Jaki jest jej przedmiot?
Taki punkt widzenia ma jednak liczne słabości, z których najpoważniejsza jest taka, że nie analizujemy przedmiotu tej umowy. Pewne jest jedynie to, że jej przedmiotem jest „usługa" w zakresie przetwarzania danych, a nie usługa polegająca na zaspokojeniu potrzeb podmiotu będącego administratorem. Te ostatnie wykonywane są na podstawie tzw. umów głównych, np. obsługi księgowej, kadrowej itp. Zresztą analizując przedmiot owej umowy, należy mieć na względzie, że zgodnie z art. 29 ust. 3 RODO podstawą powierzenia może być inny instrument prawny niż umowa. Nie wchodząc w szczegóły, trzeba przyjąć, że musi tu chodzić o obowiązek wynikający wprost albo z prawa , albo z indywidualnego aktu administracyjnego. Zasadnym jest więc przyjęcie założenia, że przedmiot i charakter owej umowy musi być ostatecznie taki sam jak instrumentu prawnego, który umową nie jest.
Kluczowe dla ustalenia charakteru prawnego umowy powierzenia jest ustalenie, co administrator powierza. Analiza RODO dostarcza argumentów za tym, że istotą umowy powierzenia danych osobowych jest delegowanie na podmiot przetwarzający uprawnień oraz przenoszenie publicznoprawnych obowiązków, które w stosunku do podmiotu danych ma administrator. Akcentuję to, ponieważ administrator nie posiada uprawnień własnych do danych osobowych. Administrator danych osobowych dokonuje jedynie ingerencji w prawa innych osób (autonomię informacyjną) na podstawie norm kompetencyjnych z art. 6 i 9 RODO. Upraszczając, administrator dokonuje czynności na cudzych danych czasem wbrew podmiotowi danych, a czasem za jego zgodą. A ujmując rzecz wprost, poprzez ustalenie celu i sposobu przetwarzania danych osobowych osób trzecich administrator danych osobowych dokonuje aktu władztwa publicznego. Przyznając tę kompetencję, RODO nakłada natychmiast na administratora szereg obowiązków publicznych, takich jak zapewnienie bezpieczeństwa, obowiązki informacyjne, obowiązek przenoszenia danych itd. Ponadto poddaje administratora nadzorowi publicznemu i karom administracyjnym, co jest typowym rozwiązaniem dla przypadków delegowania kompetencji na podmioty niebędące częścią administracji państwowej.
Z tej perspektywy istotą umowy powierzenia przetwarzania danych osobowych jest przeniesienie uprawnień administratora danych na inny podmiot, zresztą znajdujący się pod władzą administratora. Ten ostatni nie dość, że ma prawo do wydawania poleceń, to jeszcze także prawo do kontroli. Powyższe ukazuje drugi aspekt umowy powierzenia, jakim jest poddanie się władzy. Uprawnienia administratora danych osobowych w stosunku do podmiotu przetwarzającego nie wynikają bowiem z umowy, ale z prawa. Wraz z „powierzeniem władzy", bo tak można skrócić ten wywód, na podmiot przetwarzający przechodzą co najmniej niektóre obowiązki publiczne, z obowiązkiem zapewnienia bezpieczeństwa na czele.
Nie jest to więc umowa o świadczenie usług prywatnych. Jeśli już, to przedmiotem tej umowy są usługi publiczne w postaci wykonywania władztwa nad prawami podmiotów trzecich do ich danych. Istotą tej umowy – w odróżnieniu od umowy głównej – jest więc delegacja kompetencji administratora oraz poddanie się jego władztwu. A takie umowy nazywa się umowami prawa publicznego. Umowy takie – nie wchodząc w szczegóły – mają podobny skutek jak jednostronne akty administracyjne. Powyższe wyjaśnia zresztą, że powierzenie może nastąpić czasem na podstawie „innego instrumentu prawnego" (art. 28 ust. 3 RODO).
Co innego niż zobowiązania
Przeprowadzone rozumowanie prowadzi do wniosku, że nie można do takiej umowy stosować instytucji kodeksu cywilnego, które dotyczą niewykonania zobowiązań. Nawet jeśli umowa przetwarzania danych uszczegółowia obowiązki wynikające z RODO, to zapisy takie nie czynią umowy powierzenia umową prawa cywilnego. Taka logika rozumowania prowadzi do wniosku, że nieskuteczne jest wpisywanie do takich umów kar umownych. W moim przekonaniu to trafny pogląd. Umowa powierzenia aktualizuje bowiem i jedynie doprecyzowuje obowiązki ustawowe (rozporządzeniowe). Administrator danych nie może więc ponieść szkody z samego tylko niewykonania umowy. Szkoda, w tym obowiązek zapłaty zadośćuczynienia, może powstać w wyniku naruszenia przez podmiot przetwarzający prawa w stosunku do podmiotu danych. Wtedy jednak administrator i przetwarzający odpowiadają solidarnie, sama szkoda jest sprecyzowana i można jej dochodzić poprzez regres. Sytuacja jest inna w przypadku niewykonania tzw. umowy głównej, czyli umowy o świadczenie. Jednak nie o tej umowie tu dyskutujemy.
Wszystko to nie znaczy oczywiście, że dzięki nieskuteczności zastrzeżenia kar umownych podmiot przetwarzający ma „lepiej". Wręcz przeciwnie. Nie dość, że odpowiada karno-administracyjnie, a czasem wręcz karnie, to w sferze prawa cywilnego odpowiada na zasadzie ryzyka, choć z niewielkimi odrębnościami w stosunku do kodeksu cywilnego. Co więcej, odpowiada wprost w stosunku do podmiotu danych.