01 Wrz Dlaczego ważne jest zawieranie umów powierzenia danych?
Załóżmy hipotetycznie taką sytuację – rozwinąłeś swoją jednoosobową działalność gospodarczą, zatrudniasz pierwszych pracowników a zatem jesteś administratorem ich danych osobowych. Wiesz, jaki mają nr PESEL, nr NIP, gdzie zamieszkują, jaki mają stan cywilny, gdzie się uczyli, ile zarabiają i wiele, wiele więcej. Potrzebujesz zewnętrznej obsługi księgowej – nie masz czasu na tę całą „papierologię”. Podpisujesz więc umowę z biurem księgowym i wysyłasz do niego faktury, rachunki, umowy, dane osobowe pracowników, dokumentacje ubezpieczeniowe itd. W każdym z tych dokumentów są dane osobowe – imiona, nazwiska, adresy, numery NIP. Na podstawie twojej umowy z biurem księgowym, przetwarza ono wszystkie te dane, które są niezbędne w celu przeprowadzenia odpowiednich rozliczeń. Przekazywanie danych osobowych – od 25 maja 2018 r. – wymaga odpowiedniej formy, jakiej?
RODO wprowadza obowiązek – w takiej i podobnych sytuacjach – zawarcia umowy powierzenia. Kto jest jej stroną? Najczęściej administrator i procesor, czyli podmiot, który w imieniu administratora przetwarza dane osobowe – w tym wypadku biuro rachunkowe. Dlaczego wprowadzono taki wymóg? Przyjmijmy, że Twoja księgowa miała gorszy dzień – pomyliła adresy e-mail i wysłała dane dotyczące Twoich pracowników na inny adres pocztowy. Co w takim wypadku?
Umowa powierzenia ustala odpowiedzialność za ewentualne szkody powstałe w wyniku takiego działania. Po wejściu w życie RODO, poza sankcjami administracyjnymi i karnymi ponosi się jeszcze odpowiedzialność cywilną, innymi słowy – gdy ktoś poczuje chociażby dyskomfort, że jego dane osobowe wpadły lub mogły wpaść w niepowołane ręce, może dochodzić odpowiedzialności od podmiotu, który dopuścił do takiej sytuacji. Kto nim będzie? Gdy umowa powierzenia jest niekorzystnie dla Ciebie zredagowana – za omyłkowe ujawnienie danych, ponosisz wspólną odpowiedzialność z procesorem (czyli biurem księgowym). Gdy brak tej umowy, dodatkowo powstaje ryzyko nałożenia kary administracyjnej na Ciebie przez Prezesa Urzędu Ochrony Danych – są to podstawowe dwa powody, dla których warto nie ignorować tej kwestii. Jakie są jeszcze?
Zakładam, że wolisz być spokojny/spokojna, że wszelkie dane osobowe, które przetwarzasz, są bezpieczne. Nikt nie chciałby zobaczyć w Internecie swoich danych zamieszkania, numeru telefonu, czy wysokości pensji – ani Ty, ani Twoi pracownicy czy kontrahenci. Zawieranie umów powierzenia daje Ci narzędzia, które pozwolą zapobiegać takim sytuacjom jak wyżej wymieniona – lub ograniczać ich negatywne skutki dla Ciebie.
Gdy podmiot, któremu powierzyłeś dane osobowe bez umowy, lub ze źle zredagowaną umową powierzenia danych, dopuści się jakiś naruszeń, powoduje to konsekwencje prawne. Co z tego, że wdrożyłeś albo wdrożysz RODO w swojej organizacji, jak te same dane, które chronisz, powierzasz podmiotowi, który nie gwarantuje takiego samego stopnia bezpieczeństwa? Gdy zawierasz umowę, w której np. procesor oświadcza, że przetwarza dane wyłącznie na udokumentowane polecenie administratora, to wiesz, że gdy otrzymane przez Ciebie adresy e-mail wykorzysta do rozesłania swojej oferty, to on poniesie za to odpowiedzialność, a nie Ty. Warto o tym pamiętać, bo jak słusznie się mówi – umowy zawiera się na złe, a nie dobre czasy. Zawarcie dostosowanej do swoich potrzeb umowy powierzenia danych, pozwala – po pierwsze – wykazać, że stosujesz się do przepisów RODO. Po drugie, sprawia, że wypełniasz swój prawny obowiązek – a zatem sprawia, że unikniesz sankcji za ewentualne uchybienia w tym zakresie. Po trzecie, pozwala Ci ustalić zasady odpowiedzialności tak, aby nie odpowiadać za szkody spowodowane przez inne podmioty, które przetwarzają dane w Twoim imieniu. Po czwarte – pozwala ustalić zasady współpracy, tak żebyś m.in. mógł/mogła liczyć na pomoc, gdy np. osoba, której dane dotyczą zażąda usunięcia swoich danych, które razem przetwarzacie.
To samo dotyczy sytuacji, gdy jesteś procesorem – administrator może chcieć nałożyć na Ciebie uciążliwe obowiązki np., przeprowadzenie audytu bezpieczeństwa w Twojej organizacji na Twój koszt, prawo przeprowadzenia kontroli bez zapowiedzi itd. Lepiej jest się zabezpieczyć na taki wypadek i przedłożyć administratorowi zredagowana przez siebie umowę powierzenia, tak żeby uniknąć uciążliwych – i nie zawsze potrzebnych – obowiązków.