W wielu organizacjach umowa powierzenia przetwarzania danych jest traktowana jak standardowy element współpracy z zewnętrznym partnerem. Gdy pojawia się dostawca usług, podwykonawca albo firma technologiczna, pojawia się też dokument do podpisania. Często jest to gotowy wzór, który trafia do kolejnych umów bez głębszej analizy.
Takie podejście daje poczucie bezpieczeństwa. Skoro umowa powierzenia została podpisana, oznacza to, że organizacja „zaopiekowała” temat RODO. Problem polega na tym, że sama obecność dokumentu nie zawsze oznacza, że powierzenie rzeczywiście ma miejsce.
RODO nie wymaga podpisywania umów powierzenia w każdej relacji biznesowej. Wymaga ich tylko wtedy, gdy jedna organizacja przetwarza dane w imieniu drugiej. W praktyce oznacza to bardzo konkretny model współpracy. Jeśli relacja wygląda inaczej, umowa powierzenia staje się jedynie formalnym dodatkiem.
Czym w praktyce jest powierzenie przetwarzania danych?
Powierzenie przetwarzania danych zostało opisane w art. 28 RODO. Przepis ten dotyczy sytuacji, w której administrator danych korzysta z usług podmiotu, który przetwarza dane wyłącznie na jego polecenie.
W takim modelu administrator decyduje o celu i sposobie przetwarzania danych, a podmiot przetwarzający realizuje określone działania techniczne lub organizacyjne. Nie podejmuje samodzielnych decyzji dotyczących wykorzystania danych.
Typowym przykładem jest dostawca systemu informatycznego obsługującego dane klientów lub pracowników. Podobnie działa zewnętrzne biuro księgowe czy firma obsługująca system kadrowo-płacowy. W takich przypadkach dane są przetwarzane w imieniu administratora i to właśnie wtedy pojawia się obowiązek zawarcia umowy powierzenia.
Kiedy umowa powierzenia jest naprawdę konieczna?
Umowa powierzenia jest potrzebna wtedy, gdy spełnione są trzy podstawowe warunki. Po pierwsze, jedna organizacja jest administratorem danych i decyduje o celach przetwarzania. Po drugie, druga organizacja przetwarza dane wyłącznie w imieniu administratora. Po trzecie, przetwarzanie odbywa się na jego udokumentowane polecenie.
Jeżeli partner biznesowy korzysta z danych wyłącznie po to, aby zrealizować usługę dla administratora, najczęściej mamy do czynienia właśnie z powierzeniem. Dotyczy to wielu usług technologicznych, outsourcingu procesów czy obsługi systemów.
W takich sytuacjach brak umowy powierzenia oznacza brak spełnienia jednego z wymogów RODO. Dokument nie jest więc formalnością, lecz elementem porządkującym odpowiedzialność.
Dlaczego umowa powierzenia bywa podpisywana „na wszelki wypadek”?
W praktyce biznesowej powstał zwyczaj podpisywania umów powierzenia przy każdej współpracy, w której pojawiają się dane osobowe. Wiele organizacji przyjmuje zasadę, że skoro dane mogą się pojawić, lepiej mieć odpowiedni dokument.
Takie podejście nie zawsze jest właściwe. Zdarza się, że druga strona nie działa jako podmiot przetwarzający, lecz jako odrębny administrator danych. W takiej sytuacji obie strony samodzielnie decydują o celach przetwarzania danych i nie działają w imieniu drugiej organizacji.
Dobrym przykładem jest współpraca dwóch firm przy realizacji wspólnego projektu. Jeżeli każda z nich wykorzystuje dane we własnym celu, nie mamy do czynienia z powierzeniem, lecz z równoległym przetwarzaniem danych przez dwóch administratorów.
Podpisanie umowy powierzenia w takiej sytuacji nie rozwiązuje problemu. Może wręcz wprowadzać niepotrzebny chaos w określaniu odpowiedzialności.
Typowe sytuacje „powierzenia bez powierzenia”
W praktyce można spotkać wiele przypadków, w których podpisano umowę powierzenia, mimo że relacja między stronami nie spełnia warunków takiego modelu współpracy. Często dotyczy to usług, w których obie strony przetwarzają dane w swoich celach biznesowych. Przykładem może być współpraca z kancelarią prawną, agencją marketingową czy firmą szkoleniową. W takich relacjach partner nie działa wyłącznie na polecenie administratora. Wykorzystuje dane również do realizacji własnych obowiązków zawodowych.
Podobna sytuacja pojawia się przy korzystaniu z usług kuriera czy operatora pocztowego. Przewoźnik przetwarza dane adresowe w celu wykonania własnej usługi transportowej. Nie działa więc wyłącznie jako podmiot przetwarzający.
Takie przykłady pokazują, że kluczowe znaczenie ma analiza relacji między stronami, a nie sam fakt pojawienia się danych osobowych.
Co naprawdę powinna zawierać umowa powierzenia?
Jeżeli relacja spełnia warunki powierzenia, umowa powinna określać zasady przetwarzania danych w sposób przejrzysty i praktyczny. RODO wskazuje minimalny zakres elementów, które muszą się w niej znaleźć.
Dokument powinien opisywać między innymi przedmiot i czas trwania przetwarzania, charakter oraz cel przetwarzania danych, a także rodzaj danych i kategorie osób, których dane dotyczą. Ważnym elementem są również obowiązki i prawa administratora.
Umowa powinna także określać środki bezpieczeństwa stosowane przez podmiot przetwarzający oraz zasady korzystania z dalszych podwykonawców. Jej celem nie jest jednak stworzenie rozbudowanego dokumentu prawnego. Najważniejsze jest jasne określenie zasad współpracy i odpowiedzialności.
Dlaczego sens relacji jest ważniejszy niż sam dokument?
RODO opiera się na rzeczywistych rolach i odpowiedzialnościach, a nie wyłącznie na nazwach dokumentów. Jeżeli relacja między stronami nie spełnia warunków powierzenia, podpisanie umowy nie zmieni jej charakteru.
Dlatego przed przygotowaniem dokumentu warto odpowiedzieć na jedno podstawowe pytanie: czy druga strona przetwarza dane wyłącznie w naszym imieniu, czy też wykorzystuje je w ramach własnej działalności. To właśnie ta odpowiedź pozwala ustalić, czy umowa powierzenia jest konieczna.
Podsumowanie
Umowa powierzenia przetwarzania danych jest ważnym narzędziem w systemie ochrony danych osobowych. Nie powinna jednak być stosowana automatycznie przy każdej współpracy biznesowej.
Jej podpisanie ma sens tylko wtedy, gdy jedna organizacja przetwarza dane wyłącznie w imieniu drugiej. W przeciwnym razie dokument może wprowadzać niepotrzebne komplikacje. Świadome podejście do powierzenia danych pozwala uniknąć nadmiernego formalizmu i lepiej uporządkować relacje między partnerami biznesowymi.