Ograniczenie prawa audytu w umowach powierzenia przetwarzania danych osobowych

O ile końcówka czerwca każdego roku jest „sezonem na Walne Zgromadzenia” (w spółkach akcyjnych trzeba je odbyć do 30 czerwca), o tyle aktualnie trwa sezon na podpisywanie umów powierzenia przetwarzania danych osobowych zgodnych z RODO.

Dotychczas traktowane były one po macoszemu, natomiast obecnie zyskały wysokie miejsce na liście najważniejszych czynności, które niemal wszyscy chcą zrealizować przed „dniem zero”. Żeby pokazać skalę problemu – rekordziści mają do zawarcia lub aneksowania kilkaset, a czasem wręcz kilka tysięcy umów powierzenia przetwarzania (przy czym pomijamy umowy „klikalne” w internecie, gdzie skala ma mniejsze znaczenie).

Projekt pt. „zdążyć przed dwudziestym piątym” to prawdziwa batalia logistyczna. Jeśli organizacja ma do zawarcia np. 1000 umów, w praktyce nie ma możliwości podejścia do każdej indywidualnie: nawet przy założeniu poświecenia 30 minut na każdą umowę, tylko do tego zadania konieczne byłoby zaangażowanie 2 osób na pełen etat przez 2 pełne miesiące. A przecież 30 minut to często i tak za mało na refleksję i ewentualną zmianę tekstu. Trzeba więc zautomatyzować proces, przygotowując wzorce opatrzone komentarzem: „Albo zaakceptujesz nasz wzorzec, albo będziemy musieli zakończyć współpracę”. Oczywiście – jak przy wszystkich negocjacjach – dużo lepszą pozycję ma ten silniejszy. A kto jest silniejszy?

A kto jest silniejszy?

Zazwyczaj jest to administrator danych osobowych, stosujący – zgodnie ze starą szkołą negocjacji siłowych („Wasz klient, Wasz Pan”) – retorykę, którą można by streścić słowami: „jeśli chcesz zarabiać na nas pieniądze, to dostosuj się do naszych zasad”.

Ale jest wyjątek, w ramach którego można wygrać z tym Goliatem. Mowa o oferowanych klientom biznesowym rozwiązaniach chmurowych/cloud-owych/SaaS-owych (różne nazwy na to samo) – i nie mówię tu o gigantach, takich jak Google, Amazon czy Microsoft, ale o stosunkowo niewielkich firmach (często kilkunasto- czy kilkudziesięcioosobowych), oferujących rozwiązania z obszaru CRM, rekrutacji, ecommerce, marketing automation, outsourcingu kadr i płac etc.

Dostawcy takich usług pobierają stosunkowo niewielkie opłaty za często świetny produkt, a niskie ceny opłacają się im właśnie ze względu na automatyzację działania, masowość klientów i brak odstępstw od standardu (zjawisko nazywane z angielska komodytyzacją, wśród prawników kojarzone z adhezyjnością) – nie tylko w zakresie rodzaju i funkcjonalności usługi, ale także sposobu obsługi klienta czy właśnie treści umów powierzenia przetwarzania danych osobowych.

Jak to z umowami bywa, także i te można napisać w sposób korzystniejszy dla jednej lub dla drugiej strony. Oczywiście autor umowy będzie próbował dostosować ją do swoich potrzeb.

Dla dostawców rozwiązań chmurowych priorytetem będzie na pewno ograniczenie własnej odpowiedzialności i wyeliminowanie wszelkich interakcji wymagających indywidualnej obsługi klienta.

To oznacza, że problematyczne będą nie tylko wszelkie zmiany w samej treści umowy powierzenia (adhezyjność), ale też wszelkie działania klienta-administratora wymagające zaangażowania (w tym wszelkie audyty, inspekcje czy kontrole, których prawo przeprowadzenia wynika bezpośrednio z przepisów RODO).

Każdy dostawca rozwiązań będzie dążył do tego, aby liczba prowadzonych przez każdego klienta audytów oraz ich zakres były ograniczone do minimum, co w różny sposób próbuje się uregulować w umowie powierzenia przetwarzania. W tym miejscu przydałoby się wsparcie interpretacyjne GIODO / Prezesa UODO i podpowiedź, jakiego rodzaju postanowienia umowne wprowadzające formalne lub praktyczne ograniczenia prawa kontroli administratora są dozwolone.

Oczekując na taką inicjatywę, przedstawiam poniżej listę kilku „zachęt negatywnych” do prowadzenia audytów, a także autorską opinię co do ich dopuszczalności na gruncie RODO:

  • „Zanim pozwolimy Ci rozpocząć audyt, zawrzyj z nami NDA”

Zazwyczaj treść NDA jest oczywiście taka, że tylko osoby zdesperowane i nieuważne będą chciały ją podpisać. Sama praktyka wymagania stosowania NDA dla administratora jest w mojej ocenie akceptowalna, przy czym treść takiej umowy nie może zniechęcać do przeprowadzenia audytu (np. poprzez nadmierne rozszerzenie odpowiedzialności ustawowej albo nałożenie dodatkowych – zwłaszcza kosztownych lub uciążliwych – obowiązków na administratora). Również kary umowne wydają się akceptowalne, ale ich kwoty nie mogą odstraszać. Idealnie, gdyby zobowiązanie do poufności było elementem umowy głównej lub umowy powierzenia, ewentualnie wzór NDA stanowił załącznik do umowy.

  • „Zanim pozwolimy Ci prowadzić audyt, osoby prowadzące audyt muszą podpisać zobowiązanie do poufności”

Sytuacja podobna jak w pkt 1., tyle że tutaj NDA nie dotyczy administratora, ale osób działających w jego imieniu. Również w tym przypadku wydaje się, że taka praktyka jest akceptowalna – dopóki nie odstrasza. W mojej ocenie limit odpowiedzialności nie musi odpowiadać regulacji art. 119 kodeksu pracy, aczkolwiek w tym zakresie istotne będzie ukształtowanie się praktyki (która może pójść w różne strony). Postanowienia NDA podpisywanej z pracownikiem zdecydowanie nie mogą przewidywać zakazu pracy dla konkurentów audytowanego po zakończeniu audytu.

  • „Za czynności audytowe prowadzone u procesora administrator musi zapłacić procesorowi dodatkową opłatę”

Cechą komodytyzacji jest to, że w związku z niskimi opłatami (np. kilkaset złotych miesięcznie) trudno oczekiwać pełnej i nieograniczonej obsługi indywidualnej w każdym aspekcie, bez dodatkowych kosztów. Jeśli tylko produkt jest dobry, to obsługa nie jest potrzebna. Z tego też względu w mojej ocenie dopuszczalne jest ustalenie, że koszty procesora ponoszone w związku z inspekcją/audytem powinny być zwrócone przez prowadzącego audyt administratora – pod dwoma warunkami.

Po pierwsze, wyłącznie koszty, po drugie, w rozsądnej wysokości.

Uzasadnione wydaje się pokrycie kosztów pracy pracowników procesora, którzy będą zaangażowani w czynności audytowe (np. koszty pracy pracownika procesora towarzyszącego prowadzącemu inspekcję w pomieszczeniach procesora). Uzasadnione wydaje się też wprowadzenie stawki godzinowej / za dzień pracy, przy czym zasadniczo bez marży. Można tę kwotę także uśrednić – byleby zrobić to z rozsądkiem. Przyjęcie z góry, że stawka za kontrolę wynosi 10.000 czy 20.000 PLN jest w mojej ocenie w zdecydowanej większości sytuacji niedopuszczalne. Wydaje się, że w przypadku kontroli podmiotów prowadzących działalność w Polsce rzadko kiedy stawka za 1 osobodzień pracy kontrolowanego będzie mogła przekroczyć 1.000 PLN (a często będzie to dużo mniej). Z drugiej strony pobranie opłaty w kwocie 1.000 PLN za 2h wizytacji w pomieszczeniach procesora również może okazać się nadmierne.

  • „Audytorami nie mogą być osoby inne niż pracownicy administratora”

W mojej ocenie forma prawna zaangażowania osoby prowadzącej audyt nie może być przedmiotem ograniczeń i wymogów ze strony procesora. Nie widzę więc żadnych powodów, dla których osoba prowadząca audyt musiałaby być zaangażowana na umowę o pracę, a nie mogła być pracownikiem na zlecenie, umowę o dzieło (która pasuje tutaj świetnie) czy umowę B2B. O ile dopuszczalne jest więc wymaganie zaprezentowane w pkt 2. powyżej, o tyle na tym polu trudne może być wprowadzenie jakichkolwiek standardowych ograniczeń.

Ciąg dalszy – m.in. o potrzebie zgłoszenia chęci audytu z odpowiednim wyprzedzeniem, o ograniczeniu możliwości audytu wyłącznie do godzin wieczornych oraz o prowadzeniu audytu przez firmę konkurencyjną wobec kontrolowanego.

Post Scriptum

PS1: Inspiracją dla niniejszego wpisu była treść propozycji umowy powierzenia jednego z dostawców rozwiązań IT, który to zaproponował domyślne ryczałtowe opłaty za niektóre kontrole (polecam uważne czytanie umów powierzenia proponowanych przez drugą stronę!). Od razu też duży disclaimer z mojej strony – podobnie jak w przypadku poprzedniego komentarza do praktyki wdrażania RODO w obszarze zgód www, również i ten tekst dotyczy zjawiska jako takiego, a nie konkretnej propozycji czy konkretnej firmy.


PS2: W kontekście tego tekstu przypominam przyjacielsko koleżankom i kolegom prawnikom o tym, że istnieje – zapomniany przez wielu – art. 385 (4) kc, regulujący kwestię tzw. battle of forms. Kto go nie pamięta, temu polecam odświeżenie!


Zobacz inne artykuły autora