Taką konkluzję można przyjąć po analizach naprawdę wielu umów powierzenia. Na początek jednak kanwa. W ostatnim czasie Wojewódzki Sąd Administracyjny oddalił skargę na decyzję, w której Prezes Urzędu Ochrony Danych Osobowych nałożył karę na spółkę zarządzającą nieruchomością. UODO uznał, że spółka stała się administratorem (w skrócie) bo sama decydowała o celach i zakresie przetwarzania danych (dotyczyło monitoringu wizyjnego posesji). 

W roku 2020 mieliśmy wiele webów na temat administratorów i procesorów, dlatego że jest to bardzo poważny temat w RODO, a skutki mogą być daleko idące dla osób, których dane dotyczą (o tym na końcu). Dla administratora oznacza oddanie procesów przetwarzania (nie tylko czynności na danych, jak wielu osobom się wydaje) w zupełnie obce ręce. Pełnych procesów. Z kategoriami, czynnościami, naprawdę dużo wymieniać. 

Działanie to test oczywiście całkowicie zrozumiałe, bo przecież utrzymanie zespołów IT, które zrobią niemalże wszystko jest z jednej strony jest niewykonalne (ekonomicznie), a z drugiej strony dlaczego firma sprzedająca pączki ma się zajmować IT? 

Jednak w naprawdę wielu przypadkach wady były (są?) wręcz fundamentalne.

Kanwą dzisiejszej opowieści jest ocena wzoru umowy powierzenia dostępnego w internecie. W trakcie webinaru i “przygotowania” audytu procesora analizowaliśmy zapisy i wnioski były naprawdę zaskakujące. 

Podstawa:

  • Umowa nie zawierała celu i zakresu działania – tylko obszar (obsługa IT)
  • Nie było informacji o kategoriach danych, tylko lista jednostkowych danych
  • Brak było informacji o tym, na czym przetwarzanie ma polegać (np. z definicji przetwarzania z RODO). 

Wniosek główny

Przy tego typu umowie nie ma możliwości wskazania zlecenia przetwarzania danych o których mowa w art 29 RODO. Oznacza to, że podmiot wskazany jako procesor sam decyduje co i z jakimi danymi będzie robić i w jaki sposób. Wskazany jest tylko CEL (też dość mglisty, obsługa IT). 

Jako, że webinary są miejscem czasem gorącej dyskusji powstało kilka różnych opcji, co w związku z tym:

  • W tej formie wygląda bardziej na umowę o współadministrowanie, ale też z fundamentalnymi brakami. Jeśli tak jest, należy ją dopracować. 
  • W przypadku procesora na podstawie tej konkretnej umowy ZAWSZE należy uznać, że zachodzi okoliczność z art. 28.10 RODO, a więc procesor poprzez to, że sam decyduje o tym co będzie robić z danymi i jak staje się administratorem. 
  • A jeśli jednak nadal ma być umową powierzenia, należy ją dopracować. Bo sankcje są dość dotkliwe. Dla administratora wbrew pozorom mniejsze. To procesor może dostać trudne pytania o spełnienie wymagań RODO dla administratora (od informacji o przetwarzaniu, po ocenę ryzyka, a nawet DPIA). A dodatkowo w tle zawsze jest też odpowiedzialność karna za przetwarzanie danych osobowych bez podstawy. 

Stan faktyczny

W wielu przypadkach przy ocenie dokumentu okazuje się, że sama nazwa wcale nie odzwierciedla tego, co dokument reguluje. I nie dotyczy to tylko RODO, w obszarze np, zatrudnienia wielokrotnie doszło do sytuacji “sprostowania” przez sąd umów zlecenia, jako faktycznych umów o pracę. Organ nadzorczy nie czyta tytułu jako konsultant i nie będzie się zastanawiał nad tym, czy są wszystkie elementy enumeratywnie wypisane w art 28.3, a sprawdzi kwestie fundamentalne. A jedną z nich jest to, kto i za co odpowiada. Oraz zgodnie z art 29, czy przetwarzanie danych odbywa się NA POLECENIE administratora (tego formalnego z umowy). A to polecenie jest niebywale istotne. 

Art. 29

Artykułowi 29 RODO poświęcę odrębny, długi artykuł, bo jest niestety nie zauważony i sprowadzany często do upoważnień. A ma siłę rażenia przepotężną. Zacytujmy:

Podmiot przetwarzający oraz każda osoba działająca z upoważnienia administratora lub podmiotu przetwarzającego i mająca dostęp do danych osobowych przetwarzają je wyłącznie na polecenie administratora, chyba że wymaga tego prawo Unii lub prawo państwa członkowskiego.

Aby dobrze zrozumieć, co ma się znaleźć w umowie powierzenia, należy właściwie zrozumieć “polecenie administratora” (przepisy prawa jako “polecenie” dziś pomińmy). Istotą jego wprowadzenia jest zaplanowanie przetwarzania danych osobowych przez administratora. Żadna operacja, żadne czynności nie mogą być dziełem przypadku. W przeciwnym razie naruszone zostaną zasady fundamentalne z art 5.

  • Przetwarzanie danych rzetelne i przejrzyste – jak może być przejrzyste, skoro nie wiemy do czego przetwarzamy? Kto i kiedy ma przetwarzać?
  • Przetwarzanie do określonego celu – jak może być tak przetwarzane, skoro operacje będą przypadkowe i może się pojawić nowy cel? Albo kilka. Samo opisanie celu w umowach bywa dość mgliste.

Nie mając powyższych danych możemy wpaść również w niezgodność z art. 13 i 14. 

Podsumujmy

RODO czytajmy w całości. To taka moja rada. Jak instrukcje obsługi. W jednej części jest o zasadach bezpieczeństwa, w innej o zastosowaniu urządzenia. W RODO tak samo. Art 28 powinien być wypełniony z uwzględnieniem WSZYSTKICH przepisów RODO. W przeciwnym razie bardzo blisko do naruszenia praw i wolności. Podmiot danych (osoba, której dane dotyczą) nie będzie właściwie poinformowana, a więc nawet nie będzie mogła wykonać swoich praw.

PS przypisek na końcu. Art. 29 i zestawienie z przetwarzaniem danych “na wszelki wypadek”. Opiszę niebawem, ale sprawdźcie, czy jesteście pewni czy ów “wszelki wypadek” mieści się w granicach polecenia i spełnia wymagania określenia celu. Bo “może mi się kiedyś przydadzą” – nie spełnia tego wymagania.