Współczesny model biznesowy w dużej mierze opiera się na outsourcingu usług IT oraz procesów kadrowo-płacowych. Dla wielu przedsiębiorców kluczowym pytaniem pozostaje zakres odpowiedzialności prawnej w sytuacji, gdy po stronie zewnętrznego dostawcy ma miejsce naruszenie RODO.

Niedawna decyzja Urzędu Ochrony Danych Osobowych (UODO) w sprawie McDonald’s Polska Sp. Z o.o. oraz podmiotu przetwarzającego 24/7 Communication Sp. z o.o. wyraźnie wskazuje na obowiązki nadzorcze administratora i rygory odpowiedzialności procesora.

Administrator a procesor – podział odpowiedzialności

Zgodnie z przepisami RODO, administrator (AOD) to podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych. Z kolei podmiot przetwarzający (procesor) wykonuje operacje na danych wyłącznie w imieniu i na udokumentowane polecenie administratora.

W omawianym przypadku McDonald’s, jako właściciel systemu grafików pracowniczych, został uznany za administratora nie tylko wobec własnych pracowników ale również wobec pracowników franczyzobiorców. Organ uznał, że to spółka określiła funkcjonalność oprogramowania oraz zakres gromadzonych w nim danych, co determinuje status administratora.

Dlaczego doszło do nałożenia kar i na czym polegała naruszenie RODO?

Incydent polegał na udostępnieniu danych tysięcy osób (w tym numerów PESEL i paszportów) w publicznie dostępnym katalogu na serwerze. Analiza prawna przeprowadzona przez UODO wykazała szereg uchybień ze strony administratora:

• Niewłaściwa weryfikacja procesora: Administrator powierzył dane firmie, opierając się na dotychczasowej współpracy w obszarze PR, bez rzetelnego sprawdzenia jej kompetencji technicznych w zakresie bezpieczeństwa IT.

• Brak analizy ryzyka: Żadna ze stron nie przeprowadziła wymaganej analizy zagrożeń przed uruchomieniem modułu grafików.

• Naruszenie zasady minimalizacji: W systemie niezasadnie gromadzono numery PESEL i paszportów, które mogły zostać zastąpione bezpieczniejszymi identyfikatorami wewnętrznymi.

• Brak audytów i nadzoru: Zawarcie umowy powierzenia nie zwalnia administratora z ochrony danych. Spółka nie realizowała zapisów własnej umowy dotyczącej audytów i inspekcji u procesora, co skutkowało brakiem należytego nadzoru.

Odpowiedzialność podmiotu przetwarzającego (procesora) za naruszenie RODO

Procesor odpowiada za szkodę, gdy nie dopełni obowiązków nałożonych na niego bezpośrednio przez RODO lub działa poza instrukcjami administratora. W omawianej sprawie spółka 24/7 Communication zawiniła poprzez:

• Błędy operacyjne i techniczne: bezpośrednią przyczyną wycieku była błędna konfiguracja serwera, za którą odpowiadał procesor, co umożliwiało publiczny wgląd w bazę danych.

• Brak własnej analizy ryzyka: firma nie poczuwała się do zapewnienia bezpieczeństwa modułu grafik, gdyż nie uznawała go za zasób, za który odpowiada. Organ podkreślił, że obowiązek ten wynika z przepisów i nie może być wyłączony umową.

• Niedopełnienie zasad podpowierzenia: Procesor korzystał z usług innego podwykonawcy bez zawarcia wymaganej prawem umowy dalszego powierzenia przetwarzania danych.

  
  

Łączny wymiar kar finansowych nałożonych na administratora wyniósł ponad 16,9 mln zł., natomiast na procesora ponad 183 tys. zł.

Uprawnienia poszkodowanych i tryb dochodzenia roszczeń

Osoby, których prawa zostały naruszone mogą dochodzić sprawiedliwości w dwóch niezależnych trybach:

• Tryb administracyjnoprawny, poprzez wniesienie skargi do Prezesa UODO. Postępowanie to służy zweryfikowaniu legalności przetwarzania i może zakończyć się nałożeniem na firmę kary pieniężnej lub nakazaniem konkretnych działań naprawczych.

• Tryb cywilnoprawny – każda osoba, która poniosła skodę majątkową lub niemajątkową (krzywdę), ma prawo do odszkodowania bezpośrednio od administratora lub procesora. Właściwym do rozpoznania takich spraw w Polsce jest sąd okręgowy.

Warto wiedzieć, że zgłoszenie naruszenia danych nie wymaga zachowania ścisłej kolejności. Nie ma obowiązku wyczerpywania drogi administracyjnej przed pójściem do sądu powszechnego. Należy jednak pamiętać, że jeżeli sprawa o to samo naruszenie toczy się już przed Prezesem UODO, sąd zawiesi postępowanie cywilne do czasu zakończenia tamtego postępowania.

Ustalenia prawomocnej decyzji Prezesa UODO o stwierdzenie naruszenia są dla sądu wiążące w kwestii tego, czy do naruszenia faktycznie doszło.

Solidarność odpowiedzialności

Dla osób poszkodowanych kluczowe znaczenie ma przepis*, który przewiduje odpowiedzialność solidarną administratora i procesora za całą wyrządzoną szkodę. Pozwala to osobie fizycznej żądać pełnej rekompensaty od któregokolwiek z podmiotów, co znacząco ułatwia proces odzyskiwania środków w przypadku skomplikowanych łańcuchów outsourcingowych.

Czy administrator może uniknąć odpowiedzialności za naruszenie RODO?

Administrator może zostać zwolniony z odpowiedzialności cywilnej tylko wtedy, gdy udowodni, że w żaden sposób nie ponosi winy za zdarzenie. W praktyce oznacza to, że incydent wystąpił pomimo wdrożenia wszelkich rozsądnych i wymaganych prawem zabezpieczeń i dopełnienia wszelkiej staranności, jak np. przeprowadzenia analizy ryzyka czy sprawdzenia procesora.

Wnioski dla biznesu

Historia McDonald’s uczy, że podpisanie umowy powierzenia danych nie przenosi całości ryzyka na dostawcę usług i nie zwalnia administratora z odpowiedzialności, kiedy miejsce mają naruszenia RODO. Z kolei procesor powinien aktywnie zapewniać standardy ochrony niezależnie od zapisów umowy.

Należy pamiętać, że zarządzanie bezpieczeństwem danych to proces ciągły, wymagający regularnego testowania i aktualizacji zabezpieczeń, a nie jednorazowa czynność formalna oraz dbałość o to, by zbierać tylko te dane, które są naprawdę niezbędne.

Jeśli mają Państwo wątpliwości czy umowy zawarte z podwykonawcami chronią Państwa biznes przed restrykcyjnymi karami – zapraszamy do kontaktu z naszą Kancelarią.

*art. 82 ust. 4 RODO