Warszawa, dnia 6 marca 2018 roku OPINIA PRAWNA dotycząca wzoru umowy o powierzenie przetwarzania danych osobowych zawieranej pomiędzy warsztatem a PZU Pomoc Uwaga o charakterze ogólnym W pierwszej kolejności należy w pewnej części zakwestionować zaproponowany za pomocą opiniowanej umowy model współpracy pomiędzy PZU Pomoc S.A. a warsztatem (dealerem) w zakresie danych osobowych, jako stosunek pomiędzy odpowiednio administratorem danych osobowych a podmiotem przetwarzającym. W przypadku autoryzowanych dealerów, w ogromnej większości przypadków klient który dokonuje likwidacji szkody komunikacyjnej w autoryzowanym warsztacie dealera z udziałem PZU Pomoc S.A. (jak również innych ubezpieczycieli) jest najczęściej już wcześniej klientem dealera (ponieważ nabył u niego samochód lub korzystał wcześniej z serwisu). Jako że umowa ramowa jaką warsztaty mają zawartą z PZU Pomoc S.A. nie zawiera żadnych mechanizmów kierowalności klientów do dealerów, jak również tym bardziej nie zawiera żadnych gwarancji kierowalności klientów do warsztatu dealera, należy przyjąć że tylko niewielki odsetek klientów najpierw zgłasza się do ubezpieczyciela i jest następnie kierowany do dealera gdzie jego dane są przetwarzane po raz pierwszy, a dealer robi w imieniu PZU Pomoc S.A. Wobec ogromnej ilości klientów dealer jest administratorem danych osobowych, ponieważ są to jego klienci, w związku z tym wobec tych klientów nie może być mowy o powierzeniu do przetwarzania ich danych osobowych, ponieważ administratorowi nie mogą zostać powierzone dane osobowe, których sam jest administratorem. Powyższa uwaga jest bardzo istotna w kontekście zapisu 8 ust. 5 umowy, który po zakończeniu jej obowiązywania nakazuje zwrócić lub zniszczyć wszelkie dane osobowe i ich kopie. Jak należy rozumieć - pomimo zastosowania tu językowo bardzo szerokiego określenia - chodzi tu tylko o dane osobowe które zostały skutecznie powierzone dealerowi przez PZU Pomoc S.A. W tym kontekście bardzo istotne jest ustalenie, które dane osobowe PZU Pomoc S.A. powierza, a których administratorem jest dealer, tak ażeby po zakończeniu umowy nie powstał obowiązek zwrotu lub zniszczenia danych które wcześniej dealer zebrał. 2 Oświadczenia i obowiązki procesora
W ust. 2 pkt 12 zawarty został obowiązek informowania PZU Pomoc S.A. o sprzeczności wydanego polecenia z przepisami prawa. Zgodnie z art. 82 ust. 2 RODO, podmiot przetwarzający odpowiada za szkody spowodowane przetwarzaniem (m. in. wobec podmiotu danych) tylko gdy działał poza zgodnymi z prawem instrukcjami administratora lub wbrew tym instrukcjom. W celu usunięcia wątpliwości, należy w tym miejscu wskazać, że ocena zgodności wydanego polecenia z przepisami RODO i fakt zgłoszenia bądź niezgłoszenia ewentualnej niezgodności do PZU Pomoc S.A. nie może mieć wpływu na odpowiedzialność dealera ograniczoną na podstawie przywołanego przepisu i odpowiedzialność ta nie może wykraczać poza ten przepis. Tym samym ewentualny fakt niezgłoszenia PZU Pomoc S.A. faktu, że dane polecenie jest niezgodne z przepisami nie może wyłączać ekskulpacji dealera jako podmiotu przetwarzającego działającego na podstawie wydanego mu polecenia. 4 Podpowierzenie Opiniujący zwraca uwagę, że z istniejącego w 1 zapisu dotyczącego podpowierzania (a więc dalszej umowy zawieranej pomiędzy podmiotem przetwarzającym dealerem i podmiotem przetwarzającym który będzie przetwarzać dane w imieniu dealera) wynika między innymi obowiązek powiadomienia PZU Pomoc S.A. i otrzymania milczącej zgody o każdym ustanowieniu lub zmianie podmiotu przetwarzającego dane w imieniu dealera. Zgody takiej wymaga więc między innymi o zmiana dostawcy systemu CRM/DMS, czy księgowości zewnętrznej, ponieważ podmioty świadczące dealerowi takie usługi są wobec niego podmiotami przetwarzającymi. Dodatkowo z 4 wynika że umowa podpowierzenia musi spełniać określone w tym przepisie warunki, co oznacza, że wszystkie umowy o powierzenie przetwarzania w zakresie w jakim dotyczą one danych powierzonych dealerowi przez PZU Pomoc S.A. muszą zawierać elementy wskazane w tym przepisie, co w wielu przypadkach oznacza że umowy takie (w formie pisemnej lub innej udokumentowanej) muszą zostać dopiero stworzone, ponieważ część dealerów nie posiada takich zawartych (w formie pisemnej lub innej udokumentowanej) umów. W zakresie tych umów dealer bierze odpowiedzialność za podmioty którymi się posługuje i które przetwarzają dane w jego imieniu. Nadmienić należy, że wymóg taki wynika z samych przepisów RODO, nie tylko z treści opiniowanej umowy. 5 Transfer danych osobowych Zgodnie z tym zapisem warsztat nie może transferować do państw trzecich danych osobowych które przetwarza w imieniu PZU Pomoc S.A. Należy podnieść, że z uwagi na obecne uwarunkowania
przetwarzania danych w systemach informatycznych, w tym na znaczne rozproszenie sieci informatycznych oraz przetwarzanie danych w tzw. chmurach, dotrzymanie tego zobowiązania przez dealera może być niemożliwe. Z uwagi na specyfikę przetwarzania danych w tzw. chmurach dealer często nie ma nawet wiedzy do jakich krajów lub terytoriów dane są transferowane, a mogą to być również kraje znajdujące się poza Europejskim Obszarem Gospodarczym. Nadmienić należy że problem ten dotyczy każdego administratora i podmiotu przetwarzającego i nie jest on specyfiką tylko branży dealerskiej. 6 Audyt Opiniowany przepis nie zawiera rozwiązań pozwalających dealerowi na odmowę dostępu do systemów i ogólnie danych osobowych które nie mają związku z przedmiotową umową i danymi powierzonymi dealerowi do przetwarzania przez PZU Pomoc S.A. Jest to istotna kwestia w szczególności dla autoryzowanych dealerów, którzy prowadzą nie tylko działalność serwisową (w zakresie likwidacji szkód komunikacyjnych), ale także działalność polegającą na sprzedaży pojazdów i akcesoriów, usług finansowych i ubezpieczeń, a często także działalność w innych branżach. Problem uwydatnia się także u dealerów wielomarkowych, ponieważ umowa ramowa o likwidację szkód jest obligatoryjna w niektórych markach, a w innych nie. W ust. 3 wskazano, że audytu mogą dokonywać inne poza PZU Pomoc S.A. podmioty. W ocenie opiniującego nie jest do końca zrozumiałe dlaczego przepis ten obok PZU Pomoc S.A. wymienia administratora danych skoro w przypadku danych powierzonych dealerowi do przetwarzania administratorem tych danych jest PZU Pomoc S.A. Dodatkowo, należy oczekiwać, że podmiot dokonujący audytu w imieniu PZU Pomoc S.A., który przecież ma mieć dostęp do infrastruktury dealera, sam będzie legitymował się odpowiednią umową o powierzenie przetwarzania danych osobowych spełniającą wymogi z art. 28 RODO. Zapisu obligującego PZU Pomoc S.A. do zawarcia takiej umowy brak. Przewidziany w ust. 6 termin udzielenia pisemnych wyjaśnień jest zbyt krótki, ponieważ pewne kwestie mogą wymagać przeprowadzenia u dealera wewnętrznego postępowania wyjaśniającego co umożliwi udzielenie odpowiedzi. Dodatkowo, nie jest w ocenie opiniującego zasadne żeby odpowiedź musiała mieć formę pisemną, w szczególności że w przypadku stosunków cywilnoprawnych do zachowania zastrzeżonego w tym przepisie 3-dniowego terminu niezbędne jest dotarcie oświadczenia do jego adresata tak ażeby mógł on się zapoznać z jego treścią (art. 63 Kodeksu cywilnego). 7 Zgłaszanie naruszeń Zapis ust. 2 przewidujący maksymalny termin 24 godzin na zgłoszenie naruszenia do administratora jest bardziej rygorystyczny niż termin zastrzeżony w art. 33 ust. 2 RODO, który przewiduje że podmiot
przetwarzający zgłasza naruszenie bez zbędnej zwłoki, ale nie określa maksymalnego terminu. Jest to rozwiązanie niekorzystne, ponieważ czasami zwłoka ujmując rzecz a contrario może mieć charakter zwłoki niezbędnej, na przykład w celu wyjaśnienia charakteru naruszenia i czy rzeczywiście ono powstało (ponieważ obowiązek zgłoszenia dotyczy przecież każdego naruszenia przepisów, tylko naruszenia w rozumieniu art. 4 pkt 12 RODO) i zwłoka taka może zająć więcej niż 24 godziny. Proponuje się pozostanie przy zapisie wynikającym z rozporządzenia ogólnego. 8 Czas trwania umowy oraz zasady odpowiedzialności Ust. 3 pkt 1 wymaga doprecyzowania formy w jakiej organ ma stwierdzić fakt nieprzestrzegania zasad przetwarzania danych osobowych poprzez wprowadzenie warunku wydania ostatecznej decyzji administracyjnej. Ust. 9 i 10 komentowanego przepisu dotyczą odpowiedzialności podmiotu przetwarzającego. Zgodnie z art. 82 ust. 4 RODO za szkodę spowodowaną przetwarzaniem administrator oraz podmiot przetwarzający odpowiadają wobec podmiotu danych solidarnie. Zgodnie z art. 82 ust. 2 RODO, podmiot przetwarzający odpowiada za szkody spowodowane przetwarzaniem wyłącznie, gdy nie dopełnił obowiązków, które RODO nakłada bezpośrednio na podmioty przetwarzające, lub gdy działał poza zgodnymi z prawem instrukcjami administratora lub wbrew tym instrukcjom. Przepis ten określa zakres regresu jaki przysługuje administratorowi wobec podmiotu przetwarzającego w przypadku poniesienia solidarnej odpowiedzialności. Zgodnie natomiast z 8 ust. 9 umowy, podmiot przetwarzający odpowiada za niezgodne z Umową lub przepisami prawa przetwarzania przez Procesora danych osobowych objętych powierzeniem na podstawie Umowy. Zapis ten stanowi niedopuszczalne rozszerzenie zakresu odpowiedzialności podmiotu przetwarzającego ponad uwarunkowania wynikające z przepisu RODO, który ma charakter przepisu bezwzględnie obowiązującego. Uznać go zatem należy za nieważny. Poważne zastrzeżenia budzi także zapis ust. 11, przewidujący karę umowną w wysokości 30.000 zł za każdy przypadek niewykonania lub nienależytego wykonania przez Procesora Umowy. Należy przede wszystkim wskazać, ze odpowiedzialność podmiotu przetwarzającego w przypadku powstania naruszeń po jego stronie regulują odpowiednie przepisy RODO. Odpowiedzialność odszkodowawcza następuje na podstawie wyżej wskazanych przepisów rozporządzenia, natomiast nakładanie kar pieniężnych reguluje art. 85 RODO, który nakazuje nakładanie kar pieniężnych indywidualnie na administratora i podmiot przetwarzający w zakresie popełnionych przez nich naruszeń prawa. Możliwe jest przy tym uregulowanie w drodze umowy odpowiedzialności regresowej pomiędzy podmiotem przetwarzającym a administratorem, tak jak czyni to 8 ust. 10 umowy, chociaż tak jak wskazano powyżej, kara pieniężna powinna być nakładana na podmiot przetwarzający i administratora niezależnie. W tym kontekście nakładanie na podmiot przetwarzający dodatkowej sankcji i to za każde możliwie występujące naruszenie przepisów umowy, uznać należy za zbyt
szerokie rozszerzanie odpowiedzialności podmiotu przetwarzającego, prowadzące przede wszystkim do naruszenia zasady ne bis in idem. Należy nadto wskazać, że Istotą kary umownej nie ma być generowanie zarobku po stronie uprawnionego, ale kompensacja szkody. Należy zauważyć, że zgodnie z art. 484 2 Kodeksu cywilnego, kara umowna nie może być rażąco wygórowana, co należy badać w odniesieniu do ewentualnej szkody poniesionej przez PZU Pomoc S.A. Tymczasem w przypadku naruszenia umowy przez dealera po pierwsze bardzo trudno ustalić, czy szkoda majątkowa w ogóle zaistnieje, ponieważ PZU Pomoc S.A. jest uprawniony do dochodzenia odszkodowania od dealera. W sytuacji więc uzyskania odszkodowania pokrywającego szkodę Ewentualny brak szkody uzasadnia przyjęcie, że zastrzeżona kara umowna jest rażąco wygórowana, a tym samym sprzeczna z treścią 484 1 Kc. Załącznik nr 1 Zakres powierzenia danych osobowych oraz dane kontaktowe stron Zastrzeżenia budzi pkt 5 opisywanego załącznika, gdzie jako administratorzy danych osobowych wpisani są importerzy. Dealer nie może godzić się na taki zapis z uwagi na fakt, że sam jest administratorem danych osobowych swoich klientów. Załącznik nr 2 Wykaz Środków Technicznych I Organizacyjnych, Które Zobowiązany Jest Wdrożyć Procesor Załącznik posiada bardzo obszerną listę dokumentów które musi wdrożyć dealer, przy czym opiniującemu nie przedstawiono treści tych dokumentów, przez co należy przypuszczać że dokumenty te powinien on samodzielnie stworzyć. Należy nadmienić, że patrząc po nazwach dokumentów, zawarte w nich regulacje mogą być elementem jednego dokumentu Polityki Bezpieczeństwa Informacji.