12 stycznia 2022 r. francuski organ ochrony danych (Commission nationale de l’informatique et des libertés, CNIL) wydał wytyczne dotyczące ponownego wykorzystywania danych osobowych przez podmioty przetwarzające do ich własnych celów zgodnie z RODO[1].

Co do zasady

Zgodnie z art. 4 pkt 8 oraz art. 28 ust. 3 lit. a RODO podmiot przetwarzający przetwarza dane osobowe w imieniu administratora i na podstawie udokumentowanego polecenia. Podmiot przetwarzający nie może przetwarzać powierzonych danych do własnych celów (na własny rachunek).

Potrzeba rynku

Usługodawcy (podmioty przetwarzające) czasami chcą ponownie wykorzystać przetwarzane w imieniu administratora dane np. w celu ulepszenia swoich usług lub produktów czy zaprojektowania nowych usług i produktów. Przykładowo dostawca oprogramowania biurowego chciałby analizować, w jaki sposób użytkownicy oprogramowania korzystają z usług dostawcy, aby mógł on ulepszać, rozwijać lub personalizować swoje produkty i usługi. Dostawcy usług mogą również potrzebować danych osobowych należących do swoich klientów, aby wspierać rozwój modeli uczenia maszynowego oprogramowania dostawcy.

Wytyczne CNIL

CNIL wskazuje, że ponowne wykorzystanie danych osobowych do własnych celów przez podmiot przetwarzający jest możliwe, jednak pod warunkiem, że:

  • ponowne wykorzystanie danych jest zgodne z pierwotnym celem przetwarzania (test kompatybilności);
  • administrator danych udzielił podmiotowi przetwarzającemu pisemnego upoważnienia.

Test kompatybilności

Przeprowadzenie testu zgodności jest wymagane, gdy podmiot przetwarzający chce do własnych celów ponownie wykorzystać dane otrzymane od administratora, a takiego przetwarzania nie legitymizuje zgoda udzielona przez daną osobę fizyczną lub nie odbywa się ono na podstawie prawa Unii Europejskiej bądź państwa członkowskiego.

Podmiot przetwarzający, chcąc przetwarzać dane w innym celu niż ten, w którym otrzymał je od administratora, musi ocenić, czy cel dalszego przetwarzania danych jest zgodny z pierwotnym celem przetwarzania. CNIL wskazuje, że przy przeprowadzaniu testu kompatybilności można posiłkować się takimi kryteriami, jak:

  • związek między pierwotnym i dalszym celem przetwarzania;
  • kontekst, w którym zebrano dane osobowe, w szczególności relacja między osobami, których dane dotyczą, a administratorem danych;
  • charakter danych osobowych i ustalenie, czy chodzi o dane wrażliwe;
  • potencjalne konsekwencje dalszego przetwarzania;
  • zabezpieczenia, takie jak szyfrowanie, pseudonimizacja lub anonimizacja.

W wytycznych CNIL stwierdza, że „w przypadku, gdy podmiot przetwarzający chce ponownie wykorzystać dane w celu ulepszenia swoich usług przetwarzania w chmurze, takie ponowne wykorzystanie można uznać za zgodne z pierwotnym przetwarzaniem, z zastrzeżeniem odpowiednich gwarancji, takich jak anonimizacja danych, jeśli te dane identyfikujące nie są konieczne”. CNIL wyjaśnia również, że w przypadku ponownego wykorzystania danych przez podmiot przetwarzający do celów marketingowych test kompatybilności byłby trudny do przejścia.

Jeżeli nowy cel przetwarzania nie spełnia testu kompatybilności, administrator danych nie może udzielić pisemnego upoważnienia do dalszego przetwarzania danych. W przypadku gdy test kompatybilności wykaże zgodność między pierwotnym celem a celem planowanym przez podmiot przetwarzający, administrator danych może się zgodzić na dalsze przetwarzanie danych.

Pisemne upoważnienie

Jak wskazuje CNIL, test kompatybilności należy przeprowadzić dla konkretnej operacji przetwarzania, biorąc pod uwagę cele i cechy każdej operacji przetwarzania, do której podwykonawca chce ponownie wykorzystać dane. W konsekwencji udzielenie pisemnej ogólnej zgody nie będzie zapewniało zgodności takiego przetwarzania. CNIL wskazuje również, że upoważnienie do przetwarzania pierwotnego administratora danych musi być sporządzone na piśmie, w tym w formie elektronicznej.

Podmiot przetwarzający jako samodzielny administrator danych

Jeżeli pierwotny administrator udzieli upoważnienia do przetwarzania, to podmiot przetwarzający staje się administratorem wobec danych przetwarzanych w tym nowym celu. W związku z tym nowy administrator zobowiązany jest przetwarzać te dane osobowe zgodnie z przepisami RODO, a w szczególności określić:

  • podstawę prawną przetwarzania danych osobowych w nowym celu;
  • sposób powiadamiania podmiotów danych, których dane przetwarza w ramach nowego celu (być może we współpracy z administratorem);
  • odpowiedni okres przetwarzania danych (retencje danych);
  • procedurę realizacji praw podmiotów danych;
  • odpowiednie środki zapewniające bezpieczeństwo przetwarzania danych.

[1] Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych).