Rozpoczęcie stosowania Ogólnego Rozporządzenia o Ochronie Danych Osobowych (RODO) niesie za sobą istotną zmianę prawnego uregulowania instytucji znanej już na gruncie poprzedniego stanu prawnego, jaką jest powierzenie przetwarzania danych osobowych. Postanowienia RODO nakładają na strony umowy powierzenia znacznie więcej wymagań, niż miało to miejsce pod rządami ustawy o ochronie danych osobowych z 1997 roku.

Część z tych wymagań należy z całą pewnością odczytywać jako przepisy bezwzględnie obowiązujące. Jednocześnie, umowa powierzenia przetwarzania danych osobowych, jako klasyczny kontrakt podlega ogólnym regułom prawa kontraktowego, wśród których znaczenie podstawowe należy przypisać zasadzie swobody umów pozwalającej stronom umowy uregulować swój stosunek prawny zgodnie z własnymi preferencjami. Na tym tle tarcia są nieuniknione.

Czym jest powierzenie przetwarzania danych osobowych?

Zgodnie z art. 28 RODO, odczytywanym w związku z art. 4 pkt 7 RODO oraz art. 4 pkt 8 RODO powierzenie przetwarzania polega na tym, że podmiot ustalający cele i sposoby przetwarzania (administrator) rezygnuje z samodzielnego zajmowania się częścią procesów przetwarzania i ceduje te zadania na inny podmiot, który przetwarza dane osobowe w jego imieniu i zgodnie z jego poleceniami (podmiot przetwarzający, nazywany również „procesorem”). Do typowych przykładów powierzenia przetwarzania danych osobowych należy przekazanie obsługi kadrowo-płacowej wyspecjalizowanej w świadczeniu takich usług innemu przedsiębiorcy lub współpraca z zewnętrznymi agencjami marketingowymi.  Już na kilka miesięcy przed rozpoczęciem stosowania RODO (co nastąpiło 25 maja 2018 roku), a także po tej dacie, rynek został dosłownie „zalany” przesyłanymi sobie wzajemnie przez partnerów biznesowych umowami powierzenia przetwarzania danych osobowych.

W związku rozpoczęciem stosowania nowej regulacji i rewolucyjnymi zmianami przede wszystkim w aspekcie odpowiedzialności grożącej za przetwarzanie danych osobowych w sposób niezgody z obowiązującym prawem, przedsiębiorcy postanowili zrobić wszystko co możliwe aby podpisać „cokolwiek” w celu zabezpieczenia swoich interesów.

Część podmiotów postanowiła przy okazji wykorzystać swoją (rzeczywistą lub wyimaginowaną) przewagę nad partnerami biznesowymi próbując, często skutecznie, wymusić zamieszczenie w umowie powierzenia postanowień rażąco niekorzystnych dla swoich kontrahentów. Część z tego rodzaju postanowień może budzić poważne wątpliwości z punktu widzenia zgodności z nowym rozporządzeniem.

Trochę teorii, czyli jakie wymogi musi spełniać umowa powierzenia?

Zgodnie z art. 28 ust. 3 RODO przetwarzanie danych osobowych przez podmiot przez przetwarzający odbywa się na podstawie umowy (względnie innego instrumentu prawnego), która określa przedmiot i czas trwania przetwarzania, jego charakter i cel, a także rodzaj danych osobowych, kategorie osób których dane dotyczą oraz obowiązki i prawa administratora. Na tym jednak nie koniec. RODO wymaga również aby umowa powierzenia stanowiła, że podmiot przetwarzający:

  • przetwarza dane wyłącznie na udokumentowane polecenie administratora (art. 28 ust. 3 lit. a RODO);
  • zapewnia, by osoby upoważnione do przetwarzania danych osobowych zobowiązały się do zachowania tajemnicy lub by podlegały odpowiedniemu ustawowemu obowiązkowi zachowania tajemnicy (art. 28 ust. 3 lit b RODO);
  • podejmuje wszelkie środki wymagane na gruncie art. 32 RODO, czyli wdraża odpowiednie środki techniczne i organizacyjne zapewniające stopień bezpieczeństwa odpowiadający ryzyku naruszenia praw lub wolności osób fizycznych (art. 28. ust. 3 lit. c RODO);
  • przestrzega określonych przez RODO warunków dotyczących korzystania z usług innego podmiotu przetwarzającego (art. 28 ust. 3 lit d RODO);
  • w miarę możliwości i biorąc pod uwagę charakter przetwarzania pomaga administratorowi wywiązać się z obowiązku odpowiadania na żądania osoby, której dane dotyczą, w zakresie jej praw określonych w rozdziale III RODO (art. 28 ust. 3 lit e RODO);
  • uwzględniając charakter przetwarzania oraz dostępne mu informacje, pomaga administratorowi wywiązywać się z obowiązków określonych w art. 32-36 RODO (a zatem: (i) obowiązku wdrożenia odpowiednich środków technicznych i organizacyjnych zapewniających bezpieczeństwo danych, (ii) obowiązku zgłaszania naruszenia ochrony danych osobowych organowi nadzorczemu, (iii) obowiązku zawiadomienia osoby, której dane dotyczą, o naruszeniu ochrony danych osobowych, (iv) obowiązku przeprowadzenia oceny skutków dla ochrony danych, (v) obowiązku przeprowadzenia konsultacji z organem nadzorczym procesów przetwarzania wiążących się z wysokim ryzykiem naruszenia praw lub wolności osób fizycznych (art. 28 ust. 3 lit f RODO).
  • usuwa lub zwraca wszelkie dane osobowe (i ich kopie) po zakończeniu usług związanych z przetwarzaniem (art. 28 ust. 3 lit. g RODO);
  • udostępnia administratorowi wszelkie informacje niezbędne do wykazania spełnienia obowiązków określonych w art. 28 RODO oraz umożliwia administratorowi lub audytorowi upoważnionemu przez administratora przeprowadzanie audytów, w tym inspekcji, i przyczynia się do nich. (art. 28 ust. 3 lit. h RODO).

Ponadto, art. 28 RODO należy interpretować w połączeniu z innymi przepisami, rozporządzenia, w tym z art. 83 ust. 4 lit. a RODO przewidującym możliwość nałożenia przez organ administracyjnej kary pieniężnej w wysokości do 10 000 000 EUR lub 2% całkowitego rocznego światowego obrotu danego przedsiębiorstwa za naruszenie obowiązków administratora i podmiotu przetwarzającego, o których mowa m.in. właśnie w art. 28 RODO.

Trochę praktyki, czyli jak ma się RODO do konkretnej umowy?

Nie ulega wątpliwości, że z uwagi na brzmienie art. 28 ust. 3 RODO konieczne jest zamieszczenie w umowie powierzenia przetwarzania danych osobowych postanowień, o jakich mowa wyżej. W tym sensie są to z całą pewnością postanowienia bezwzględnie obowiązujące, czyli takie, które muszą się znaleźć w każdej umowie powierzenia (i nie jest możliwe ich wyłączenie).

Jednocześnie to, jaką konkretnie przybiorą one formę uzależnione jest od woli stron. Umowa powierzenia jest bowiem kontraktem regulowanym, poza przepisami RODO, ogólnymi regułami rządzącymi prawem zobowiązań, czyli przekładając to na polskie uwarunkowania – postanowieniami kodeksu cywilnego. Idąc dalej, fundamentalną, stojącą u podstaw całego systemu prawa kontraktowego, zasadą, jest zasada swobody umów. Zgodnie z art. 3531 k.c. strony zawierające umowę mogą ułożyć stosunek prawny według swego uznania, byleby jego treść lub cel nie sprzeciwiały się właściwości (naturze) stosunku, ustawie ani zasadom współżycia społecznego. Jak wynika z przywołanego przepisu, swoboda umów nie jest nieograniczona – ogranicza ją właściwość (natura) stosunku, ustawa oraz zasady współżycia społecznego. Nie ulega przy tym wątpliwości, że przez ustawę należy w kontekście tego przepisu rozumieć także akt wtórny prawa Unii Europejskiej (jakim jest RODO), stojący w hierarchii źródeł prawa powszechnie obowiązującego wyżej niż ustawa.

W tym kontekście należy zastanowić się nad dopuszczalnością (zgodnością z RODO) niektórych postanowień, jakie spotkać można często w umowach powierzenia przetwarzania danych osobowych. I tak, do jednych z najczęstszych postanowień spotykanych w takich umowach należy ograniczenie odpowiedzialności podmiotu przetwarzającego (procesora) do pewnej z góry określonej kwoty lub poprzez odwołanie się do wartości kontraktu, względnie określonej części (np. dwukrotności) rocznego wynagrodzenia jakie otrzymuje podmiot przetwarzający od administratora za wykonywane usługi. Wobec tego rodzaju postanowień podnoszone są czasem zarzuty wskazujące na ich niezgodność z postanowieniami RODO. Zarzuty takie nie są uzasadnione i wynikają z pomylenia dwóch rodzajów odpowiedzialności:

(i) odpowiedzialności procesora względem administratora z tytułu niewykonania lub nienależytego wykonania umowy oraz

(ii) odpowiedzialności administracyjnej wynikającej z art. 83 ust. 4 RODO polegającej na nałożeniu na procesora kary pieniężnej bezpośrednio przez organ nadzoru.

O ile odpowiedzialność drugiego typu jest niezależna od woli stron i tym samym nie można jej umownie wyłączyć lub ograniczyć, o tyle odpowiedzialność w relacji pomiędzy stronami umowami może być przez nie określona w sposób w zasadzie dowolny.

Kolejnym z często spotykanych w umowach powierzenia postanowień są różnego rodzaju ograniczenia uprawnienia administratora do przeprowadzenia audytu u procesora, o którym to uprawnieniu mowa w art. 28 ust. 3 lit. h RODO.

Ograniczenia takie mogą przybrać różną postać: zdarza się, że procesor próbuje zawrzeć w umowie powierzenia postanowienie zobowiązujące administratora do zapłaty określonej w umowie kwoty pieniężnej na swoją rzecz za przeprowadzenie każdego audytu. Można się także spotkać z postanowieniami ograniczającymi liczbę audytów do jednego w ciągu roku lub określającymi relatywnie długi termin na uprzedzenie o zamiarze przeprowadzenia audytu (np. 30 dni).  Oceny tego rodzaju postanowień należy dokonywać zawsze mając na względzie uwarunkowania konkretnej sytuacji, jednak wydaje się, że możliwe jest poczynienie kilku uwag natury ogólnej. Po pierwsze, postanowienia takie nie mogą stać w sprzeczności z naturą uprawnienia do przeprowadzenia audytu. Celem uprawnienia określonego w art. 28 ust. 3 lit. h RODO jest umożliwienie administratorowi przeprowadzenia kontroli tego, w jaki sposób procesor realizuje swoje obowiązki wynikające z umowy, stwierdzenia uchybień i wdrożenia środków zaradczych na przyszłość.

Wydaje się, że przynajmniej niektóre z przywołanych wyżej postanowień umownych mogą stać w sprzeczności z możliwością osiągnięcia tego celu. Na przykład obowiązek poinformowania procesora o zamiarze przeprowadzenia audytu z wyprzedzeniem przynajmniej 30 dni może w praktyce uniemożliwić wykrycie uchybień jakich w ramach powierzonych procesów przetwarzania dopuszcza się ten podmiot. Podobnie, wprowadzenie opłaty w znacznej wysokości może prowadzić do praktycznego uniemożliwienia wykonywania audytu, a tym samym takie postanowienie może zostać uznane za sprzeczne z bezwzględnie obowiązującym przepisem art. 28 ust. 3 lit. h RODO.

W projektach umów powierzenia przesyłanych sobie przez podmioty funkcjonujące w obrocie prawnym, często można spotkać również próby wprowadzenia nieproporcjonalnie długich lub nieproporcjonalnie krótkich terminów na poinformowanie administratora o naruszeniu ochrony danych, o jakim mowa w art. 33 RODO.

Zgodnie z tym przepisem, administrator bez zbędnej zwłoki, w miarę możliwości nie później niż w terminie 72 godzin po stwierdzeniu naruszenia, zgłasza je organowi nadzorczemu. W związku z brzmienie tego przepisu zdarza się, że administrator wprowadza w umowie powierzenia przetwarzania postanowienie nakazujące podmiotowi przetwarzającemu przesłanie kompletnego raportu o mającym miejsce u procesora naruszeniu np. w kilkugodzinnym terminie. Zdarzają się również sytuacje odwrotne – czasem to procesor przesyłając administratorowi projekt umowy powierzenia, zamieszcza w niej postanowienie przewidujące np. termin 60 godzin na takie powiadomienie (pozostawiając tym samym administratorowi jedynie 12 godzin na terminową notyfikację organu). Tego rodzaju postanowienia, choć mogą budzić wątpliwości w zakresie intencji stron zamieszczających je w umowie, ocenić należy jako dopuszczalne. Jedynym sposobem na wyeliminowanie ich z projektu umowy jest odpowiednio wczesna reakcja i zmiana ich brzmienia przed podpisaniem umowy powierzenia.

Zaprezentowane w niniejszym artykule przykłady postanowień zawieranych w umowach powierzenia, a mogących budzić wątpliwości w zakresie ich zgodności z postanowieniami RODO, nie stanowią oczywiście listy zamkniętej. Z całą pewnością kreatywność osób tworzących umowy powierzenia jest nieograniczona, co skutkuje tworzeniem bardzo wielu nietypowych postanowień. Dlatego, przed podpisaniem umowy powierzenia otrzymanej od naszego partnera biznesowego, powinniśmy poddać jej tekst szczegółowej analizie. Istnieje duża szansa, że część ze znajdujących się w niej postanowień jest niezgodna z RODO, a inna część co prawda zgodna, ale niekorzystna dla naszych interesów. W takiej sytuacji należy dążyć do wyeliminowania tego rodzaju postanowień z projektu umowy.

Piotr Wenski

 

 

Related Post