Przetwarzanie danych osobowych: umowa powierzenia

Przy zawarciu umowy, której wykonywanie wiąże się z przekazywaniem stronie danych osobowych przez stronę będącą ich administratorem (tj. podmiotem decydującym o celach i środkach przetwarzania danych), zawsze powstaje prawny obowiązek zawarcia umowy powierzenia przetwarzania danych osobowych. Umowa ta, uregulowana w przepisie art. 31 ustawy o ochronie danych osobowych (dalej: ustawa), ma charakter towarzyszący (akcesoryjny) do umowy będącej jej podstawą (umowy podstawowej).

W praktyce obrotu gospodarczego bardzo często występują umowy, z których wynika obowiązek zawarcia umowy powierzenia. W szczególności dotyczą one świadczenia usług o charakterze marketingowym czy pośrednictwa w sprzedaży usług i towarów, skierowanego do odbiorców indywidualnych (ustawę stosuje się jedynie do danych dotyczących osób fizycznych, co do zasady niezwiązanych z prowadzoną działalnością gospodarczą), ponieważ w celu ich wykonywania zleceniobiorca lub pośrednik musi z reguły uzyskać dostęp do danych osobowych odbiorców, których administratorem jest zleceniodawca, oraz dokonywać na tych danych oznaczonych operacji.

Znajomość i prawidłowe zastosowanie umowy powierzenia jest bardzo ważne, bo ewentualne uchybienia, zwłaszcza niezawarcie takiej umowy, mogą skutkować odpowiedzialnością obu stron wobec generalnego inspektora ochrony danych osobowych (GIODO), a w niektórych sytuacjach nawet odpowiedzialnością karną.

[srodtytul]Daleko posunięty rygoryzm[/srodtytul]

Zgodnie z przepisem art. 31 ustawy umowa powierzenia powinna być zawarta na piśmie, może ona być częścią umowy podstawowej.

W umowie powierzenia administrator określa, w jakim zakresie i celu powierza przetwarzanie danych osobowych swojemu kontrahentowi. Wskazuje więc, jakie dane, jakich osób i jakie operacje na tych danych mają być dokonywane (decyzja GIODO z 29 kwietnia 2005 r., GI-DEC-DS-93/05, http://www.giodo.gov.pl/plik/id_p/704/j/pl/).

Celem przetwarzania będzie z reguły wykonanie umowy podstawowej, np. poprzez przeprowadzenie określonej akcji marketingowej.

Podmiot, któremu administrator powierzył to zajęcie, jest zobowiązany do przetwarzania danych wyłącznie w zakresie i celu wskazanym w umowie oraz do zabezpieczenia danych zgodnie z przepisami ustawy. Spełnianie tych obowiązków podlega kontroli GIODO, a w razie uchybień ponosi on odpowiedzialność wspólnie z administratorem danych.

Tak daleko posunięty rygoryzm odpowiedzialności administratora danych za działania jego kontrahenta powoduje, że z punktu widzenia administratora niezbędne staje się dodatkowe zastrzeżenie w umowie powierzenia możliwie najszerszego uprawnienia do wydawania kontrahentowi bieżących instrukcji co do sposobu przetwarzania danych oraz do kontroli spełniania wszelkich obowiązków związanych z przetwarzaniem powierzonych danych.

Na marginesie: włoska ustawa wyposażyła administratora w prawo wydawania podmiotowi, któremu powierzył przetwarzanie danych, instrukcji i przeprowadzania stosownych kontroli.

Wracając na nasze podwórko. Administrator ma obowiązek ujawnić w rejestrze zbiorów danych osobowych (prowadzonym przez GIODO) informacje dotyczące podmiotu, któremu powierzył przetwarzanie, jeśli obejmuje ono dane zawarte w zbiorze podlegającym obowiązkowi rejestracji, stosownie do przepisów rozdziału 6 ustawy. Wskazany obowiązek wynika natomiast z rozporządzenia wykonawczego ministra spraw wewnętrznych i administracji z 11 grudnia 2008 r. w sprawie wzoru zgłoszenia zbioru danych do rejestracji generalnemu inspektorowi ochrony danych osobowych (DzU nr 229, poz. 1536).

[srodtytul]Pewne wątpliwości[/srodtytul]

Zawarcie umowy powierzenia przetwarzania danych osobowych między podmiotami krajowymi co do zasady nie wywołuje w praktyce większych kłopotów. Pewne wątpliwości pojawiają się wtedy, gdy do jednej ze stron takiej umowy nie stosuje się polskiej ustawy, zgodnie z jej art. 3 – 3a, tzn. ma ona siedzibę lub miejsce zamieszkania poza granicami Polski i nie przetwarza danych osobowych przy wykorzystaniu środków technicznych znajdujących się na jej terytorium.

Trzeba tu zwrócić uwagę na dwie kategorie podmiotów niepodlegających naszej ustawie, tzn. z państw trzecich, przez które rozumie się państwa nienależące do Europejskiego Obszaru Gospodarczego (EOG), oraz podmioty z państw należących do EOG (art. 7 pkt 7 ustawy).

Najważniejsza różnica między nimi polega na tym, że przekazywanie danych osobowych pierwszym podlega specjalnym obostrzeniom przewidzianym w rozdziale 7 ustawy, natomiast przekazywanie danych drugim jest traktowane tak samo jak przekazywanie podmiotom z terytorium Polski (GIODO, http://www.giodo.gov.pl/163/ id_art/1519/j/pl/).

Wątpliwość w szczególności dotyczy sytuacji, gdy taką stroną jest administrator danych (zleceniodawca). Wynika to stąd, że (art. 31 ustawy) stroną umowy powierzenia jest „administrator danych”, a zgodnie z jego ustawową definicją przymiotu administratora nie będzie miał żaden podmiot, do którego nie stosuje się ustawy.

Wobec tego, dokonując literalnej wykładni art. 31 ustawy, podmiot zagraniczny co do zasady nie mógłby być stroną umowy powierzenia, co jednocześnie doprowadziłoby do uznania za niedopuszczalne przeprowadzenie akcji marketingowej w Polsce przez krajową agencję marketingową w imieniu i na rzecz zagranicznego przedsiębiorcy albo pośredniczenie przez krajowego przedsiębiorcę w zawieraniu umów między polskimi konsumentami a zagranicznymi dostawcami towarów lub usług, bo w takich wypadkach z reguły agencja marketingowa lub pośrednik muszą wejść w posiadanie danych osobowych, których administratorem jest zagraniczny zleceniodawca.

Jest oczywiste, że interpretacja taka w efekcie prowadzi do absurdalnych wniosków, w tym sprzecznych z konstytucyjną zasadą wolności działalności gospodarczej poprzez jej nieuzasadnione ograniczanie, a także sprzecznych z zobowiązaniami Polski dotyczącymi handlu międzynarodowego, w tym z podstawowymi zasadami Unii Europejskiej.

[srodtytul]Administrator z innego państwa[/srodtytul]

W tym stanie rzeczy interpretacja powinna uwzględniać wskazane regulacje nadrzędne wobec przepisów ustawy oraz odbywać się zgodnie z celami, dla których zostały ustanowione. Przede wszystkim należy tu wskazać na (implementowane do ustawy) przepisy dyrektywy 95/46/EC Parlamentu Europejskiego i Rady z 24 października 1995 r. (dalej: dyrektywa), zgodnie z preambułą której została ona przyjęta m.in. „w celu zniesienia przeszkód w przepływie danych osobowych /... /”, a „/... / cel ten ma żywotne znaczenie dla rynku wewnętrznego /... /”.

Co do umów powierzenia z podmiotami z państw trzecich powołać się można na inny fragment preambuły dyrektywy, gdzie stwierdzono m.in., że „Transgraniczny przepływ danych osobowych jest koniecznym warunkiem rozwoju handlu międzynarodowego; ochrona osób, jaką niniejsza dyrektywa gwarantuje we Wspólnocie, nie stanowi przeszkody dla przekazywania danych osobowych do państw trzecich, które zapewniają odpowiedni stopień ochrony” oraz ewentualnie na regulacje wiążących Polskę innych umów międzynarodowych, np. zawartych w związku z przynależnością do Światowej Organizacji Handlu (WTO), a mających pierwszeństwo przed krajowymi ustawami.

[wyimek]Możliwe jest przypisanie podmiotowi spoza Polski przymiotu administratora danych na potrzeby zawarcia umowy powierzenia [/wyimek]