Za takiego będzie uznany, jeśli przetwarza dane osobowe szerzej, niż wynika to z zakresu wskazanego w umowie powierzenia. Grożą mu za to kary finansowe i roszczenia odszkodowawcze.
Przedsiębiorcy zatrudniają chętnie osobne podmioty do prowadzenia księgowości, obsługi kadrowej, prawnej, informatycznej. Powierzają im przy tym dane osobowe, którymi administrują. Zgodnie z RODO podmiot, który dane osobowe przetwarza na zlecenie administratora, określany jest mianem procesora. Administrator ma w takim przypadku obowiązek podpisać z procesorem umowę powierzenia przetwarzanych danych.
Ale uwaga! Firmy wykonujące zlecenia w ramach umowy powierzenia przetwarzania danych osobowych nie mogą używać uzyskanych informacji do celów innych, niż wskazano w tym kontrakcie. Jeżeli ów zakres przekroczą, uznaje się ich za samodzielnych administratorów danych osobowych w zakresie, w jakim tę umowę przekroczono. Tak wynika m.in. z art. 28 ust. 10 RODO, czyli unijnego rozporządzenia o ochronie danych osobowych. Procesorzy, którzy przekraczają ów umówiony zakres, muszą w takiej sytuacji wypełnić wymagania typowe dla administratorów, np. obowiązek informacyjny, oraz zadbać o bezpieczeństwo danych.
Projektując przytaczany przepis, unijny ustawodawca chciał uniknąć sytuacji, gdy procesor wykorzystuje przekazane mu dane osobowe w sposób niezgodny nie tylko z kontraktem zawartym z administratorem, lecz także z unijnym rozporządzeniem. W przeszłości powszechną praktyką było bowiem bezprawne przetwarzanie danych osobowych uzyskanych od partnerów firmy, podmiotu współpracującego lub z innych, budzących wątpliwości, źródeł. Praktykowane to było chociażby w firmach kredytowych, wśród agentów ubezpieczeniowych czy brokerów. Nierzadko podmioty te wykorzystywały powierzone dane osobowe, mniej lub bardziej intencjonalnie, do własnych celów.
Bezużyteczne dane
Samo spełnienie przez procesora wstępującego w buty administratora obowiązków wynikających z RODO może być jednak w praktyce bezcelowe – wciąż nie będzie miał on prawa używać danych osobowych uzyskanych w drodze powierzenia.
– Procesor, stając się administratorem, nie będzie bowiem w stanie wykazać, że ma ważną podstawę prawną do przetwarzania danych osobowych, czyli np. zgodę udzieloną przez osobę, której dane dotyczą, umowę z nim bądź prawnie uzasadniony interes administratora – tłumaczy dr Marlena Sakowska-Baryła, radca prawny i partner w Sakowska-Baryła Czaplińska Kancelaria Radców Prawnych sp.p. oraz redaktor naczelna „ABI Expert”.
W praktyce naruszenie postanowień umowy powierzenia może skutkować jedynie negatywnymi następstwami. Administrator może bowiem domagać się od procesora kar umownych (jeżeli kontrakt takowe przewiduje) za przetwarzanie danych niezgodnie z ustaleniami. Ponadto prezes Urzędu Ochrony Danych Osobowych może nałożyć karę na procesora za przetwarzanie informacji bez podstawy prawnej – zgodnie z RODO – nawet do 20 mln euro lub 4 proc. obrotu przedsiębiorcy w roku poprzedzającym naruszenie. A na końcu także osoby, których dane osobowe były przetwarzane, mogą wystąpić o odszkodowanie za naruszenie przepisów RODO przez podmiot przetwarzający.
Pierwotna odpowiedzialność
Co jednak z odpowiedzialnością pierwotnego administratora danych osobowych? Zdaniem dr Marleny Sakowskiej-Baryły co do zasady nie powinien on ponosić odpowiedzialności w przypadku naruszenia dokonanego wyłącznie przez procesora. Z zaznaczeniem, że każdy przypadek należy analizować indywidualnie. Organ nadzorczy może bowiem ocenić, że administrator nie zabezpieczył odpowiednio interesu osoby, np. przekazując informacje budzącemu wątpliwości etyczne podmiotowi. Ewentualnie może się też okazać, że współpraca pomiędzy administratorem a procesorem powinna być postrzegana bardziej jako współadministrowanie danymi niż jako powierzenie. Może tak się stać np. wtedy, gdy właściciel firmy zawiera umowę powierzenia z samozatrudnionym informatykiem, który w praktyce na co dzień pracuje w siedzibie przedsiębiorstwa, na jego sprzęcie, i w dodatku wykonuje działania jedynie na wyraźne polecenie właściciela firmy.
Brak świadomości
To ważne, bo wielu przedsiębiorców działających na podstawie umowy powierzenia nie zdaje sobie sprawy, że swoimi działaniami wykraczają poza zakres tego kontraktu. Na przykład multiagenci ubezpieczeniowi, podpisując umowę powierzenia z określonym przedsiębiorstwem ubezpieczeniowym, często z własnej inicjatywy próbują wybrać najlepszą na rynku ofertę, by potem ją zaproponować klientowi. Sęk w tym, że wychodzą już poza zakres kontraktu z tym pierwszym ubezpieczycielem.
– Zgodnie z prawem, gdyby chcieli rozszerzyć zakres i cel przetwarzania danych osobowych klientów, to uprzednio powinni od nich zebrać osobne zgody na przetwarzanie danych osobowych w celu sprawdzenia dla nich oferty w różnych ubezpieczalniach. Agenci ubezpieczeniowi bardzo często nie są tego świadomi – mówi dr Marlena Sakowska-Baryła.
Art. 28 ust. 10 RODO
„Bez uszczerbku dla art. 82, 83 i 84, jeżeli podmiot przetwarzający naruszy niniejsze rozporządzenie przy określaniu celów i sposobów przetwarzania, uznaje się go za administratora w odniesieniu do tego przetwarzania”.