Audyt podprocesora przez administratora

To że administrator ma obowiązek sprawdzić procesora oczywiście nie budzi kontrowersji. Wynika to wprost z art. 28 ust. 1 rodo. Za brak sprawdzenia odpowiada zarówno administracyjnie (art. 83 rodo) jak i cywilnie (art. 82 rodo). Czy obowiązek ten dotyczy również podprocesora?

Odpowiedzialność cywilna

Zgodnie z art. 28 ust. 4 zd. 2 rodo, za wypełnienie obowiązków ochrony danych przez podprocesora odpowiada procesor wobec administratora – z tego należy wnosić, że obowiązek sprawdzenia podprocesora obciąża procesora a nie administratora. Przepis ten mówi o odpowiedzialności cywilnej, ponieważ administracyjnej nie można ponosić wobec ado (innego przedsiębiorcy) tylko wobec uodo. Wobec siebie podmioty uczestniczące w przetwarzaniu odpowiadają za tego komu powierzyły – za jedno ogniwo w głąb łańcucha powierzenia. Odpowiedzialność ta ma miejsce na zasadzie winy w wyborze (art. 429 k.c.), zmodyfikowanej przez art. 28 ust. 1 rodo w ten sposób, że nie wystarczy powierzyć profesjonaliście, musi to być sprawdzony profesjonalista, albo taki wobec którego działa domniemanie zgodności z rodo (renomowany procesor). Ado odpowiada wobec podmiotu danych solidarnie za uchybienia innych uczestników w łańcuchu powierzenia (o ile sam jest odpowiedzialny za czyn własny lub cudzy, bo nie zwolni się na podstawie art. 82 ust. 3 rodo). Rodo milczy na temat zasad odpowiedzialności za czyn cudzy, dlatego żeby zdekodować normę z art. 82 ust. 3 rodo trzeba sięgnąć do k.c. Odpowiedzialność za czyn własny reguluje art. 82 ust. 2 zd. 1, ado odpowiada w zakresie w jakim uczestniczy w przetwarzaniu, czyli za operacje, które wykonuje, w tym również za przekazanie (powierzenie albo udostępnienie) i za obowiązki, które rodo nakłada na niego (np. cykliczne sprawdzanie procesora, który nie jest renomowany).

Na podstawie art. 474 k.c. ado odpowiada (kontraktowo) wobec wierzyciela za działanie procesora, którym się posłużył. Osoba, której dane dotyczą będzie wierzycielem ado, jeśli przetwarzanie oparte jest na art. 6 ust. 1 lit. b rodo. Nie będzie miał natomiast zastosowania art. 430 k.c., który dotyczy odpowiedzialności (deliktowej) wobec każdego, a nie tylko wobec wierzyciela, ponieważ ten przepis wymaga aby podwykonawca był pod kierownictwem tego, który powierza czynność do wykonania. Procesor nie jest pod kierownictwem ado, bo gdyby był to nie doszłoby do powierzenia, tylko działałby na upoważnieniu (zatrudniony pracowniczo albo niepracowniczo w strukturze organizacyjnej ado). Umowa o świadczenie usług wykonywana przez innego przedsiębiorcę, poza lokalem usługobiorcy nie kreuje stosunku zwierzchnictwa.

Odpowiedzialność administracyjna

Odpowiedzialność administracyjna ado jest jeszcze bardziej ograniczona. Ado odpowiada za brak sprawdzenia procesora, który nie jest renomowany. Natomiast moim zdaniem, nie ma podstaw w wykładni językowej, a tym bardziej w funkcjonalnej, żeby odpowiedzialność administracyjną (która w rodo zbliżona jest do karnej, przy czym kary są pieniężne) ponosił na zasadzie ryzyka za coś na co nie ma żadnego wpływu, czyli za działanie procesora już po sprawdzeniu procesora, czy w czasie między cyklicznymi sprawdzeniami. Przykładowo za niedbalstwo pracownika procesora, czy za niestosowanie się przez procesora do wytycznych jego IOD/specjalisty ds. ODO albo za niestosowanie się do prawidłowo sformułowanych i przyjętych polityk ODO albo za niezgłoszenie ado naruszenia odo (art. 33 ust. 2 rodo). Ado nie odpowiada też za nieuczciwość procesora podczas audytu zdalnego, jeśli procesor złoży fałszywe oświadczenia i zapewnienia co do poziomu wdrożenia rodo w swojej organizacji, chyba że wbrew praktyce przyjmiemy, że generalnie audyt zdalny nie spełnia art. 28 ust. 1 rodo i z odpowiedzialności zwalnia tylko audyt fizyczny, ew. pogłębiony audyt zdalny polegający na dostępie do polityk ODO procesora a nie tylko odebranie oświadczeń w formie Ankiety weryfikacyjnej.

Tym bardziej ado nie odpowiada ani za wybór ani za działanie podprocesora. Świadczy o tym zarówno pośrednio art. 28 ust. 4 zd. 2 rodo, który wprawdzie mówi o odpowiedzialności cywilnej, ale pośrednio świadczy również o administracyjnej, jak również generalna zasada, że dla odpowiedzialności karnej (a taki sens ma administracyjna kara pieniężna) potrzebna jest osobista zarzucalność, a niemożliwa jest odpowiedzialność na zasadzie ryzyka. Zasada ryzyka ma ekonomiczne uzasadnienie w ochronie uczestnika obrotu prawnego, np. po to żeby mógł skierować roszczenie do silniejszego ekonomicznie przedsiębiorcy, a nie koniecznie do jego pracownika, z którego pracy przedsiębiorca korzysta. Chociaż sprawcą jest pracownik to odpowiada jego pracodawca mimo, że nie można mu przypisać winy ani w wyborze ani w nadzorze nad pracownikiem. Takie zasady nie mają żadnego uzasadnienia w przypadku odpowiedzialności administracyjnej/karnej, która ma inne cele (prewencja, represja) niż odpowiedzialność cywilna (rekompensata).

Skoro ado nie odpowiada administracyjnie ani za wybór ani za działanie podprocesora, to czy ma obowiązek go audytować, albo żądać raportów z audytu podprocesora od procesora?

Standardowe klauzule EROD

W standardowych klauzulach umownych dotyczących powierzenia, wydanych przez EROD w 2019 r., w załączniku C.8., czytamy:

„Administrator danych może – w razie potrzeby – podjąć decyzję o wszczęciu i uczestnictwie w fizycznej inspekcji podwykonawcy przetwarzania. Może to mieć miejsce, gdy administrator danych uzna, że nadzór sprawowany przez podmiot przetwarzający nad podwykonawcą podmiotu przetwarzającego dane nie dostarczył mu dokumentacji wystarczającej do stwierdzenia, że przetwarzanie danych przez podwykonawcę podmiotu przetwarzającego dane odbywa się zgodnie z niniejszymi klauzulami.

Udział administratora danych w inspekcji podwykonawcy podmiotu przetwarzającego dane nie wpływa na fakt, że podmiot przetwarzający nadal ponosi pełną odpowiedzialność za zgodność podwykonawcy przetwarzania z RODO, mającymi zastosowanie przepisami UE lub państwa członkowskiego w zakresie ochrony danych oraz z niniejszymi klauzulami”.

Na zasadzie swobody umów, oczywiście procesor może się zobowiązać, że w umowie podpowierzenia zapewni administratorowi możliwość wszczęcia i prowadzenia audytu u podprocesora. Żeby podprocesor był zobowiązany poddać się audytowi administratora, musiało by istnieć takie kaskadowe powiązanie, ponieważ wprost z administratorem podprocesora nie łączą żadne stosunki prawne, a rodo stanowi że wobec administratora za podprocesora odpowiada procesor. Z tego względu należy ocenić, że takie postanowienie w um powierzenia, choć dopuszczalne, jest zbędne i nieuzasadnione. Ado może odpowiadać za procesora i mieć regres do procesora. Ale i to pod warunkiem, że zastosowanie znajdzie art. 474 k.c., czyli gdy osoba, której dane dotyczą jest jednocześnie wierzycielem administratora, albo jeśliby przyjąć że art. 430 k.c. znajdzie zastosowanie, pomimo braku organizacyjnego podporządkowania, co stanowiłoby bardzo rozszerzającą, niespotykaną wykładnię tego przepisu. Jeśli zaś w k.c. nie znajdziemy przepisów, które uzupełniając rodo znalazłyby zastosowanie ustanawiając odpowiedzialność administratora za czyn cudzy, to ado będzie mógł powołując się na art. 82 ust. 3 rodo twierdzić, że w żaden sposób (na żadnej z zasad odpowiedzialności) nie ponosi odpowiedzialności (w błędnym polskim tłumaczeniu mowa jest o zasadzie winy) za czyn cudzy procesora. Ado odpowiada za to co realistycznie leży w jego mocy: uprzednie a następnie cykliczne sprawdzenia procesora, który nie jest renomowany, bo jak słusznie orzekł WSA co do renomowanego działa domniemanie faktyczne, że jest zgodny z rodo.

Standardowe klauzule KE

Znamienne jest, że w standardowych klauzulach umownych KE z 2021 r. (decyzja nr 2021/915 z dnia 4 czerwca 2021 r.) analogicznego postanowienia o audycie podprocesora przez ado, nie ma. Wygląda na to, że KE dostrzegła, że byłoby to i zbędne i prawnie nieuzasadnione, a przy tym niepraktyczne bo podprocesorów może być wielu. Jest natomiast postanowienie, że ado może żądać od procesora kopii um podpowierzenia (Klauzula 7.7.c), co jest kompatybilne z obowiązkiem sprawdzenia procesora, tzn. sprawdzenia czy jest zgodny z rodo również w ten sposób, że przestrzega art. 28 ust. 4 zd. 1 rodo (nałożenie tych samych obowiązków w um podpowierzenia).

Przepisy

Art. 28 (…) 4. Jeżeli do wykonania w imieniu administratora konkretnych czynności przetwarzania podmiot przetwarzający korzysta z usług innego podmiotu przetwarzającego, na ten inny podmiot przetwarzający nałożone zostają – na mocy umowy lub innego aktu prawnego, które podlegają prawu Unii lub prawu państwa członkowskiego – te same obowiązki ochrony danych jak w umowie lub innym akcie prawnym między administratorem a podmiotem przetwarzającym, o których to obowiązkach mowa w ust. 3, w szczególności obowiązek zapewnienia wystarczających gwarancji wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie odpowiadało wymogom niniejszego rozporządzenia. Jeżeli ten inny podmiot przetwarzający nie wywiąże się ze spoczywających na nim obowiązków ochrony danych, pełna odpowiedzialność wobec administratora za wypełnienie obowiązków tego innego podmiotu przetwarzającego spoczywa na pierwotnym podmiocie przetwarzającym.

Artykuł  82 Prawo do odszkodowania i odpowiedzialność

1. Każda osoba, która poniosła szkodę majątkową lub niemajątkową w wyniku naruszenia niniejszego rozporządzenia, ma prawo uzyskać od administratora lub podmiotu przetwarzającego odszkodowanie za poniesioną szkodę.

2. Każdy administrator uczestniczący w przetwarzaniu odpowiada za szkody spowodowane przetwarzaniem naruszającym niniejsze rozporządzenie. Podmiot przetwarzający odpowiada za szkody spowodowane przetwarzaniem wyłącznie, gdy nie dopełnił obowiązków, które niniejsze rozporządzenie nakłada bezpośrednio na podmioty przetwarzające, lub gdy działał poza zgodnymi z prawem poleceniami administratora lub wbrew takim poleceniom.

3. Administrator lub podmiot przetwarzający zostają zwolnieni z odpowiedzialności wynikającej z ust. 2, jeżeli udowodnią, że w żaden sposób nie ponoszą winy za zdarzenie, które doprowadziło do powstania szkody.

(ang.) A controller or processor shall be exempt from liability under paragraph 2 if it proves that it is not in any way responsible for the event giving rise to the damage.

4. Jeżeli w tym samym przetwarzaniu uczestniczy więcej niż jeden administrator lub podmiot przetwarzający lub uczestniczy w nim zarówno administrator jak i podmiot przetwarzający i zgodnie z ust. 2 i 3 odpowiadają za szkodę spowodowaną przetwarzaniem, ponoszą oni odpowiedzialność solidarną za całą szkodę, tak by zapewnić osobie, której dane dotyczą, rzeczywiste uzyskanie odszkodowania.

5. Administrator lub podmiot przetwarzający, który zgodnie z ust. 4 zapłacił odszkodowanie za całą wyrządzoną szkodę, ma prawo żądania od pozostałych administratorów lub podmiotów przetwarzających, którzy uczestniczyli w tym samym przetwarzaniu, zwrotu części odszkodowania odpowiadającej części szkody, za którą ponoszą odpowiedzialność, zgodnie z warunkami określonymi w ust. 2.

6. Postępowanie sądowe dotyczące odszkodowania jest wszczynane przed sądem właściwym na mocy prawa państwa członkowskiego, o którym mowa w art. 79 ust. 2.

Art.  430.  [Szkoda wyrządzona przez podwładnego]

Kto na własny rachunek powierza wykonanie czynności osobie, która przy wykonywaniu tej czynności podlega jego kierownictwu i ma obowiązek stosować się do jego wskazówek, ten jest odpowiedzialny za szkodę wyrządzoną z winy tej osoby przy wykonywaniu powierzonej jej czynności.

Art.  474.  [Odpowiedzialność na zasadzie ryzyka za działania i zaniechania osób trzecich]

Dłużnik odpowiedzialny jest jak za własne działanie lub zaniechanie za działania i zaniechania osób, z których pomocą zobowiązanie wykonywa, jak również osób, którym wykonanie zobowiązania powierza. Przepis powyższy stosuje się także w wypadku, gdy zobowiązanie wykonywa przedstawiciel ustawowy dłużnika.