcia „decyduje o celach i środkach przetwarzania danych osobowych”,W doktrynie podkreśla się, że w związku z dość enigmatyczną definicją administratora danych istnieje konieczność odwołania się do elementów pozadefinicyjnych, takich chociażby jak kryterium ponoszenia odpowiedzialności za przetwarzanie danych osobowych (tak np. A. Drozd, Ustawa, s. 63). Warto wspomnieć, że ustawodawca francuski posługuje się terminem responsable du traitement (odpowiedzialny za przetwarzanie). Choć nie ulega wątpliwości, że takie dodatkowe kryterium może w pewnych sytuacjach być pomocne przy próbie zaklasyfikowania określonego podmiotu do kategorii administratorów danych, to jednak należy pamiętać, iż ponoszenie odpowiedzialności jest właśnie uzależnione głównie od tego, czy przymiot administratora danych taki podmiot posiada. Innymi słowy, kryterium ponoszenia odpowiedzialności jest kryterium niejako wtórnym względem samego uznania, że dany podmiot jest administratorem danych. i właśnie ten aspekt będzie przedmiotem poniższych rozważań.Ze względu na szeroki zakres zagadnienia przedmiotem analizy nie będą objęte inne elementy, które mogą pojawić się w kontekście analizy definicji administratora danych, takie chociażby, jak te związane z siedzibą lub miejscem zamieszkania administratora danych osobowych.
2. Decydowanie o celach i środkach przetwarzania danych
Zgodnie z ustawową definicją administratorem danych (art. 7 pkt 4 Ustawy) jest organ, jednostka organizacyjna, podmiot lub osoba, o których mowa w art. 3 Ustawy,Zgodnie z art. 3 Ustawy: „Ustawę stosuje się do organów państwowych, organów samorządu terytorialnego oraz do państwowych i komunalnych jednostek organizacyjnych. Ustawę stosuje się również do: 1) podmiotów niepublicznych realizujących zadania publiczne, 2) osób fizycznych i osób prawnych oraz jednostek organizacyjnych niebędących osobami prawnymi, jeżeli przetwarzają dane osobowe w związku z działalnością zarobkową, zawodową lub dla realizacji celów statutowych – które mają siedzibę albo miejsce zamieszkania na terytorium Rzeczypospolitej Polskiej, albo w państwie trzecim, o ile przetwarzają dane osobowe przy wykorzystaniu środków technicznych znajdujących się na terytorium Rzeczypospolitej Polskiej”. decydujące o celach i środkach przetwarzania danych osobowych.Por. następujące orzeczenia: wyrok Naczelnego Sądu Administracyjnego z 30 stycznia 2002 r., sygn. akt II SA 1098/01; postanowienie Sądu Najwyższego – Izba Karna z 11 grudnia 2000 r., II KKN 438/2000, OSNKW 2001, nr 3–4, poz. 33. Pojęcie administratora danych odpowiada terminowi file controller użytemu w angielskiej wersji art. 2 pkt d Dyrektywy 95/46/WEDyrektywa Parlamentu Europejskiego i Rady z 24 października 2005 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych oraz swobodnego przepływu tych danych (Dz. Urz. WE L 281 z 21 listopada 1995 r., s. 31, tekst w języku polskim opublikowany w Dz. Urz. UE Polskie wydanie specjalne 2004, rozdz. 13, t. 15, s. 355). i tłumaczone jest właśnie jako kontroler danych, tj. „osoba fizyczna lub prawna, urząd publiczny, agenda lub inny organ, który samodzielnie lub wspólnie z innymi podmiotami określa cele i sposoby przetwarzania danych”.
Podstawowym kryterium decydującym o uznaniu określonego podmiotu (osoby) za administratora danych i jednocześnie kryterium odróżniającym go od innych podmiotów biorących udział w przetwarzaniu danych osobowych, w szczególności od podmiotów przetwarzających dane osobowe na zlecenie administratorów danych osobowych, jest możliwość podejmowania decyzji odnośnie do celów i środków przetwarzania danych osobowych.Ustawa obok kategorii podmiotów, tj. administrator danych osobowych oraz przetwarzający na zlecenie, wyróżnia jeszcze inne podmioty, które działają wyłącznie w imieniu wskazanych administratorów danych lub przetwarzających na zlecenie. Słusznie P. Barta, P. Litwiński, Ustawa o ochronie danych osobowych. Komentarz, 2009, s. 124, wskazują, że istnienie takich kategorii podmiotów jak odbiorca danych (art. 7 pkt 6 Ustawy), osoba upoważniona do przetwarzania danych osobowych (art. 39 ustawy), administrator bezpieczeństwa informacji (art. 26 ust. 3 Ustawy), administrujący danymi – nie pozwala na przyjęcie, iż mamy do czynienia z więcej niż dwiema kategoriami podmiotów przetwarzających dane osobowe. To decydowanie nie jest jakimkolwiek decydowaniem, lecz tylko takim, które polega na faktycznymNa faktyczny aspekt podejmowania decyzji w stosunku do danych podlegających przetwarzaniu wskazują A. Mednis, Ustawa o ochronie danych osobowych. Komentarz. Warszawa 1999, s. 29; G. Sibiga, Postępowanie w sprawie ochrony danych osobowych, Warszawa 2003, s. 54. i samodzielnym podejmowaniu przez administratora danych decyzji w stosunku do celów i środków przetwarzania danych („władanie danymi”).J. Barta, P. Fajgielski, R. Markiewicz, Ochrona, s. 405 i n.; A. Drozd, Ustawa, s. 61 i n.; A. Mednis, Ustawa, s. 29. Faktyczne władanie danymi nie powinno być utożsamiane z fizycznym posiadaniem danych. Administratorem danych osobowych może pozostawać podmiot, który nie posiada fizycznie danych, aczkolwiek zachowuje kontrolę nad procesem przetwarzania danych, w szczególności podejmuje decyzje co do celów i środków ich przetwarzania.Por. wyrok NSA z 30 stycznia 2002 r., II SA 1098/01 (Wok. 2002, nr 7–8, s. 70).
Przez przetwarzanie danych należy rozumieć jakiekolwiek operacje wykonywane na danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza te, które wykonuje się w systemach informatycznych (a więc w zespołach współpracujących ze sobą urządzeń, programów, procedur przetwarzania informacji i narzędzi programowych zastosowanych w celu przetwarzania danych) (art. 7 pkt 2 oraz pkt 2a Ustawy).A. Drozd, Ustawa, s. 56, zwraca uwagę, że „zarówno przed zbieraniem, jak i po usunięciu danych osobowych nie może być mowy o ich przetwarzaniu i tym samym stosowaniu ustawy o.d.o.”. Możliwość decydowania co do celu przetwarzania powinna być więc rozumiana jako realna szansa podejmowania decyzji odnośnie do poszczególnych czynności przetwarzania, np. zbierania, udostępniania, przekazywania, usuwania danych osobowych. Cele przetwarzania danych należy rozumieć w ten sam sposób, w jaki zostały one określone w przepisach art. 24, 25 i 26 Ustawy, a więc chodzi o pewne wartości, dla których urzeczywistnienia dochodzić będzie do przetwarzania danych osobowych.Tak P. Barta, P. Litwiński, Ustawa, s. 128. Samo przetwarzanie danych osobowych nie jest czynnością prawną, lecz czynnością faktyczną, z której wypływają określone konsekwencje prawne.Zob. wyrok Wojewódzkiego Sądu Administracyjnego w Warszawie z 17 listopada 2004 r., II SA/Wa 887/04. Podobnie bycie lub nie administratorem danych osobowych pozostaje na płaszczyźnie określonego stanu faktycznego. Brzmienie określonych przepisów prawa lub zapisów umownych (np. w umowie powierzenia przetwarzania danych) nie przesądza definitywnie, że wskazany w tych przepisach lub określony umownie podmiot jest lub nie jest administratorem danych osobowych. Dopiero zbadanie, kto faktycznie podejmuje decyzje co do celów i środków przetwarzania konkretnych danych osobowych, może prowadzić do wskazania, kto jest lub nie jest względem tych danych ich administratorem. Należy podkreślić jednak, że zarówno przepisy prawa, jak również zapisy konkretnych umów mogą być bardzo ważną przesłanką wskazującą, kto za takowego administratora może być uznany.Wojewódzki Sąd Administracyjny w Warszawie w wyroku z 17 listopada 2004 r., II SA/Wa 887/04 zbyt kategorycznie wskazał, że: „Do uznania podmiotu za administratora danych, decyduje przede wszystkim rodzaj i charakter nadanych mu przez prawo kompetencji z obszaru spraw publicznych oraz wyznaczone ustawowo zadania”. Nie ulega wątpliwości, że wynikające z określonych zapisów kompetencje mogą być bardzo ważną wskazówką, nawet przesądzającą o uznaniu określonego podmiotu za administratora danych, lecz nigdy wystarczającą. Konieczne jest bowiem zawsze zbadanie, czy w świetle przyznanych kompetencji ten podmiot faktycznie je realizował, decydując o celach i środkach przetwarzania danych osobowych. Dopiero pozytywna odpowiedź na tak postawione pytanie, w konkretnej sprawie, może prowadzić do uznania określonego podmiotu za administratora danych osobowych.
Kolejną, poza definicyjną, cechą administratora danych jest jego samodzielność w podejmowaniu decyzji o celach i środkach przetwarzania danych. Samodzielność decyzyjna administratora nie może być rozumiana kategorycznie, w tym znaczeniu, że wykluczałaby ona możliwość występowania więcej niż jednego administratora względem tych samych danych osobowych. Taki wariant na gruncie aktualnie obowiązujących przepisów Ustawy wydaje się w pełni dopuszczalny.Takie stanowisko jest prezentowane również w doktrynie, zob. m.in. J. Barta, P. Fajgielski, R. Markiewicz, Ochrona, s. 410. Samodzielność decydowania oznacza takie decydowanie, które nie jest ograniczone wolą innego podmiotu. Klasycznym przykładem ograniczenia możliwości decydowania o danych jest wspomniane uprzednio powierzenie przetwarzania danych osobowych innemu podmiotowi. W takiej sytuacji przetwarzający na zlecenie może przetwarzać dane osobowe jedynie zgodnie z celami i zakresem sprecyzowanymi w umowie powierzenia przetwarzania danych, która powinna być zawarta na piśmie.Fakt, że ustawodawca nie zastrzegł rygoru nieważności na wypadek niezawarcia umowy w formie pisemnej, ma tylko ten skutek, że w przypadku zawarcia umowy w formie ustnej strony będą mogły powoływać się na umowę, dochodząc np. roszczeń odszkodowawczych względem siebie. Taka umowa nie będzie jednak umową powierzenia przetwarzania danych w rozumieniu art. 31 ustawy. Warunek zawarcia umowy w formie pisemnej jest obowiązkiem publicznoprawnym każdego administratora, a jego niedopełnienie może prowadzić do uznania, że doszło do nieuprawnionego udostępnienia danych osobowych innemu administratorowi. Administrator danych to zatem ten, kto we własnym imieniu decyduje o celach i środkach przetwarzania danych. Decydując bowiem w cudzym imieniu, nie można zostać uznanym za administratora danych, ale za podmiot, któremu administrator danych zazwyczaj powierzał przetwarzanie danych osobowych, a więc za wspomnianego procesora.J. Barta, P. Fajgielski, R. Markiewicz, Ochrona, s. 411; por. następujące wypowiedzi GIODO: Agent nie jest administratorem, „Rzeczpospolita” z 3 listopada 1999 r., Czy firma kurierska jest administratorem danych?, „Prawo i Życie”, maj 2000. Sytuacja zakładająca występowanie większej liczby administratorów pociąga za sobą ważkie konsekwencje prawne dla każdego z nich. Na każdym z takich administratorów bowiem, co do zasady, spoczywać będzie obowiązek realizacji wszystkich wymogów wynikających z Ustawy lub aktów wykonawczychRozporządzenie Ministra Spraw Wewnętrznych i Administracji z 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz.U. nr 100, poz. 1024). oraz każdy z nich może ponosić odpowiedzialność administracyjną, karną lub cywilną w sytuacji braku realizacji określonych ustawowo obowiązków.
Cele przetwarzania danych muszą się ściśle wiązać z prowadzoną przez danego administratora działalnością i być związane z podstawą prawną, na gruncie której takie przetwarzanie jest dokonywane.A. Drozd, Ustawa, s. 69. Z tego też powodu samodzielność decydowania o celach przetwarzania danych nie jest tożsama z dowolnością lub swobodą podejmowania decyzji co do takich celów. Zebranie danych np. w celu realizacji umowy nie daje podstaw np. do ich udostępniania innym podmiotom, jeżeli nie jest to związane z realizacją takiej umowy. Pozostawienie jednakże możliwości podejmowania decyzji, w ramach zakreślonych przez prawo, co do celów przetwarzania danych jest jedną z cech (obok decydowania o środkach), które mogą przesądzić, że w konkretnym przypadku mamy do czynienia z administratorem danych.
Pewne swoiste trudności pojawiają się przy okazji próby ustalenia, który podmiot ze sfery prawa publicznego może zostać uznany za administratora danych osobowych. Wskazanie bezpośrednio w przepisach prawa podmiotu pełniącego rolę administratora danych osobowych należy do sytuacji rzadkich.Zob. np. art. 80a ust. 4 oraz art. 100a ust. 4 ustawy z 20 czerwca 2007 r. – Prawo o ruchu drogowym (tekst jedn. Dz.U. z 2005 r. nr 108, poz. 908 ze zm.). Częstszym przypadkiem jest brak wyraźnego wskazania w przepisach przez ustawodawcę, kto pełni rolę administratora danych. W takich sytuacjach ustalenie charakteru, w jakim występuje dany podmiot, powinno odbyć się w oparciu o definicję ustawową. Niemniej ustawodawca zwykle precyzuje, dla jakich celów i jakimi środkami dane mogą być przetwarzane.Zob. P. Barta, P. Litwiński, Ustawa, s. 134. Choć można zgodzić się z poglądem, że w sferze prawa publicznego pierwszorzędne znaczenie dla określenia statusu prawnego danego podmiotu będzie miała rola, jaką w procesie przetwarzania danych nadają temu podmiotowi konkretne przepisy, to jednak wydaje się, że nie można całkowicie odrywać się od faktycznego, in concreto decydowania o celach i środkach przetwarzania danych.Por. P. Barta, P. Litwiński, Ustawa, s. 135; por. R. Hauser, Przetwarzanie danych osobowych: cel i środki, „Rzeczpospolita” z 6 kwietnia 1999 r. Dopiero bowiem analiza stanu prawnego i przyznanych kompetencji określonemu podmiotowi oraz stwierdzenie, że w konkretnych okolicznościach ten podmiot podejmował decyzje co do celów i środków przetwarzania konkretnych danych, pozwoli na jednoznaczne stwierdzenie, że przysługuje mu status administratora danych osobowych.
Faktycznie więc administrator pozostaje prawnym dysponentem – niejako „właścicielem” – danych osobowych, decydującym realnie o celach i środkach przetwarzania danych osobowych. Podejmowanie decyzji co do celu przetwarzania danych osobowych powinno być rozumiane w ściśle określony sposób. Zbyt szeroka wykładnia definicji administratora danych mogłaby prowadzić do uznania w niektórych przypadkach za administratora nawet organ wydający akty normatywne.Słusznie na taki problem zwraca uwagę A. Drozd, Ustawa, s. 62, stwierdzając, iż „definicja z art. 7 pkt 4 została sformułowana na tyle ogólnie, że za administratora danych musiałby zostać uznany nierzadko organ wydający akty normatywne, gdyż właśnie w tych aktach rozstrzyga się niekiedy o celach, a czasem także o środkach przetwarzania danych. Byłoby to rozwiązanie nieracjonalne, gdyż podmiotom faktycznie decydującym o celach i środkach przetwarzania danych w zakresie, w którym prawodawca zadecydował o celach i środkach przetwarzania danych osobowych, nie przysługiwałby status administratora danych (…)”. W konsekwencji administratorem danych nie może być ustawodawca określający w akcie ustawodawczym cel przetwarzania danych, a więc podejmujący decyzje in abstracto. Te sytuacje, w których określony organ, np. minister, decyduje o możliwości przetwarzania danych osobowych oraz wskazuje środki takiego przetwarzania, mogą prowadzić do trudności w ustaleniu, kto jest administratorem danych osobowych. W szczególności wiele wątpliwości pojawiło się na tle ustalenia statusu administratora danych osobowych w odniesieniu do urzędów skarbowych i stosowanego przez te urzędy systemu Poltax.Taki stan faktyczny był przedmiotem rozważań Wojewódzkiego Sądu Administracyjnego (wyrok z 17 listopada 2004 r., II SA/Wa 887/04). Sąd m.in. przeprowadził analizę, czy administratorem danych osobowych może być Minister Finansów, w sytuacji gdy jest on autorem systemu informatycznego, który został „narzucony w drodze polecenia służbowego” do wdrożenia urzędowi skarbowemu. WSA wskazał, że „żaden przepis powszechnie obowiązujący nie nakazywał zastosowania w urzędach skarbowych określonego systemu informatycznego, ani nie zakazywał stosowania innego”. Dalej WSA również podkreślił, że „(…) w przedmiotowej sprawie nie został wydany żaden akt powszechnie obowiązujący, nakazujący zastosowanie określonego systemu informatycznego”. A contrario należałoby uznać, że gdyby przepisy prawa powszechnie obowiązującego wskazywały, iż np. Minister Finansów decyduje o wyborze systemu informatycznego, a urzędy np. skarbowe mają obowiązek wdrożenia takiego systemu w swoich jednostkach, to taki minister mógłby być uznany za administratora danych osobowych. Taki pogląd można by zaakceptować, pod warunkiem że taki organ dodatkowo decydowałby o celach przetwarzania konkretnych danych oraz takie przetwarzanie odbywałoby się na jego rzecz, w jego interesie. Dodatkowo słusznie w przywoływanym wyroku WSA uznał, że sam „problem autorstwa systemu informatycznego nie miał wpływu na obowiązki administratora danych wypływające z ustawy. Autorstwo systemu dotyczy bowiem uprawnień i obowiązków z zakresu prawa cywilnego. Problem obowiązków administratora wiąże się natomiast z prawem administracyjnym, ewentualnie prawem karnym”. Również Wojewódzki Sąd Administracyjny w Warszawie w wyroku z 17 marca 2005 r. (II SA/Wa 1513/04) potwierdził, że: „Zagadnienie autorstwa systemu informatycznego nie ma wpływu na obowiązki administratora danych wypływające z ustawy z 29 sierpnia 1997 r. o ochronie danych osobowych. Autorstwo systemu dotyczy bowiem uprawnień i obowiązków z zakresu prawa cywilnego, obowiązki administratora wiążą się zaś z prawem administracyjnym bądź ewentualnie karnym”. System taki został wdrożony w wyniku wykonania poleceń służbowych wydanych przez Ministra Finansów. Przyjmuje się, że skoro zasady tworzenia systemu Poltax, w tym sposób zabezpieczenia danych osobowych, określa Minister Finansów w drodze wydawania poleceń służbowych, korzystając z uprawnień określonych w art. 5 ust. 1 ustawy o urzędach i izbach skarbowych,Ustawa z 21 czerwca 1996 r. o urzędach i izbach skarbowych (tekst jedn. Dz.U. z 2004 r. nr 121, poz. 1267). ustanawiającym zasadę podporządkowania naczelników urzędów skarbowych Ministrowi, to właśnie Minister Finansów podejmuje w tym zakresie decyzje o środkach przetwarzania danych osobowych w systemie.W doktrynie, na tle przedstawionego stanu faktycznego, prezentowane są różne poglądy. A. Drozd, (w:) Ustawa, s. 66 uznaje, że względem danych przetwarzanych za pomocą programu Poltax administratorem danych jest Minister Finansów. Generalny Inspektor Ochrony Danych Osobowych za administratorów danych osobowych uznaje natomiast urzędy skarbowe. Z kolei P. Barta, P. Litwiński poddają pod rozwagę uznanie za administratorów zarówno Ministra Finansów, jak również poszczególne urzędy skarbowe. Na tle powyższego oraz innych zbliżonych stanów faktycznych, w szczególności w sektorze publicznym, należałoby uznać, że decydowanie o celach i środkach przetwarzania danych następuje często w sposób abstrakcyjny, tzn. ustawodawca lub np. minister określa ramy dozwolonego przetwarzania, tj. cel przetwarzania, zakres danych, środki techniczne lub organizacyjne takiego przetwarzania. Nie oznacza to jednak, że taki podmiot może być automatycznie uznany za administratora danych osobowych.Należy zgodzić się z wyrokiem Naczelnego Sądu Administracyjnego z 8 września 2009 r. (I OSK 1377/08), w zakresie, w którym mówi, iż „okoliczność, że Minister stworzył materiał pozwalający na przetwarzanie danych osobowych beneficjentów programu wedle określonych kryteriów i sposobów, opracował system informatyczny, a także odpowiednie wytyczne w tym zakresie, wcale nie oznacza, że jest administratorem danych”. Wydaje się, że podmiotowi określającemu abstrakcyjnie ramy przetwarzania danych, a więc wtedy gdy podejmuje on decyzje odnośnie do celów w sposób jedynie abstrakcyjny, nie będzie przysługiwał przymiot administratora danych. Dopiero ten podmiot, który będzie podejmował działania co do celów i środków przetwarzania danych in concreto, w ramach wyznaczonych przez wspomniany podmiot, np. ustawodawcę lub ministra, będzie mógł być uznany za administratora danych.
W powyższym kontekście wydaje się, że jest zasadne wyodrębnienie dodatkowego kryterium pozwalającego przy pewnych stanach faktycznych ustalić, czy określony podmiot biorący udział w procesie przetwarzania danych mógłby być uznany za administratora danych. Taką przesłankę mogłaby stanowić okoliczność przetwarzania danych na własną rzecz lub we własnym interesie. Owo kryterium można by wywieść z art. 31 Ustawy, który zgodnie z przyjętą interpretacją wskazuje, że przetwarzający na zlecenie może realizować wyłącznie cele administratora danych. Podmiot, który decydowałby o celach i środkach przetwarzania danych, realizując własne cele, a nie cele innego podmiotu, powinien być uznany za administratora danych. W przedstawionych wyżej przykładach wydaje się, że właśnie ta ostatnia przesłanka może nie być wypełniona przez odpowiednich ministrów. Ustawodawca bądź inny organ – np. wspominany minister – decydując o ramach przetwarzania danych, np. celu, i technicznych aspektach ich przetwarzania, nie realizuje własnych celów (dane nie są bezpośrednio przetwarzane w jego interesie lub na jego rzecz), a decyzje podejmowane przez ministrów mają charakter abstrakcyjny, nieodnoszący się do konkretnych danych osobowych.Oczywiście nie oznacza to, że określony minister nie realizuje pewnych szerszych założeń lub określonej polityki, której elementem jest delegowanie pewnych uprawnień do przetwarzania danych osobowych na inne podmioty. W takiej sytuacji to podmiot, któremu zlecono wykonywanie zadań – w ramach wyznaczonych – będzie decydował o celu i środkach przetwarzania konkretnych danych osobowych, a to przetwarzanie będzie służyło realizacji jego zadań, a nie zadań podmiotu zlecającego te działania.Przesłanki realizacji własnych działań lub działań na własną rzecz powinny być rozumiane nieco odmiennie w przypadku podmiotów publicznych i prywatnych. W przypadku tych pierwszych, które działają na rzecz i w imieniu państwa, wyżej wymienione przesłanki powinny być utożsamiane raczej z realizacją lub wypełnianiem własnych obowiązków w oparciu o zakres przyznanych przez ustawodawcę uprawnień niż dosłownie, tzn. jako realizacja stricte interesu organu publicznego lub działania na jego rzecz. Kryterium wykorzystywania danych na własną rzecz przyjmuje ustawodawca niemiecki, który za administratora danych uznał „jakąkolwiek osobę lub podmiot zbierającą, przetwarzającą lub używającą danych osobowych na jej rzecz lub zlecającą innym takie działania”.Paragraf 3, Sekcja 2, punkt 7 federalnej ustawy o ochronie danych osobowych (z niem. Bundesdatenschutzgesetz) z 15 listopada 2006 r. Choć zaproponowane powyższe kryterium jest obce polskiej ustawie o ochronie danych osobowych, to wydaje się, że w praktyce może okazać się pomocne przy rozstrzyganiu, kiedy określonemu podmiotowi przysługuje status administratora danych.
Zaproponowane kryterium przetwarzania danych osobowych na własną rzecz (lub we własnym interesie) pozwala rozstrzygnąć niejednoznaczne przypadki licencjonowania baz danych w celach marketingowych. W takich sytuacjach licencjodawca określa w umowie cel przetwarzania danych przez licencjobiorcę jako marketingowy oraz zapewnia techniczne zaplecze przetwarzania danych. Tym samym realizuje przesłankę decydowania o środkach przetwarzania danych. W tego typu przypadkach licencjodawca powinien być traktowany jak administrator danych osobowych, bowiem decyduje on o celu przetwarzania konkretnych danych zawartych w bazie danych. Tym celem jest pozyskiwanie danych i ich licencjonowanie na potrzeby marketingowe podmiotów trzecich. Nie ulega wątpliwości, że takie działania służą realizacji biznesowego interesu licencjodawcy. Skomplikowana może okazać się próba odpowiedzi na pytanie, jaki status przysługuje licencjobiorcy, który będzie przetwarzał dane osobowe zgodnie z celem określonym (najczęściej umownie) przez licencjodawcę, np. marketingowym. Teoretycznie w takim przypadku cel oraz ramy dozwolonego przetwarzania danych przez licencjobiorcę zostały już zdeterminowane przez licencjodawcę. W konsekwencji należałoby uznać, że licencjobiorca nie decyduje o celach i środkach przetwarzania danych i przez ten fakt nie będzie przysługiwał mu status administratora danych. Wydaje się, że takie podejście jest nieuprawnione, bowiem pomimo wyznaczenia zakresu dozwolonego wykorzystywania danych osobowych przez licencjodawcę to licencjobiorca będzie podejmował decyzje odnośnie do konkretnych danych (tj. czy oraz które dane wykorzystać na potrzeby np. określonej akcji marketingowej). Ponadto takie działanie będzie odbywało się na jego rzecz i w jego interesie. Realizacja tych dwóch dodatkowych kryteriów powinna przesądzać, że w takich sytuacjach licencjobiorca powinien, obok licencjodawcy, być uznany za samodzielnego administratora danych, ze wszystkimi konsekwencjami płynącymi z takiego rozwiązania.Problematyczny może być ten element przedstawionego stanu faktycznego, który zakłada, że całość decydowania o środkach przetwarzania danych należy do kompetencji licencjodawcy. Faktycznie więc taki licencjobiorca nie wypełniałby wszystkich przesłanek bycia administratorem danych osobowych. Uznanie, że dopiero wspólnie z licencjodawcą spełnia kryteria bycia administratorem, może prowadzić do praktycznych komplikacji, np. do pytania, który z administratorów byłby odpowiedzialny za wypełnianie obowiązków ustawowych, np. obowiązków rejestracyjnych lub informacyjnych. Wydaje się, że na gruncie takiego stanu faktycznego należy uznać, iż licencjobiorca jest samodzielnym administratorem danych osobowych, gdyż decyduje o celach i środkach przetwarzania danych in concreto, a poza tym to przetwarzanie – choć prowadzone w ramach wyznaczonych przez licencjodawcę – jest realizowane również na jego rzecz i w jego własnym interesie. Każdy z administratorów realizuje swój własny cel, tj. licencjodawca przetwarza dane na potrzeby marketingu podmiotów trzecich, natomiast licencjobiorca przetwarza je na własne potrzeby marketingowe. Te sytuacje, w których dochodzi do realizacji różnych celów przez poszczególne podmioty biorące udział w procesie przetwarzania danych, powinny być rozstrzygane inaczej niż te, w których jeden z podmiotów podejmuje decyzje odnośnie do np. celów przetwarzania danych, drugi natomiast odnośnie do środków ich przetwarzania, ale to przetwarzanie odbywa się na ich wspólną rzecz i we wspólnym interesie. Innym przypadkiem trudnym do jednoznacznego zdiagnozowania jest sytuacja, w której jeden podmiot zleca drugiemu przeprowadzenie określonych akcji marketingowych w oparciu o bazę danych tego drugiego. W takim przypadku dane nie zostają przekazane do drugiego podmiotu w powyższym celu, bowiem zlecający nie jest zainteresowany samodzielną realizacją takich działań. Nie ulega wątpliwości, że właściciel bazy danych będący administratorem danych będzie realizował działania na rzecz i w interesie zlecającego, a więc byłaby realizowana dodatkowa przesłanka przetwarzania danych w interesie innego podmiotu. W konsekwencji można by uznać, że podmiot zlecający taką usługę byłby administratorem danych osobowych, a podmiot realizujący działania na rzecz zleceniodawcy byłby jego – w tym zakresie – przetwarzającym na zlecenie. Wydaje się jednak, że taka konkluzja byłaby nieuprawniona, gdyż de facto zlecający nie decydowałby o przetwarzaniu konkretnych danych. On jedynie określił abstrakcyjnie cel przetwarzania danych, np. przeprowadzenie akcji marketingowej, a następnie administrator danych, przetwarzając konkretne dane (decydując in concreto), taką akcję zrealizował. W tym zakresie powyższy stan faktyczny różni się od poprzedniego, w którym to licencjobiorca podejmował samodzielnie decyzje co do przetwarzania konkretnych danych. Wydaje się, że w ostatnim z opisanych przypadków jedynym administratorem byłby właściciel bazy danych, który przetwarzałby dane we własnym interesie, prowadząc marketing podmiotów trzecich. Podmioty korzystające z takich usług faktycznie nie miałyby wpływu na podejmowanie konkretnych działań na danych, nie miałyby władztwa nad konkretnymi danymi, ani nawet władztwa abstrakcyjnego co do ogólnych procesów przetwarzania danych. One zainteresowane byłyby otrzymaniem jedynie określonych świadczeń realizowanych w oparciu o dane będące we władztwie innego podmiotu. Z jeszcze innym przypadkiem mamy do czynienia w tych sytuacjach, gdy jeden podmiot zleca drugiemu zbieranie, a następnie przetwarzanie danych w określonym celu na jego rzecz (w jego interesie). W takim stosunku podmiot zlecający, pomimo że często nie będzie fizycznie posiadał danych osobowych, będzie zachowywał władztwo nad gromadzonymi danymi, a takie działania będą służyły jedynie realizacji jego interesów. Realizujący działania będzie w takim stosunku klasycznym przetwarzającym na zlecenie administratora danych, który pozostanie prawnym i faktycznym ich dysponentem. W zakresie, w którym przetwarzający na zlecenie przetwarzałby dane poza ramami wyznaczonymi przez administratora danych umową powierzenia przetwarzania danych, stawałby się administratorem i powinien wtedy legitymować się przesłanką przetwarzania danych.
Z powyższych względów o tym, kto jest administratorem, powinno decydować faktyczne władztwo nad konkretnymi danymi (danymi konkretnych osób), a nie władztwo abstrakcyjne nad danymi lub/i procesem przetwarzania danych. Dodatkowymi kryteriami odróżniającymi powinno być to, kto określa cel i sposób przetwarzania danych, oraz to, kto przeznacza konkretne dane do przetwarzania w danym celu i w określony sposób oraz na czyją rzecz lub w czyim interesie odbywa się takie przetwarzanie. Inne podejście może zacierać różnice pomiędzy administratorem danych a zleceniobiorcą (procesorem) w rozumieniu art. 31 Ustawy.
3. Decydowanie o środkach
Również wykładnia przesłanki decydowania o środkach przetwarzania danych może wywoływać wątpliwości. Sam termin „środki” nie został zdefiniowany jednoznacznie w Ustawie i pojawia się na jej gruncie w różnych znaczeniach, niekoniecznie zbieżnych z tym zawartym w art. 7 pkt 4 Ustawy. Dla przykładu art. 36 ust. 1 Ustawy odwołuje się do pojęcia środków technicznych i organizacyjnych zapewniających ochronę przetwarzania danych. Wydaje się jednak, że decydowanie o środkach przetwarzania danych nie może być utożsamiane jedynie z decydowaniem o np. rodzajach zabezpieczeń technicznych lub organizacyjnych. Termin „środki” użyty na gruncie art. 7 ust. 4 Ustawy należy interpretować przede wszystkim jako sposób przetwarzania danych, a więc środki, za pomocą których realizowane jest przetwarzanie.Za rozumieniem pojęcia środków przetwarzania danych jako technicznych sposobów przetwarzania danych opowiadają się P. Barta, P. Fajgielski, Ustawa, s. 128. Takimi środkami mogą być środki techniczne, np. przetwarzanie danych przy wykorzystaniu systemów informatycznych, lub środki tradycyjne, np. przetwarzanie danych zawartych w kartotekach, skorowidzach itp.Wydaje się, że w takim kierunku rozumienia terminu „środki” zmierzają autorzy J. Barta, P. Fajgielski, R. Markiewicz, stwierdzając, iż „(…) wspomniany prawny charakter [administratora danych – moje dopiski G. K.], podobnie jak sposób przetwarzania danych [tradycyjny lub informatyczny], cel przetwarzania danych osobowych [badanie opinii publicznej – art. 25 ust. 1 pkt 3; marketing – art. 32 ust. 1 pkt 8 i ust. 3; wystawienie faktury, rachunku, prowadzenie sprawozdawczości finansowej – art. 43 ust. 1 pkt 8] wpływają na zakres obowiązków administratora związanych z przetwarzaniem danych”; Ochrona, s. 411. Innymi słowy, termin „środki” przetwarzania danych w rozumieniu art. 7 pkt 4 Ustawy powinien być rozumiany jako metody, techniki lub sposoby przetwarzania danych osobowych. Właśnie tym ostatnim terminem posługuje się oficjalne tłumaczenie Dyrektywy 95/46/WE, określając administratora danych jako podmiot decydujący o celach i sposobach przetwarzania danych.
Zaakceptowanie stanowiska, w którym decydowanie o środkach przetwarzania danych byłoby równoznaczne z decydowaniem o środkach ich technicznego lub organizacyjnego zabezpieczenia, prowadziłoby do uznania, w bardzo dużej części przypadków, za administratora danych przetwarzającego na zlecenie, który co do zasady sam decyduje o konkretnych rodzajach zabezpieczeń. Takie podejście byłoby zbyt ryzykowne dla obydwu stron stosunku powierzenia przetwarzania danych. Z jednej bowiem strony procesorzy mogliby w większości przypadków być uznani za administratorów danych osobowych i w związku z tym zobowiązani do realizacji obowiązków wynikających z Ustawy, adresowanych do administratorów danych. Dodatkowo musieliby wykazać się podstawą prawną przetwarzania danych, a w przypadku jej braku mogliby ponosić szeroką odpowiedzialność, w tym prawnokarną, za niedopuszczalne z prawem przetwarzanie danych osobowych. Z drugiej strony przyznanie przymiotu administratora danych procesorom pozwalałoby tym ostatnim rościć prawo do danych, tj. prawo do ich przetwarzania zgodnie z własnymi celami i na własną rzecz. W związku z powyższym decydowanie o środkach powinno być interpretowane jako decydowanie o sposobie ich przetwarzania. Tak więc w tych sytuacjach, w których podmiot determinuje sposób przetwarzania danych, tj. że dane będą przetwarzane w formie tradycyjnej (np. w papierowych kartotekach) lub w formie elektronicznej, np. w systemie informatycznym lub w jakikolwiek inny sposób, będzie mógł być on uznany za administratora danych osobowych.Każdorazowo, badając rolę, jaką pełni określony podmiot w procesie przetwarzania danych osobowych, a więc czy decyduje on o środkach przetwarzania danych osobowych, należy dokonać oceny, kto decyduje o celach przetwarzania danych. Choć nie ma podstaw wynikających wprost z przepisów prawa, by dawać którejkolwiek z przesłanek silniejszą moc, to wydaje się, że decydowanie o celach powinno w sposób silniejszy determinować ostateczny osąd, kto pełni rolę administratora danych.
Należy podkreślić, że decydowania o środkach nie należy utożsamiać z decydowaniem o zastosowaniu konkretnego programu, systemu lub innych technicznych rozwiązań. Decydowanie o środkach to decydowanie o sposobie przetwarzania, a więc o tym, że dane będą przetwarzane w określony sposób, np. metodami informatycznymi lub za pomocą środków tradycyjnych. Przyjęcie odmiennego podejścia prowadziłoby nieuchronnie do przyjęcia w wielu przypadkach, że podmiot przyjmujący zlecenie wykonania określonej usługi, np. przeprowadzenia akcji mailingowej – w oparciu o dane uzyskane od administratora – byłby administratorem danych, gdyby decydował, za pomocą jakiej aplikacji, programu lub systemu ta usługa miałaby być wykonywana.W takim przypadku podmiotem decyzyjnym co do celu przetwarzania danych jest podmiot zlecający przetwarzanie konkretnych danych na potrzeby marketingowe. On również decyduje o środkach przetwarzania danych, gdyż to on podejmuje decyzję, że akcja marketingowa ma być przeprowadzona np. metodą tradycyjną (klasyczny mailing listowny). Brak wpływu na zastosowanie konkretnego systemu informatycznego do obsługi np. akcji marketingowej nie powinien zmieniać faktu, że za administratora danych należałoby uznać podmiot zlecający.
Należy również zwrócić uwagę na fakt, że Ustawa posługuje się wyrażeniem „decydujące o celach i środkach”. Użycie spójnika koniunkcji świadczy, że obu przesłanek nie powinno traktować się rozdzielnie. Uznanie określonego podmiotu za administratora danych osobowych powinno być każdorazowo poprzedzone kompleksową analizą, który podmiot decyduje o celach i jednocześnie środkach przetwarzania danych.
W praktyce mogą się zdarzyć przypadki, w których jeden administrator decyduje o celach przetwarzania danych osobowych, natomiast drugi o środkach ich przetwarzania.Na ten aspekt zwracają uwagę J. Barta, P. Fajgielski, R. Markiewicz, Ochrona, s. 412. Taka sytuacja mogłaby zaistnieć wtedy, gdyby jeden administrator zdeterminował cel przetwarzania np. jako marketingowy, drugi natomiast miałby odpowiadać za realizację takiego celu, a więc np. czy akcje marketingowe będą przeprowadzane drogą klasycznego mailingu listowego, tudzież z wykorzystaniem środków komunikacji elektronicznej, oraz odpowiadałby za zapewnienie zaplecza technicznego niezbędnego do realizacji takiego celu. Wydaje się, że na gruncie takiego stanu faktycznego mógłby być broniony pogląd, iż w takim przypadku mamy do czynienia z dwoma administratorami danych, którzy wspólnie wypełniają przesłanki określone w definicji z art. 7 pkt 4 administratora danych.Tak P. Barta, P. Litwiński, Ustawa, s. 129. Należy jednak pamiętać, że Ustawa posługuje się łącznikiem koniunkcji pomiędzy celami i środkami przetwarzania danych. W praktyce raczej teoretyczne będą sytuacje, gdy decydowanie o celach i środkach będzie znajdowało się w domenie dwóch różnych podmiotów, niemniej jednak nie da się wykluczyć również takich sytuacji. W mojej ocenie należy dać prymat przesłance decydowania o celach, z jednoczesnym wnikliwym zbadaniem, na czym polega w konkretnym przypadku decydowanie o środkach przetwarzania danych, oraz konieczne jest każdorazowe zbadanie, w czyim interesie oraz na czyją rzecz następuje przetwarzanie danych osobowych.
Podsumowanie
Nie ulega wątpliwości, że aktualnie obowiązująca definicja administratora danych jako podmiotu decydującego o celach i środkach przetwarzania danych osobowych nie pozwala w wielu sytuacjach jednoznacznie rozstrzygnąć, komu w stosunkach wielopodmiotowych przysługuje status administratora danych.
Wobec powyższego doktryna, nierzadko na bazie określonych stanów faktycznych, szuka dodatkowych, pozadefinicyjnych kryteriów pozwalających na precyzyjniejsze określenie cech, jakie powinien realizować lub posiadać podmiot, by móc być uznanym za administratora danych osobowych. Takimi dodatkowymi kryteriami może być m.in. rzeczywiste oraz realne podejmowanie decyzji co do celów i środków przetwarzania danych. Dodatkowo przetwarzanie nie powinno być abstrakcyjne, lecz skonkretyzowane, a więc odnoszące się do konkretnych danych osobowych. W wielu przypadkach dodatkowe kryterium przetwarzania na rzecz lub w interesie określonego podmiotu może okazać się pomocne przy rozstrzygnięciu, czy określony podmiot jest administratorem danych osobowych.
W świetle wzrastającej wartości biznesowej danych osobowych i w związku z nasilającymi się procesami ich komercyjnego gromadzenia pozostaje bardzo istotne jasne określenie praw i obowiązków spoczywających na podmiotach przetwarzających dane osobowe. Aby właściwie zaadresować wynikające z Ustawy obowiązki, należy jednoznacznie określić, kto jest administratorem danych osobowych, bowiem to na tym podmiocie ciąży większość obowiązków. Biorąc pod uwagę, że niedopełnienie obowiązków związane jest nawet z odpowiedzialnością karną, pytanie o precyzyjne określenie cech administratora danych osobowych pozostaje pytaniem zasadniczym. Wydaje się, że w świetle trwających prac nad nowelizacją Ustawy stosowna interwencja ustawodawcy byłaby pożądana.