Jaki jest status projektanta w związku z wykonywaniem prac projektowych?

Czy w sytuacji, gdy przedmiotem umowy jest kompleksowe wykonanie prac projektowych obejmujące w szczególności pozyskanie na rzecz zamawiającego prawa dysponowania terenem, niezbędnym do wybudowania inwestycji, w tym m.in. pozyskanie danych osobowych właścicieli nieruchomości z ewidencji gruntów i budynków lub bezpośrednio od właścicieli nieruchomości, wykonawca (projektant) jest procesorem czy też jest odrębnym od zamawiającego administratorem danych osobowych pozyskanych z ewidencji gruntów i budynków lub bezpośrednio od osób?

Artykuł 4 pkt 7 RODO wskazuje, że pojęcie „administrator” oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych.

W celu ustalenia, czy w danej sytuacji mamy do czynienia z odrębnym administratorem, czy jednak istnieje konieczność zawarcia umowy powierzenia, należy przede wszystkim dokonać analizy okoliczności faktycznych z uwzględnieniem zadań określonych podmiotów wynikających m.in. z przepisów prawa oraz zawartej między zamawiającym (inwestorem) a projektantem (wykonawcą) umowy o wykonanie prac projektowych.

Rozpatrując status zarówno projektanta (wykonawcy), jak i zamawiającego (inwestora), należy przede wszystkim wziąć pod uwagę, czy dany podmiot samodzielnie decyduje o sposobach i celach przetwarzania, uwzględniając przy tym ustalony między nimi zakres obowiązków i odpowiedzialności oraz szczegóły wynikające z konkretnych postanowień umownych.

Artykuł 17 Prawa budowlanego stanowi, że projektant jest uczestnikiem procesu budowlanego, którego efektem ma być powstanie zaprojektowanej przez niego inwestycji. Ma on interes prawny w dostępie do danych osobowych zawartych w ewidencji gruntów i budynków, bowiem jednym z podstawowych obowiązków projektanta – wskazanych w art. 20 Prawa budowlanego jest m.in. uzyskanie wymaganych opinii, uzgodnień i sprawdzeń rozwiązań projektowych w zakresie wynikającym z odrębnych przepisów.

W wielu przypadkach, gdy następuje przekazanie realizacji zadania (zamówienia) innemu podmiotowi, który realizuje je (także w zakresie przetwarzania danych) w sposób niezależny, samodzielnie decydując o sposobach i celach przetwarzania, a zadania i obowiązki uczestników procesu budowlanego są wyraźnie rozdzielone i określone, istnieją podstawy do uznania ich za odrębnych administratorów. Powierzenie przetwarzania powinno mieć natomiast miejsce wówczas, gdy zewnętrzny podmiot przetwarza dane w imieniu administratora, w celu i w sposób przez niego określony. W niektórych przypadkach warto zwrócić uwagę na rozwiązanie określone w art. 26 RODO, tj. instytucję współadministrowania.

Wiele pomocnych wskazówek w zakresie rozstrzygania kwestii statusu podmiotów znaleźć można w wytycznych Europejskiej Rady Ochrony Danych w sprawie pojęć administratora i podmiotu przetwarzającego na gruncie RODO. Dokument ten jest jeszcze w fazie konsultacji, jednak zapoznanie się z nim z pewnością ułatwi dokonywanie oceny co do poszczególnych ról w konkretnym procesie przetwarzania danych. Szczególnie pomocny może okazać się schemat zamieszczony w załączniku nr 1 (Annex 1, str. 46), zawierający pytania ułatwiające dokonywanie tej oceny.

 Trwają konsultacje wytycznych w sprawie pojęć administratora i podmiotu przetwarzającego

Do 19 października 2020 r. Europejska Rada Ochrony Danych przyjmuje uwagi do Wytycznych 7/2020 w sprawie pojęć administratora i podmiotu przetwarzającego na gruncie RODO.

Podczas 37. posiedzenia plenarnego, które odbyło się 2 września 2020 r., EROD przyjęła Wytyczne 7/2020 w sprawie pojęć administratora i podmiotu przetwarzającego na gruncie RODO.

Pojęcia administratora, współadministratora i podmiotu przetwarzającego odgrywają kluczową rolę w stosowaniu RODO, ponieważ  określają kto jest odpowiedzialny za zgodność przetwarzania danych osobowych z zasadami oraz w jaki sposób osoby, których dane dotyczą mogą wykonywać swoje prawa w praktyce. Dlatego tak ważnym jest, aby znaczenie tych pojęć, jak i kryteria ich prawidłowej interpretacji, były wystarczająco jasne i spójne w całym Europejskim Obszarze Gospodarczym (EOG).

„Administrator", "współadministrator" i "podmiot przetwarzający" to pojęcia funkcjonalne, co oznacza, że mają one na celu podział obowiązków zgodnie z rzeczywistą rolą stron. Warto również mieć na uwadze, że to także pojęcia autonomiczne w takim znaczeniu, że powinny być interpretowane przede wszystkim zgodnie z unijnym prawem ochrony danych.

Wytyczne składają się z dwóch głównych części: pierwsza ma na celu wyjaśnienie przedstawionych pojęć, druga zaś zawiera szczegółowe wskazówki dotyczące wynikających z tych pojęć głównych konsekwencji dla administratorów, podmiotów przetwarzających i współadministratorów. Dokument zawiera także diagram, który dostarcza dalszych praktycznych wskazówek i ułatwia podmiotom dokładne zrozumienie ww. pojęć wskazując kryteria ich prawidłowej interpretacji.

Uwagi należy zgłaszać za pomocą formularza dostępnego na stronie Rady.

Więcej informacji na temat konsultacji publicznych dostępnych jest na stronie internetowej EROD  https://edpb.europa.eu/our-work-tools/public-consultations-art-704/2020/guidelines-072020-concepts-controller-and-processor_en

 Załącznik: Wytyczne 7/2020 w sprawie pojęć administratora i podmiotu przetwarzającego na gruncie RODO