Przedsiębiorcy po wejściu RODO mają wiele problemów na etapie przygotowania i podpisywania tych dokumentów. Wprowadzają też wiele niepraktycznych lub niemożliwych do spełnienia wymogów.
Współpraca gospodarcza pomiędzy odrębnymi podmiotami w większości przypadków pociąga za sobą przepływ danych osobowych, który może polegać na:
  • udostępnieniu ich pomiędzy odrębnymi administratorami lub
  • powierzeniu ich przez administratora do przetwarzania podmiotowi przetwarzającemu.
Trzeciej drogi nie ma, chociaż w praktyce spotyka się karkołomne próby stworzenia mniej lub bardziej wyrafinowanych konstrukcji próbujących przełamać tę dychotomię. Umowy powierzenia były i będą nieodłącznym elementem codziennej praktyki.
Po rozpoczęciu stosowania RODO (czyli rozporządzenia Parlamentu Europejskiego i Rady (UE) nr 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych; Dz.Urz. UE z 2016 r. L 119, s. 1) tendencja do jak najczęstszego zawierania umów powierzenia jeszcze się nasiliła. Wynika to przede wszystkim z obawy przed wprowadzonymi przez RODO olbrzymimi karami finansowymi, ale także z niezrozumienia relacji, jakie zachodzą pomiędzy poszczególnymi podmiotami. Uczestnicy obrotu gospodarczego zaczęli zwracać większą uwagę na kwestie związane z przetwarzaniem danych osobowych oraz szukać możliwości zminimalizowania własnej odpowiedzialności, m.in. poprzez podzielenie się nią z innymi ‒ najczęściej polega to na podpisaniu umowy powierzenia.
Wraz z rozpoczęciem stosowania RODO i wejściem w życie nowej ustawy o ochronie danych osobowych zaczęły się również próby określenia na nowo dotychczasowych ról w procesie przetwarzania danych osobowych. Niespodziewanie się okazało, że podmioty od zawsze występujące w danej konfiguracji jako odrębny administrator zaczęły się określać jako podmioty przetwarzające i odwrotnie – część podmiotów przetwarzających zaczęła silnie argumentować za swoją pozycją jako administratora. Dotyczy to tak ważnych obszarów, jak np. ubezpieczenia, usługi kurierskie, badania rynkowe czy sprawy kadrowe. Wszystko to przyczyniło się do wywołania stanu niepewności na rynku, czasem urastając wręcz do rangi jednego z „absurdów RODO”, których i tak nie brakuje. Walka z takimi absurdami jest wyzwaniem, które podjęliśmy i chcemy realizować poprzez różnorakie publikacje, w tym w postaci niniejszego artykułu.
Oczywiście RODO wprowadziło określone formalne wymagania wobec umów powierzenia, ale to nie one są problemem, ale sposób ich implementowania. Mimo powszechnego stosowania umów powierzenia (albo właśnie dlatego) jesteśmy świadkami wielu błędnych, niepraktycznych lub niemożliwych do spełnienia rozwiązań wprowadzanych do takich umów. Warto się im przyjrzeć, może to mieć bowiem istotny wpływ na zakres odpowiedzialności stron umowy, realizację umowy głównej, ale też na funkcjonowanie całego rynku.
Błąd 1

Niewłaściwe przypisywanie statusu administratora

Jednym z podstawowych błędów jest niepoprawne nadanie przymiotu administratora danych podmiotowi, któremu taki status nie przysługuje. Współpracujące podmioty błędnie interpretują role, jakie powinny pełnić. Wynika to najczęściej z niezrozumienia celów i sposobów przetwarzania danych osobowych. Przykładem może być stanowisko spółek ubezpieczeniowych, które oczekują, że w przypadku ubezpieczeń grupowych pracodawca udostępni im wszelkie dane pracownika, w tym np. dane medyczne, a więc dojdzie do relacji administrator – administrator. Jednakże pracodawca nie ma podstawy prawnej, żeby przetwarzać takie dane swoich pracowników, tak więc w istocie występuje tutaj co do zasady jako podmiot przetwarzający, zbierający określone dane na rzecz ubezpieczyciela (najczęściej na dostarczonych przez tegoż formularzach).
Błąd 2

Stosowanie powierzania zamiast udostępniania

W obawie przed karami finansowymi podmioty zaczęły lawinowo i bez potrzeby powierzać dane do przetwarzania innym podmiotom nawet w sytuacjach, gdy do takiego powierzenia danych nie dochodzi (relacja oparta jest na udostępnieniu). Przykładem może być powierzanie danych osobowych pracowników firm zapewniających ochronę mienia i osób podmiotom, które z takich usług korzystają (podczas gdy, zgodnie z utrwalonym w doktrynie i orzecznictwie stanowiskiem, dane osobowe takie jak imię, nazwisko, e-mail i telefon służbowy, jako związane ściśle ze sferą pracowniczą, mogą być przez pracodawcę udostępniane w obrocie gospodarczym).
Błąd 3

Nieadekwatne wymagania co do zabezpieczeń

RODO wymaga także, aby administrator korzystał wyłącznie z usług podmiotów, które dają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, aby prowadzić działalność w tym zakresie zgodnie z RODO i chronić prawa osób, których dane będą przetwarzane (art. 28 ust. 1 RODO). Biorąc powyższe pod uwagę, administratorzy zaczęli nadinterpretować przepisy w tym zakresie. Pojawiły się z ich strony nieproporcjonalne wymagania. Często mamy do czynienia z sytuacją, w której administrator wymaga od podmiotu przetwarzającego zbyt rozbudowanych środków technicznych i organizacyjnych (specyficznych metod szyfrowania, zabezpieczonych serwerowni, monitorowanych przestrzeni). Należy pamiętać, że w wielu przypadkach, w szczególności gdy zakres powierzonych do przetwarzania danych nie jest szeroki, wystarczą podstawowe systemy zabezpieczeń, aby zapewnić stopień bezpieczeństwa odpowiadający ryzyku naruszenia praw lub wolności osób fizycznych, których dane zostaną powierzone. Umowa powierzenia danych powinna być z założenia krótka i treściwa. Nadmierne, nieproporcjonalne jej rozbudowanie prowadzi do niepotrzebnej formalizacji relacji, spowolnienia i komplikacji procesów, a także utrudnia realizację podstawowego celu takiej umowy – sprawnego przetwarzania powierzonych danych w warunkach kontroli nad nimi.
Błąd 4

Zbyt szeroki zakres powierzanych danych

Kolejnym poważnym błędem (również z punktu widzenia ewentualnej kontroli organu nadzoru) jest powierzenie zbyt szerokiego zakresu danych. Przyczyną jest niewiedza bądź nieświadomość stron umowy, jakie dane faktycznie są niezbędne do wykonania umowy głównej. Strony często wpisują dane „tak na wszelki wypadek”, wychodząc z założenia, że nadmiar może być lepszy niż ewentualny brak konkretnych danych, gdy tymczasem każdy proces powinien być precyzyjnie przeanalizowany pod kątem minimalizacji informacji niezbędnych do jego realizacji.
Błąd 5

Narzucanie nierealnych terminów

Szczególne problemy interpretacyjne wiążą się z przepisem dotyczącym obowiązku zgłoszenia naruszenia ochrony danych osobowych organowi nadzorczemu. Zgodnie z art. 33 RODO administrator bez zbędnej zwłoki – w miarę możliwości, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia – zgłasza je organowi nadzorczemu. Ten bardzo krótki termin powoduje, że na podmiot przetwarzający próbuje się nakładać nierealne terminy na zawiadomienie o naruszeniu ochrony danych administratora, który z kolei musi dokonać zgłoszenia do organu nadzoru. Biorąc pod uwagę strukturę organizacyjną podmiotu przetwarzającego, jego wydolność, zasady funkcjonowania (np. nieobecność pracowników w dniu, w którym wydarzył się incydent), przy jednoczesnej niepewności co do faktycznego zaistnienia naruszenia (należy je wstępnie ocenić), termin 24 godzin wydaje się absolutnym minimum. Tymczasem często stosowane są terminy krótsze, np. 12-godzinne, niemożliwe do spełnienia przez podmiot przetwarzający.
Błąd 6

Opłaty za przeprowadzanie kontroli

Kolejnym obszarem, w którym bardzo często dochodzi do formułowania abstrakcyjnych postanowień, jest kwestia kontroli podmiotu przetwarzającego przez administratora lub wyznaczony przez niego podmiot. Oczywiste jest, że zamysłem wprowadzenia takiego uprawnienia było ułatwienie czy wręcz umożliwienie przeprowadzenia takiej kontroli, z którą bywało różnie pod rządami uchylonej ustawy (procesorzy często skutecznie jej unikali). Obecnie odpowiedzią podmiotów przetwarzających są próby wprowadzania wysokich opłat za możliwość wykonania swoich uprawnień przez administratora. O ile kwestia tego, czy można wymagać od administratora pewnej partycypacji w kosztach rzeczywiście poniesionych przez podmiot przetwarzający, nie jest do końca jednoznaczna, o tyle idące w dziesiątki tysięcy złotych opłaty za umożliwienie przeprowadzenia kontroli, niezależnie od jej zakresu, stanowią ewidentne naruszenie przepisów RODO. Co do zasady dopuszczalne jest natomiast wymaganie uprzedniego poinformowania o kontroli. Podmiot przetwarzający powinien bowiem mieć możliwość odpowiedniego planowania swojej pracy. W umowie należy jednak uwzględnić możliwość przeprowadzenia kontroli bez zapowiedzi, w przypadku gdy jest to uzasadnione szczególnymi okolicznościami (np. powzięciem informacji o naruszeniu ochrony danych).
Błąd 7

Narzucanie wysokich kar

Kwestią powiązaną z przeprowadzaniem kontroli jest odpowiedzialność podmiotu przetwarzającego wobec administratora. Również tutaj dochodzi do stosowania rozwiązań niezgodnych z RODO i to zarówno przez administratorów, jak i podmioty przetwarzające. Z jednej strony administratorzy często próbują wprowadzić kary finansowe w nieproporcjonalnej wysokości, np. 100 tys. zł za „każde naruszenie postanowień umowy przez podmiot przetwarzający”. Biorąc pod uwagę, że umowy zawierają zwykle wiele wymogów, czasem bardzo detalicznych, nakładanie drakońskich kar za nawet najmniejsze uchybienie, które nie prowadzi do ryzyka dla praw osób, których dane dotyczą, trudno uznać za proporcjonalne. Z drugiej strony podmioty przetwarzające próbują ograniczyć swoją odpowiedzialność do minimalnych kwot lub zastosować inne ograniczenia.
Błąd 8

Wymuszanie prawa do dalszego powierzania

Zdarza się, że podmioty przetwarzające próbują również wymusić na administratorze przyznanie im samodzielności w dalszym powierzaniu przetwarzania danych osobowych. Dzieje się tak szczególnie w przypadku dużych spółek, które korzystają z wielu podwykonawców, którzy mogą się często zmieniać. W takich okolicznościach pojawiają się sformułowania, zgodnie z którymi „administrator wyraża zgodę na korzystanie przez podmiot przetwarzający z usług dalszych podmiotów przetwarzających, bez potrzeby informowania o tym administratora”. Taka klauzula jest niedopuszczalna, ponieważ RODO wymaga, aby administrator był poinformowany przynajmniej o wszelkich zmianach podmiotów przetwarzających oraz miał czas na wyrażenie ewentualnego sprzeciwu.
Podmioty przetwarzające próbują wymusić na administratorze przyznanie im samodzielności w dalszym powierzaniu przetwarzania danych osobowych. Dzieje się tak szczególnie w przypadku dużych spółek, które korzystają z wielu podwykonawców.

podsumowanie

Przygotowując umowę powierzenia, należy mieć na względzie, że musi być ona komplementarna do umowy głównej, adekwatna do relacji biznesowej, której towarzyszy. Nie powinna zatem tworzyć rozbudowanej, skomplikowanej i niepotrzebnej sieci wzajemnych zastrzeżeń, uchyleń i rozbuchanych wymagań. Należy zawsze brać pod uwagę charakter, zakres, kontekst i cele przetwarzania, by optymalnie definiować ewentualne ryzyko i przypisywać je stronie, która najlepiej potrafi sobie z nim poradzić. Przejrzysta i poprawna umowa to podstawa udanej współpracy administratora i podmiotu przetwarzającego, a także fundament rzetelnego i, co najważniejsze, bezpiecznego dla obu stron przetwarzania danych osobowych.