W tej części cyklu poświęconego podsumowaniu pierwszego roku stosowania Ogólnego Rozporządzenia o Ochronie Danych (dalej: „RODO”) skupimy się na tematyce umów powierzenia przetwarzania danych osobowych oraz najczęstszych wątpliwościach pojawiających się w tym obszarze.
Podpisywać, czy nie podpisywać, czyli role w procesie przetwarzania
Na wstępie warto odnotować, że instytucja umowy powierzenia (podobnie zresztą jak np. pojęcia administratora danych osobowych i podmiotu przetwarzającego) nie została wprowadzona przez RODO, ale funkcjonowała już pod rządami ustawy o ochronie danych osobowych z 1997 r. RODO rozbudowało jednak istotnie wymogi stawiane tego typu kontraktom, co w połączeniu z ryzykiem poniesienia odpowiedzialności prawnej za brak umowy powierzenia (w sytuacji, gdy jest to uzasadnione okolicznościami), znacznie zwiększyło praktyczne znaczenie tej instytucji w obrocie gospodarczym.
Podstawowym problemem związanym z umowami powierzenia, z jakim borykają się przedsiębiorcy, jest odpowiedź na pytanie, czy taką umowę w konkretnej sytuacji należy w ogóle podpisać. Pytanie jest o tyle zasadne, że podpisanie umowy powierzenia jest uzasadnione i konieczne wyłącznie wtedy, kiedy w ramach procesu(ów) przetwarzania danych, w jaki angażują się dwa podmioty, jeden z nich działa jako administrator danych osobowych, a drugi jako podmiot przetwarzający (tzw. procesor). Często przesądzenie tej kwestii nie jest proste, choćby z uwagi na fakt, że wzajemne przepływy danych osobowych następują w różnych kierunkach i w różnych celach. Bywa również tak, że niektóre podmioty próbują „uciekać” z roli administratora lub podmiotu przetwarzającego, bojąc się odpowiednio np.: odpowiedzialności za zgłaszanie incydentów do organu nadzorczego, konieczności realizowania praw osób, czy też spełniania obowiązków informacyjnych wobec podmiotów danych (zadania administratora), jak również znoszenia audytów przeprowadzonych przez swoich klientów (obowiązek procesora).
Do typowych przykładów usług, w ramach których zazwyczaj dochodzi do powierzenia przetwarzania danych osobowych należą: zewnętrzna obsługa kadrowo-płacowa, archiwizacja dokumentów, ochrona, czy usługi informatyczne. Z kolei podpisywanie umów powierzenia zazwyczaj nie jest konieczne np. w relacjach z ubezpieczycielami, agencjami pracy tymczasowej, czy też przy przepływach danych ograniczających się do wymienienia w umowie osób kontaktowych działających po obu stronach w ramach codziennej współpracy. W takich sytuacjach dochodzi bowiem do udostępnienia danych pomiędzy dwoma niezależnymi administratorami.
Występują jednak na rynku takie sytuacje, w których praktyka poszła w różne strony. Wystarczy wymienić usługi kurierskie, zagadnienia związane z przepływami danych dotyczącymi gwarancji i rękojmi w relacjach pomiędzy dystrybutorami, a producentami, czy szkolenia pracowników. W takich sytuacjach zazwyczaj konieczne jest bardziej szczegółowe przeanalizowanie konieczności zawarcia umowy powierzenia, a w ostateczności rozważenie możliwości zmiany kontrahenta. To samo dotyczy oczywiście bardziej skomplikowanych relacji, w których występuje wiele podmiotów i wymieniają się one danymi osobowymi w różnych kierunkach i w różnych celach.
Gdzie kryją się pułapki?
Kiedy już uznamy, że zawarcie umowy powierzenia jest zasadne, bardzo często napotykamy na kolejny problem, tj. jaki kształt ma mieć umowa. Oczywiście niektóre jej elementy są wskazane wprost w art. 28 ust. 3 RODO i w tym zakresie swoboda stron jest istotnie ograniczona lub wręcz wykluczona (nie można na przykład umownie wyłączyć prawa administratora do przeprowadzenia audytu u procesora). Jednocześnie pozostaje szeroki obszar zagadnień, które wynikają co prawda bezpośrednio z RODO, ale wymagają doprecyzowania w umowie powierzenia oraz takich, które można dodać do takiej umowy niejako dodatkowo. Duże podmioty gospodarcze, zwłaszcza korporacje działające w całej Europie lub na różnych kontynentach korzystają często ze swoich „grupowych” wzorów umów powierzenia zabezpieczających ich interesy w możliwie najdalej idący sposób. Praktyczny problem pojawia się w sytuacji, kiedy dwie takie korporacje „zderzą się” w ramach relacji administrator – procesor, a jednocześnie współpraca jest dla obu stron równie istotna (czyli nie mamy dysproporcji sił). Powstaje wtedy pytanie: „na jakim wzorze podpisujemy”? I w dalszej kolejności – „jakie ustępstwa możemy zaakceptować, a jakie nie?”. Praktyka pierwszego roku obowiązywania RODO pokazała, że negocjacje dotyczące zawarcia umowy powierzenia mogą trwać nawet kilka miesięcy.
Postanowienia, które najczęściej są przedmiotem negocjacji obejmują zazwyczaj: zasady przeprowadzania audytu, sposób i czas informowania o naruszeniu ochrony danych, ustalenia dotyczące podpowierzenia, realizowanie przez procesora obowiązku informacyjnego na rzecz administratora, sposoby zabezpieczenia danych oraz oczywiście zasady odpowiedzialności prawnej stron.
Jak to jest z tą odpowiedzialnością?
Praktyka pokazuje, że zagadnieniem najczęściej negocjowanym przy okazji zawierania umów powierzenia jest kwestia odpowiedzialności prawnej stron. Co ciekawe, spotkać można głosy (wyrażane także przez profesjonalnych pełnomocników), że regulowanie kwestii odpowiedzialności w umowie jest niecelowe, bo zasady odpowiedzialności zostały określone bezpośrednio w RODO.
Z takim stanowiskiem nie sposób się zgodzić. Wydaje się bowiem, że często dochodzi do pomylenia dwóch rodzajów odpowiedzialności:
- odpowiedzialności procesora względem administratora z tytułu niewykonania lub nienależytego wykonania umowy oraz
- odpowiedzialności administracyjnej wynikającej z art. 83 ust. 4 RODO polegającej na nałożeniu na procesora kary pieniężnej bezpośrednio przez organ nadzorczy.
O ile odpowiedzialność drugiego typu jest niezależna od woli stron i tym samym nie można jej umownie wyłączyć lub ograniczyć, o tyle odpowiedzialność w relacji pomiędzy stronami umowami może być oczywiście przez nie określona w sposób w zasadzie dowolny. Ich treść ma przy tym ogromne znaczenie – decyduje bowiem np. o zakresie możliwych roszczeń w sytuacji, gdy na administratora (jako podmiotu odpowiedzialnego za cały proces przetwarzania) została nałożona administracyjna kara pieniężna w trybie art. 83 RODO, a następnie taki administrator chciałby wystąpić z powództwem przeciwko procesorowi, wskazując że szkoda (obowiązek zapłaty kary) powstała na skutek zaniedbań procesora. W praktyce często można się spotkać z próbami ograniczenia takiej odpowiedzialności, czy to poprzez ograniczenie odpowiedzialności do działań z winy umyślnej, czy to poprzez ograniczenia kwotowe. Niezależnie od tego, czy w danej sytuacji występujemy jako administrator danych osobowych, czy też jako podmiot przetwarzający, zaleca się zwrócenie szczególnej uwagi na tego typu postanowienia.
Powierzenie dziś
Po roku stosowania nowych umów można już sięgnąć do licznych wzorów, wskazać dobre i złe praktyki, a także zidentyfikować newralgiczne dla stron postanowienia. W codziennej pracy z tego typu dokumentami w pierwszej kolejności należy jednak zawsze pamiętać o procesie przetwarzania danych jako całości, odpowiednim określeniu ról i zapewnieniu stosownych gwarancji ochrony praw osób, których dane dotyczą.
