Ich tarczą są procesorzy. To na nich w umowach powierzenia przetwarzania danych osobowych przenosi się całkowitą odpowiedzialność finansową za naruszenia. A kontrakty podpisywane są często nieświadomie i bez analizowania ich treści.
Prawnicy alarmują, że coraz częściej umowy o powierzenie przetwarzania danych osobowych są skrajnie niekorzystne dla podmiotów przetwarzających (tzw. procesorów). Administratorzy danych osobowych zawierają w nich bowiem klauzule stanowiące, iż w przypadku nałożenia na nich kary za naruszenie RODO będą mogli wystąpić do procesorów z żądaniem zwrotu jej równowartości. I to także za przewinienia, do których ci się nie przyłożyli! – Takie umowy, przerzucające nawet całkowicie odpowiedzialność, to w tej chwili standard na rynku – mówi Witold Masionek, prawnik z kancelarii KOLS.
Co jednak najdziwniejsze, wielu procesorów decyduje się na podpisywanie kontraktów zawierających tego typu niekorzystne warunki. Powodów jest kilka. Prozaiczny jest taki, że liczni procesorzy nie czytają umów i podpisują podsunięty dokument bez chociażby wstępnej analizy. Inni zaś nie podejmują prób negocjacji, bo obawiają, że w razie sprzeciwu stracą możliwość zdobycia lukratywnego zamówienia.
– Tym samym bezrefleksyjnie przejmują na siebie całą odpowiedzialność za ewentualne incydenty związane z nieprawidłowościami przy przetwarzaniu danych osobowych – zauważa Witold Masionek.
Wśród firm, które stają się tarczą dla administratorów, są także samozatrudnieni. Choć pracują w firmie jak normalni pracownicy, to są osobnymi podmiotami i zasadniczo mogą być uznani za podmiot przetwarzający. Mowa przykładowo o pracujących na własny rachunek informatykach, kadrowych czy prawnikach.
Doktor Maciej Kawecki z Ministerstwa Cyfryzacji przyznaje, że istnieje ryzyko próby pociągania osób samozatrudnionych do odpowiedzialności ciążącej na administratorze. Ale inni eksperci dodają, że akurat w tym przypadku próba uniknięcia finansowej odpowiedzialności może się okazać nieudana, bo nie każdy mały podmiot – mimo odpowiedzialności regresowej – będzie miał z czego administratorowi zapłacić.
„Unijne rozporządzenie o ochronie danych osobowych (RODO) stanowi, że organ nadzorczy może nałożyć za naruszenie jego przepisów kary – zarówno na administratora danych osobowych, jak i procesora przetwarzającego dane osobowe na podstawie umowy powierzenia. W innym miejscu przesądza, że za szkody wyrządzone osobom fizycznym, których dane dotyczą, oba podmioty odpowiadają solidarnie. Tyle teorii.
W praktyce jednak coraz większa liczba administratorów zaczyna zabezpieczać się przed faktyczną odpowiedzialnością za naruszenia. W jaki sposób? Otóż zawierają w umowie powierzenia przetwarzania klauzulę mówiącą o tym, że w przypadku nałożenia na administratora danych osobowych kary przez organ nadzorczy procesor będzie musiał zwrócić równowartość tej kwoty administratorowi. Klauzule różnią się od siebie. Niektóre zakładają konieczność zwrotu poniesionych przez administratora strat finansowych jedynie w momencie, gdy to procesor faktycznie zawinił podczas przetwarzania danych osobowych. Inne – bardziej restrykcyjne – narzucają obowiązek zwrotu poniesionych kosztów niezależnie od stopnia zawinienia procesora!
– Oznacza to, że w przypadku gdy organ nadzorczy nałoży na administratora danych osobowych karę za naruszenie przepisów RODO, to administrator może wystąpić do procesora z żądaniem zwrotu równowartości tej kary. Takie umowy w tej chwili to standard panujący na rynku – przyznaje Witold Masionek, prawnik z zespołu RODO kancelarii KOLS.
Należy czytać, co się podpisuje
Ekspert dodaje, że procesorzy też nie są tu bez winy. Nie czytają bowiem umów, nie podejmują prób ich negocjacji, podpisując podsunięty dokument bez chociażby wstępnej analizy. Tym samym bezrefleksyjnie przejmują na siebie całą odpowiedzialność za ewentualne incydenty związane z nieprawidłowościami przy przetwarzaniu danych osobowych.
– Taka praktyka psuje rynek i stanowi wypaczenie głównego założenia RODO – że każdy podmiot ma obowiązek we własnym zakresie dobrać odpowiednie środki ochrony przy procesach, które przeprowadza na danych. I wraz z rozpoczęciem przetwarzania, przyjmuje odpowiedzialność za dane osób, które mu je powierzyły – uważa mec. Witold Masionek.
Zgodne z rozporządzeniem
Powstaje pytanie: czy tego typu praktyki są zgodne z unijnym prawem? Zdaniem ekspertów – jak najbardziej. Artykuł 28 RODO regulujący kwestię umów powierzenia wskazuje m.in., jakie elementy muszą się w nich znaleźć. O ewentualnych zapisach w kwestii wzajemnej odpowiedzialności za poniesienie ewentualnych kar administracyjnych – zupełnie nie wspomina.
– Co do zasady umowy cywilnoprawne, a do takich należą kontrakty dotyczące powierzenia przetwarzania danych osobowych, są umowami, w których strony mogą dowolnie kształtować swoje obowiązki i uprawnienia – uważa Wojciech Dziomdziora, radca prawny z kancelarii Domański Zakrzewski Palinka.
Potwierdza to stanowisko dr Marlena Sakowska-Baryła, radca prawny i partner w Sakowska-Baryła Czaplińska Kancelaria Radców Prawnych sp. p. oraz redaktor naczelna „ABI Expert”. – Nie widzę w tej praktyce żadnych naruszeń postanowień RODO – mówi dr Marlena Sakowska-Baryła. – Technicznie rzecz biorąc, można sobie wyobrazić sytuację, że to administrator zapłaci karę administracyjną organowi nadzorczemu, natomiast później ściągać będzie mógł należność od procesora, który przyczynił się do naruszenia, zgodnie z postanowieniami umownymi – tłumaczy dr Marlena Sakowska-Baryła.
I choć ekspertka przyznaje, że zawierane umowy są często niekorzystne dla procesorów – to jej zdaniem wiele podmiotów może je podpisywać w obawie, że w przeciwnym razie administrator zrezygnuje z ich usług.
– Może się pojawić zagrożenie, że mniejsze podmioty świadczące usługi dla dużych firm będą ryzykować. Bo najprawdopodobniej, chcąc uzyskać kontrakt, nie będą nawet negocjować tego typu postanowień umownych z większym partnerem – komentuje dr Marlena Sakowska-Baryła.
Samozatrudnieni na straconej pozycji
Praktyka przerzucania odpowiedzialności może być szczególnie niebezpieczna dla osób samozatrudnionych wykonujących zadania w ramach umowy o świadczenie usług.
W praktyce niejednokrotnie wykonują oni swoje zadania jak etatowi pracownicy. Nierzadko przebywają stale na terenie firmy, mają swoje stanowisko pracy i zgadzają się na pewne zasady panujące w zakładzie. Jednak formalnie rzecz biorąc, prowadzą własną działalność gospodarczą i na koniec każdego miesiąca wystawiają fakturę za swoje usługi. Takie osoby mają nierzadko dostęp do danych osobowych przetwarzanych w firmie. Mowa tu np. o informatykach. Zdaniem części ekspertów osoba samozatrudniona, która prowadzi działalność gospodarczą, powinna być traktowana jako odrębny podmiot. Z formalnego punktu widzenia dochodzi bowiem do przekazywania danych osobowych poza strukturę organizacyjną firmy, a więc z jednego podmiotu do drugiego. Samozatrudniony może zatem być uznany za podmiot przetwarzający. W takim przypadku konieczne staje się zawarcie z nim umowy powierzenia danych osobowych.
– Spodziewam się, że wiele firm może chcieć teraz masowo zacząć zawierać umowy powierzenia z samozatrudnionymi i wpisywać do nich niekorzystne postanowienia dotyczące odpowiedzialności za szkodę. To może być bardzo niebezpieczne zjawisko, bo w praktyce samozatrudniony może nie być w stanie zwrócić nawet części wysokiej kary nałożonej przed UODO – mówi dr Marlena Sakowska-Baryła.
Podobnie uważa mec. Wojciech Dziomdziora. Jego zdaniem taki mechanizm byłby jednak tylko pozornie skuteczny. – Od samozatrudnionego trudno byłoby przecież wyegzekwować umówione sumy pieniężne – wskazuje mec. Wojciech Dziomdziora.
Na marginesie warto dodać, że w kwestii tego, czy samozatrudniony rzeczywiście jest osobnym bytem, z którym należy podpisać umowę powierzenia, wciąż toczą się zażarte dyskusje między ekspertami. Adwokat Tomasz Waszczyński tłumaczy, że przecież np. samozatrudnieni informatycy czy prawnicy niekoniecznie muszą od razu stawać się procesorami. W firmie są bowiem sytuowani jako osoby upoważnione do przetwarzania danych osobowych w ramach struktury organizacyjnej administratora, ale to on wydaje tej osobie wiążące polecenia.
Są jednak granice
Zdaniem mec. Wojciecha Dziomdziory, odpowiedzialność umowna również może mieć swoje granice. – Niewykluczone, że agresywne postanowienia umowne mogłyby być uznane za nieważne na gruncie prawa cywilnego – wskazuje mec. Wojciech Dziomdziora. Tłumaczy, że w zależności od faktycznych okoliczności sprawy, możnaby sobie wyobrazić, że dałoby się łatwo wskazać, że jedna ze stron umowy powierzenia wykorzystała słabą pozycję drugiej strony narzucając jej takie warunki.
Potwierdza to również adwokat Tomasz Waszczyński. Wyjaśnia on, że granicę, której nie będzie można przekroczyć w regulacji zakresu odpowiedzialności procesora, wyznacza zasada swobody umów. Regulacje umowne naruszające przepisy o odpowiedzialności kontraktowej mogą być uznane za sprzeczne z prawem i jako takie – nieważne z mocy art. 58 par. 1 kodeksu cywilnego.
– Z kolei rażąca jednostronność postanowień skutkuje ryzykiem nieważności z uwagi na sprzeczność z zasadami współżycia społecznego (art. 58 par. 2 k.c.). Artykuł 58 może mieć też zastosowanie w razie rażąco niesprawiedliwego ukształtowania praw i obowiązków w wyniku nadużycia silniejszej pozycji kontraktowej – wskazuje mec. Tomasz Waszczyński.
Roszczenia osób fizycznych
Co jednak z roszczeniami, jakie mogą wysuwać osoby fizyczne, w związku z naruszeniem ochrony ich danych osobowych? Eksperci odpowiadają, że takie sytuacje reguluje ściśle art. 82 RODO. Mowa w nim, że każdy administrator i procesor uczestniczący w niewłaściwym przetwarzaniu danych odpowiada solidarnie za poniesione przez osobę fizyczną szkody. A dokładniej: każdy z nich musi zapłacić część odszkodowania odpowiadającą części szkody, za którą ponoszą odpowiedzialność.
Kary za pomniejsze naruszenia
Eksperci ostrzegają, że oprócz odpowiedzialności procesorów za szkodę, administrator ma prawo w kontrakcie zawrzeć kary umowne za niestosowanie się do obowiązków wskazanych w RODO.
– Chodzi przykładowo o brak pomocy w wykazaniu, że administrator odpowiednio zabezpiecza dane, brak informacji o wykrytych naruszeniach, brak przekazywania informacji na żądanie osób, których dane się przetwarza, dopuszczenie osób nieuprawnionych do przetwarzania tych danych lub omyłkowe przemieszanie przetwarzanych danych z innymi – wyjaśnia dr Marlena Sakowska-Baryła.
Unijne klauzule umowne
Przedsiębiorcy w internecie wskazują, że problemy z niekorzystnymi dla procesorów umowami powierzenia mogłoby rozwiązać stworzenie rejestru klauzul abuzywnych (niedozwolonych) przez Komisję Europejską. Tyle że art. 28 ust. 7 i 8 RODO przewiduje nieco inną możliwość. Mianowicie KE może stworzyć rejestr klauzul, ale standardowych (wzorcowych), nie zaś abuzywnych.
– Będzie to zestaw klauzul pozytywnych, tzn. wskazujący, jakich klauzul można używać, aby pozostać zgodnym z RODO. Uznać przy tym można, że klauzulą abuzywną będzie zawsze klazula sprzeczna z RODO czy z zatwierdzoną klauzulą umowną – tłumaczy mec. Wojciech Dziomdziora.
Na razie jednak nie wiadomo, kiedy taki rejestr się pojawi.
!Regulacje umowne naruszające przepisy o odpowiedzialności kontraktowej mogą być uznane za nieważne.
KIEDY TRZEBA ZAWRZEĆ UMOWY PRZETWARZANIA DANYCH
Powierzanie danych osobowych do przetwarzania innym podmiotom to codzienność praktyki obrotu gospodarczego. Przykładowo administrator powierza tego typu dane podmiotowi przetwarzającemu, kiedy zawiera np. umowy:
● z zewnętrzną księgowością,
● z firmą rekrutacyjną,
● z firmą marketingową,
● z kancelarią prawną,
● z firmą archiwizującą dokumentację,
● z firmą dokonującą audytu,
● o usługi internetowe (poczta elektroniczna, miejsce na serwerze).
Tego typu umowy powinny zawierać obowiązkowe elementy, które wskazane zostały w art. 28 RODO, dotyczące zasad przetwarzania powierzonych danych osobowych. W przypadku gdy dotychczasowe umowy nie zawierają odpowiednich klauzul – powinny zostać aneksowane.