Umowa powierzenia przetwarzania danych osobowych a kary umowne
Problematyka RODO jest źródłem licznych wątpliwości. Powyższe wynika nie tylko z tego, że jest to akt nowy, ale także z tego, że chyba zbyt mało mieliśmy przemyśleń na temat prawa ochrony danych osobowych w przeszłości. RODO nie odbiega bowiem swym charakterem od przepisów poprzednio obowiązujących, choć niewątpliwie odbiega zakresem regulacji.
Kary umowne – czy zastrzeżenie jest ważne?
W tym miejscu zajmiemy się tylko jednym z ciekawych dylematów, które przynosi praktyka, a mianowicie problemem kar umownych zawieranych czasem w umowach powierzenia przetwarzania danych osobowych. Można bowiem wyrazić zasadniczą wątpliwość co do tego, czy takie zastrzeżenie jest ważne.
Rzecz w tym, że trudno znaleźć w literaturze wypowiedzi na temat tego, czym właściwie taka umowa jest. Jeśli wsłuchiwać się w wypowiedzi o charakterze pośrednim, to można dojść do wniosku, że nie budzi niczyich wątpliwości to, że umowa ta jest umową prawa cywilnego. Świadczy o tym nie tylko wspomniany już przykład zastrzegania kar umownych, ale także wypowiadane na konferencjach i szkoleniach tezy o kontraktowej odpowiedzialności podmiotu przetwarzającego w stosunku do administratora ochrony danych osobowych. Przyjmując taki punkt widzenia należałoby stwierdzić, że umowa powierzenia przetwarzania danych osobowych jest umową nazwaną prawa cywilnego.
Istota i przedmiot umowy powierzenia
Taki punkt widzenia ma jednak liczne słabości, w których najpoważniejszą jest taka, że nie analizujemy przedmiotu tej umowy. Pewne jest jedynie to, że jej przedmiotem jest „usługa” w zakresie przetwarzania danych a nie usługa polegająca na zaspokojeniu potrzeb podmiotu, będącego administratorem. Te ostatnie wykonywane są na podstawie tzw. umów głównych np. obsługi księgowej, kadrowej itp. Zresztą analizując przedmiot owej umowy należy mieć na względzie, że zgodnie z art. 29 ust. 3 RODO podstawą powierzenia może być inny instrument prawny niż umowa. Nie wchodząc w szczegóły trzeba przyjąć, że musi tu chodzić albo o obowiązek wynikający wprost z prawa lub z indywidualnego aktu administracyjnego. Zasadnym jest więc przyjęcie założenia, że przedmiot i charakter owej umowy musi być ostatecznie taki sam jak instrumentu prawnego.
Kluczowym dla ustalenia charakteru prawnego umowy powierzenia jest ustalenie, co administrator powierza. Analiza RODO dostarcza argumentów za tym, że istotą umowy powierzenia danych osobowych jest delegowanie na podmiot przetwarzający uprawnień oraz przenoszenie publicznoprawnych obowiązków, które w stosunku do podmiotu danych ma administrator. Akcentuję powyższe, albowiem administrator nie posiada uprawnień własnych do danych osobowych. Administrator danych osobowych dokonuje jedynie ingerencji w prawa innych osób (autonomię informacyjną) na podstawie norm kompetencyjnych z art. 6 i 9 RODO. Upraszczając, administrator dokonuje czynności na cudzych danych czasem wbrew podmiotowi danych, a czasem za jego zgodą. A ujmując rzecz wprost, poprzez ustalenie celu i sposobu przetwarzania danych osobowych osób trzecich,
Administrator danych osobowych dokonuje aktu władztwa publicznego. Przyznając powyższą kompetencję, RODO nakłada natychmiast na administratora szereg obowiązków publicznych takich jak zapewnienie bezpieczeństwa, obowiązki informacyjne, obowiązek przenoszenia danych itd. Ponadto, poddaje administratora nadzorowi publicznemu i karom administracyjnym, co jest typowym rozwiązaniem dla przypadków delegowania kompetencji na podmioty nie będące częścią administracji państwowej.
Uprawnienia i władztwo
Z tej perspektywy, istotą umowy powierzenia przetwarzania danych osobowych jest przeniesienie uprawień administratora danych na inny podmiot, zresztą znajdujący się pod władzą administratora. Ten ostatni nie dość że ma prawo do wydawania poleceń, to także prawo do kontroli. Powyższe ukazuje drugi aspekt umowy powierzenia, jakim jest poddanie się władzy. Uprawnienia administratora danych osobowych w stosunku do podmiotu przetwarzającego nie wynikają bowiem z umowy ale z prawa. Wraz z „powierzeniem władzy”, bo tak można skrócić ten wywód, na podmiot przetwarzający przechodzą co najmniej niektóre obowiązki publiczne, z obowiązkiem zapewnienia bezpieczeństwa na czele.
Nie jest to więc umowa o świadczenie usług prywatnych. Jeśli już, to przedmiotem tej umowy są usługi publiczne w postaci wykonywania władztwa nad prawami podmiotów trzecich do ich danych. Istotą tej umowy – w odróżnieniu od umowy głównej – jest więc delegacja kompetencji administratora oraz poddanie się jego władztwu. A takie umowy nazywa się umowami prawa publicznego. Umowy takie – nie wchodząc w szczegóły – mają podobny skutek jak jednostronne akty administracyjne. Powyższe wyjaśnia zresztą, że powierzenie może nastąpić czasem na podstawie „innego instrumentu prawnego” (art. 28 ust. 3 RODO).
Nieskuteczność kar umownych w umowach powierzenia
Przeprowadzone wyżej rozumowanie prowadzi z kolei do wniosku, że nie można do takiej umowy stosować tych instytucji kodeksu cywilnego, które dotyczą niewykonania zobowiązań. Nawet jeśli umowa przetwarzania danych uszczegóławia obowiązki wynikające z RODO, to zapisy takie nie czynią umowy powierzenia umową prawa cywilnego. A podsumowując, taka logika rozumowania prowadzi do wniosku, że nieskuteczne jest wpisywanie do takich umów kar umownych. Taki zresztą pogląd jest w moim przekonaniu trafny. Umowa powierzenia aktualizuje bowiem i jedynie doprecyzowuje obowiązki ustawowe (rozporządzeniowe). Administrator danych nie może więc ponieść szkody z samego tylko niewykonania umowy. Szkoda, w tym obowiązek zapłaty zadośćuczynienia może powstać w wyniku naruszenia przez podmiot przetwarzający prawa w stosunku do podmiotu danych. Wtedy jednak administrator i przetwarzający odpowiadają solidarnie, sama szkoda jest sprecyzowana, i można ją dochodzić poprzez regres. Sytuacja jest inna w przypadku niewykonania tzw. umowy głównej, czyli umowy o świadczenie. Jednak nie o tej umowie tu dyskutujemy.
Powyższe nie oznacza oczywiście tego, że dzięki nieskuteczności zastrzeżenia kar umownych podmiot przetwarzający ma „lepiej”. Wręcz przeciwnie. Nie dość, że odpowiada karno-administracyjnie a czasem wręcz karnie, to w sferze prawa cywilnego odpowiada na zasadzie ryzyka, choć z niewielkimi odrębnościami w stosunku do kodeksu cywilnego. Co więcej, odpowiada wprost w stosunku do podmiotu danych.
Stan prawny na: 18.11.2019 r.
