Umowa powierzenia jest niezbędna

Dlaczego konieczne jest zawarcie umowy powierzenia pomiędzy administratorem a podmiotem przetwarzającym? Obowiązujące od 25 maja 2018 roku przepisy rozporządzenia Parlamentu Europejskiego i Rady (UE)2016/679 z 27.04.2016 roku w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (dalej: „RODO”) regulują kwestię zawieranej pomiędzy administratorem danych osobowych a podmiotem przetwarzającym umowy powierzenia przetwarzania danych osobowych.

fot. freepik

Dla prawidłowego stosowania instytucji powierzenia przetwarzania danych osobowych określonej w art. 28 RODO zasadnicze znaczenie ma ustalenie różnicy pomiędzy administratorem a podmiotem przetwarzającym. Według definicji zamieszczonych w art. 4 pkt 7 i 8 RODO, „administratorem” jest podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych. Określenie zaś „podmiot przetwarzający”, zwany również „procesorem”, oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który przetwarza dane osobowe w imieniu administratora. W literaturze podkreśla się, że istotą konstrukcji powierzania przetwarzania (czyli operacji lub zestawu operacji wykonywanych na danych osobowych) jest zlecenie przez administratora wybranemu podmiotowi przetwarzającemu dokonania określonych czynności przetwarzania, w imieniu i na rzecz administratora. Cechą zatem odróżniającą administratora od podmiotu przetwarzającego jest więc to, że drugi nie decyduje o celach i sposobach przetwarzania. Najczęściej administrator podejmuje decyzję o powierzeniu przetwarzania danych osobowych innemu podmiotowi, gdy uzna, że podmiot, któremu powierzy te czynności, wykona je bardziej efektywnie, tj. wykona te czynności w imieniu administratora szybciej, skuteczniej i zapewne taniej. Najczęściej jako przykład powierzenia przetwarzania danych osobowych przez administratora podaje się przekazanie danych podmiotowi specjalizującemu się w obsłudze księgowej czy informatycznej.

W literaturze podkreśla się, że kluczowym powodem konieczności uregulowania kwestii powierzenia przetwarzania danych pomiędzy administratorem a podmiotem przetwarzającym jest potrzeba jasnego określenia relacji zachodzących między wyżej wymienionymi podmiotami i zapobiegania obniżeniu poziomu ochrony wskutek faktycznego wykonywania czynności przetwarzania przez inne podmioty niż administrator i osoby mu bezpośrednio podległe1. W pkt 28 Preambuły RODO wskazano bowiem, że umowa powierzenia przetwarzania danych osobowych – zawarta pomiędzy administratorem a procesorem – jest konieczna w celu zapewnienia przestrzegania wymogów niniejszego rozporządzenia (…) administrator powinien, powierzając podmiotowi przetwarzającemu czynności przetwarzania, korzystać z usług wyłącznie podmiotów przetwarzających, które zapewniają wystarczające gwarancje – w szczególności jeżeli chodzi o wiedzę fachową, wiarygodność i zasoby – wdrożenia środków technicznych i organizacyjnych odpowiadających wymogom niniejszego rozporządzenia, w tym wymogom bezpieczeństwa przetwarzania.

Zatem zawarcie umowy powierzenia przetwarzania danych osobowych pomiędzy administratorem a procesorem, której to treść będzie określała reguły powierzenia danych osobowych oraz obowiązki spoczywające na podmiocie przetwarzającym, konieczne jest w celu zapewnienia odpowiedniego standardu (bezpieczeństwa) ochrony danych osobowych pozostających do dyspozycji administratora. Administrator zobowiązany jest bowiem do sprawdzenia podmiotów, którym powierza przetwarzanie danych osobowych. Biorąc również pod uwagę brzmienie art. 28 ust. 1 RODO, administrator musi wykazać, że dokonał takiej weryfikacji. W literaturze podkreśla się, że istotą regulacji instytucji powierzenia przetwarzania danych osobowych jest zapewnienie powierzonym procesorowi danym osobowym zewnętrznych standardów ochrony w zakresie nie niższym niż te, których prawo wymaga od administratora. W tym zakresie wskazuje się, że podmiot przetwarzający winien zagwarantować osobie, której dane przetwarza w imieniu administratora, możliwość realizacji przysługujących jej praw oraz zapewnić, że w razie wystąpienia nieprawidłowości będzie mogła efektywnie skorzystać z przysługujących jej roszczeń2. W tym celu konieczne jest zawarcie umowy powierzenia przetwarzania danych osobowych określającej przedmiot i czas trwania przetwarzania, charakter i cel przetwarzania, rodzaj danych osobowych oraz kategorie osób, których dane dotyczą, obowiązki i prawa administratora.

Zawarcie umowy powierzenia przetwarzania danych osobowych pomiędzy administratorem a podmiotem przetwarzającym konieczne jest również z uwagi na przewidzianą odpowiedzialność zarówno administratora, jak i procesora w przepisach RODO i ustawy 10 maja 2018 roku o ochronie danych osobowych (Dz.U. z 2018 poz. 1000).

W tym zakresie wskazać należy, że zgodnie z art. 77 RODO każdej osobie, której dane dotyczą, przysługuje prawo do wniesienia skargi do organu nadzorczego, jeżeli sądzi, że przetwarzanie danych osobowych jej dotyczące narusza postanowienia RODO. Takiej osobie przysługuje również prawo do skutecznego środka ochrony prawnej przed sądem, jeżeli uzna, że prawa przysługujące jej na mocy RODO zostały naruszone w wyniku przetwarzania jego danych osobowych z naruszeniem postanowień RODO (art. 79 RODO).

Niezależnie od powyższego, każdej osobie, która poniosła szkodę majątkową lub niemajątkową w wyniku naruszenia postanowień RODO przysługuje prawo do uzyskania od administratora lub podmiotu przetwarzającego odszkodowania za poniesioną szkodę. Zatem brak zawarcia umowy powierzenia przetwarzania danych osobowych może rodzić odpowiedzialność odszkodowawczą, która to odpowiedzialność co do zasady spoczywa na administratorze, a nie podmiocie przetwarzającym. Zgodnie bowiem z art. 82 ust. 2 RODO administrator uczestniczący w przetwarzaniu danych odpowiada za szkody spowodowane naruszeniem RODO w każdym przypadku, kiedy do takiego naruszenia dojdzie. Wyłączenie odpowiedzialności jest możliwe tylko w przypadku, kiedy administrator wykaże, że w żaden sposób nie ponosi winy za zdarzenie, które doprowadziło do powstania szkody.

Naruszenie przepisów art. 28 RODO stanowi także przesłankę do nałożenia administracyjnej kary pieniężnej, o której mowa w art. 83 ust. 4 lit. a RODO, tj. kary w wysokości do 10 000 000 euro, a w przypadku przedsiębiorstwa – w wysokości do 2 procent jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego.

Procesor odpowiada za szkody spowodowane przetwarzaniem, gdy nie dopełnił obowiązków, które nakłada na niego RODO, a także w przypadku gdy działał poza zgodnymi z prawem instrukcjami administratora lub wbrew tym instrukcjom.

Niezależnie od tego ustawa z 10 maja 2018 roku o ochronie danych osobowych w art. 107 przewiduje odpowiedzialność karną za bezprawne przetwarzanie danych osobowych. Powyższy przepis wskazuje, że odpowiedzialności karnej zagrożonej grzywną, karą ograniczenia wolności albo pozbawienia wolności do lat dwóch podlega osoba, która przetwarza dane osobowe, choć ich przetwarzanie nie jest dopuszczalne albo do ich przetwarzania nie jest uprawniona. Natomiast jeżeli czyn określony powyżej dotyczy danych ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych, danych genetycznych, danych biometrycznych przetwarzanych w celu jednoznacznego zidentyfikowania osoby fizycznej, danych dotyczących zdrowia, seksualności lub orientacji seksualnej, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat trzech.

Podsumowując, zawarcie pisemnej umowy powierzenia przetwarzania danych osobowych pomiędzy administratorem a procesorem konieczne jest w celu zapewnienia odpowiedniego standardu ochrony danych osobowych pozostających do dyspozycji administratora. Tym samym brak zawarcia tejże umowy w sytuacji, w której faktycznie dochodzi do przekazania danych osobowych, może rodzić po stronie administratora czy procesora odpowiedzialność odszkodowawczą, jak również karną oraz może spowodować nałożenie przez Prezesa Urzędu Ochrony Danych Osobowych dotkliwej kary pieniężnej. Na marginesie dodać należy, że zgodnie z art. 28 ust. 9 RODO umowa lub inny akt prawny, wiążący administratora z procesorem, powinny mieć formę pisemną, w tym formę elektroniczną. W związku z powyższym ustna umowa powierzenia przetwarzania danych osobowych nie spełnia wymogów przewidzianych w przepisach RODO.

Ilona Świderska-Ćwik
radca prawny, Kolmers Legal
ilona.swiderska-cwik@ kolmers.pl


Przypisy:
1 Fajgielski Paweł, Komentarz do rozporządzenia nr 2016/679 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) [w:] Ogólne rozporządzenie o ochronie danych. Ustawa o ochronie danych osobowych. Komentarz do art. 28 RODO.
2 M. Sakowska-Baryła (red.), Ogólne rozporządzenie o ochronie danych osobowych. Komentarz, Warszawa 2018; komentarz do art. 28 RODO.

Warsztat i rzemiosło ponad wszystko.

Adam Sztaba

Pobierz wydanie 07_08/2020

Zobacz również

Ta strona wykorzystuje pliki cookies (niewielkie pliki tekstowe przechowywane przez przeglądarkę internetową na urządzeniu użytkownika) m.in. do analizy statystycznej ruchu, dopasowania wyglądu i treści strony do indywidualnych potrzeb użytkownika. Pozostawiając w ustawieniach przeglądarki włączoną obsługę plików cookies wyrażasz zgodę na ich użycie. Jeśli nie zgadzasz się na wykorzystanie plików cookies zmień ustawienia swojej przeglądarki. Więcej znajdziesz w Polityce Prywatności.