Jaki jest status projektanta w związku z wykonywaniem prac projektowych?

Czy w sytuacji, gdy przedmiotem umowy jest kompleksowe wykonanie prac projektowych obejmujące w szczególności pozyskanie na rzecz zamawiającego prawa dysponowania terenem, niezbędnym do wybudowania inwestycji, w tym m.in. pozyskanie danych osobowych właścicieli nieruchomości z ewidencji gruntów i budynków lub bezpośrednio od właścicieli nieruchomości, wykonawca (projektant) jest procesorem czy też jest odrębnym od zamawiającego administratorem danych osobowych pozyskanych z ewidencji gruntów i budynków lub bezpośrednio od osób?

Artykuł 4 pkt 7 RODO wskazuje, że pojęcie „administrator” oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych.

W celu ustalenia, czy w danej sytuacji mamy do czynienia z odrębnym administratorem, czy jednak istnieje konieczność zawarcia umowy powierzenia, należy przede wszystkim dokonać analizy okoliczności faktycznych z uwzględnieniem zadań określonych podmiotów wynikających m.in. z przepisów prawa oraz zawartej między zamawiającym (inwestorem) a projektantem (wykonawcą) umowy o wykonanie prac projektowych.

Rozpatrując status zarówno projektanta (wykonawcy), jak i zamawiającego (inwestora), należy przede wszystkim wziąć pod uwagę, czy dany podmiot samodzielnie decyduje o sposobach i celach przetwarzania, uwzględniając przy tym ustalony między nimi zakres obowiązków i odpowiedzialności oraz szczegóły wynikające z konkretnych postanowień umownych.

Artykuł 17 Prawa budowlanego stanowi, że projektant jest uczestnikiem procesu budowlanego, którego efektem ma być powstanie zaprojektowanej przez niego inwestycji. Ma on interes prawny w dostępie do danych osobowych zawartych w ewidencji gruntów i budynków, bowiem jednym z podstawowych obowiązków projektanta – wskazanych w art. 20 Prawa budowlanego jest m.in. uzyskanie wymaganych opinii, uzgodnień i sprawdzeń rozwiązań projektowych w zakresie wynikającym z odrębnych przepisów.

W wielu przypadkach, gdy następuje przekazanie realizacji zadania (zamówienia) innemu podmiotowi, który realizuje je (także w zakresie przetwarzania danych) w sposób niezależny, samodzielnie decydując o sposobach i celach przetwarzania, a zadania i obowiązki uczestników procesu budowlanego są wyraźnie rozdzielone i określone, istnieją podstawy do uznania ich za odrębnych administratorów. Powierzenie przetwarzania powinno mieć natomiast miejsce wówczas, gdy zewnętrzny podmiot przetwarza dane w imieniu administratora, w celu i w sposób przez niego określony. W niektórych przypadkach warto zwrócić uwagę na rozwiązanie określone w art. 26 RODO, tj. instytucję współadministrowania.

Wiele pomocnych wskazówek w zakresie rozstrzygania kwestii statusu podmiotów znaleźć można w wytycznych Europejskiej Rady Ochrony Danych w sprawie pojęć administratora i podmiotu przetwarzającego na gruncie RODO (https://uodo.gov.pl/pl/138/1712). Dokument ten jest jeszcze w fazie konsultacji, jednak zapoznanie się z nim z pewnością ułatwi dokonywanie oceny co do poszczególnych ról w konkretnym procesie przetwarzania danych. Szczególnie pomocny może okazać się schemat zamieszczony w załączniku nr 1 (Annex 1, str. 46), zawierający pytania ułatwiające dokonywanie tej oceny.

2020-10-15