Įdomu tai, kad nepaisant ilgus metus vykstančio sėkmingo įmonių tarpusavio bendradarbiavimo, iš pirmo žvilgsnio paprastas Duomenų tvarkymo sutarties pasirašymas pasirodo nebe toks ir paprastas.
Sunkumai su kurias susiduria įmonės yra įvairūs, visgi pagrindiniai yra šie: nesutarimas dėl to, kas yra duomenų valdytojas, o kas tvarkytojas, nesutarimas dėl valdytojo teisės atlikti auditą ir tvarkytojų bandymai riboti savo atsakomybę.
Vienas pirmųjų ir svarbiausių žingsnių pasirašant duomenų tvarkymo sutartis turi būti tikslus įmonių tarpusavio vaidmenų nustatymas. Apibendrintai galima pasakyti, kad BDAR numato 4 pagrindinius vaidmenis: valdytojas, tvarkytojas, subtvarkytojas ir bendri duomenų valdytojai. Priklausomai nuo šalių tarpusavio santykio (valdytojas-tvarkytojas; valdytojas–valdytojas; tvarkytojas-subtvarkytojas ir t.t.) priklauso ir sutarties dėl duomenų tarpusavio perdavimo turinys. Šiame straipsnyje apsiribosime tik valdytojas-tvarkytojas santykiu ir duomenų tvarkymo sutartimis, kurios privalo būti pasirašytos tarp šių dviejų veikėjų.
Dažnai kyla klausimas, kur rasti atsakymą į klausimą, kokie yra šalių vaidmenys? Tenka pripažinti, kad kartais net duomenų apsaugos specialistams nėra lengva atsakyti į šį klausimą, tačiau atsakymo pirmiausia reikėtų ieškoti bendradarbiavimo, partnerystės, paslaugų ar kitokioje pagrindinėje sutartyje tarp šalių. Taip pat vadovautis BDAR apibrėžtomis „valdytojo“ „tvarkytojo“ sąvokomis.
Viena iš ilgiausiai derinamų duomenų tvarkymo sutarties sąlygų paprastai būna nuostata dėl valdytojo teisės atlikti tvarkytojo auditą, įskaitant patikrinimus. Nepaisant to, kad ši nuostata yra įrašyta kaip privaloma į patį BDAR (konkrečiai, 28 str. 3(h)), visgi ji duomenų tvarkytojų yra sutinkama gan priešiškai. Kompromisą dėl šios sąvokos pavyktų surasti greičiau, jeigu abi šalys aiškiai suvoktų ir įvardintų savo pagrindinius poreikius. Praktikoje dažniausiai iš tvarkytojų girdima, kad jie nori ramiai dirbti ir bijo, kad tokia neribota sąlyga sukels įvairių logistikos, konfidencialumo ir žmogiškųjų išteklių problemų. Tuo tarpu valdytojams reikia tvarkytojo patikimumo įrodymų, nes už tai, kad pasirinko nepatikimą savo duomenų tvarkytoją įmonė gali būti nubausta administracine nuobauda. Taigi, argumentai yra gan rimti ir pagrįsti.
Užuot ginčijusis, kieno viršus, patarimas būtų tvarkytojams pasistengti patiems pateikti savo patikimumo įrodymų. Tai galėtų būti ISO sertifikatai, nepriklausimų auditorių ataskaitos, galimybė patiems klientams ateiti ir pamatyti, kiek rimtai yra žiūrima į patalpų saugumą, darbuotojų atranką, tvarkomų duomenų saugumą ir panašiai. Įrodžius savo patikimumą, valdytojui bus lengviau sutikti dėl įvairių audito teisės apribojimų, kurių, beje, BDAR nedraudžia. Pavyzdžiui, galbūt bus galima susitarti, kad auditas bus atliekamas ne dažniau kaip kartą per 5 metus.
Kita nuostata, dėl kurios nesutariama, yra atsakomybės ribojimo nuostata. To priežastis yra tvarkytojų siekis riboti savo atsakomybę. Dažnai bandoma nustatyti, kad bendra tvarkytojo atsakomybė neviršys keleto mėnesių mokesčio už paslaugas. Visgi atidžiau analizuojant BDAR, darosi aišku, kad šis atsakomybės ribojimo bandymas nei vienai pusei nėra reikšmingas. Tvarkytojui savo atsakomybės išvengti nepavyks. Pirmiausia todėl, kad BDAR tiesiogiai numato atsakomybę tvarkytojui, kuris pažeis BDAR numatytas tvarkytojo pareigas arba nesilaikys valdytojo nurodymų.
Vadinasi, net jeigu šalys ir bandytų apriboti atsakomybę, teismai neturėtų už tvarkytojo pažeidimus atsakomybės perkelti valdytojui. Valdytojui, tokia atsakomybės ribojimo sąlyga yra nenaudinga jokiu aspektu. Valdytojas atsakys už BDAR numatytų prievolių pažeidimą, tame tarpe ir už nepatikimo tvarkytojo pasitelkimą. O tais atvejais, jeigu tektų atlyginti žalą padarytą tiesiogiai nepatenkintam duomenų subjektui, valdytojas/tvarkytojas turi teisę reikalauti iš kitų tame pačiame duomenų tvarkymo procese dalyvavusių duomenų valdytojų arba tvarkytojų, kad jie sugrąžintų jam kompensacijos dalį, atitinkančią jų atsakomybės dalį. Atidžiai išanalizavus BDAR nuostatas dėl kompensacijų ir atsakomybės, akivaizdu, kad tvarkytojų bandymas įvesti atsakomybės ribojimo nuostatą už jiems numatytų BDAR prievolių pažeidimą yra neįgyvendinamas ir išbalansuoja atsakomybės klausimą tarp šalių.
Nepaisant gan išsamių BDAR nuostatų ir aukščiau išdėstytų teisinių argumentų, ginčuose dėl duomenų tvarkymo sutarčių, svarbus, jei ne svarbiausias, išlieka yra „galios“ argumentas. Todėl tikimybė, kad didelis duomenų tvarkytojas sutiks su nereikšmingo kliento, duomenų valdytojo, pateikta duomenų tvarkymo sutartimi ir jo nurodymais, praktikoje gali labai sumažėti.
