W związku z rozpoczęciem stosowania RODO w dniu 25 maja 2018 r. możemy zaobserwować kilka zjawisk, którym warto się bliżej przyjrzeć.

W ostatnich dniach wielu przedsiębiorców otrzymało od swoich kontrahentów do podpisania umowy powierzenia przetwarzania danych osobowych. W niektórych przypadkach podpisanie takiej umowy jest stawiane jako warunek kontynuowania współpracy.

Czy w każdym przypadku kontrahent firmy ma podstawę wymagać od niej podpisania takiej umowy? Z umów powierzenia, z którymi miałem okazję zapoznać się w ostatnim czasie, mogę stwierdzić, że w wielu przypadkach ich zawarcie byłoby po prostu błędne.

Wydaje się wiele firm nie do końca jeszcze rozumie istotę umowy powierzenia i przyjmują one, że w każdym przypadku, w którym ma miejsce przekazanie lub udostępnienie jakichkolwiek danych osobowych, należy tę umowę zawrzeć.

Wyjaśnijmy zatem, jak do tematu powierzenia przetwarzania danych podchodzi RODO.

Otóż, umowa powierzenia zawierana jest pomiędzy administratorem a podmiotem przetwarzającym. Zgodnie z definicją z RODO, administrator to osoba fizyczna lub prawna, organ publiczny, jednostka lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych. Z kolei podmiot przetwarzający (tzw. procesor) to osoba fizyczna lub prawna, jednostka lub inny podmiot, który przetwarza dane osobowe w imieniu administratora.

Najprościej rzecz ujmując, w relacji administrator – procesor, to ten pierwszy podejmuje najważniejsze decyzje w zakresie samego faktu, jak i celów przetwarzania danych osobowych. Natomiast podmiot przetwarzający nie przetwarza powierzonych mu danych osobowych do własnych celów, ale „porusza się” w ramach celów przetwarzania określonych przez administratora.

Dodajmy, że powierzenie przetwarzania danych osobowych jest często niezbędne do korzystania przez administratora z usług oferowanych przez procesora (np. na zasadzie outsourcingu).

Klasycznymi przykładami, w których dochodzi do powierzenia przetwarzania danych osobowych jest korzystanie przez firmę z zewnętrznej obsługi kadrowo-płacowej (dane osobowe pracowników), biura rachunkowego (np. dane osobowe z faktur sprzedaży) czy dostawcy usługi utrzymania systemu informatycznego, hostingu serwera lub poczty elektronicznej (dane osobowe przetwarzane w systemie IT, w tym w plikach elektronicznych).

Przy ocenie, czy dana firma jest podmiotem przetwarzającym należy ocenić, jakie są cele przetwarzania i kto o nich decyduje.

Jeżeli kontrahent otrzymuje od firmy dane osobowe, ponieważ jest to niezbędne do świadczenia przez ten podmiot usługi na rzecz określonych osób, np. firma przesyła do hotelu dane osobowe kilku swoich pracowników, którzy mają korzystać z noclegu w hotelu w związku z podróżą służbową, nie mamy do czynienia z powierzeniem przetwarzania danych osobowych w rozumieniu RODO. W takim przypadku właściciel hotelu nie przetwarza danych osobowych pracowników w imieniu tej firmy, ale do własnych celów. Jest on wtedy odbiorcą danych, który ma obowiązek chronić przekazane dane nie jako podmiot przetwarzający, ale administrator.

Podobnie, jeżeli pracownicy dwóch firm kontaktują się miedzy sobą w zakresie niezbędnym do prowadzenia współpracy biznesowej między tymi firmami, np. w celu składania zamówień, wzajemnych rozliczeń, dokonywania zwrotów, itp., to każda z tych firm przetwarza dane osobowe pracowników drugiej strony do własnych celów, a nie w imieniu drugiej strony.

Z powierzeniem przetwarzania danych osobowych nie będziemy mieli do czynienia także wówczas, gdy podmiot, z którym firma współpracuje, ma zagwarantowaną w przepisach szczególnych niezależność w zakresie przetwarzania przekazanych mu danych osobowych.

Z powyższą sytuacją mamy do czynienia w przypadku adwokatów. Mimo iż to klient powierza adwokatowi do prowadzenia sprawę sądową, a adwokat ma obowiązek działać na korzyść klienta, adwokat staje się administratorem danych osobowych przekazanych mu przez klienta na potrzeby prowadzenia sprawy, ponieważ korzysta z niezależności w zakresie świadczenia pomocy prawnej (vide celów i sposobów przetwarzania danych osobowych).

Oczywiście, w niektórych przypadkach mogą powstać wątpliwości, czy mamy do czynienia ze zwykłym udostępnieniem danych czy powierzeniem ich do przetwarzania w imieniu administratora. W takich przypadkach warto najpierw zasięgnąć opinii specjalisty, zamiast wymagać od naszego partnera biznesowego zawierania, być może niepotrzebnej, umowy powierzenia.

Obserwowane obecnie szaleństwo z umowami powierzenia może dziwić z jeszcze jednego powodu. Mianowicie, obowiązek zawierania tych umów istniał w prawie polskim od wielu lat. Przewidywała go uchylona 25 maja 2018 r. ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych. W niektórych przypadkach, w wynikach przeprowadzonej kontroli GIODO wskazywał na uchybienie polegające na braku zawarcia umowy powierzenia.

Podpisywanie umowy powierzenia w przypadku, gdy nie jest to zasadne, może być dla firmy źródłem problemów. Po pierwsze, administrator ma obowiązek zgłaszać do Prezesa Urzędu Ochrony Danych Osobowych naruszenia ochrony danych osobowych ze strony procesora. Po drugie – i co najważniejsze – administrator ponosi względem osoby, której dane dotyczą, odpowiedzialność solidarną z podmiotem przetwarzającym.

Poprzez podpisanie niepotrzebnej umowy powierzenia, administrator może nieświadomie wziąć na siebie odpowiedzialność za prawidłowe przetwarzanie i ochronę danych osobowych przez podmiot przetwarzający.

Jest wielką niewiadomą jak w razie egzekwowania swoich praw przed sądem przez osobę, której dane dotyczą, z tytułu naruszenia dokonanego przez procesora, np. w sprawie o odszkodowanie, sąd podejdzie do umowy powierzenia, która tak naprawdę nie powinna być zawarta. Mało prawdopodobne, aby ustalił on, że umowa ta – zawarta w końcu pomiędzy dwoma profesjonalnymi podmiotami w ramach prowadzonej przez nie działalności gospodarczej, była nieważna lub nie wywołała skutków prawnych.

Wydaje się, że obserwowane obecnie zjawisko jest wynikiem strachu przedsiębiorców przez ewentualnymi konsekwencjami braku zawarcia umowy powierzenia. Jednak podpisywanie tej umowy w każdym przypadku, w którym dochodzi do przekazywania danych osobowych, może odnieść skutki przeciwne do zamierzonych. Przy okazji, może to niepotrzebnie skomplikować relacje biznesowe pomiędzy zainteresowanymi stronami.

Co może zrobić firma, której kontrahent wymaga podpisania umowy powierzenia przetwarzania danych osobowych w braku podstaw?

Przede wszystkim może wyjaśnić, że w danym przypadku nie ma takiego obowiązku. Jeżeli na podobnych zasadach współpracuje z innymi firmami, może wskazać, że nie wymagają one zawierania analogicznych umów. Pomocne może się okazać odesłanie do niniejszego artykułu. Jeżeli mimo to kontrahent dalej będzie domagać się zawarcia umowy powierzenia, firma powinna się zastanowić, czy współpraca z nim powinna być kontynuowana.