- RODO nie precyzuje i nie określa granic w zakresie podnoszenia umownej odpowiedzialności podmiotu, któremu administrator powierza przetwarzanie danych. Strony mogą ułożyć stosunek prawny według swego uznania - mówi Dr Maciej Kawecki w rozmowie z DGP.
Czy administrator może zastrzec w umowie, że procesor musi zapłacić mu określoną część lub nawet pełną kwotę nałożonej przez UODO kary za naruszenie, jeżeli przykładowo wynikało ono wyłącznie z błędu procesora?
Tak. Jeśli kara poniesiona jest w wyniku działań podmiotu przetwarzającego dane, to administrator może domagać się jej stosownego zwrotu w drodze regresu. Kwestie te powinny zostać uregulowane w umowie z podmiotem, któremu powierzono przewarzanie danych.
Czy umowa powierzenia musi mieć jakieś granice w tym zakresie? A może kodeks cywilny daje obu stronom de facto ustalać takie zasady współpracy, jakie sobie ustalą?
RODO nie precyzuje i nie określa granic w zakresie podnoszenia umownej odpowiedzialności podmiotu, któremu administrator powierza przetwarzanie danych. Zgodnie z art. 3531 k.c. strony zawierające umowę mogą ułożyć stosunek prawny według swego uznania, byleby jego treść lub cel nie sprzeciwiały się właściwości (naturze) stosunku, ustawie ani zasadom współżycia społecznego. W świetle tego przepisu odpowiedzialność podmiotu, któremu powierzono przetwarzanie danych, powinna być powiązana ze stopniem zawinienia.
Czy jeśli przyjąć, że można w umowie praktycznie zrzucić odpowiedzialność za naruszenia na procesora, to czy możemy mówić o tym, że popularne stanie się wykorzystywanie w firmach np. samozatrudnionych informatyków, prawników, kadrowych? Wszak są oni osobnymi podmiotami, trzeba z nimi podpisać umowę powierzenia, a jednocześnie w niektórych firmach praktycznie zachowują się oni jak typowi pracownicy. No i łatwo będzie im wcisnąć niezbyt korzystną umowę zrzucającą na nich w dużym stopniu ciężar odpowiedzialności za naruszenie.
Odpowiedzialność za naruszenia ochrony danych osobowych ponosi przede wszystkim sam administrator. Ponosi ją niezależnie od tego, czy sam przetwarza dane, czy też przy przetwarzaniu posługuje się podmiotem przetwarzającym. Podmiot przetwarzający ponosi odpowiedzialność we własnym zakresie na podstawie RODO oraz na podstawie umowy łączącej go z administratorem.
Oczywiście istnieje wspomniane ryzyko próby pociągania do odpowiedzialności ciążącej na administratorze – osób samozatrudnionych, np. wspomnianych informatyków, prawników i kadrowych. Trzeba jednak pamiętać, że samozatrudnienie, aby było skuteczne (tj. aby nie rodziło ryzyka ustalenia stosunku pracy), musi od tego stosunku pracy znacząco się różnić.
KE oraz organ nadzorczy mogą przyjąć rejestr standardowych klauzul umownych, które mogą zawrzeć się w umowach powierzenia. Czy w takim rejestrze może pojawić się również wykaz klauzul abuzywnych? Jakie przykładowo klauzule można byłoby uznać za abuzywne?
Rzeczywiście zgodnie z art. 28 ust. 5 RODO organ nadzorczy może przyjąć standardowe klauzule umowne dotyczące umów powierzenia. Podstawa prawna do takiego działania organu nie wskazuje na możliwość zawarcia w takim rejestrze klauzul niedozwolonych.
Trudno teoretyzować w kwestii potencjalnych klauzul, które można by za takie uznać. Tego rodzaju klauzule z pewnością należy jednak oceniać w kontekście całej umowy.