Z kim NIE zawiera się umowy powierzenia przetwarzania?

W poprzednim wpisie „Z kim zawiera się umowę powierzenia przetwarzania?” pisaliśmy o tym, kiedy mamy do czynienia z podmiotem przetwarzającym i kiedy istnieje obowiązek zawarcia umowy powierzenia. Tym razem chcemy odwrócić temat i odpowiedzieć na pytanie, kiedy umowy powierzenia nie należy zawierać.

I Osoby przetwarzające dane osobowe z upoważnienia administratora

O tym pisaliśmy już w poprzednim wpisie. Jeżeli administrator w danym przypadku stosuje art. 29 RODO i udziela upoważnień (choć to czy są wymagane tzw. upoważnienia pisemne jest przedmiotem kontrowersji – z wyjątkiem m.in. stosunku pracy), to osoba upoważniona nie jest podmiotem przetwarzającym.

II Nie każdy kontrahent jest automatycznie podmiotem przetwarzającym

Ten punkt to największa „bolączka” obecnego stosowania RODO w Polsce. Przedsiębiorcy ostatnio na potęgę „wymieniają się” umowami powierzenia albo zmuszają swoich kontrahentów, w szczególności podwykonawców, do zawierania takich umów. UWAGA! Są oczywiście sytuacje – i to liczne – kiedy występuje stosunek powierzenia przetwarzania (o tym szerzej w poprzednim wpisie). Jeżeli jednak taki stosunek nie występuje, tj. podmiot X (potencjalny podmiot przetwarzający) nie przetwarza danych w imieniu administratora, to NIE WOLNO zawierać umowy powierzenia. Umowa powierzenia przetwarzania ma regulować prawa i obowiązki stron w sytuacji, gdy stosunek powierzenia istnieje, ale nie może kreować takiego stosunku.

Lekkomyślne wręczanie każdemu kontrahentowi umowy powierzenia do podpisania świadczy (niestety!) o błędnym wdrożeniu RODO. Jako przykład można podać zmuszanie podwykonawcy w ramach umowy o roboty budowlane do podpisywania umowy powierzenia. Jeśli nie ma przekazywanych danych osobowych celem przetwarzania w imieniu administratora, to nie ma potrzeby (a wręcz nie wolno) podpisywać umów powierzenia. Doprowadziłoby to do błędnego określenia praw i obowiązków i wykreowania takich praw, które nie mają racji bytu. W szczególności jednak w przypadku kontroli, takie postępowanie mogłoby wręcz zakończyć się administracyjną karą pieniężną.

Co jednak w sytuacji, gdy – mimo poprawnego wdrożenia RODO i przewertowania wielu stron literatury i artykułów – nie wiemy czy dany podmiot jest podmiotem przetwarzającym czy też nie? Rzecz jasna są dwie odpowiedzi na to pytanie: zawierać umowę powierzenia oraz nie zawierać umowy powierzenia i zapewne znajdą się tacy eksperci, którzy doradzą zawarcie i tacy, którzy to będą odradzać. W naszej ocenie, w takiej skrajnej sytuacji, lepiej jednak zawrzeć umowę powierzenia i odpowiednio umotywować jej zawarcie w utrwalonej formie (np. opinia prawna obsługującej kancelarii, notatka z uzasadnieniem samego administratora, odpowiedni wpis w rejestrze czynności przetwarzania danych, odpowiedni wpis w liście kontrolnej umów powierzenia). Utrwalenie – zgodnie z zasadą rozliczalności – może pomóc w uzasadnieniu decyzji o zawarciu umowy powierzenia w przypadku kontroli. Z drugiej strony brak zawarcia umowy powierzenia (jeśli organ nadzorczy jednak stwierdzi, że powinna być zawarta) może rodzić poważniejsze skutki prawne w zakresie kary aniżeli zawarcie takiej umowy „na wszelki wypadek”. Pamiętajmy jednak, że każdy przypadek należy starannie przeanalizować i nie podejmować decyzji pochopnie

III Podmioty, które nie wdrożyły RODO

Zgodnie z przepisem art. 28 ust. 1 RODO administrator korzysta wyłącznie z usług takich podmiotów przetwarzających, które zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi RODO i chroniło prawa osób, który dane dotyczą. Innymi słowy: jeżeli ktoś nie wdrożył RODO, albo zrobił to „po macoszemu”, to nie należy nie tylko nie zawierać umowy powierzenia z takim podmiotem, ale przede wszystkim nie rozpoczynać z nim współpracy (oraz zaniechać tej współpracy, jeśli została już nawiązana). Administrator ponosi odpowiedzialność za wybór podmiotu przetwarzającego. Oczywiście umową powierzenia można odpowiednio uregulować odpowiedzialność tak, aby administrator był jak najbardziej bezpieczny, ale jeżeli umyślnie albo przez lekkomyślność administrator powierzy dane osobowe procesorowi, który nie przestrzega wymogów RODO, to w przypadku incydentu po stronie podmiotu przetwarzającego, administrator nie pozostaje bez winy i bez odpowiedzialności.

Podsumowując: rozgraniczenie kiedy należy zawrzeć umowę powierzenia, a kiedy nie, nie jest łatwe. Dlatego warto do każdego przypadku podejść indywidualnie, a najlepiej skonsultować się z ekspertem z zakresu RODO. Jedno jest pewne: jeśli ktoś nie wdrożył RODO, nie powierzajmy mu naszych danych w ramach powierzenia, bo może się to dla nas źle skończyć.

Skomentuj

Wprowadź swoje dane lub kliknij jedną z tych ikon, aby się zalogować:

Logo WordPress.com

Komentujesz korzystając z konta WordPress.com. Wyloguj /  Zmień )

Zdjęcie na Google

Komentujesz korzystając z konta Google. Wyloguj /  Zmień )

Zdjęcie z Twittera

Komentujesz korzystając z konta Twitter. Wyloguj /  Zmień )

Zdjęcie na Facebooku

Komentujesz korzystając z konta Facebook. Wyloguj /  Zmień )

Połączenie z %s