Naruszenie danych a odpowiedzialność podmiotu przetwarzającego to zagadnienie, które coraz częściej wymyka się klasycznemu podziałowi ról znanemu z początkowych lat obowiązywania RODO. W tradycyjnym ujęciu ochrony danych osobowych to administrator (ADO) był postrzegany jako główny dysponent informacji i podmiot ponoszący zasadniczą odpowiedzialność za ich bezpieczeństwo. Współczesny model biznesowy – oparty na delegowaniu kluczowych procesów do wyspecjalizowanych dostawców usług IT, biur rachunkowych czy agencji marketingowych – realnie przesuwa jednak środek ciężkości odpowiedzialności na podmiot przetwarzający (procesora). Nie jest on już wyłącznie biernym wykonawcą poleceń administratora, lecz samodzielnym uczestnikiem systemu ochrony danych, na którego RODO nakłada konkretne obowiązki prawne. Ich naruszenie może prowadzić nie tylko do sankcji administracyjnych, lecz także do odpowiedzialności cywilnoprawnej, a w relacjach umownych – do roszczeń regresowych ze strony administratora.
Spis treści
Bezwzględny obowiązek notyfikacji administratora
Fundamentem odpowiedzialności procesora w sytuacji kryzysowej jest art. 33 ust. 2 RODO. Nakłada on na podmiot przetwarzający obowiązek zgłoszenia naruszenia administratorowi bez zbędnej zwłoki.
W przeciwieństwie do administratora, procesor nie ma luksusu „oceny ryzyka” przed dokonaniem zgłoszenia. On musi poinformować swojego zleceniodawcę o każdym naruszeniu, niezależnie od tego, czy uzna je za błahe. Każda godzina opóźnienia ze strony procesora skraca czas, jaki administrator ma na powiadomienie Urzędu Ochrony Danych Osobowych (PUODO). W praktyce orzeczniczej organów nadzorczych zwłoka procesora w przekazaniu informacji jest traktowana jako rażące naruszenie przepisów, które uniemożliwia całemu systemowi ochrony danych skuteczną reakcję.
Samodzielna odpowiedzialność administracyjna procesora
Często powtarzanym mitem jest przekonanie, że PUODO może nakładać kary wyłącznie na administratorów. RODO przewiduje jednak bezpośrednią odpowiedzialność administracyjną podmiotów przetwarzających. Procesor może zostać ukarany finansowo (do 10 mln EUR lub 2% globalnego rocznego obrotu) m.in. za:
- Brak wdrożenia odpowiednich środków bezpieczeństwa: Jeśli wyciek nastąpił, ponieważ procesor nie stosował szyfrowania, nie aktualizował systemów lub posiadał dziurawe procedury dostępu.
- Brak zgłoszenia naruszenia administratorowi: Zatajenie incydentu przed zleceniodawcą jest jednym z najcięższych uchybień procesora.
- Działanie poza zakresem instrukcji: Jeśli procesor wykorzystał dane do własnych celów lub przetwarzał je w sposób, na który administrator nie wyraził zgody w umowie.
Organ nadzorczy, badając naruszenie, sprawdza, czy procesor dochował tzw. należytej staranności zawodowej. Jeśli dostawca technologii, mieniący się ekspertem, dopuścił do naruszenia przez proste błędy w konfiguracji, kara będzie niemal nieunikniona.
Odpowiedzialność solidarna i roszczenia regresowe
Na gruncie cywilnym odpowiedzialność procesora reguluje art. 82 RODO. Wprowadza on mechanizm, który ma maksymalnie ułatwić osobie poszkodowanej uzyskanie odszkodowania. Administrator i procesor odpowiadają za szkodę wyrządzoną osobie fizycznej w sposób solidarny.
Oznacza to, że jeśli dane wyciekły z winy procesora, poszkodowany klient może pozwać administratora, procesora lub oba te podmioty jednocześnie. Jeśli administrator zostanie zmuszony do wypłaty odszkodowania za błąd swojego dostawcy, przysługuje mu tzw. roszczenie regresowe. ADO może domagać się od procesora zwrotu całości wypłaconych kwot, w tym kosztów obsługi prawnej i odsetek. Dla procesora oznacza to, że jeden błąd techniczny może skutkować lawiną roszczeń finansowych od wielu administratorów, dla których świadczył usługi.
Rola umowy powierzenia w kształtowaniu odpowiedzialności
Choć RODO wyznacza ramy prawne, to szczegóły odpowiedzialności procesora są zazwyczaj doprecyzowane w Umowie Powierzenia Przetwarzania Danych (DPA). To tam administratorzy wprowadzają mechanizmy zabezpieczające:
- Kary umowne: Za każde stwierdzone naruszenie z winy procesora lub za opóźnienie w informowaniu o incydencie.
- Obowiązek asysty: Procesor musi pomagać administratorowi w wywiązaniu się z jego obowiązków (np. przygotowanie technicznego opisu naruszenia dla UODO). Jeśli procesor odmówi pomocy lub będzie ją utrudniał, naraża się na dodatkowe sankcje kontraktowe.
- Koszty działań naprawczych: W umowach często pojawiają się zapisy, że procesor pokrywa koszty powiadamiania tysięcy osób poszkodowanych (np. koszt listów poleconych czy uruchomienia dedykowanego call center), jeśli to jego zaniedbania doprowadziły do wycieku.
Odpowiedzialność za podprzetwarzających
W ekosystemie usług cyfrowych procesorzy często korzystają z własnych podwykonawców (np. dostawców infrastruktury chmurowej). Tutaj odpowiedzialność procesora staje się jeszcze szersza. Zgodnie z art. 28 ust. 4 RODO, jeżeli pod-przetwarzający nie wywiąże się ze swoich obowiązków w zakresie ochrony danych, pełną odpowiedzialność przed administratorem ponosi główny procesor.
Procesor nie może tłumaczyć się błędem swojego podwykonawcy. Jest on gwarantem jakości i bezpieczeństwa w całym łańcuchu dostaw, który stworzył. Ta zasada wymusza na podmiotach przetwarzających niezwykle staranny dobór subprocesorów i regularne audytowanie ich systemów bezpieczeństwa.
Potrzebujesz pomocy z naruszeniem ochrony danych?
Pamiętaj, że każde naruszenie ochrony danych powinno zostać ocenione, odpowiednio udokumentowane i w razie potrzeby zgłoszone. Jeżeli masz wątpliwości co do dalszych kroków, sprawdź, jak wygląda prawidłowa procedura – kliknij tutaj i skorzystaj z naszej pomocy.
Podsumowanie
Współczesne ramy prawne nakładają na procesora autonomiczną i surową odpowiedzialność. Każdy incydent u dostawcy usług to nie tylko ryzyko kary od UODO, ale przede wszystkim ryzyko potężnych strat wynikających z regresów odszkodowawczych i kar umownych. Kluczem do minimalizacji tej odpowiedzialności jest nie tylko techniczne zabezpieczenie systemów, ale przede wszystkim budowa sprawnych procedur zgłaszania incydentów oraz rzetelne konstruowanie umów powierzenia, które precyzyjnie określają granice ryzyka.
