Umowy powierzenia danych – kiedy trzeba zawrzeć, najczęstsze błędy i checklista

Niezależnie od tego, czy prowadzisz sklep internetowy, działasz w branży nieruchomości, oferujesz swoim klientom rozwiązania w modelu SaaS, czy zajmujesz się organizacją wydarzeń – z dużym prawdopodobieństwem część Twoich procesów operacyjnych realizują zewnętrzni dostawcy.

Przykładem takiego outsourcingu mogą być firmy księgowe obsługujące dokumentację kadrową, agencje marketingowe, dostawcy usług IT zarządzający infrastrukturą, a także zewnętrzni dostawcy systemów CRM, którzy pomagają Ci w codziennej obsłudze klientów z wykorzystaniem danych, które zostały im powierzone.

I właśnie w tym miejscu pojawia się jedno z kluczowych pojęć w kontekście ochrony danych osobowych – powierzenie przetwarzania danych. Jeżeli inny podmiot przetwarza dane osobowe, które zebrałeś, i robi to w Twoim imieniu oraz na Twoje zlecenie, występuje w roli procesora. Zgodnie z RODO jako administrator danych, jesteś wówczas zobowiązany do zawarcia z nim umowy, która jasno określi zasady tej współpracy.

Bez niej nie tylko narażasz się na kary administracyjne, ale przede wszystkim tracisz kontrolę nad tym, kto i w jaki sposób operuje danymi klientów, pracowników czy użytkowników Twojej aplikacji lub platformy.

Kiedy mamy do czynienia z powierzeniem danych?

Mówiąc najprościej, powierzenie przetwarzania danych ma miejsce wtedy, gdy Twój kontrahent przetwarza dane osobowe w Twoim imieniu, aby pomóc Ci w realizacji określonego celu. Ty decydujesz, po co te dane są zebrane i jak mają być wykorzystywane, a partner technicznie realizuje część tego procesu, działając zawsze zgodnie z Twoimi instrukcjami.

Nie ma znaczenia, czy partner faktycznie wysyła wiadomości, edytuje dokumenty czy prowadzi kampanię mailingową. Wystarczy, że ma techniczną możliwość dostępu do danych osobowych, np. przez logowanie do Twojego systemu, posiadanie uprawnień administracyjnych albo zarządzanie serwerem, na którym dane są przechowywane.

 Jakie błędy zdarzają się najczęściej?

1. Założenie, że skoro partner nie wykonuje „widocznych” operacji na danych, to nie dochodzi do przetwarzania. Wiele osób uważa, że przetwarzanie to tylko: wysyłka newslettera, edytowanie danych klientów, tworzenie nowych dokumentów czy prowadzenie kampanii marketingowej. Tymczasem firma, która utrzymuje Twoje serwery, ma realny dostęp do danych, a to również oznacza przetwarzanie. I obowiązek zawarcia umowy powierzenia.
2. Traktowanie NDA jako wystarczającego zabezpieczenia. Umowa o poufności (NDA) chroni informacje przed ujawnieniem, ale nie spełnia wymagań RODO, czyli nie reguluje np. zasad bezpieczeństwa, udziału podwykonawców, sposobu zakończenia przetwarzania czy pomocy w realizacji praw podmiotów danych.
3. Brak aktualizacji podpisanej kiedyś umowy powierzenia. Zakres danych czy usług się zmienia, a dokumentacja „nie nadąża”. Tymczasem umowa musi odzwierciedlać stan faktyczny, a wszystkie dane, do których kontrahent ma dostęp, powinny być w niej ujęte. W przeciwnym razie mogą być traktowane jako przetwarzane bez odpowiedniej podstawy prawnej.

Nie masz pewności, czy musisz podpisać umowę powierzenia? Sprawdź to na podstawie krótkiej checklisty.

• Czy Twój kontrahent ma dostęp do danych osobowych (nawet tylko techniczny)?
• Czy przetwarza te dane na Twoje zlecenie lub w Twoim imieniu?
• Czy wykonuje usługę zgodnie z Twoimi instrukcjami, a nie sam decyduje o sposobie przetwarzania?
• Czy przekazywane dane należą np. do Twoich klientów, pracowników lub użytkowników strony?

Jeśli odpowiedź na którekolwiek pytanie brzmi „TAK”, bardzo możliwe, że masz do czynienia z powierzeniem danych, a to oznacza, że zawarcie umowy powierzenia może być wymagane. Warto wtedy dokładniej przeanalizować charakter współpracy i zadbać o spełnienie obowiązków nakładanych na przedsiębiorców przez przepisy o ochronie danych.