Zastrzeganie w umowach powierzenia przetwarzania danych osobowych ryczałtowych wynagrodzeń dla procesorów od kontrolujących ich administratorów może być uznane za bezpodstawne wzbogacenie.
Audyt u podmiotów przetwarzających dane na zlecenie administratorów okazuje się problematyczny. Winne całej sytuacji są unijne przepisy o ochronie danych osobowych, które w tym zakresie są utrzymane na wysokim poziomie ogólności. W efekcie administratorzy i procesorzy doprecyzowują określone kwestie w zawieranych umowach i – jak się okazuje – dochodzi wówczas do zgrzytów.
Jak to zrobić
Zgodnie z art. 28 ust. 3 lit. h rozporządzenia Parlamentu Europejskiego i Rady (UE) nr 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz.Urz. UE z 2016 r. L 119, s. 1, dalej: RODO) podmiot przetwarzający dane osobowe (procesor) udostępnia administratorowi wszelkie informacje niezbędne do wykazania ciążących na nim obowiązków oraz umożliwia administratorowi lub audytorowi przeprowadzanie audytów, w tym inspekcji, i przyczynia się do nich. Tyle RODO.
Szczegóły, o czym wspomina unijny prawodawca, są kształtowane przez zainteresowane dwie strony w drodze łączącej ich umowy powierzenia przetwarzania danych osobowych. Określa się w niej zasady prowadzenia audytu, w tym dni i godziny, w jakich mogą być wykonywane czynności kontrolne. Istotnym elementem ustalanych reguł jest kwestia rozliczeń za audyt. Przykładowo strony mogą ustalić, że wynagrodzenie dla audytorów ponosi administrator danych. Taki zapis raczej nie budzi kontrowersji.
– Za dopuszczalne uznałbym również zapisy umowne, które zobowiązują administratora do pokrycia realnie poniesionych przez procesora kosztów przeprowadzenia kontroli. Takie regulacje nie uniemożliwiają bowiem realizacji obowiązków administratora, a jedynie pozwalają procesorom na nieponoszenie nadmiernych kosztów działań administratorów – mówi Maciej Rzeszewski, radca prawny w FilipiakBabicz Kancelarii Prawnej.
Pieniądze nie mogą blokować weryfikacji
Korzystając z zasady swobody umów, procesorzy niejednokrotnie idą jednak znacznie dalej, domagając się od administratorów wynagrodzenia w formie ryczałtu za możliwość ich skontrolowania. Czasem te kwoty oscylują na poziomie kilkunastu, a nawet kilkudziesięciu tysięcy złotych. A wówczas jasnym staje się, że oderwane od realnych kosztów wynagrodzenie ma zniechęcać administratorów do prowadzenia audytów. Problem dotyczy przede wszystkim tych procesorów, którzy działają na zlecenie wielu administratorów i w ten sposób chcą się chronić przed dużą liczbą kontroli w jednym czasie. Tyle, że takie tłumaczenia mogą się nie obronić. Przywołane rozwiązanie uderza bowiem w możliwość realizacji prawa przysługującego administratorowi wobec procesora.
– Zastrzeganie wysokiego ryczałtowego wynagrodzenia przekracza zakres swobody umów i jest sprzeczne z naturą stosunku prawnego, jaki powstaje pomiędzy procesorem a administratorem w związku z zawarciem umowy powierzenia przetwarzania danych – wyjaśnia mec. Rzeszewski.
– Potwierdza to również interpretacja innych postanowień art. 28 RODO wskazujących na obowiązek procesora do wspierania administratora, czy to przez udzielanie informacji dotyczących przetwarzania, czy ostrzeganie o tym, że polecenie wydane przez administratora jest niezgodne z rozporządzeniem – dodaje nasz rozmówca.
Co prawda zakazu wprowadzania do umowy takiego wynagrodzenia nie da się wprost wywieść z RODO, ale niezgodność z tym aktem prawnym może mieć charakter pośredni. Tego rodzaju zapisy uderzają bowiem w funkcję, którą ma spełniać art. 28 ust. 3 lit. h RODO. Istotą tego przepisu jest bowiem przyznanie administratorowi prawa audytu. Tymczasem wysokie ryczałtowe wynagrodzenie utrudnia realizację celu tej regulacji.
Niektórzy eksperci mówią o niezgodności takich praktyk z zapisami prawa cywilnego.
– Można pokusić się o stwierdzenie, że są podstawy do uznania takich postanowień za nieważne, jako sprzecznych z przepisami prawa na podstawie art. 58 par. 3 ustawy z 23 kwietnia 1964 r. – Kodeks cywilny (t.j. Dz.U. z 2018 r. poz. 1025 ze zm.), co w konsekwencji może prowadzić do roszczeń o zwrot uiszczonego wynagrodzenia w stosunku do procesorów, np. z tytułu bezpodstawnego wzbogacenia – uważa mec. Rzeszewski.
Rynek wymusi dobre praktyki
Mając na względzie występujące problemy, podejście do zagadnienia audytu powinno stanowić dla administratora jeden z istotnych czynników przy wyborze procesora, któremu powierzy on przetwarzanie danych. Administrator jest bowiem podmiotem odpowiedzialnym za zapewnienie, by operacje na danych odbywały się zgodnie z unijnym rozporządzeniem, zaś utrudnianie przez procesora przeprowadzania kontroli jego działalności negatywnie przekłada się na dopilnowanie tej zgodności. Przed podpisaniem umowy powierzenia przetwarzania danych zasadne jest więc dokładne przeanalizowanie proponowanego kształtu jej zapisów w zakresie odnoszącym się do audytu.
W ocenie ekspertów rynek samodzielnie zweryfikuje opisywaną praktykę ustalania przez procesorów ryczałtowych wynagrodzeń za możliwość przeprowadzenia u nich kontroli.
– Wszędzie tam, gdzie na rynku istnieje silna konkurencja pomiędzy procesorami, powinno dojść do zanikania rażących barier dla prowadzenia kontroli. Co prawda podejście procesora do audytu nie jest jedynym czynnikiem wpływającym na jego wybór, to jednak administratorzy będą preferować te podmioty przetwarzające, które nie będą im utrudniały realizacji ich praw – twierdzi mec. Rzeszewski.
Co jeszcze może utrudniać audyt?
Zagadnienie czynników mogących utrudniać korzystanie przez administratorów danych osobowych z prawa audytu procesorów będzie zapewne przedmiotem wielu decyzji Urzędu Ochrony Danych Osobowych, jak i orzeczeń sądów. Praktyki, które już teraz budzą wątpliwości, to:
• zastrzeganie w umowach z procesorem obowiązku powiadamiania procesora przez administratora o zamiarze audytu z zachowaniem znacznego wyprzedzenia, np. kilkumiesięcznego,
• ograniczanie liczby możliwych do przeprowadzenia audytów w roku bez uwzględnienia sytuacji nadzwyczajnych uzasadniających częstsze kontrole.