28 RODO a obowiązki podmiotu zobowiązanego w praktyce prawnej

W dobie cyfryzacji i globalnego przepływu informacji ochrona danych osobowych stała się jednym z kluczowych aspektów prowadzenia działalności gospodarczej oraz funkcjonowania instytucji publicznych. Głównym aktem prawnym regulującym tę materię w Unii Europejskiej jest Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679, powszechnie znane jako RODO. Wśród wielu przepisów tego rozporządzenia, artykuł 28 odgrywa fundamentalną rolę w określaniu relacji pomiędzy administratorem danych a podmiotem przetwarzającym, zwanym potocznie procesorem. W praktyce prawnej prawidłowe ustrukturyzowanie tej relacji, sporządzenie odpowiedniej umowy oraz realizacja wynikających z niej obowiązków stanowią nie lada wyzwanie. Niniejszy artykuł szczegółowo analizuje wymogi stawiane przez art. 28 RODO, wskazując na praktyczne aspekty, ryzyka oraz procedury, które każdy podmiot zobowiązany powinien wdrożyć, aby działać zgodnie z prawem.

Wprowadzenie do art. 28 RODO – kim jest podmiot przetwarzający?

Aby w pełni zrozumieć istotę art. 28 RODO, należy najpierw precyzyjnie zdefiniować role występujące w procesie przetwarzania danych osobowych. RODO rozróżnia dwa podstawowe podmioty: administratora danych osobowych (ADO) oraz podmiot przetwarzający (procesora). Administrator to podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych. Z kolei podmiot przetwarzający to osoba fizyczna lub prawna, organ publiczny, jednostka lub inny podmiot, który przetwarza dane osobowe w imieniu administratora.

W praktyce gospodarczej procesorem może być biuro rachunkowe, dostawca usług chmurowych, agencja marketingowa, firma hostingowa czy zewnętrzny dostawca usług kadrowo-płacowych. Każdy z tych podmiotów, realizując swoje usługi, operuje na danych, których administratorem jest ich klient. To właśnie w tym momencie kluczowe znaczenie zyskuje art. 28 RODO, który nakłada na obie strony szereg obowiązków mających na celu zapewnienie, że dane osobowe będą przetwarzane w sposób bezpieczny i zgodny z prawem. Kluczowym obowiązkiem administratora jest korzystanie wyłącznie z usług takich podmiotów przetwarzających, które zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych.

Konstrukcja umowy powierzenia przetwarzania danych (DPA)

Zgodnie z art. 28 ust. 3 RODO, przetwarzanie przez podmiot przetwarzający odbywa się na podstawie umowy lub innego instrumentu prawnego, które podlegają prawu Unii lub prawu państwa członkowskiego i wiążą podmiot przetwarzający z administratorem. W praktyce prawnej dokument ten nazywany jest umową powierzenia przetwarzania danych osobowych (ang. Data Processing Agreement – DPA). Umowa ta musi mieć formę pisemną, przy czym dopuszczalna jest również forma elektroniczna.

Należy podkreślić, że umowa powierzenia nie może być ogólnikowym dokumentem. Musi ona precyzyjnie określać przedmiot i czas trwania przetwarzania, charakter i cel przetwarzania, rodzaj danych osobowych oraz kategorie osób, których dane dotyczą, a także obowiązki i prawa administratora. Brak precyzji w tym zakresie jest jednym z najczęstszych błędów popełnianych przez przedsiębiorców, co w przypadku kontroli przez organ nadzorczy może skutkować nałożeniem dotkliwych kar finansowych.

Niezbędne elementy umowy w świetle art. 28 ust. 3 RODO

Art. 28 ust. 3 RODO zawiera zamknięty katalog elementów, które muszą znaleźć się w każdej umowie powierzenia. Do najważniejszych z nich należą zobowiązania procesora do:

  • przetwarzania danych osobowych wyłącznie na udokumentowane polecenie administratora – co obejmuje również kwestie dotyczące przekazywania danych osobowych do państwa trzeciego lub organizacji międzynarodowej;
  • zapewnienia, by osoby upoważnione do przetwarzania danych osobowych zobowiązały się do zachowania tajemnicy lub by podlegały odpowiedniemu ustawowemu obowiązkowi zachowania tajemnicy;
  • podjęcia wszelkich środków wymaganych na mocy art. 32 RODO, czyli zapewnienia odpowiedniego stopnia bezpieczeństwa przetwarzania danych;
  • przestrzegania warunków korzystania z usług innego podmiotu przetwarzającego (podpowierzenie);
  • pomagania administratorowi, w miarę możliwości, poprzez odpowiednie środki techniczne i organizacyjne, w wywiązaniu się z obowiązku odpowiadania na żądania osoby, której dane dotyczą, w zakresie wykonywania jej praw;
  • pomagania administratorowi w wywiązaniu się z obowiązków określonych w art. 32–36 RODO, uwzględniając charakter przetwarzania i informacje dostępne podmiotowi przetwarzającemu;
  • usunięcia lub zwrotu administratorowi wszelkich danych osobowych po zakończeniu świadczenia usług związanych z przetwarzaniem, zależnie od decyzji administratora;
  • udostępnienia administratorowi wszelkich informacji niezbędnych do wykazania spełnienia obowiązków określonych w art. 28 oraz umożliwienia administratorowi lub audytorowi upoważnionemu przez administratora przeprowadzania audytów, w tym inspekcji.

Kluczowe obowiązki procesora w praktyce prawnej

Rola podmiotu przetwarzającego wiąże się z ogromną odpowiedzialnością. Procesor nie jest jedynie biernym wykonawcą woli administratora. RODO nakłada na niego samodzielne obowiązki, których niedopełnienie może prowadzić do bezpośredniej odpowiedzialności administracyjnej i cywilnej. W praktyce prawnej najważniejsze obowiązki procesora koncentrują się wokół bezpieczeństwa danych, współpracy z administratorem oraz transparentności działań.

Współpraca z administratorem przy realizacji praw osób, których dane dotyczą

Osoby, których dane dotyczą, posiadają szereg uprawnień na mocy RODO, takich jak prawo dostępu do danych, sprostowania, usunięcia ('prawo do bycia zapomnianym'), ograniczenia przetwarzania czy przenoszenia danych. Choć to administrator jest głównym adresatem żądań realizujących te prawa, w praktyce dane często fizycznie znajdują się w systemach procesora. Dlatego procesor ma prawny obowiązek pomagać administratorowi w wywiązaniu się z tych zadań. Pomoc ta musi być realizowana poprzez wdrożenie odpowiednich środków technicznych i organizacyjnych. W umowie powierzenia warto precyzyjnie określić termin, w jakim procesor musi przekazać administratorowi wniosek osoby fizycznej lub przygotować niezbędne dane, aby administrator mógł dotrzymać ustawowego terminu na odpowiedź.

Zgłaszanie naruszeń ochrony danych osobowych

Jednym z najbardziej krytycznych obowiązków procesora jest natychmiastowe zgłaszanie administratorowi wszelkich przypadków naruszenia ochrony danych osobowych. Zgodnie z art. 28 ust. 3 lit. f RODO, podmiot przetwarzający musi pomóc administratorowi w wywiązaniu się z obowiązków określonych w art. 33 i 34 RODO. Oznacza to, że po stwierdzeniu naruszenia procesor bez zbędnej zwłoki musi poinformować o tym administratora. W praktyce termin ten powinien być maksymalnie skrócony (np. do 24 lub 48 godzin od wykrycia), ponieważ administrator ma tylko 72 godziny na zgłoszenie naruszenia do organu nadzorczego (UODO). Zgłoszenie od procesora powinno zawierać szczegółowy opis charakteru naruszenia, kategorii i przybliżonej liczby osób, których dane dotyczą, a także proponowane środki naprawcze.

Podpowierzenie przetwarzania (subprocessing)

Procesor nie może korzystać z usług innego podmiotu przetwarzającego (podwykonawcy) bez uprzedniej szczegółowej lub ogólnej pisemnej zgody administratora. W przypadku ogólnej pisemnej zgody, procesor ma obowiązek informować administratora o wszelkich zamierzonych zmianach dotyczących dodania lub zastąpienia innych podmiotów przetwarzających, dając tym samym administratorowi możliwość wyrażenia sprzeciwu. Co niezwykle ważne, na podwykonawcę (subprocesora) muszą zostać nałożone dokładnie takie same obowiązki ochrony danych, jakie wynikają z umowy między administratorem a głównym procesorem. Jeśli subprocesor nie wywiąże się ze swoich obowiązków, pełną odpowiedzialność wobec administratora za spełnienie obowiązków przez subprocesora ponosi główny procesor.

Uprawnienia kontrolne administratora – audyty i inspekcje

Art. 28 RODO daje administratorowi potężne narzędzie weryfikacji w postaci prawa do przeprowadzania audytów i inspekcji u podmiotu przetwarzającego. Procesor jest zobowiązany udostępnić administratorowi wszelkie informacje niezbędne do wykazania spełnienia obowiązków oraz umożliwić przeprowadzenie kontroli. W praktyce prawnej zapisy dotyczące audytów są często polem trudnych negocjacji. Procesorzy dążą do ograniczenia częstotliwości audytów (np. do jednego w roku) oraz nałożenia na administratora obowiązków pokrycia kosztów takiej operacji, z kolei administratorzy chcą mieć pełną swobodę kontroli w każdym czasie.

Jak przygotować się na wniosek o przeprowadzenie audytu?

Zarówno administrator, jak i procesor powinni posiadać wewnętrzne procedury na wypadek zgłoszenia wniosku o audyt. Dla procesora kluczowe jest wyznaczenie osoby odpowiedzialnej za kontakt z audytorami (np. Inspektora Ochrony Danych) oraz przygotowanie dokumentacji potwierdzającej stosowanie odpowiednich środków bezpieczeństwa. Dokumentacja ta może obejmować certyfikaty (np. ISO 27001), raporty z testów penetracyjnych, rejestr kategorii czynności przetwarzania czy opisy wdrożonych procedur bezpieczeństwa fizycznego i teleinformatycznego. Sprawne przedstawienie tych dokumentów może skrócić czas trwania inspekcji na miejscu lub wręcz zastąpić fizyczny audyt w siedzibie firmy.

Rola organu nadzorczego i konsekwencje niedopełnienia obowiązków

Organem nadzorczym w Polsce jest Prezes Urzędu Ochrony Danych Osobowych (PUODO). Organ ten posiada szerokie uprawnienia kontrolne i naprawcze. W przypadku stwierdzenia naruszenia przepisów art. 28 RODO, organ może nałożyć na podmiot zobowiązany administracyjne kary pieniężne. Zgodnie z RODO, kary te mogą wynosić do 10 000 000 EUR, a w przypadku przedsiębiorstwa – do 2% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego. Poza karami finansowymi, organ nadzorczy może zastosować inne środki, takie jak ostrzeżenia, upomnienia, nakazy dostosowania operacji przetwarzania do przepisów RODO, a nawet tymczasowe lub ostateczne ograniczenie przetwarzania, co w praktyce może sparaliżować działalność operacyjną firmy.

Terminy i procedury w przypadku kontroli UODO

W przypadku wszczęcia kontroli przez organ nadzorczy, podmiot kontrolowany musi ściśle przestrzegać wyznaczonych terminów na udzielenie wyjaśnień czy przedstawienie dokumentów. Standardowy termin wyznaczany przez PUODO na odpowiedź na wezwanie wynosi zazwyczaj od 7 do 14 dni. Ignorowanie tych terminów lub utrudnianie przeprowadzenia kontroli stanowi samodzielną podstawę do nałożenia kary finansowej. Dlatego tak ważne jest posiadanie sprawnie działającego działu prawnego lub stałej obsługi prawnej, która będzie w stanie szybko i merytorycznie zareagować na każde pismo z organu nadzorczego.

Praktyczny przykład wdrożenia procedur z art. 28 RODO

Aby lepiej zobrazować, jak przepisy art. 28 RODO funkcjonują w codziennej praktyce, posłużmy się przykładem. Spółka 'Alfa' (administrator) zleca firmie 'Beta' (procesor) obsługę kadrowo-płacową swoich pracowników. Przed rozpoczęciem świadczenia usług strony muszą podpisać umowę powierzenia przetwarzania danych. W umowie tej precyzyjnie określają, że firma 'Beta' będzie przetwarzać dane pracowników spółki 'Alfa' (takie jak imiona, nazwiska, adresy, numery PESEL, wysokość wynagrodzenia, numery kont bankowych) wyłącznie w celu realizacji umowy głównej.

W trakcie współpracy firma 'Beta' decyduje się na zmianę dostawcy oprogramowania kadrowego na rozwiązanie chmurowe dostarczane przez firmę 'Gamma'. Ponieważ jest to podpowierzenie przetwarzania danych, firma 'Beta' musi wysłać wniosek o zgodę do spółki 'Alfa' lub poinformować ją o planowanej zmianie z odpowiednim wyprzedzeniem (np. 14 dni), dając spółce 'Alfa' możliwość wyrażenia sprzeciwu. Ponadto, firma 'Beta' musi podpisać z firmą 'Gamma' umowę podpowierzenia, która nakłada na 'Gamma' co najmniej takie same obowiązki ochrony danych, jakie wynikają z umowy między 'Alfa' a 'Beta'.

Pewnego dnia w firmie 'Beta' dochodzi do incydentu bezpieczeństwa – jeden z pracowników wysyła listę płac pracowników spółki 'Alfa' na błędny adres e-mail. Jest to naruszenie ochrony danych osobowych. Firma 'Beta' ma obowiązek natychmiast, bez zbędnej zwłoki, zgłosić ten fakt spółce 'Alfa', przekazując wszelkie dostępne informacje o incydencie. Dzięki temu spółka 'Alfa' może w ustawowym terminie 72 godzin dokonać zgłoszenia naruszenia do Prezesa UODO oraz podjąć decyzję o ewentualnym poinformowaniu pracowników o wycieku ich danych.

Najczęstsze błędy przy stosowaniu art. 28 RODO

Analiza postępowań prowadzonych przez organ nadzorczy oraz audytów bezpieczeństwa pozwala na zidentyfikowanie najczęstszych błędów popełnianych przez podmioty zobowiązane w obszarze art. 28 RODO. Należą do nich:

  • Brak umowy powierzenia – rozpoczęcie fizycznego przetwarzania danych przed formalnym podpisaniem umowy DPA;
  • Stosowanie szablonowych, niedostosowanych do realiów umów – kopiowanie wzorów z Internetu bez analizy rzeczywistego zakresu i celu przetwarzania danych;
  • Brak weryfikacji procesora przed podpisaniem umowy – administratorzy często nie sprawdzają, czy procesor rzeczywiście zapewnia wystarczające gwarancje bezpieczeństwa;
  • Niedozwolone podpowierzenie – korzystanie przez procesora z podwykonawców bez wiedzy i zgody administratora;
  • Nierealne terminy – wpisywanie do umów niemożliwych do dotrzymania terminów (np. zgłoszenie naruszenia w ciągu 2 godzin od wystąpienia, a nie od wykrycia);
  • Brak procedur audytowych – brak określenia w umowie, jak technicznie i organizacyjnie ma przebiegać audyt, co prowadzi do konfliktów w przypadku próby jego przeprowadzenia.

Podsumowanie

Artykuł 28 RODO nakłada na podmioty uczestniczące w procesie przetwarzania danych osobowych szereg rygorystycznych obowiązków, które wymagają precyzyjnego przełożenia na język umów i procedur operacyjnych. W praktyce prawnej kluczem do sukcesu jest nie tylko sporządzenie poprawnej pod kątem formalnym umowy powierzenia, ale przede wszystkim realne wdrożenie jej postanowień w codzienne funkcjonowanie organizacji. Zarówno administratorzy, jak i procesorzy muszą pamiętać o konieczności stałego monitorowania bezpieczeństwa, szybkiego reagowania na wnioski i naruszenia oraz ścisłej współpracy. Ignorowanie tych obowiązków naraża podmioty na dotkliwe kary finansowe ze strony organu nadzorczego oraz utratę reputacji biznesowej, która w dzisiejszych czasach jest wartością bezcenną.