Czytałem, że jeśli podmiot przetwarzający dane osobowe na zlecenie administratora popełni błędy, to prezes Urzędu Ochrony Danych Osobowych może w pewnych sytuacjach nałożyć karę na obu. Jakie działania powinien zapobiegawczo podjąć przedsiębiorca, który powierza dane innemu podmiotowi, aby zminimalizować ryzyko sankcji?

W ubiegłym tygodniu na łamach dodatku Firma i Prawo opisywaliśmy kontrowersyjną decyzję prezesa Urzędu Ochrony Danych Osobowych, w której nałożył on karę jednocześnie na administratora (ADO) i podmiot przetwarzający (procesora). Publikacja wzbudziła niemałe zainteresowanie wśród prawników specjalizujących się w obszarze RODO, a także m.in. wśród firm windykacyjnych i ich klientów.
Nieuniknione pomyłki
Przypomnijmy, iż w sporym uproszczeniu sprawa dotyczyła sytuacji, w której pewna firma zleciła wyspecjalizowanej firmie windykacyjnej ściągnięcie należności od swojego dłużnika. Windykator miał skontaktować się z przedstawicielem konkretnego podmiotu gospodarczego w celu zaspokojenia wierzytelności. Poszukując kontaktu telefonicznego oraz e-mailowego, popełnił jednak błąd i zaczął nękać postronną osobę fizyczną, wydzwaniając do niej oraz kierując na adres jej poczty elektronicznej wezwania do zapłaty. Osoba ta złożyła skargę do prezesa UODO na nieprawidłowości w procesie przetwarzania jej danych osobowych.
Po rozpatrzeniu skargi organ nadzorczy nałożył karę upomnienia - zarówno na ADO, jak i procesora. Na tego pierwszego za brak spełnienia obowiązku informacyjnego, a na oba podmioty - za brak przesłanki przetwarzania danych osobowych. Organ nadzorczy zwrócił uwagę, że dłużnikiem ADO był określony podmiot gospodarczy, a nie skarżąca. A skoro tak, to przetwarzanie jej danych kontaktowych było nieuprawnione. Procesor dodatkowo naruszył zasadę rzetelności oraz prawidłowości przetwarzania tychże danych (art. 5 ust. 1 lit. a oraz d rozporządzenia Parlamentu Europejskiego i rady [UE] 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE; ogólne rozporządzenie o ochronie danych; dalej: RODO). Uzasadniając upomnienie dla ADO za brak przesłanki przetwarzania danych osobowych, prezes UODO stwierdził, że to on jest administratorem danych, w imieniu i na rzecz którego działał procesor. A zgodnie z art. 5 ust. 2 RODO administrator jest odpowiedzialny za przestrzeganie przepisów prawa i musi być w stanie wykazać ich przestrzeganie.
Zdaniem prawników decyzja UODO jest o tyle istotna, że pomyłki takie, jak w opisywanej sprawie (omyłkowe przetwarzanie danych niewłaściwych osób), mogą się zdarzać w praktyce. W branży takiej jak windykacyjna (gdzie dłużnicy często nie chcą być odnalezieni) mogą być wręcz nieuniknione. Biorąc to pod uwagę, ADO oraz podmioty przetwarzające powinny podjąć działania zmierzające do zmniejszenia ryzyka wystąpienia takich wydarzeń lub zminimalizowania ich negatywnych skutków.
Ważne zapisy umowne
O zabezpieczenia powinna zadbać przede wszystkim firma zlecająca usługę (administrator), choć i procesorzy mogą zadbać o swoje interesy. [opinia]

Opinia eksperta

Procesor też musi zadbać o swoje interesy
Piotr Liwszic prawnik i autor serwisu Judykatura.pl / Materiały prasowe
Jeżeli decyzja prezesa UODO utrzyma się w wojewódzkim sądzie administracyjnym, to blady strach powinien paść na podmioty przetwarzające. Da się z niej wywodzić, że procesorzy mogą otrzymać karę nie tylko za swoje działania, lecz także za zaniechanie po stronie administratora. W opisywanym przypadku można mówić o niewłaściwej realizacji umowy powierzenia ze strony podmiotu przetwarzającego, ale i tak - biorąc pod uwagę uzasadnienie decyzji - do ukarania procesora może wystarczyć, aby to ADO, zlecając działania na danych osobowych, nie miał podstawy do ich przetwarzania.
Procesorzy przy podpisywaniu jakiejkolwiek umowy powierzenia - nie tylko w branży windykacyjnej - powinni zabezpieczać się poprzez zbieranie dowodów i oświadczeń ADO, że na pewno ma on podstawy prawne do przetwarzania danych. Bo gdyby później się okazało, że procesor takowych nie miał, to może otrzymać karę za błędne działanie ADO. Na marginesie: nie sądzę jednak, żeby taka była intencja europejskiego ustawodawcy.
Przy okazji warto zauważyć, że w Polsce nie istnieje ścieżka certyfikacji operacji przetwarzania prowadzonych przez podmioty przetwarzające - mimo że prezes UODO od ponad trzech lat ma ustawowy obowiązek wypracowania i opublikowania kryteriów dokonywania takiej certyfikacji. Taki obowiązek organu nadzorczego wynika zarówno z art. 42 RODO, jak i art. 16 ustawy z 10 maja 2018 r. o ochronie danych osobowych (t.j. Dz.U. z 2019 r. poz. 1781). Opisywana sprawa pokazuje, jak pomocny może być proces certyfikacji. Pozwoliłaby ona administratorom na wybór takiego procesora, który przeszedł dobrowolną certyfikację i oparł swoje procesy przetwarzania danych na właściwych zasadach. ©℗
Radca prawny Bartosz Lasota, prezes zarządu Lasota Consulting, mówi, że ADO powinien przede wszystkim precyzyjnie ustalić z procesorem zakres zlecenia. Ustalenia powinny być odpowiednio zapisane. Można je dopisać w umowie o współpracy w rozdziale dotyczącym zakresu i czynności przetwarzania danych osobowych. Jeśli zaś ogólnej umowie o współpracy towarzyszy odrębna umowa powierzenia, to wówczas ona będzie najlepszym do tego miejscem.
Jeśli np. procesorem jest firma windykacyjna, to warto oznaczyć precyzyjnie wierzytelność i dłużnika oraz ustalić, w jaki sposób będzie realizowana usługa (przede wszystkim, jak firma windykacyjna zamierza przetwarzać dane osobowe dłużnika). Należy zastrzec, że przetwarzanie to powinno zostać ograniczone wyłącznie do realizacji celu, w którym dane mają być przetwarzane, nie naruszając przy tym przysługującego dłużnikowi prawa do prywatności, w szczególności nie prowadząc kontaktu, który mógłby zostać potencjalnie oceniony jako nękanie. - ADO powinien również zobowiązać procesora do niezwłocznego informowania go o bieżącym stanie sprawy i wszelkich zdarzeniach mogących mieć dla niej znaczenie - podkreśla mec. Lasota. Jego zdaniem warto rozważyć też umowne doprecyzowanie, czy windykacja miękka (dążenie do ustalenia warunków spłaty długu) będzie wiązać się z kontaktem korespondencyjnym w formie tradycyjnej (pocztowej), e-mailowym czy może telefonicznym. A jeżeli tak, to w jakim zakresie i z jaką częstotliwością.
Przekazać klauzulę
Bartosz Lasota zwraca uwagę, że ADO może pomyśleć nad zobowiązaniem procesora do przekazywania klientom w imieniu administratora klauzuli obowiązku informacyjnego o przetwarzaniu przez ADO danych osobowych. - To ważne, ponieważ w wielu przypadkach ADO może nie wiedzieć, w którym dokładnie momencie procesor w jego imieniu kontaktuje się z dłużnikiem. Na tle analizowanej decyzji, gdyby ADO zadbał o tę kwestię, to uniknąłby kary za brak spełnienia obowiązku informacyjnego - wskazuje mec. Lasota.
- Klauzula informacyjna może być np. umieszczana w stopce każdej wiadomości e-mail wysyłanej do osoby fizycznej. Może to być konkretna formuła lub odnośnik do odpowiedniej strony internetowej, na której znajdują się pełne informacje dotyczące przetwarzania danych osobowych - proponuje Adam Klimowski, główny specjalista ds. ochrony danych osobowych w JAMANO.
Warto kontrolować
Dobrym sposobem na zabezpieczenie interesów ADO jest też wykonywanie przysługującego mu prawa do kontroli podmiotu przetwarzającego. Jest to standardem wpisywany co do zasady w każdej umowie powierzenia (zgodnie z art. 28 ust. 3 lit. h RODO). - To prawo w praktyce jest jednak bardzo rzadko wykorzystywane. W czasie, w którym administratorzy są obciążeni licznymi obowiązkami i audytami, trudno im bowiem znaleźć środki i czas na audytowanie dodatkowo podmiotów przetwarzających - przyznaje Andrzej Boboli, manager praktyki nowych technologii w Olesiński i Wspólnicy sp.k.
Prawnik przekonuje, że prowadzenie kontroli jest jednak najlepszym sposobem zarówno na późniejsze wykazanie przed UODO należytej staranności, jak i na odpowiednio wczesne wykrycie pojawiających się w praktyce uchybień po stronie procesora. - Zazwyczaj podmioty zajmujące się wykonywaniem outsourcowanych procesów przetwarzania danych z większą starannością podchodzą do obsługi przedsiębiorców, którzy korzystają z przysługującego im prawa kontroli, niż do tych, dla których prawo kontroli pozostaje tylko pustym zapisem - uważa mec. Boboli.
Roszczenie regresowe
Warto zabezpieczyć się też poprzez wprowadzenie do umowy powierzenia (lub umowy o współpracy, do której załącznikiem jest umowa powierzenia) mechanizmów ułatwiających administratorowi regresowe dochodzenie szkody od podmiotu przetwarzającego. Takie roszczenia o naprawienie szkody co do zasady i tak administratorowi przysługują (jeśli szkoda wynika w szczególności z naruszenia umowy przez podmiot przetwarzający). - Aby jednak ograniczyć spory na tym tle i uprościć ścieżkę dochodzenia roszczeń, praktyką jest uszczegóławianie tej kwestii - wyjaśnia mec. Andrzej Boboli. W przypadkach, w których nie dochodzi do nałożenia kary czy powstania roszczeń osób, zdarza się zaś zabezpieczanie ewentualnych naruszeń umowy poprzez kary umowne.
!Szczegółowe ustalenie zakresu zlecenia, okresowe kontrole, a także zapisy w umowie o roszczeniach regresowych - to wybrane narzędzia, które mogą uchronić administratorów danych osobowych przed karami prezesa UODO w razie pomyłek podmiotów przetwarzających.