Kategorie danych

Czy zgodnie z wymaganiami prawnymi w Polsce w umowie o powierzeniu
przetwarzania danych osobowych obowiązkowe jest wskazanie
konkretnych kategorii danych osobowych (np. adresy e-mail, nazwiska)?
Wymóg podania kategorii danych pojawia się przy rejestracji zbiorów
danych i wg niektórych naszych klientów to wymaganie należy stosować
również do umów.

Przetwarzający może przetwarzać dane wyłącznie w zakresie i celu przewidzianym
w umowie. W praktyce, w umowach o powierzenie przetwarzania danych zakres da-
nych zwykło opisywać się przez wskazanie poszczególnych kategorii danych (np. imię,
nazwisko, adres email). Nie brak jednak i opinii, że zakres przetwarzania oznacza ra-
czej rodzaj operacji wykonywanych na danych.

Sam ustawodawca nie nakazuje, aby termin „zakres” interpretować wyłącznie jako ka-
tegorie danych. W szczególności nie odsyła on do Rozporządzenia MSWiA w sprawie
wzoru zgłoszenia zbioru danych, w którym zakres danych jest opisany właśnie poprzez
kategorie danych. W wielu przepisach ustawodawca określa zakres danych określając
go w sposób opisowy, a nie kategoriami. Tytułem przykładu, w art. 46 ustawy o ewidencji
ludności, wskazano, że dane rejestru PESEL mogą być udostępnianie państwowym i sa-
morządowym jednostkom organizacyjnym – w zakresie niezbędnym do realizacji zadań
publicznych określonych w przepisach. Zakres danych wynika zatem z tych przepisów
oraz z realizowanych zadań publicznych, a nie jest wymieniony wprost w przepisie ze-
zwalającym na udostępnienie danych. Oczywiście ten przypadek dotyczy udostępnienia
danych przez administratora innemu administratorowi, czyli podmiotowi, który będzie de-
cydował o celach i środkach przetwarzania danych. Jeżeli jednak w takich przypadkach
ustawodawca określa zakres danych w sposób opisowy, to trudno uznać za racjonalną
konieczność wymieniania kategorii danych w przypadku, gdy administrator angażujący
przetwarzającego nadal zachowuje wyłączną kontrolę nad celami i środkami przetwarza-
nia danych powierzonych do przetwarzania innej osobie.

W przypadku wielu nowoczesnych usług świadczonych z wykorzystaniem Internetu, ta-
kie jak usługi chmurowe (cloud computing) wskazywanie kategorii nie jest często nawet
możliwe. Klient może bowiem nie być nawet w stanie wymienić wszystkich kategorii
danych, jakie mogą być przez niego przechowywane w chmurze. Wskazanie w umowie
kategorii danych osobowych nie jest też instrumentem, który sam w sobie zapewnia
wykonywanie poleceń administratora, czy stanowi zabezpieczenie danych osobowych.

Wymóg wskazania kategorii danych w umowie o powierzeniu przetwarzania nie wynika
z nadal obowiązującej Dyrektywy 95/46/WE Parlamentu Europejskiego i Rady w spra-
wie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobod-
nego przepływu tych danych. W kontekście usług chmurowych, Grupa Robocza art. 29
ds. ochrony danych, w swojej opinii 05/2012 na temat przetwarzania danych w chmurze
obliczeniowej również nie wskazała wśród wielu elementów zabezpieczenia umownego
stosunku administrator danych (klient) a przetwarzający (dostawca chmury) obowiązku
określenia w umowie kategorii przetwarzanych danych.

W rezultacie, obowiązek określenia w umowie o powierzeniu przetwarzania zakresu prze-
twarzanych danych nie oznacza obowiązku wymienienia wszystkich kategorii danych
osobowych. Zakres przetwarzania może być określony w sposób opisowy np. poprzez
odesłanie do zakresu wynikającego z zawartej umowy o świadczenie usług, czy poprzez
wskazanie rodzaju operacji wykonywanych w ramach przetwarzania danych.