Sprawdź, czy powierzając firmie zewnętrznej wdrożenie RODO, pozbywasz się swojej odpowiedzialności

Data 25 maja 2018 r. jest w pełni znana już nie tylko specjalistom z zakresu ochrony danych osobowych, ale również tym podmiotom, które przetwarzają dane osobowe. Na rynku coraz częściej można spotkać się z różnego rodzaju firmami, które świadczą usługi przygotowania przedsiębiorcy do ogólnego rozporządzenia o ochronie danych (RODO). W oczach administratora danych (ADO) wszystkie te usługi mają zapewnić mu tzw. święty spokój w zakresie przygotowania do RODO. Czy faktycznie da się ów święty spokój w ten sposób kupić?

Ogólne rozporządzenie o ochronie danych (RODO) nie precyzuje dokładnego zakresu dokumentacji ochrony danych osobowych, którą należy prowadzić. Nie oznacza to jednak, że dotychczas prowadzona dokumentacja przestanie mieć zastosowanie czy też utraci swój status.

Zgodnie z motywem 78 ogólnego rozporządzenia o ochronie danych administrator będzie dysponował większą elastycznością w podejmowaniu, opisywaniu i wdrażaniu środków gwarantujących organizacyjne i techniczne bezpieczeństwo przetwarzania danych osobowych. W konsekwencji chodzi bowiem o wdrożenie odpowiednich środków technicznych i organizacyjnych, by zapewnić spełnienie wymogów RODO. Aby móc wykazać przestrzeganie ogólnego rozporządzenia o ochronie danych (RODO), administrator powinien przyjąć wewnętrzne polityki i wdrożyć środki, które są zgodne w szczególności z zasadą uwzględniania ochrony danych w fazie projektowania (privacy by design) oraz z zasadą domyślnej ochrony danych (privacy by default). Takie środki mogą polegać m.in. na:

• minimalizacji przetwarzania danych osobowych,
• jak najszybszej pseudonimizacji danych osobowych,
• przejrzystości co do funkcji i przetwarzania danych osobowych,
• umożliwieniu osobie, której dane dotyczą, monitorowania przetwarzania danych,
• umożliwieniu administratorowi tworzenia i doskonalenia zabezpieczeń czy też
• przystępowania do zrzeszeń podmiotów funkcjonujących na podstawie kodeksów postępowania (dedykowane np. danej branży).

Artykuł 24 ogólnego rozporządzenia o ochronie danych (RODO) zobowiązuje administratora do wdrożenia odpowiednich środków technicznych i organizacyjnych realizujących wytyczne RODO, co trzeba będzie udowodnić, a przynajmniej uprawdopodobnić. Ponadto, środki te należy aktualizować w razie odpowiednich przesłanek.

W zakresie działalności Instytutu Ochrony Danych Osobowych, który współtworzę, z nasilającą się częstotliwością otrzymujemy zapytania ofertowe zmierzające do tzw. wdrożenia ogólnego rozporządzenia o ochronie danych (RODO) u danego administratora danych. W głównej mierze podmioty składające takie zapytania ofertowe zmierzają jednak do całkowitego przeniesienia ciężaru odpowiedzialności prawnej na zleceniobiorcę.

Tak ukształtowane zlecenie najczęściej polega na tym, że zleceniobiorca, tj. każdy podmiot profesjonalnie zajmujący się ochroną danych osobowych, przyjmuje do wykonania zlecenie mające na celu nie tyle wdrożenie ogólnego rozporządzenia o ochronie danych (RODO), ile zdjęcie z administratora danych (zleceniodawcy) pełnej odpowiedzialności prawnej i finansowej w razie nałożenia na niego administracyjnej kary pieniężnej. Tego rodzaju zamiar zostaje uzewnętrzniony w treści postanowień umowy o współpracy (umowy zlecenia) w części regulującej wzajemną odpowiedzialność stron.

Wśród postanowień takich umów można przeczytać, że zleceniodawca przyjmuje na siebie pełną odpowiedzialność prawną za przygotowanie i wdrożenie dokumentacji zgodnej z ogólnym rozporządzeniem o ochronie danych (RODO), co daje bezpośrednie uprawnienie zleceniodawcy (ADO) do żądania od niego odszkodowania na tzw. zasadach ogólnych, tj. przewyższającego łączną wysokość uzyskanego wynagrodzenia, w przypadku negatywnych wniosków pokontrolnych Generalnego Inspektora Ochrony Danych Osobowych/Prezesa Urzędu Ochrony Danych Osobowych. O ile rozumiem intencję zleceniodawcy – ze względu na cywilnoprawną zasadę swobody nawiązywania umów – o tyle nie mogę się z nią zgodzić ze względu na istotę przepisów ogólnego rozporządzenia o ochronie danych (RODO).

Istotą przepisów RODO (oraz tych obecnie obowiązujących) jest zindywidualizowanie środków organizacyjnych i technicznych w zakresie procesu ochrony danych osobowych do potrzeb konkretnego administratora danych, który samodzielnie decyduje o środkach i celach przetwarzania danych osobowych. Z ratio legis tej normy prawnej wprost wynika, że podmiotem wyłącznie odpowiedzialnym za proces ochrony przetwarzania danych osobowych jest administrator danych, a nie podmiot opracowujący dla niego dokumentację. W tym miejscu należy podkreślić „dynamiczny” charakter prawny rzeczonej dokumentacji, co bezpośrednio wynika z art. 24 ust. 1 ogólnego rozporządzenia o ochronie danych (RODO). Zgodnie z nim dokumentacja jest poddawana przeglądom i uaktualniana.

Tym samym administrator danych, po tym jak otrzyma odpowiednią i adekwatną dokumentację, nie może poprzestać na jej jednorazowym przyjęciu czy też wdrożeniu. W toku prowadzenia swojego przedsiębiorstwa, w części dotykającej ochrony danych osobowych, powinien czuwać nad jej aktualnością, w przeciwnym razie utraci ona swój sens prawny i faktyczny.

Dlatego też żądanie przejęcia pełnej odpowiedzialności majątkowej (o charakterze odszkodowawczym) przez zleceniodawcę jest postulatem niepraktycznym i w gruncie rzeczy niefunkcjonalnym w przyszłości. Jedynym wyjątkiem jest wyznaczenie administratora bezpieczeństwa informacji/inspektora ochrony danych, który w pewien sposób będzie odciążał administratora danych w zakresie jego obowiązków prawnych, przy czym w dalszym ciągu to administrator będzie odpowiadał za działania inspektora ochrony danych.

Podmiot zewnętrzny może przygotować odpowiednie procedury i dokumenty w pełni profesjonalnie i w pełni zgodnie z ogólnym rozporządzeniem o ochronie danych (RODO). Niemniej jednak jego odpowiedzialność ustaje z chwilą wdrożenia tych dokumentów w „organizm” administratora danych, ponieważ wówczas to ADO przejmuje za nią pełną odpowiedzialność, co wprost wyraża art. 24 RODO. Dodatkowo dokumentacja ochrony danych będzie ulegała zmianom, nad którymi, co do zasady, nie będzie już czuwał podmiot zewnętrzny. Jedynym wyjątkiem od tej zasady jest stała, comiesięczna współpraca z podmiotem zewnętrznym.