RODO

Umowa powierzenia danych – dlaczego większość jest wadliwa

4 min. czytania
avatar
daqtwojapka
Udostępnij

Umowa powierzenia przetwarzania danych osobowych to jeden z najczęściej występujących dokumentów w systemach RODO. Jednocześnie jest to dokument, który bardzo często nie spełnia swojej podstawowej funkcji ochronnej. W wielu firmach umowy powierzenia istnieją formalnie, ale nie mają realnego związku z tym, jak dane są faktycznie przetwarzane.
Problem nie polega na braku dobrej woli. Polega na tym, że umowa powierzenia bywa traktowana jako obowiązkowy załącznik do współpracy, a nie jako narzędzie odpowiedzialności i kontroli ryzyka.

Czym w istocie jest umowa powierzenia.
Umowa powierzenia to porozumienie pomiędzy administratorem danych a podmiotem przetwarzającym, które określa zasady przetwarzania danych osobowych w imieniu administratora. Jej celem nie jest zabezpieczenie relacji handlowej, lecz ochrona praw osób, których dane dotyczą, oraz uporządkowanie odpowiedzialności pomiędzy stronami.
RODO bardzo jasno wskazuje, że sama relacja biznesowa nie wystarcza. Jeżeli jeden podmiot przetwarza dane w imieniu drugiego, musi to odbywać się na podstawie umowy lub innego instrumentu prawnego spełniającego konkretne wymogi.

Dlaczego tak wiele umów powierzenia jest wadliwych.
Najczęstszym problemem nie jest całkowity brak umowy, lecz jej oderwanie od rzeczywistości operacyjnej. Umowy są kopiowane z internetu, powielane pomiędzy kontrahentami lub podpisywane „hurtowo”, bez analizy, co dana firma faktycznie robi z danymi.
W efekcie dokument:

  • nie opisuje realnych czynności przetwarzania,
  • nie wskazuje faktycznego zakresu danych,
  • nie uwzględnia podwykonawców,
  • nie odnosi się do rzeczywistych środków bezpieczeństwa.

Podczas kontroli bardzo szybko okazuje się, że umowa istnieje tylko formalnie, a w praktyce nie reguluje niczego istotnego.

Błąd pierwszy: mylenie administratora z procesorem.
Jednym z najpoważniejszych błędów jest błędne określenie ról stron. Wiele podmiotów podpisuje umowy powierzenia tam, gdzie w rzeczywistości mamy do czynienia z odrębnymi administratorami danych, a nie relacją administrator–procesor.
To nie nazwa dokumentu decyduje o relacji, lecz to, kto decyduje o celach i sposobach przetwarzania danych. Jeżeli podmiot samodzielnie decyduje o wykorzystaniu danych, umowa powierzenia nie tylko nie chroni, ale wręcz wprowadza w błąd i pogarsza sytuację administratora.

Błąd drugi: umowa „na wszelki wypadek”.
Częstą praktyką jest podpisywanie umów powierzenia z każdym kontrahentem, który ma jakikolwiek kontakt z danymi osobowymi. Takie podejście prowadzi do inflacji dokumentów i utraty kontroli nad tym, które relacje faktycznie wymagają powierzenia.
Umowa powierzenia nie jest dokumentem uniwersalnym. Ma sens tylko tam, gdzie podmiot przetwarzający działa wyłącznie na polecenie administratora i nie wykorzystuje danych do własnych celów.

Błąd trzeci: brak realnych zapisów o bezpieczeństwie.
W wielu umowach powierzenia znajdują się ogólne sformułowania o „zastosowaniu odpowiednich środków technicznych i organizacyjnych”, bez jakiegokolwiek odniesienia do rzeczywistości. Tymczasem RODO wymaga, aby administrator wiedział i mógł wykazać, jakie zabezpieczenia są stosowane przez procesora.
Jeżeli administrator nie weryfikuje tych środków, a umowa nie daje mu realnych narzędzi kontroli, odpowiedzialność pozostaje po jego stronie – niezależnie od tego, co zapisano w dokumencie.

Błąd czwarty: brak kontroli podwykonawców.
Kolejnym częstym problemem jest brak regulacji dotyczących dalszego powierzenia danych. Procesorzy bardzo często korzystają z podwykonawców, dostawców IT, chmur obliczeniowych czy usług serwisowych. Jeżeli umowa nie reguluje tych kwestii, administrator traci kontrolę nad tym, gdzie i przez kogo dane są faktycznie przetwarzane.
Podczas kontroli to administrator musi wykazać, że miał świadomość łańcucha przetwarzania i odpowiednio nim zarządzał.

Umowa powierzenia nie przenosi odpowiedzialności.
To jeden z najgroźniejszych mitów. Podpisanie umowy powierzenia nie zwalnia administratora z odpowiedzialności za dane osobowe. Administrator nadal odpowiada za wybór procesora, ocenę ryzyka i nadzór nad przetwarzaniem.
Jeżeli procesor naruszy RODO, a administrator nie dochował należytej staranności, konsekwencje bardzo często dotykają obie strony, ale ciężar dowodowy spoczywa przede wszystkim na administratorze.

Jak Kaparuk.pl podchodzi do umów powierzenia.
W Kaparuk.pl umowa powierzenia nigdy nie jest dokumentem oderwanym od praktyki. Zaczynamy od analizy relacji biznesowej, procesów przetwarzania i realnego przepływu danych. Dopiero na tej podstawie określamy, czy umowa powierzenia jest w ogóle właściwym instrumentem i jak powinna wyglądać.
Dzięki temu:

  • role stron są jasno określone,
  • zakres przetwarzania odpowiada rzeczywistości,
  • środki bezpieczeństwa są weryfikowalne,
  • administrator zachowuje realną kontrolę.

Jedna myśl na koniec.
Umowa powierzenia danych nie ma być „na wszelki wypadek”. Ma działać wtedy, gdy coś pójdzie nie tak.
Jeżeli Twoje umowy powierzenia istnieją tylko po to, żeby „były”, to znak, że mogą nie chronić – ani Ciebie, ani osób, których dane przetwarzasz.

avatar
daqtwojapka
Udostępnij

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *

Zapisz się do naszego newslettera

Dołącz do naszego newslettera i otrzymuj zasoby, wyselekcjonowane treści i inspiracje projektowe prosto do swojej skrzynki odbiorczej.