Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies.

Aktualne wydanie

Polecamy

Bezpieczeństwo danych osobowych. Praktyczny przewodnik

Bezpieczeństwo danych osobowych. Praktyczny przewodnik
 

Katarzyna Ułasiuk, Michał Sztąberek

Cena: 148,00 zł

Zamów

Polecamy

Realizacja praw osób, których dane dotyczą, na podstawie rodo

Realizacja praw osób, których dane dotyczą, na podstawie rodo
 

Marlena Sakowska-Baryła, Bogdan Fischer

Cena: 128,00 zł

Zamów

Odpowiedzialność administracyjna przy powierzaniu

05-12-2017 Autor: Mirosław Gumularz, Patrycja Kozik
autor : Rys. K. Kanoniak

Choć na gruncie rodo oraz projektowanych przepisów (opublikowanych 14 września 2017 r.), wdrażających rodo do prawa krajowego (dalej: projekt), sam fakt ponoszenia administracyjnej odpowiedzialności przez administratora oraz procesora,  co do zasady, nie budzi wątpliwości, to dokładne wyznaczenie jej zakresu może sprawiać trudności.

 

Przepisy rodo przewidują dwie kategorie obowiązków ciążących na procesorze w związku z przetwarzaniem powierzonych danych osobowych. Pierwsza kategoria obejmie obowiązki procesora, które powinny wynikać z umowy powierzenia zawartej z administratorem (art. 28 rodo). Do drugiej kategorii można zaliczyć samodzielne obowiązki procesora, tj. te, których bezpośrednim źródłem są przepisy rodo. Będą należeć do niej następujące obowiązki:

  • wyznaczenie przedstawiciela w UE, jeśli jest to niezbędne (art. 27 rodo);
  • niekorzystanie z usług innego podmiotu przetwarzającego bez zgody administratora (art. 28 ust. 2 rodo);
  • przetwarzanie danych wyłącznie na polecenie administratora (art. 29 rodo);
  • prowadzenie rejestru kategorii czynności przetwarzania dokonywanych w imieniu administratora (art. 30 ust. 2 rodo);
  • współpraca z organem nadzorczym (art. 31 rodo);
  • zapewnienie bezpieczeństwa przetwarzania (art. 32 rodo);
  • niezwłoczne zgłoszenie administratorowi naruszenia ochrony danych osobowych (art. 33 ust. 2 rodo);
  • powołanie inspektora ochrony danych (art. 37 ust. 1 rodo).

Odpowiedzialność procesora za własne działania lub zaniechania

Katalog obowiązków procesora został znacznie rozszerzony w porównaniu z obecnie obowiązującymi przepisami, na gruncie których zgodnie z art. 31 ust. 3 uodo procesor jest zobowiązany jeszcze przed rozpoczęciem przetwarzania danych jedynie do ich odpowiedniego zabezpieczenia (zgodnie z art. 36–39 uodo) i posiadania stosownej dokumentacji (art. 39a uodo). W przypadku naruszenia tych przepisów uodo procesor ponosi odpowiedzialność jak administrator danych osobowych1. Jego działalność może być przedmiotem postępowania kontrolnego prowadzonego przez GIODO, a procesor adresatem jego decyzji (zob. wyrok WSA w Warszawie z 19 sierpnia 2008 r., II SA/Wa 605/08).

Z punktu widzenia samodzielnej odpowiedzialności procesora na gruncie przepisów rodo praktyczne znaczenie będzie miała odpowiedź na następujące pytania:

  • czy naruszenie przez procesora każdej ze wskazanych wyżej kategorii obowiązków może rodzić jego administracyjną odpowiedzialność?
  • czy na procesora może zostać nałożona administracyjna kara pieniężna za naruszenie postanowień umowy powierzenia?
  • czy na procesora może zostać nałożona administracyjna kara pieniężna za brak zawarcia umowy powierzenia zgodnie z art. 28 rodo?

Z art. 83 ust. 4 rodo wynika, że administracyjnej karze pieniężnej podlega naruszenie przez administratora i procesora m.in. obowiązków wynikających z art. 8, 11, 25–39 oraz 42 i 43 rodo2.

Wobec tak kategorycznego brzmienia wskazanego przepisu rodo procesor niewątpliwie odpowie za naruszenie wskazanych powyżej samodzielnych obowiązków procesora, których bezpośrednim źródłem są przepisy rodo3.


Jednocześnie wskazany przepis nie ogranicza odpowiedzialności procesora (w ramach kar administracyjnych) do przypadków naruszenia przez niego obowiązków wynikających wprost z przepisów rodo, obejmuje swym zakresem obowiązki wskazane w art. 28 rodo (niezależnie do tego, kto dokonuje ich naruszenia)4. Wydaje się zatem, że celem wskazanego przepisu, odnoszącego się do odpowiedzialności, było możliwie szerokie jej zakreślenie i objęcie nią także naruszenia art. 28 ust. 3 rodo. Nie można wykluczyć takiej wykładni art. 83 ust. 4 rodo, zgodnie z którą procesor odpowie także za przetwarzanie danych osobowych bez podstawy wynikającej z zawartej w umowie powierzenia (lub innego instrumentu prawnego) oraz że odpowie za naruszenie umowy powierzenia w zakresie kształtowanym treścią rodo.

Nie jest to jednak jedyny wariant interpretacyjny. Wątpliwości dotyczące zakresu odpowiedzialności administracyjnej procesora za naruszenie obowiązków, wskazanych w art. 28 ust. 3 rodo (wywodzonych z umowy zawieranej z administratorem), wynikają z faktu, że niektóre z obowiązków wskazanych w tym przepisie pokrywają się z bezpośrednimi obowiązkami procesora, wynikającymi z odrębnych regulacji, np. art. 29 rodo (art. 28 ust. 3 lit. a rodo), ale też art. 32 rodo (art. 28 ust. 3 lit. c rodo). Wobec tego można postawić pytanie, w jakim celu prawodawca unijny, umieścił te same obowiązki w odrębnych przepisach, tj. zarówno w art. 28 ust. 3 rodo określającym obligatoryjne elementy umowy powierzenia zawieranej z administratorem, jak i w innych przepisach określających wprost obowiązki procesora.

W związku z tym pomimo przedstawionego brzmienia art. 83 ust. 4 rodo uzasadniona wydaje się argumentacja, że w zakresie obowiązków wymienionych w art. 28 ust. 3 rodo (które jednocześnie nie zostały powtórzone w przepisach odrębnych) procesor będzie ponosił wyłącznie odpowiedzialność umowną (naruszenie umowy w tym zakresie nie zawsze będzie prowadziło do naruszenia przepisów rodo). Źródłem tych obowiązków jest bowiem umowa powierzenia. Przykładowo naruszenie obowiązku pomocy administratorowi w wywiązywaniu się z praw podmiotów danych określonych w art. 28 ust. 3 lit. f rodo nie musi prowadzić do naruszenia obowiązku realizacji praw podmiotów danych przez administratora, jeżeli administrator będzie w stanie zrealizować obowiązki w tym zakresie bez pomocy procesora.

[...]

Autor jest doktorem nauk prawnych, radcą prawnym w kancelarii GKK Gumularz Kozieł Kozik.

Autorka jest radcą prawnym w kancelarii GKK Gumularz Kozieł Kozik.

 


Pełna treść artykułu jest dostępna w papierowym wydaniu pisma.

Zapraszamy do składania zamówień na prenumeratę.


 

« Powrót

______________________________________________________________________________________________________________________________________

Informacje o cookies © 2017 PRESSCOM Sp. z o.o.