Spółka matka dzięki swojej silniejszej pozycji negocjacyjnej, wynikającej z większej skali działalności i zasobów, może skuteczniej wybierać dostawców oferujących zaawansowane technologie, takie jak rozwiązania chmurowe, systemy informatyczne czy narzędzia do szyfrowania danych.
Praktyka centralizacji jest szczególnie powszechna w sektorach regulowanych, np. finansach lub ochronie zdrowia, gdzie grupy kapitałowe muszą spełniać rygorystyczne wymogi prawne.
Zdarza się, że spółka matka, podpisując umowę główną o świadczenie usług na rzecz wszystkich spółek w grupie (usług związanych jednocześnie z koniecznością przetwarzania danych osobowych przez dostawcę tych usług), zawiera jednocześnie w imieniu własnym – jako administrator danych – umowę powierzenia. Spółki zależne nie sygnują jednak tej umowy podpisem swoich reprezentantów (nie figurują jako strony umowy), lecz zwykle wzmiankuje się o nich jako o podmiotach, do których umowa też ma zastosowanie. Powstaje w związku z tym pytanie, czy tak zawarte umowy powierzenia faktycznie odnoszą skutek względem spółek zależnych.
Porównanie art. 28 ust. 3 RODO w wersji polskiej i angielskiej
Opisane wyżej zjawisko zawierania umowy powierzenia wyłącznie przez spółkę matkę, bez pełnomocnictwa od spółek zależnych, a mimo to z oczekiwaniem, że umowa ta będzie skuteczna także względem tych spółek, wydaje się częstsze w międzynarodowych i zagranicznych grupach kapitałowych. Zacznijmy więc od porównania art. 28 ust. 3 zdanie pierwsze RODO z jego angielskojęzyczną wersją, ponieważ może okazać się to źródłem potencjalnych różnic interpretacyjnych.
Polska wersja językowa art. 28 ust. 3 RODO
„Przetwarzanie przez podmiot przetwarzający odbywa się na podstawie umowy lub innego instrumentu prawnego, które podlegają prawu Unii lub prawu państwa członkowskiego i wiążą podmiot przetwarzający i administratora, określają przedmiot i czas trwania przetwarzania, charakter i cel przetwarzania, rodzaj danych osobowych oraz kategorie osób, których dane dotyczą, obowiązki i prawa administratora”.
Kluczowe elementy:
- Umowa (lub inny instrument prawny) musi wiązać podmiot przetwarzający i administratora.
- Wskazuje to na konieczność istnienia bezpośredniego stosunku prawnego między administratorem a procesorem, co sugeruje, że oba podmioty są stronami tej umowy.
- Polski tekst nie pozostawia wiele miejsca na interpretację, że umowa może być zawarta przez inny podmiot (np. spółkę matkę) na rzecz administratora, bez jego bezpośredniego zaangażowania jako strony.
Angielska wersja językowa art. 28 ust. 3 GDPR
„Processing by a processor shall be governed by a contract or other legal act under Union or Member State law, that is binding on the processor with regard to the controller and that sets out the subject-matter and duration of the processing, the nature and purpose of the processing, the type of personal data and categories of data subjects and the obligations and rights of the controller”.
Kluczowe elementy:
- Umowa (lub inny akt prawny) musi być wiążąca dla procesora w stosunku do administratora („binding on the processor with regard to the controller”).
- Sformułowanie „with regard to the controller” jest mniej jednoznaczne niż polskie „wiążą podmiot przetwarzający i administratora”. Może sugerować, że umowa musi określać obowiązki procesora wobec administratora, ale niekoniecznie wymaga, aby administrator był bezpośrednią stroną umowy.
- Wydaje się, że angielska wersja pozostawia pewną elastyczność w kwestii tego, kto formalnie zawiera umowę, o ile procesor jest związany obowiązkami wobec wskazanego administratora.
Polski tekst wyraźnie sugeruje, że umowa musi być zawarta między administratorem a procesorem. Wskazuje na to użycie zwrotu „wiąże podmiot przetwarzający i administratora” – obie te strony muszą być związane, połączone jedną umową.
Angielski tekst używa zwrotu „binding on the processor with regard to the controller”, co może być interpretowane w ten sposób, że umowa nakłada obowiązki na procesora w odniesieniu do administratora, ale niekoniecznie wymaga, aby administrator był formalną stroną umowy. To otwierałoby możliwość zawarcia umowy przez inny podmiot (np. spółkę matkę) na rzecz innego administratora, o ile procesor będzie na mocy umowy prawnie związany wobec tego administratora.
Różnice językowe nie oznaczają jednak automatycznie różnic w interpretacji prawnej. RODO jest aktem unijnym, a zatem jego interpretacja powinna być spójna we wszystkich państwach członkowskich.
Intencja prawodawcy unijnego i wytyczne EROD
Zgodnie z wytycznymi Europejskiej Rady Ochrony Danych (EROD, ang. European Data Protection Board – EDPB) art. 28 ust. 3 RODO ma na celu zapewnienie tego, że przetwarzanie danych przez procesora odbywa się zgodnie z instrukcjami administratora oraz że istnieje formalny, pisemny dokument regulujący tę relację. W angielskojęzycznej wersji dokumentu EROD „Guidelines 07/2020 on the concepts of controller and processor in the GDPR” podkreśla się, że powierzenie regulowane jest umową między administratorem a procesorem:
„Any processing of personal data by a processor must be governed by a contract or other legal act under EU or Member State law between the controller and the processor, as required by Article 28(3) GDPR”.
Polski przekład tych wytycznych nie odbiega od wersji angielskiej, ponieważ stanowi:
„Wszelkie przetwarzanie danych osobowych przez podmiot przetwarzający musi być uregulowane umową lub innym aktem prawnym na mocy prawa Unii lub państwa członkowskiego zawartym między administratorem a podmiotem przetwarzającym, zgodnie z wymogami art. 28 ust. 3 RODO”.
Wytyczne EROD (zarówno w polskiej, jak i angielskiej wersji językowej) podkreślają także (w ślad za tekstem samego RODO), że umowa powierzenia oprócz obowiązków procesora ma określać również obowiązki administratora, co wynika wprost z art. 28 ust. 3 zdanie pierwsze RODO. Skoro tak, sygnowanie umowy bezpośrednio przez każdego administratora wydaje się elementem nieodzownym. W przeciwnym razie trudno byłoby uznać, że zobowiązania takiego administratora względem procesora są wiążące, jeśli opierają się wyłącznie na deklaracji spółki matki – będącej przecież odrębnym podmiotem.
Przyjrzyjmy się zatem obu wersjom przepisu raz jeszcze:
Polska wersja językowa art. 28 ust. 3 RODO
„Przetwarzanie przez podmiot przetwarzający odbywa się na podstawie umowy lub innego instrumentu prawnego, które podlegają prawu Unii lub prawu państwa członkowskiego i wiążą podmiot przetwarzający i administratora, określają przedmiot i czas trwania przetwarzania, charakter i cel przetwarzania, rodzaj danych osobowych oraz kategorie osób, których dane dotyczą, obowiązki i prawa administratora”.
Angielska wersja językowa art. 28 ust. 3 GDPR
„Processing by a processor shall be governed by a contract or other legal act under Union or Member State law, that is binding on the processor with regard to the controller and that sets out the subject-matter and duration of the processing, the nature and purpose of the processing, the type of personal data and categories of data subjects and the obligations and rights of the controller”.
Powyższe fragmenty przemawiają więc za uznaniem, że zarówno w ocenie EROD (wspólnej dla wszystkich państw stosujących RODO), jak i w świetle samego tekstu rozporządzenia, niezależnie od jego wersji językowej, umowa powierzenia powinna zostać zawarta między administratorem a procesorem. To oznacza, że administrator również przyjmuje na siebie określone zobowiązania i powinien być stroną tej umowy (a nie jedynie jej beneficjentem, np. jako spółka należąca do grupy kapitałowej wskazana w umowie powierzenia jako uprawniona do korzystania z usług procesora, z którym umowę zawarła spółka matka).
Ryzyka związane z zawieraniem umów powierzenia przez spółkę matkę
Praca dobrymi narzędziami RODO to nie praca!
-
Brak bezpośredniego zaangażowania administratora
Jeśli spółka zależna (administrator) nie jest stroną umowy, może mieć trudności z bezpośrednim egzekwowaniem swoich praw wobec procesora, szczególnie w przypadku sporów prawnych. Każda spółka występująca w roli administratora powinna mieć zapewnioną kontrolę nad procesorem, a to zwykle wymaga jej udziału w umowie. Dodatkowo problematyczna będzie skuteczność nałożenia obowiązków na administratora w umowie, której nie jest on stroną. Warto też pamiętać o udokumentowanych poleceniach administratora, które powinny być podstawą wszelkich działań procesora. W praktyce za takie polecenia uznaje się często samą umowę główną i umowę powierzenia, jednak w omawianym przypadku nie będą one pochodziły przecież od administratora – nie będą przez niego sygnowane.
-
Zróżnicowane interpretacje krajowe
W niektórych państwach członkowskich (np. w Polsce, gdzie kładzie się duży nacisk na bezpośredni stosunek umowny) organy nadzorcze mogą uznać, że brak podpisu konkretnego administratora pod umową stanowi naruszenie art. 28 RODO. Może to dotyczyć nawet sytuacji, w której dany podmiot został wyraźnie wskazany w umowie jako uprawniony do korzystania z usług procesora i jako ten, którego uważa się za jednego z administratorów – co zaakceptował sam procesor, składając swój podpis pod taką umową.
Podsumowanie
Rozwiązanie, w którym spółka matka zawiera umowę powierzenia, a inne spółki są w niej jedynie wymienione jako administratorzy, może zostać uznane za niezgodne z RODO, bo nie zapewnia pełnej rozliczalności i kontroli nad procesorem (art. 5 ust. 2 w zw. z art. 28 RODO). Brak formalnego udziału w umowie spółek zależnych, które są wzmiankowane w umowie jako pozostali administratorzy, może prowadzić do trudności w egzekwowaniu praw wobec procesora.
Jeśli spółki funkcjonujące w grupie kapitałowej chciałyby działać w ramach jednej umowy na tych samych warunkach, rekomendowanym działaniem – niezależnie od różnic mogących występować między poszczególnymi wersjami językowymi RODO oraz różnic w podejściu organów nadzorczych – będzie zawarcie umowy powierzenia, w ramach której wszystkie te spółki (wszyscy administratorzy) będą stronami takiej umowy. Powinny one zawrzeć tę umowę bezpośrednio, a jeśli chcą to zrobić za pośrednictwem spółki matki, to musi ona działać wyraźnie w ich imieniu na podstawie udzielonego pełnomocnictwa. Tylko w takiej konfiguracji każda spółka jako administrator, działając na podstawie i w ramach jednej umowy, w sposób niebudzący wątpliwości nawiąże własną, weryfikowalną, przejrzystą i egzekwowalną relację z podmiotem przetwarzającym. To zagwarantuje jej możliwość realizacji uprawnień i obowiązków wynikających z art. 28 RODO.
Sprawdź co pamiętasz - za poprawną odpowiedź nagroda!
Jakie ryzyko prawne wiąże się z sytuacją, gdy spółka zależna nie jest stroną umowy powierzenia danych osobowych?