Czas Świąt Bożego Narodzenia kojarzy nam się nie tylko z pięknie ozdobioną choinką czy wspólnym kolędowaniem z rodziną przy wigilijnym stole, ale również z oczekiwaniem na wymarzone prezenty. Od wielu wieków powszechnie wiadomo, że prezenty pod choinkę przynosi Święty Mikołaj, co czyni za pomocą swoich dzielnych kompanów – czyli zaprzęgu reniferów. W tym świątecznym artykule na blogu zastanowimy się, co by było gdyby renifery jako wysłannicy Świętego Mikołaja zgubiły paczki w drodze do adresata oraz kto odpowiadałby wówczas za związane z tym konsekwencje.

Święty Mikołaj jako administrator danych osobowych

Przedkładając przepisy RODO na realia, Święty Mikołaj jako podmiot, który ustala cele i sposoby przetwarzania danych, jest administratorem danych osobowych zawartych w listach skierowanych do niego przez dzieci. Nie ma zatem wątpliwości, że Święty Mikołaj zobowiązany jest do realizowania obowiązków ciążących na nim jak na każdym innym administratorze danych. A co więcej, zgodnie z orzecznictwem w przypadku jakichkolwiek nieprawidłowości w dostarczaniu przesyłek, obowiązek ochrony danych z punktu widzenia ryzyka naruszenia praw lub wolności osoby, której dane dotyczą, ciąży na nadawcy przesyłki, czyli na Świętym Mikołaju[1]. Oczywiście nie wyłącza to odpowiedzialności cywilnej reniferów z tytułu nieprawidłowego wykonania umowy zawartej ze Świętym Mikołajem o dostarczenie prezentów, ale w tym artykule skupimy się na konsekwencjach prawnych pod kątem ochrony danych osobowych.

Zaprzęg reniferów – ADO czy podmiot przetwarzający?

Jak wiemy, Święty Mikołaj nie dostarcza samodzielnie prezentów. W tej misji z pomocą przychodzą niezastąpione renifery, które założyły własną, niezależną od Świętego Mikołaja działalność gospodarczą, co niejako zrównuje ich rolę do podmiotów świadczących usługi kurierskie. Jeżeli zatem Święty Mikołaj korzysta z dzielnej załogi reniferów, należy się zastanowić, czy ich firma jest odrębnym od Świętego Mikołaja administratorem danych osobowych czy podmiotem przetwarzającym? I w tym temacie możemy znaleźć stanowiska, z których wynika że usługa kurierska nie jest czynnością na danych w imieniu administratora. Innymi słowy, według takiego podejścia samo dostarczenie przesyłki nie jest czynnością na danych, zatem w tym zakresie nie ma podstaw do zawarcia umowy powierzenia pomiędzy Świętym Mikołajem a reniferami[2]. Czy to oznacza, że renifery dostarczające przesyłki mają status administratora danych osobowych? Według zaprezentowanego podejścia – tak. Ale według PUODO i WSA, sprawa wygląda nieco inaczej.

Jakie jest stanowisko PUODO i WSA? Co w przypadku zgubienia prezentu?

Z pomocą zdefiniowania zakresu odpowiedzialności za zgubienie danych znajdujących się wewnątrz przesyłki przychodzi orzecznictwo sądów administracyjnych oraz decyzje Prezesa UODO. Z niedawnego rozstrzygnięcia WSA, które podtrzymało stanowisko PUODO, wynika, iż podmioty świadczące usługi kurierskie są administratorami danych wyłącznie w zakresie danych nadawcy i adresata znajdujących się na paczce. Jeżeli chodzi o dane zawarte wewnątrz przesyłki – administratorem jest nadawca, albowiem tylko on ma wiedzę, jakie dane kryją się wewnątrz paczki, a to równocześnie stawia firmy kurierskie w roli quasi podmiotu przetwarzającego.[3]  Odnosząc się do kontekstu Świętego Mikołaja oraz zaprzęgu reniferów, oznacza to, że główna odpowiedzialność za bezpieczeństwo danych osobowych spoczywa na Świętym Mikołaju, który powinien zweryfikować stopień spełnienia przez zespół reniferów wymogów RODO oraz podpisać z nimi quasi umowę powierzenia przetwarzania danych osobowych w zakresie dotyczącym danych zawartych wewnątrz przesyłki.   

Wpis ma oczywiście charakter czysto teoretyczny i wierzymy, że w tym roku oraz w każdym następnym nie dojdzie do zgubienia żadnego prezentu, a zarówno Święty Mikołaj jak i zaprzęg reniferów dołożą wszelkich starań, by każdy z nas znalazł pod choinką swój wymarzony prezent 😊

Wszystkim Czytelnikom życzymy Wesołych i Spokojnych Świąt Bożego Narodzenia! 😊

[1] Wyrok WSA w Warszawie z dnia 1 lipca 2022 r. sygn. akt II SA/Wa 4143/21.

[2] RODO – GDPR. Przedmiot i cele, zakresy, prawa i wolności, definicje. Jakub Rzymowski, Łódź 2020.

[3] Wyrok WSA w Warszawie z dnia 1 lipca 2022 r. sygn. akt II SA/Wa 3211/21