“Czy szlachetniejszym jest znosić świadomie
Zapisów umów wściekłe pociski i strzały
Czy nie podpisywać i porwać przeciw morzu zgryzot”
– swobodna parafraza Hamleta

Temat powierzania przetwarzania danych osobowych nie jest nowy (rozwiązanie to, było znane już od 97’), jednak po roku 2018, stał się on jednym z najważniejszych i jednocześnie – jednym z najtrudniejszych. W obu przypadkach, ustawodawca nie zdecydował się na zdefiniowanie terminu powierzenia danych. W Ogólnym rozporządzeniu o ochronie danych, w słowniku (tj. w art. 4) znajdziemy wyjaśnienie wyrażenia: podmiot przetwarzający. Definicja jest bardzo ogólna i w rzeczywistości odnosi się do każdego podmiotu mogącego być stroną umowy. Kolejno w art. 28 RODO, mamy przedstawione obowiązki Administratora i Procesora, a także wymagania jakie musi spełniać taka umowa. Więcej informacji można znaleźć w Motywie 81. Choć nie wiem, czy można powiedzieć „więcej”, bo tak naprawdę jest to podsumowanie postanowień ww. artykułu. Dlatego też, pojawiające się wciąż pytanie, czy należy podpisać umowę powierzenia przetwarzania danych – wciąż do nas powraca. A stało się tematem jeszcze bardziej gorącym, po nałożeniu znacznej kary przez Prezesa UODO na Burmistrza Aleksandrowa Kujawskiego.

Skupmy się wpierw na tym, co wiemy na pewno:

Po pierwsze – jeżeli mamy zawartą umowę powierzenia danych osobowych, której zapisy oparte zostały na Ustawie z 1997 r. – musimy ją bezwzględnie zmienić. Dlaczego? Ponieważ lista obowiązków stron umowy wydłużyła się i trzeba je na nowo ustalić.

Po drugie – jest lista podmiotów/rodzajów współpracy, przy której obowiązek zawarcia umowy powierzenia nie budzi wątpliwości. Do tej grupy możemy z czystym sercem zaliczyć:

• Świadczenie usług IT. W tym wypadku mowa o obsłudze serwisowej, która wiąże się ze stałym lub regularnym dostępem do naszej bazy danych. Nie zalecałbym zawierania takiej umowy z podmiotem, który przeprowadza jednorazową akcję serwisową na miejscu i pod nadzorem administratora. Wówczas wystarczająca wydaje się umowa NDA (o poufności). To samo dotyczy serwisowania samego oprogramowania, gdzie firma IT nie ma dostępu do danych osobowych. Jak widać już po pierwszym przykładzie – sprawa nawet prosta, może zostać skomplikowana przez… życie. Dlatego, każdą formę współpracy należy dokładnie zbadać, aby podjąć decyzję o zawarciu umowy powierzenia.
• Agencje reklamowe – prowadzenie np. konkursów.
• Hosting – a więc udostępnianie przez dostawcę usług internetowych zasobów serwerowni. Dotyczy to zarówno hostingu stron WWW, ale również poczty, chmur czy BIP.
  Jak widać, są to również przypadki, gdzie przekazywane informacje są ogólnie dostępne i jawne.
• Call center – jeżeli „wypchnęliśmy” centralę telefoniczną, rejestrację na zewnątrz, również musimy pamiętać o umowie powierzenia
• Niszczenie dokumentów – wiele podmiotów zapomina, że usuwanie to też przetwarzanie. Często zresztą, przed zniszczeniem firma musi te dokumenty przewieźć, zabezpieczyć.
• Wspólne archiwum – takie sytuacje mają miejsce zazwyczaj w podmiotach publicznych (np. Urząd wraz z jednostkami organizacyjnymi).
• Obsługa kadrowa, księgowa czy BHP – bardzo dużo podmiotów korzysta z takiego rozwiązania i zarazem bardzo mało takich umów jest zawieranych.
• Monitoring – w tym przypadku też dużo zależy od okoliczności. Jeżeli nagrania zapisywane są na serwerze innego podmiotu lub gdy podgląd do tych nagrań jest przez administratora udostępniony – w mojej opinii umowa powierzenia będzie niezbędna. Dotyczy to również nagrań, które z mocy prawa są ogólnie dostępne (sesje rad miejskich).
• Umowa z firmą specjalizującą się w ochronie danych osobowych – od razu zaznaczam, że nie dotyczy to przypadków umów pomiędzy inspektorem a administratorem. Dostęp do danych i obowiązek zachowania tajemnicy lub poufności, zostały określone w RODO. Natomiast umowa zawarta pomiędzy firmą, która zatrudnia wielu pracowników, którzy będą mieli dostęp do danych administratora i korzysta z własnych rozwiązań organizacyjnych i technicznych – zalecałbym taką umowę zawrzeć.
• Ubezpieczenia grupowe, medyczne, karty sportowe – i w tym wypadku zawierane są umowy powierzenia danych, ale role są w tym wypadku odwrócone. Administratorem jest świadczeniodawca, natomiast nasz administrator występuje w roli procesora.
• Realizacja programów unijnych, realizacja zadań publicznych z upoważnienia innych podmiotów. Dotyczy to relacji pomiędzy podmiotami publicznymi lub wykonującymi zadania publiczne.

Po trzecie – z kim nie zawierać umów powierzenia:

• Podmioty medycyny pracy. W tym wypadku jasno i jednoznacznie wypowiedział się również Prezes UODO w Poradniku dla pracodawców, wydanym jeszcze w 2018 r. W opinii Urzędu, każdy z tych podmiotów jest oddzielnym administratorem danych.
• Pracownicy/podmioty z którzy de facto są naszymi pracownikami, ale nie na podstawie umowy o pracę. W tym wypadku forma nie ma znaczenia. Upoważnienie może zostać nadane przez administratora również osobie, która jest na stażu, praktyce, umowie o dzieło czy zleceniu. Niestety i w tym wypadku – wszystko zależy od okoliczności.
• Urzędami, sądami i innymi podmiotami/organami publicznymi – które żądają danych na podstawie przepisów prawa.
• Jeżeli współpraca nie wiąże się z przetwarzaniem danych osobowych. Najlepszym przykładem jest umowa na usługi sprzątające. Pracownik ten nie ma w zakresie swoich obowiązków przeglądania naszej dokumentacji. Czy może mieć do niej dostęp? Nie – administrator i jego pracownicy powinni zabezpieczać dane odpowiednio do zagrożeń. Przekładając na język polski – stosować zasadę czystego biurka i zamykać meble. A z tym, z doświadczenia wiemy, że jest różnie… Dlatego zalecam zawsze zobowiązywać firmy czy osoby sprzątające o zachowanie poufności.
• Biegli rewidenci – ich status i obowiązki zostały określone w Ustawie z dnia 11 maja 2017 r.
  o biegłych rewidentach, firmach audytorskich oraz nadzorze publicznym.

Po czwarte – z kim trochę tak, trochę nie:

• Firmy audytowe, których status i obowiązki nie zostały uregulowane w ustawach. Dotyczy to firm, które nadają certyfikaty jak również firmy, których efektem audytu jest po prostu raport.
• Powiązane ze sobą spółki – temat długi i szeroki.
• Kancelarie prawne

I właśnie tych kancelarii prawnych ten felieton (po tym dość długim wstępie) dotyczy. W 2018 r. inspektorzy podzielili się na trzy zwalczające się obozy. Pierwszy z nich uważał, że radcowie, adwokaci – są oddzielnym administratorem i nie należy takiej umowy zawierać. Drugi obóz uważał, że działają oni na zlecenie administratora (i na jego danych), dlatego należy bezwzględnie takie umowy zawierać – niezależnie od formy współpracy. Trzeci obóz (do którego bez bicia się przyznaję) uważał natomiast, że przy stałej współpracy, którą najogólniej można określić jako pomoc prawna – należy zawrzeć umowę powierzenia. Jeżeli jednak dotyczy to zastępstwa procesowego – wówczas taka umowa byłaby nieprawidłowa. Opinia o wymogu zawierania takich umów, oparta była na twierdzeniu, że w przepisach powszechnie obowiązujących brakowało wyraźnego określenia praw i obowiązków pod kątem przetwarzania danych osobowych. Moje zresztą przekonanie zostało utwierdzone praktyką. Przy jednym z postepowań administracyjnych wszczętych przez Prezesa UODO, taka umowa była wymagana. Argumenty wyżej przedstawione były jednak na bieżąco weryfikowane – np. przez nowelizację m.in. ustawy o radcach prawnych. I tak, w maju 2019 roku, do ww. ustawy wprowadzono nowy rozdział 1a:

Art. 5a.

1. Przepisy art. 15 ust. 1 i 3, art. 18 i art. 19 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 (…) stosuje się w zakresie, w jakim nie naruszają obowiązku zachowania przez radcę prawnego tajemnicy, o której mowa w art. 3.
2. Przepisu art. 21 ust. 1 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 (…)
   w przypadku danych osobowych pozyskanych przez radcę prawnego w związku z udzielaniem pomocy prawnej nie stosuje się.

Art. 5b. Obowiązek zachowania tajemnicy, o której mowa w art. 3 ust. 4-6, nie ustaje, w przypadku, gdy z żądaniem ujawnienia informacji uzyskanych przez radcę prawnego w związku z udzielaniem pomocy prawnej występuje Prezes Urzędu Ochrony Danych Osobowych.

Wprowadził on również art. 5c, który wskazał okresy przechowywania danych osobowych. Natomiast art. 3, który obowiązywał przed zamianami, a do którego ww. artykuły się odnoszą brzmi następująco:

1. (…)
2. Radca prawny wykonuje zawód ze starannością wynikającą z wiedzy prawniczej oraz zasad etyki radcy prawnego.
3. Radca prawny jest obowiązany zachować w tajemnicy wszystko, o czym dowiedział się w związku
   z udzieleniem pomocy prawnej.
4. Obowiązek zachowania tajemnicy zawodowej nie może być ograniczony w czasie.
5. Radca prawny nie może być zwolniony z obowiązku zachowania tajemnicy zawodowej
   co do faktów, o których dowiedział się udzielając pomocy prawnej lub prowadząc sprawę.
6. (…)

Po zmianie tych przepisów Ośrodek Badań, Studiów i Legislacji Krajowej Rady Radców Prawnych przekazał okręgowym izbom radców prawnych zaktualizowany poradnik „Ogólne rozporządzenie o ochronie danych (RODO). Poradnik dla radców prawnych i adwokatów”. W podręczniku tym, jednoznacznie przebija opinia, że radcowie czy adwokaci, którzy wykonują zawód w ramach kancelarii prawnych – mają status administratora. W związku z powyższym, zawieranie umów powierzenia danych jest nieprawidłowe. Autorzy Podręcznika broniąc tej tezy, podają kilka argumentów:

• Istota zawodu radcy prawnego czy adwokata polega na przetwarzaniu danych osobowych klientów, jak i danych osobowych osób trzecich przekazanych przez klienta oraz zebranych z innych źródeł. Aby prawidłowo wykonać usługę, radca prawny lub adwokat muszą samodzielnie podejmować decyzje dot. celów i sposobów przetwarzania danych osobowych przekazanych przez klienta – i w związku z tym, nie może być w pełni zależny od polecenia klienta.
• Status radcy prawnego oraz adwokata ukształtowany jest przez przepisy prawa powszechnie obowiązujące oraz kodeksy etyki, które nakładają szereg obowiązków związanych z wykonywaniem tych zawodu. Przede wszystkim zobowiązują do zachowania tajemnicy zawodowej oraz unikania konfliktu interesów. Dlatego też muszą oni podejmować samodzielne decyzje. Inne zasady wynikające z przepisów powszechnie obowiązujących, mogą dotyczyć przykładowo odpowiedzialności dyscyplinarnej. W postępowaniu tym, może bowiem okazać się niezbędne przetwarzanie danych osobowych przekazanych przez klienta. Administrator nie może (zgodnie z postanowieniami umowy powierzenia) zażądać usunięcia danych, które jednocześnie podlegają tajemnicy zawodowej. Dotyczy to również przypadków związanych z unikaniem konfliktu interesu.
• Radcowie prawni czy adwokaci nie mogą spełniać dyspozycji klienta dot. ujawnienia czy wykorzystania danych osobowych objętych tajemnicą zawodową. Wykonanie takiego polecenia wiązałoby się z naruszeniem etyki zawodowej i tym samym – z ewentualnym postępowaniem dyscyplinarnym.

Autorzy Podręcznika wskazują następnie formy wykonywania zawodu radcy prawnego i współpracy z klientami:

• W przypadkach spółek (cywilnych, partnerskich, komandytowych, itd.), administratorem danych będzie Spółka a nie wspólnik/partner/komplementariusz z osobna. Trudno się z tą argumentacją nie zgodzić. Jest ona zresztą wielokrotnie potwierdzona przez Urząd jak i sądy administracyjne.
• Inaczej wygląda sytuacja, kiedy radca prawny zatrudniony został w ramach stosunku pracy. Wówczas administratorem jest pracodawca, natomiast radca prawny musi otrzymać upoważnienie do przetwarzania danych osobowych. W tym wypadku radca przy przetwarzaniu danych, musi podporządkować się wewnętrznym procedurom pracodawcy, ale również nie w sposób całkowity. Mamy przecież wspomniany kodeks etyki, zasady tajemnicy zawodowej. Dlatego polecenia służbowe nie mogą być dowolne i muszą uwzględniać te zasady.
• W przypadkach wykonywania zawodu radcy prawnego na podstawie umowy cywilnoprawnej (poza kancelarią) wykorzystując infrastrukturę zleceniodawcy – również mamy do czynienia z upoważnieniem do przetwarzania danych udzielonym przez zleceniodawcę.

W przedstawionymi poglądami co do zasady się zgadzam. Jednak brakuje w tym Podręczniku dwóch przypadków, z którymi zderzyłem się w praktyce. Pierwszy dotyczy sytuacji, w której radca prawny wykonuje swoje usługi w ramach kancelarii (jednoosobowa działalność), ale wykorzystuje przy tym infrastrukturę IT oraz zabezpieczenia (typu meble) swojego zleceniodawcy. Mamy w tym wypadku wybuchową mieszankę, z której ciężko znaleźć prawidłowe rozwiązanie. Z jednej strony jest to oddzielny podmiot, który jest administratorem (tajemnica i etyka zawodowa). Z drugiej strony, skazany jest jednak na rozwiązania techniczne i zabezpieczenia ustalone przez zleceniodawcę.
A co to za administrator, który nie decyduje o zabezpieczeniach? W tym wypadku wydaję się zasadne, aby tę współpracę określić. Drugi przypadek dotyczy dużych kancelarii prawniczych. Zatrudniają oni nie tylko radców prawnych czy adwokatów, których obowiązują zasady ustalone w przepisach powszechnie obowiązujących, ale również sekretarki, pomoce administracyjne, informatyków itp. Do danych klientów będą mieli dostęp nie tylko radcowie czy adwokaci, ale również pozostali pracownicy.

Na końcu można spytać po co to wszystko. Czy nie można po prostu podpisać umowy ze wszystkimi „jak leci”? Najwyżej przy kontroli będzie zalecenie, że umowa jest bezpodstawna. Odpowiedź brzmi – można. Ale takie rozwiązanie nie jest pozbawione wad. Po pierwsze, inspektorzy ochrony danych powinni (zgodnie z art. 37 RODO) cechować się odpowiednimi kwalifikacjami, wiedzą, praktyką itd. Mówiąc w skrócie, Inspektor ochrony danych powinien być profesjonalistą. A takie rozwiązanie nie wydaje się tych cech potwierdzać. Po drugie – podpisywanie ze wszystkimi umów powierzeń, może być również pułapką, w którą wpadniemy razem z administratorem. Należy pamiętać, że błąd procesora jest błędem administratora. Jeżeli dojdzie do wycieku danych, to administrator będzie zobowiązany ten incydent zgłosić, przeprosić (czyli w praktyce inspektor) i na końcu może jeszcze zapłacić (tu akurat administrator). A przy takim obrocie sprawy, nasi klienci nie będą z nas zadowoleni…

Podsumowując – kwestie sporne powinny być rozwiązane przez Prezesa UODO. To jest jedno z podstawowych zadań Urzędu. Po drugie, najkrócej jak można odpowiedzieć na pytanie – czy zawierać umowę powierzenia z radcą prawnym, można odpowiedzieć najczęstszą opinią inspektorów ochrony danych, a mianowicie „to zależy…”.

Autor: Tomasz Nowiński,  Kierownik Projektu, Inspektor Ochrony Danych Osobowych

© Copyright by CompNet Sp. z o. o.