Jakie obowiązki ciążą na podmiocie pełniącym rolę przedstawiciela? Który z podmiotów ponosi odpowiedzialność w przypadku naruszeń przepisów RODO?
ODPOWIEDŹ
Podstawową rolą przedstawiciela jest reprezentowanie administratora lub podmiotu przetwarzającego w zakresie ich obowiązków wynikających z RODO co do zasady w stosunku do organu nadzorczego. Zgodnie z art. 27 ust. 4 RODO, w ramach wyznaczenia swojego przedstawiciela administrator lub podmiot przetwarzający powinien zapewnić, by inne podmioty mogły się do tego przedstawiciela zwracać we wszystkich sprawach związanych z przetwarzaniem danych. Przepis wymienia przykładowo takie podmioty jak organy nadzorcze i osoby, których dane dotyczą. Przepis wyraźnie wskazuje, że przedstawiciel może działać w tym zakresie (będąc adresatem korespondencji), zastępując administratora lub podmiot przetwarzający lub też działając równolegle do nich.
W ramach komentarza do art. 4 pkt. 17 RODO dot. definicji przedstawiciela można również znaleźć następujące wytyczne:
Przedstawiciel reprezentuje administratora lub podmiot przetwarzający w zakresie ich obowiązków wynikających z RODO. W praktyce przedstawiciel będzie więc wykonywał obowiązki analogiczne do przedstawiciela administratora danych w rozumieniu art. 31a OchrDanychU – obowiązki informacyjne, zabezpieczenia danych, obowiązki wynikające z uprawnień informacyjnych osoby, której dane dotyczą (por. J. Barta, P. Fajgielski, R. Markiewicz, Ochrona, 2004, s. 627; A. Drozd, Ustawa, s. 213). Przedstawiciel może być także adresatem ewentualnych działań organu nadzorczego (por. motyw 80 preambuły do RODO) – Rozporządzenie UE w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i swobodnym przepływem takich danych. Komentarz red. P. Litwiński Wyd.1 rok 2018.
Zatem co do zasady rola przedstawiciela będzie ograniczała się przede wszystkim do kontaktów z organem nadzorczym i wykonywania uprawnień informacyjnych względem osób, których dane dotyczą, niemniej jednak, jak wynika to ze wskazanych wytycznych, może ona przybrać szerszy wymiar, np. zabezpieczenie danych. Ponadto samo określenie "w szczególności" użyte w art. 27 pkt. 4 RODO oznacza, że nie jest to katalog zamknięty.
Jak wynika wprost z ust. 27 ust. 5 RODO, fakt wyznaczenia przedstawiciela przez administratora lub podmiot przetwarzający pozostaje bez wpływu na możliwość wszczęcia postępowań przeciwko samemu administratorowi lub podmiotowi przetwarzającemu.
Samo RODO, wbrew treści motywów, nie wskazuje zatem w żadnym przepisie na możliwość kierowania środków służących egzekucji uprawnień wynikających z RODO (czy też wydawanych w oparciu o RODO decyzji) przeciwko przedstawicielowi. W szczególności, przedstawiciel nie jest adresatem roszczeń zakotwiczonych w art. 79 RODO (prawo do skutecznego środka ochrony prawnej przed sądem przeciwko administratorowi lub podmiotowi przetwarzającemu) ani też roszczeń odszkodowawczych za naruszenie RODO ( art. 82 RODO), ani też wreszcie decyzji opisanych w art. 58 ust. 2 RODO.
Wyznaczenie przedstawiciela nie skutkuje więc – niezależnie od ukształtowanej przez strony treści aktu wyznaczenia – przeniesieniem odpowiedzialności za naruszenie RODO, spoczywającej na administratorze i podmiocie przetwarzającym. Ewentualne odmienne ustalenia stron stosunku przedstawicielstwa będą więc bezskuteczne w odniesieniu do osób trzecich. Kwestia ponoszenia winy przez przedstawiciela względem samego administratora powinna wynikać z postanowień umownych pomiędzy tymi podmiotami.