Każda istotna zmiana przepisów powoduje wzrost napięcia i niepewności wśród przedsiębiorców. RODO niewątpliwie pobiło w dwóch ostatnich latach rekord, jeżeli chodzi o wywoływanie takich emocji. Jednym z kluczowych elementów nowego porządku w dziedzinie ochrony danych osobowych stały się niewątpliwie umowy powierzenia przetwarzania danych, mimo że były one znane już od 1997 roku.
Co więcej, już wtedy przepisy starej ustawy o ochronie danych osobowych wskazywały na szereg obowiązków, jakie musi spełnić podmiot przetwarzający dane za administratora. Wśród tych obowiązków można było wyróżnić odpowiednie zabezpieczenie danych i prowadzenie rejestru osób upoważnionych do przetwarzania. Nie jest to więc żadna nowość, powierzenie danych funkcjonuje w obrocie prawnym od dawna z czego zdawały sobie jednak tylko większe podmioty, podczas gdy mniejsze ignorowały zasadniczo ten obowiązek.
Co więc spowodowało lawinowe wręcz zawieranie takich umów po 25 maja 2018?
Strach przed nowymi obowiązkami nałożonymi przez RODO i karami ze strony organu nadzorczego.
W praktyce znaczna część takich umów będzie miała wirtualny charakter, gdyż ich zawarcie nie jest często potrzebne a nawet szkodliwe, z tego względu, że mogą one kreować dodatkowe obowiązki, które nie są wymagane przez przepisy prawa, a są wprowadzane „na wszelki wypadek”. Umowa powierzenia przetwarzania danych jest obecnie bardzo ważnym elementem obrotu gospodarczego. Przed przystąpieniem do negocjacji takiej umowy należy najpierw ustalić co będzie się działo z danymi naszymi lub naszych klientów, tak aby prawidłowo zaprojektować obowiązki procesora (strony otrzymującej dane) i odpowiadające im prawa administratora (powierzającego).
Sytuacji, gdy nasze dane lub dane naszych klientów zostają przesłane do innego podmiotu jest wiele, można jednak je podzielić na dwie główne kategorie:
1) powierzenie danych osobowych
2) udostępnienie danych osobowych
przy czym każda z tych kategorii wykazuje daleko idące różnice.
Czym się różni powierzenie danych od ich udostępnienia?
Powierzenie danych następuje, gdy przekazujemy zebrane dane (jako administrator tych danych) innemu podmiotowi po to by inny podmiot postąpił z nimi w określony sposób w naszym imieniu.
Natomiast udostępnienie danych to takie przekazanie danych osobowych gdzie każdy z administratorów samodzielnie decyduje o tych celach i sposobach przetwarzania. Taka sytuacja ma miejsce np. w przypadku kierowania pracowników do lekarza medycyny pracy, zwykłej wymiany informacji kontaktowych pomiędzy pracownikami dwóch firm czy udostępnianiu informacji organom ścigania.
RODO wyróżnia dwa rodzaje udostępnienia danych. Pierwszym jest sytuacja, w której jeden administrator udostępnia dane drugiemu administratorowi i każdy z nich wykorzystuje je do swoich celów.
Drugim przypadkiem jest współadministrowanie, Europejski ustawodawca wyszedł naprzeciw realiom rynku i wprowadził możliwość wspólnego podejmowania decyzji przez dwóch lub więcej administratorów co do środków i celów przetwarzania danych. Przykładem mogą być fundacje współorganizujące profilaktykę medyczną lub stricte zarobkowe współdziałanie wielu spółek przy tworzeniu oprogramowania komputerowego. Ważne jest, by każdy z administratorów miał wydzielony zakres obowiązków i odpowiedzialność, co zwykle zostaje ustalone w umowie lub innym instrumencie prawnym.
Wracając jednak do powierzenia, podmioty z którymi najczęściej będziemy zawierali umowy powierzenia to: zewnętrzne podmioty świadczące usługi księgowo-kadrowe, archiwizacyjne, hostingowe, podmioty obsługujące nasz monitoring wizyjny (ochrona), dostawcy oprogramowania działającego w chmurze, etc. Krótko mówiąc tam, gdzie pojawia się podmiot trzeci, który coś dla nas robi z naszymi danymi (lub danymi naszych klientów) tam pojawia się sytuacja powierzenia.
Pośród elementów umowy powierzenia istotne są postanowienia dotyczące audytów, inspekcji, podpowierzenia danych kolejnemu podmiotowi przez podmiot przetwarzający, obowiązku informacyjnego na rzecz administratora, odpowiedzialności prawnej i kar umownych z tym związanych.
W praktyce każdą umowę trzeba oddzielnie negocjować. Często spotykam się z niezrozumieniem w kwestii konieczności prowadzenia okresowego audytu lub inspekcji, szczególnie u mniejszych podmiotów. Przedsiębiorcy często nie zdają sobie sprawy z konieczności istnienia takich zapisów umownych, które dają szerokie kompetencje audytorowi powierzającego, zwłaszcza gdy administrator (powierzający) danych ma wątpliwości co do sposobu zabezpieczenia tych danych przez procesora.
Istotnym elementem umowy powierzenia jest także zabezpieczenie danych. W praktyce często stosowane są wzory umów, które pomijają tę kwestie. Najczęściej przepisuje się w tym celu art. 32 – 36 RODO uznając, że przetwarzający stosuje dane środki bezpieczeństwa. W toku negocjacji umowy można natomiast określić minimalny poziom bezpieczeństwa jaki powinien spełnić przetwarzający, by dane nasze lub naszych klientów były bezpieczne, ponieważ to w największej mierze na administratorze będzie ciążyła formalna odpowiedzialność za wycieki danych lub inne naruszenia zasad ich przetwarzania.
A w jakiej formie zawrzeć umowę? W formie papierowej bądź elektronicznej, co bezpośrednio RODO dopuszcza. O tym, jakie skutki może rodzić elektroniczny sposób zawarcia umowy oraz jak to zrobić, opowiem w następnym artykule.
Jeżeli macie Państwo wątpliwości czy zobowiązać drugi podmiot do zawarcia umowy powierzenia albo samemu ją podpisać – chętnie odpowiemy na Państwa pytania w tym zakresie. Dodatkowe obowiązki lub uprawnienia mogą być bowiem zbędne w świetle obowiązujących przepisów – z jednej strony, a zbytni schematyzm umów może równocześnie nie oferować wymaganego przez RODO poziomu ochrony danych – z drugiej strony.
autor: Wojciech Chudziński, październik 2019