Umowa powierzenia nie zawsze jest konieczna

RODO | Zbyt często wymianę danych pomiędzy firmami uzależnia się od podpisania odpowiedniej umowy i niesłusznie zawarcie jej traktuje się jako warunek dalszej współpracy stron.

Obecnie na rynku dość powszechnie można spotkać się z praktyką dążenia do zawarcia umowy powierzenia przetwarzania danych osobowych w każdym przypadku, gdy dane osobowe udostępnianie są pomiędzy dwoma firmami. Dążenie do zawarcia takiej umowy pojawia się jako uzupełnienie czy aneks do umowy głównej, regulującej współpracę obu firm.

Dotyczy to najczęściej sytuacji, gdy firma B świadczy dla firmy A określoną usługę. Usługi tej nie można zrealizować bez dostępu do określonych danych osobowych, dla których administratorem jest firma A. Stąd firma A udostępnia firmie B dane osobowe – np. swoich pracowników czy kontrahentów. W takiej sytuacji może rzeczywiście dochodzić do powierzenia danych osobowych firmie B przez firmę A. Ale nie zawsze. To nie jest sytuacja zerojedynkowa.

Udostępnienie i przetwarzanie

Zgodnie z definicją „przetwarzania” zamieszczoną w art. 4 RODO, przetwarzaniem danych osobowych są również różne rodzaje udostępniania (ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie).
Jak każde inne przetwarzanie, udostępnianie danych osobowych na zewnątrz organizacji musi być oparte o jedną z przesłanek legalizacyjnych z art. 6 RODO i realizowane w zgodzie z innymi zasadami przetwarzania opisanymi w art. 5 RODO. Trzeba też pamiętać o prawidłowej realizacji obowiązku informacyjnego opisanego w art. 13 lub art. 14 RODO. W szczególności podmioty, którym dane są udostępniane, powinny być wymienione jako odbiorcy danych.

Nie zawsze jednak udostępnianie będzie powierzeniem danych do przetwarzania w rozumieniu art. 28 RODO. Powierzenie danych osobowych do przetwarzania ma miejsce, gdy przetwarzanie danych udostępnionych „ma być dokonywane w imieniu administratora”. Tak wyraźnie stanowi zdanie pierwsze art. 28 ust. 1 RODO.

Przykład 1.

Z powierzeniem danych osobowych do przetwarzania mamy do czynienia wtedy, gdy firma, która otrzymuje dane do przetwarzania, przetwarza je w celach, które określa firma udostępniająca dane osobowe.

Firma B realizuje dla firmy A usługi w postaci wyliczenia wynagrodzeń dla pracowników i związanych z tym danin publicznych – podatków i składek na ubezpieczenie społeczne i zdrowotne. Firma A przekazuje dane osobowe swoich pracowników w celu naliczania wynagrodzeń. Firma B przetwarza dane osobowe w celach określonych przez firmę A. Gdyby nie doszło do tzw. outsourcingu usług, firma A musiałaby samodzielnie naliczać wynagrodzenia. Firma B nie przetwarza danych we własnych celach, realizuje ona cele przetwarzania firmy A.

W takim przypadku mamy do czynienia z powierzeniem przetwarzania danych osobowych. Firma B jest w takim przypadku tzw. procesorem danych osobowych, dla których administratorem jest firma A.

Przykład 2.

Z udostępnieniem danych osobowych niebędącym powierzeniem, mamy do czynienia, gdy firma, która otrzymuje dane osobowe, przetwarza je w celach, które samodzielnie kształtuje – nie w celach własnych udostępniającego.

Firma B otrzymuje od firmy A dane osobowe, aby móc świadczyć usługi ubezpieczeniowe dla pracowników firmy (ubezpieczenie grupowe). Firma B sama kształtuje cele przetwarzania danych osobowych. Dane przetwarzane są bowiem w celu zawarcia i realizacji polisy ubezpieczeniowej. Taki cel przetwarzania nie jest celem firmy A. Firma A zatem nie może powierzać danych do przetwarzania w tym celu.

W takim przypadku nie mamy do czynienia z powierzeniem przetwarzania danych osobowych. Jest to udostępnienie danych osobowych pomiędzy dwoma administratorami danych osobowych, z których każdy realizuje swoje własne cele.

Dostęp do platform online

Stosunkowo często w relacjach z firmami świadczącymi masowo usługi dla pracowników firm, pojawia się kwestia dostępu do platform online usługodawców. Chodzi tu głównie o dostawców usług medycznych, ubezpieczeniowych lub benefitów pracowniczych.

Co do zasady wymiana danych osobowych pomiędzy firmą będącą usługobiorcą a tego typu usługodawcą nie stanowi powierzenia danych do przetwarzania. Niemniej pewien wycinek współpracy może takiej umowy wymagać.

Chodzi tu o dostęp pracowników usługobiorców do platform online usługodawców. Przykładem może być dostęp do portalu ubezpieczeniowego usługodawcy, w którym pracownik firmy – usługobiorcy – przetwarza dane pracowników w ramach zgłoszenia szkody. W zależności od charakteru przetwarzania może być w takim przypadku konieczne zawarcie umowy powierzenia obejmującej wycinek współpracy. Wtedy jednak, w tym wąskim wycinku, to usługodawca powierzałby dane osobowe do przetwarzania usługobiorcy.

Wzajemne udostępnienia

W relacjach pomiędzy firmami warto dbać o przejrzystość sytuacji prawnej. Kwestię wzajemnego udostępniania danych osobowych pomiędzy firmami, niebędącą powierzeniem danych osobowych do przetwarzania, można sformalizować, zawierając umowę regulującą aspekty tego udostępnienia.

Umowa taka nie jest wprost uregulowana w RODO, niemniej jej zawarcie w żaden sposób nie pozostaje w sprzeczności z przepisami RODO i jest całkowicie dopuszczalne na gruncie zasady swobody umów wyrażonej w Kodeksie cywilnym.

Umowa taka opisywać może zasady wzajemnego udostępnienia danych osobowych pomiędzy dwoma „równoległymi” administratorami danych. W umowie można nawiązać do okoliczności współpracy, określić zakres i cele udostępniania danych osobowych. Umowa może mieć charakter wyjaśniający i porządkujący wzajemne relacje w zakresie udostępnienia danych osobowych.

Umowa może także regulować techniczne kwestie wymiany danych, uwzględniające w szczególności środki bezpieczeństwa przyjęte przez każdego z administratorów. Może to uwzględnić choćby konieczność szyfrowania wiadomości mejlowych, w których przesyłane są dane osobowe.

Strony mogą także zapewnić się wzajemnie o legalności przetwarzania, w tym udostępniania danych osobowych, wskazując, że wykonały wobec osób, których dane są przetwarzane własne obowiązki informacyjne.

Co więcej, w sytuacji, gdy byłoby to pożądane i dogodne dla stron, na podstawie postanowienia tego typu umowy można uregulować kwestię pomocy (pośrednictwa) w wykonywaniu obowiązków informacyjnych płynących z art. 14 RODO. Chodzi tutaj o obowiązek przekazania osobie, której dane są przetwarzane, określonych w tym przepisie informacji, w sytuacji, gdy administrator otrzymuje dane osobowe nie bezpośrednio od tej osoby.

Kontrahent może być pośrednikiem w dostarczeniu klauzuli informacyjnej swojego partnera biznesowego do np. swoich pracowników.

Skutki niewłaściwej umowy

RODO nakłada szereg obowiązków na podmiot przetwarzający dane osobowe na zlecenie. Obowiązkom tym towarzyszą uprawnienia administratora powierzającego dane osobowe do przetwarzania. Sytuacja zbyt pochopnego zawierania umów powierzenia powoduje konieczność zupełnie niewłaściwego i niepotrzebnego obarczania się obowiązkami, za których nieprzestrzeganie grożą wysokie kary.

Prowadzi to również do sytuacji absurdalnych. Jedną z nich jest możliwość kontroli przetwarzania danych osobowych przez powierzającego. W praktyce łączy się to z możliwością przeprowadzenia audytu w systemach przetwarzania danych osobowych procesora. Jest to sytuacja całkowicie nieprzystająca do rzeczywistości w przypadku zwykłej współpracy stron związanej jedynie z wymianą danych osobowych, niezbędnych do wykonania umowy wzajemnej.

ZDANIEM AUTORA:

Można zaobserwować tendencję zbyt pochopnego łączenia wymiany danych pomiędzy firmami z koniecznością zawarcia umowy powierzenia regulowanej przez art. 28 RODO. Zupełnie niesłusznie konieczność zawarcia takiej umowy traktuje się jako zasadę, warunek dalszej współpracy stron. Tymczasem obowiązek zawarcia umowy powierzenia nie pojawia się zawsze w przypadku, gdy partnerzy biznesowi udostępniają sobie nawzajem dane osobowe. Aktualizuje on się wyłącznie wtedy, gdy jeden z partnerów realizuje wyłącznie cele przetwarzania danych osobowych drugiego i na jego rzecz. Należy unikać zawierania umów powierzenia w sytuacjach, gdy nie ma do tego podstaw faktycznych. Może rodzić to negatywne skutki prawne i prowadzić do absurdalnych sytuacji.

Artykuł ukazał się w dzienniku „Rzeczpospolita” w dniu 16-11-2018r.