Fakty i mity związane z RODO

Przedsiębiorcy korzystający z usług firm outsourcingowych dążą do uregulowania wzajemnych relacji zgodnie z przepisami RODO. W ostatnich miesiącach zauważyliśmy pojawienie się dużej ilości projektów umów powierzenia przetwarzania danych osobowych u przedsiębiorców. W praktyce jednak ocena, czy w danej sytuacji należy zawrzeć umowę powierzenia przetwarzania danych, sprawia przedsiębiorcom wiele trudności.
Prawidłowe ukształtowanie relacji między administratorem danych a ich procesorem jest kwestią zasadniczą. Umowne powierzenie przetwarzania danych zgodne z RODO nie zwalnia bowiem administratora z odpowiedzialności za szkody spowodowane przetwarzaniem danych naruszającym RODO. A oto kilka praktycznych przykładów z wyjaśnieniami dla przedsiębiorców, którzy stanęli przed wyzwaniem wdrożenia przepisów RODO w ich działalności.

1.Umowę powierzenia przetwarzania danych należy zawrzeć w przypadku przekazywania danych osobowych firmom outsourcingowym. Teza ta jest prawdziwa.

Umowa powierzenia powinna zostać zawarta, gdy administrator przekazuje dane osobowe procesorowi, aby przetwarzał je w jego imieniu. Unijny prawodawca w art. 28 RODO uregulował szczegółowo szereg wymogów, jakie powinna spełniać umowa powierzenia. Stroną takiej umowy jest administrator oraz podmiot przetwarzający (procesor). Powierzane do przetwarzania są zazwyczaj dane osobowe pracowników, współpracowników, klientów i kontrahentów. Do powierzenia przetwarzania danych dochodzi w przypadku zlecania różnego rodzaju usług podmiotom zewnętrznym. Przykładowo można wskazać współpracę z firmą księgową, kadrową, firmą świadczącą usługi: ochrony osób i mienia, hostingowe, usługi backupu itp.
W każdym przypadku takiej współpracy należy zweryfikować, czy przedsiębiorca powierzający dane osobowe do przetwarzania w dalszym ciągu pozostaje ich administratorem. To on powinien określać cele i sposoby przetwarzania danych powierzonych procesorowi. Jeżeli odpowiedź jest twierdząca, istnieje podstawa do zawarcia umowy powierzenia.

2.W przypadku otrzymania projektu umowy powierzenia przetwarzania danych od firmy współpracującej, umowa powinna zostać bezwzględnie zawarta. Teza ta nie jest prawdziwa.

Przed zawarciem umowy powierzenia przetwarzania danych należy dokładnie prześledzić zasady wzajemnej współpracy stron, jej cel oraz obieg danych. Przede wszystkim, należy się zastanowić, czy dane osobowe przekazywane drugiej stronie potrzebne są do wykonania umowy współpracy.
Doświadczenie pokazuje, że w wielu przypadkach przekazywanie danych osobowych nie jest wymagane i ma znaczenie wyłącznie poboczne. Zdarza się, że obieg danych jest nieadekwatny do celu umowy, a nawet nieuzasadniony. Przetwarzanie danych osobowych nie powinno być nadmierne. Kierując się zasadą minimalizacji przetwarzania danych, zgodną z RODO, należy przetwarzać dane osobowe adekwatne do zakładanych celów współpracy stron. Zamiast zawierać umowę powierzenia przetwarzania danych, czasami warto zmodyfikować zasady wzajemnej współpracy. Modyfikacja może polegać na wyłączeniu danych osobowych z obiegu między firmami.

3.W przypadku bezproblemowej, wieloletniej współpracy z tą samą zewnętrzną firmą księgową, jej weryfikacja jako procesora nie jest konieczna. Teza ta nie jest prawdziwa.

Wieloletnia współpraca z zewnętrzną firmą outsourcingową, której przekazywane są dane osobowe, nie zwalnia z obowiązku jej weryfikacji. W każdym wypadku powierzenia przetwarzania danych należy sprawdzać standardy ochrony danych osobowych, jakie zapewnia procesor. Powinien on zapewnić wystarczające gwarancje wdrożenia środków technicznych i organizacyjnych, jeśli chodzi o jego wiedzę fachową, wiarygodność i zasoby. Administrator powinien sprawdzić, czy procesor korzysta z usług podwykonawców i czy przetwarza dane na terenie Europejskiego Obszaru Gospodarczego. Administrator nie musi wyrażać na to zgody. Powyższe kwestie powinny znaleźć odzwierciedlenie w umowie powierzenia.
W trakcie współpracy administratorowi przysługuje szereg praw, z których warto korzystać. Mają one na celu uzyskiwanie informacji od procesora oraz możliwość weryfikacji zabezpieczeń i procesów przetwarzania danych osobowych u procesora. RODO wprowadziło wprost m.in. prawo administratora do przeprowadzania kontroli (audytów, inspekcji) u procesora. Zasady kontroli powinny zostać doprecyzowane w umowie powierzenia. Pamiętajmy jednak, że prawo do przeprowadzenia audytu lub inspekcji nie powinno być wykorzystywane nadmiernie. Prawo kontroli należy wykonywać z poszanowaniem tajemnicy przedsiębiorstwa procesora.

4.Umowa powierzenia przetwarzania danych jest nieodpłatna. Teza ta jest prawdziwa.

Co do zasady, umowa powierzenia nie wiąże się z obowiązkiem dodatkowego wynagrodzenia dla procesora za przetwarzanie powierzonych danych. Wynagrodzenie należne za świadczoną usługę w ramach współpracy reguluje umowa główna. Przepisy RODO nie przewidują odpłatności za przetwarzanie danych osobowych w imieniu administratora. W praktyce zdarza się, że procesorzy w umowach powierzenia podejmują próby obciążenia administratora dodatkowymi płatnościami. Przyjmują one różne formy np. zwrotu kosztów wynagrodzenia pracowników procesora nadzorujących czynności audytu. Zachowajmy w tym zakresie szczególną ostrożność. Procesor nie powinien przenosić na administratora kosztów wypełnienia jego zobowiązań wynikających z RODO.

5.Każda wymiana danych między dwoma podmiotami wymaga zawarcia umowy powierzenia przetwarzania danych. Teza ta nie jest prawdziwa.

W ramach współpracy przedsiębiorców z innymi podmiotami często dochodzi do udostępniania danych osobowych w celu realizacji umowy. Nie w każdym przypadku przetwarzanie przekazanych danych jest dokonywane w imieniu administratora. Może się zdarzyć, że kontrahent będzie wykorzystywać udostępnione mu dane osobowe we własnym imieniu i na własną rzecz. Wówczas nie będzie ich przetwarzać w imieniu przedsiębiorcy-administratora. W takich sytuacjach mamy do czynienia równolegle z dwoma odrębnymi administratorami danych. Każdy z nich samodzielnie decyduje o celach i sposobach przetwarzania danych, w określonym przez siebie zakresie. Podstawę udostępnienia danych stanowi zazwyczaj umowa współpracy. Zawarcie umowy powierzenia przetwarzania danych w takich przypadkach nie jest więc wskazane.
Ocena, czy w ramach współpracy z określonym podmiotem, dochodzi do powierzenia przetwarzania czy jedynie udostępnienia danych, jest skomplikowana. Prawidłowa identyfikacja stron – administratora i procesora – w praktyce również sprawia przedsiębiorcom trudności. Przedsiębiorcy otrzymujący umowy powierzenia przetwarzania danych od kontrahentów „z ostrożności” dążą do zawarcia takich umów. Obawa przed karami finansowymi jest tak duża, że częstokroć dochodzi do zawierania umów powierzenia nawet tam, gdzie nie jest to zasadne. Zawarcie umowy powierzenia może w konsekwencji obciążyć przedsiębiorcę wieloma dodatkowymi obowiązkami.

6.Zawarcie umowy powierzenia przetwarzania danych nie zwalnia przedsiębiorcy z innych obowiązków określonych w RODO. Teza ta jest prawdziwa.

W przypadku zawarcia umowy powierzenia należy wypełnić inne obowiązki, jakie na przedsiębiorcę nakładają przepisy RODO. Przede wszystkim, w treści obowiązku informacyjnego adresowanego do pracowników należy uzupełnić wszystkie kategorie odbiorców danych osobowych. Należy również zadbać o prawidłowe wykonanie obowiązku informacyjnego przez każdą ze stron oraz zapewnienie upoważnień dla osób, które mają dostęp do danych osobowych.

Biorąc pod uwagę, że przepisy RODO zaczęły obowiązywać 25 maja 2018 r., a pełna interpretacja przepisów dopiero przed nami, przed zawarciem umowy powierzenia warto zachować zdrowy rozsądek. Obawa przed wysokimi karami finansowymi nie powinna doprowadzić do zawierania umów powierzenia bez wyraźnej ku temu podstawy. Zawarcie takiej umowy powinno w każdym przypadku zostać poprzedzone wnikliwą analizą zasad wzajemnej współpracy i obiegu danych. Najważniejszą ich rolą jest przyczynienie się do pełniejszej ochrony naszych danych osobowych, która jest priorytetowa.

Artykuł ukazał się w dzienniku „Rzeczpospolita”