Umowa powierzenia przetwarzania danych to jeden z tych tematów, które brzmią jak formalność do pominięcia, dopóki ktoś nie zapyta o nią w niewłaściwym momencie. Wtedy okazuje się, że to nie był drobiazg, tylko obowiązek, który spoczywał na Tobie przez cały czas. Chcę wytłumaczyć ten temat po ludzku, bez prawniczego żargonu, żebyś wiedział, kiedy takiej umowy potrzebujesz, co powinna zawierać i dlaczego jej brak to realne ryzyko, a nie teoretyczne straszenie.

Zastrzegam od razu, że nie jestem prawnikiem i nie zastąpię porady dopasowanej do Twojej konkretnej sytuacji. To, co daję, to praktyczny obraz tematu, oparty na tym, co w firmach odszkodowawczych widać najczęściej. Potraktuj to jako mapę, po której łatwiej się poruszać, a nie jako opinię prawną, na której można oprzeć każdą decyzję.

O co w tym w ogóle chodzi

Zacznijmy od prostego obrazka. Ty prowadzisz firmę i zbierasz dane swoich klientów, bo są Ci potrzebne do prowadzenia spraw. Decydujesz, po co te dane zbierasz i co z nimi robisz. W języku przepisów jesteś administratorem tych danych. To Ty odpowiadasz za to, co się z nimi dzieje, i to do Ciebie klient ma pretensje, gdyby coś poszło nie tak.

Ale rzadko przetwarzasz te dane w całkowitej samotności. Korzystasz z programu, w którym je trzymasz. Z hostingu, na którym stoi ten program. Z biura rachunkowego. Z narzędzia do wysyłki wiadomości. Każdy z tych podmiotów w jakiś sposób dotyka danych Twoich klientów, ale robi to w Twoim imieniu i na Twoje polecenie, a nie dla siebie. Taki podmiot nazywa się podmiotem przetwarzającym, bo przetwarza dane, których administratorem pozostajesz Ty.

I tu wkracza umowa powierzenia. Przepisy mówią wprost, że jeżeli powierzasz komuś przetwarzanie danych w swoim imieniu, ta relacja musi być uregulowana umową. Nie zwykłą, ogólną umową o współpracy, tylko umową, która konkretnie opisuje, jak ten ktoś ma się z danymi obchodzić. To nie jest uprzejmość ani nadgorliwość. To obowiązek wynikający z prawa, który spoczywa na Tobie jako administratorze.

Powierzenie a udostępnienie, czyli dwie różne rzeczy

Zanim pójdziemy dalej, warto rozróżnić dwie sytuacje, które łatwo pomylić, a które rządzą się innymi zasadami. Powierzenie to sytuacja, w której ktoś przetwarza dane w Twoim imieniu, na Twoje polecenie, i nie decyduje o tym, po co i jak to robi. Robi to, co Ty mu każesz, w ramach tego, do czego go wynająłeś. Przykładem jest dostawca oprogramowania, w którym trzymasz sprawy. On te dane przechowuje i udostępnia Ci narzędzie, ale nie robi z nimi nic własnego.

Udostępnienie to co innego. To sytuacja, w której przekazujesz dane komuś, kto staje się ich osobnym administratorem i decyduje o nich po swojemu. Klasyczny przykład to przekazanie danych ubezpieczycielowi w toku sprawy. Ubezpieczyciel nie przetwarza ich w Twoim imieniu, tylko dla własnych celów, jako odrębny administrator. Ta relacja opiera się na innej podstawie i nie wymaga umowy powierzenia.

Dlaczego to rozróżnienie ma znaczenie. Bo od niego zależy, jaki dokument albo jaka podstawa jest potrzebna. Umowa powierzenia dotyczy tylko tej pierwszej sytuacji, czyli podmiotów, które działają w Twoim imieniu. Mylenie tych dwóch rzeczy prowadzi albo do zawierania umów tam, gdzie nie są potrzebne, albo, co gorsza, do ich braku tam, gdzie są obowiązkowe. Warto więc przy każdym partnerze zadać sobie pytanie, czy działa on w moim imieniu, czy dla siebie.

Kiedy naprawdę potrzebujesz takiej umowy

W praktyce firma odszkodowawcza potrzebuje umów powierzenia w kilku typowych miejscach, o których łatwo zapomnieć, bo wydają się oczywistą częścią pracy. Warto je sobie wypisać, żeby żadne nie umknęło.

Pierwsze i najważniejsze to dostawca oprogramowania, w którym trzymasz sprawy klientów. To on przechowuje najwięcej Twoich danych, więc to tu umowa powierzenia jest absolutnie konieczna. Drugie to firma hostingowa albo dostawca serwera, jeśli prowadzisz coś we własnym zakresie. Trzecie to biuro rachunkowe, jeśli przekazujesz mu dane osobowe klientów przy okazji rozliczeń. Czwarte to dostawca narzędzia do wysyłki SMS albo maili, jeśli korzystasz z zewnętrznej usługi. Piąte to wszelkie inne firmy, którym zlecasz coś, co wiąże się z dotykaniem danych Twoich klientów.

Zasada jest prosta i warto ją zapamiętać. Wszędzie tam, gdzie ktoś przetwarza dane Twoich klientów w Twoim imieniu, potrzebujesz umowy powierzenia. Jeśli masz wątpliwość, czy dany partner mieści się w tej kategorii, lepiej zapytać jego albo kogoś, kto się na tym zna, niż zakładać, że pewnie nie trzeba. Brak umowy tam, gdzie powinna być, to Twój problem, nie problem tego partnera, bo to Ty jesteś administratorem i to Ty odpowiadasz.

Co powinna zawierać dobra umowa powierzenia

Umowa powierzenia nie jest jednozdaniowym oświadczeniem. Przepisy dość konkretnie mówią, co powinno się w niej znaleźć, i choć nie chcę cytować tu artykułów, warto znać sens tych wymagań, żeby ocenić, czy dokument, który dostajesz, jest poważny, czy tylko udaje.

Powinna określać przedmiot i czas przetwarzania, czyli czego dotyczy i jak długo trwa. Powinna wskazywać charakter i cel przetwarzania oraz rodzaj danych i kategorie osób, których dane dotyczą. Powinna zobowiązywać podmiot przetwarzający do działania wyłącznie na Twoje udokumentowane polecenie, a nie do robienia z danymi tego, co uzna za stosowne. Powinna nakładać na niego obowiązek zapewnienia poufności i odpowiednich zabezpieczeń. Powinna regulować kwestię dalszych podwykonawców. Powinna zobowiązywać go do pomocy Ci w realizacji obowiązków wobec osób, których dane dotyczą, oraz do zgłaszania naruszeń. I powinna określać, co dzieje się z danymi po zakończeniu współpracy, czyli czy są zwracane, czy usuwane.

Brzmi to jak sporo, ale w praktyce poważny dostawca ma taką umowę gotową i skrojoną tak, żeby te wszystkie punkty pokrywała. Twoja rola sprowadza się do sprawdzenia, czy dokument te elementy zawiera, a nie do pisania go od zera. Jeśli umowa, którą dostajesz, jest podejrzanie krótka i ogólna, to znak, że ktoś potraktował temat po łebkach, a to rzuca cień na to, jak traktuje resztę.

Podpowierzenie, czyli podwykonawcy Twojego dostawcy

Rzecz, o której mało kto myśli, a która bywa istotna. Twój dostawca oprogramowania sam często korzysta z innych podmiotów, na przykład z firmy, która dostarcza mu serwery. To znaczy, że dane, które mu powierzyłeś, w jakimś sensie wędrują dalej, do jego podwykonawców. To się nazywa podpowierzenie i przepisy też je regulują.

W praktyce chodzi o to, żebyś wiedział, że taki łańcuch istnieje, i żeby był on uporządkowany. Dobra umowa powierzenia mówi o tym, na jakich zasadach dostawca może korzystać z dalszych podwykonawców, i zobowiązuje go, żeby nakładał na nich te same obowiązki, które sam ma wobec Ciebie. Dzięki temu Twoje dane nie gubią ochrony po drodze, tylko niosą ją ze sobą na każdym kolejnym etapie.

Nie musisz znać z nazwiska każdego podwykonawcy swojego dostawcy. Powinieneś natomiast mieć pewność, że dostawca się tym zajmuje w sposób poukładany, a nie że dane rozpływają się gdzieś w nieznane. To pytanie warto zadać wprost, a spokojna, konkretna odpowiedź jest kolejnym znakiem, że masz do czynienia z kimś, kto wie, co robi.

Kto za co odpowiada

Zawarcie umowy powierzenia nie przenosi całej odpowiedzialności na dostawcę. To ważne, żeby nie wpaść w fałszywe poczucie, że skoro podpisałem papier, to już mnie nic nie obchodzi. Jako administrator wciąż odpowiadasz za dane swoich klientów. Umowa dzieli role i obowiązki, ale nie zwalnia Cię z bycia tym, który za całość odpowiada przed osobami, których dane przetwarza.

Podmiot przetwarzający odpowiada za to, co robi w ramach powierzenia, i za dotrzymanie zobowiązań z umowy. Jeśli zawini, ponosi tego konsekwencje. Ale Ty odpowiadasz za wybór właściwego podmiotu, za to, że dałeś mu jasne polecenia, i za to, że w ogóle zadbałeś o uregulowanie tej relacji. Powierzenie danych komuś nierzetelnemu, bez sprawdzenia i bez umowy, to Twój błąd, nawet jeśli to on ostatecznie coś zepsuł.

Dlatego umowa powierzenia to nie jest przerzucenie ryzyka na kogoś innego, tylko jego uporządkowanie i podzielenie. Obie strony wiedzą, kto za co odpowiada, i obie mają wynikające z tego obowiązki. To leży w Twoim interesie, bo w razie problemu jasny podział ról chroni Cię lepiej niż jego brak.

Co zrobić w praktyce, krok po kroku

Jeśli chcesz uporządkować ten temat u siebie, najprościej podejść do niego metodycznie, bez popadania w panikę. Zacznij od spisania wszystkich podmiotów, którym w jakikolwiek sposób powierzasz dane swoich klientów. Program do prowadzenia spraw, hosting, biuro rachunkowe, narzędzia do wysyłki wiadomości, wszystko, co przychodzi Ci do głowy. To Twoja lista miejsc, w których dane wychodzą poza Twoje ręce.

Następnie przy każdym z nich sprawdź, czy masz podpisaną umowę powierzenia. Tam, gdzie jej nie ma, poproś o nią. Poważni dostawcy udostępniają takie umowy standardowo, więc zwykle wystarczy o nią wystąpić. Przejrzyj otrzymane dokumenty pod kątem tego, czy zawierają elementy, o których pisałem wyżej, a jeśli coś budzi Twoją wątpliwość, skonsultuj to z kimś, kto się na tym zna. To jednorazowa praca, która potem daje lata spokoju.

Na koniec zadbaj o to, żeby lista była żywa. Gdy zaczynasz współpracę z nowym podmiotem, który będzie dotykał danych, od razu pomyśl o umowie powierzenia, zamiast odkładać to na później i zapominać. Włączenie tego w rutynę sprawia, że temat nie narasta w tle i nie wraca do Ciebie w najgorszym momencie jako zaległość, którą trzeba nadrabiać w pośpiechu.

Sygnały ostrzegawcze u dostawcy

Reakcja dostawcy na pytanie o umowę powierzenia mówi o nim więcej, niż mógłbyś się spodziewać. Kto ma sprawy poukładane, odpowiada spokojnie i od razu, bo ma gotowy dokument i wie, o co chodzi. Kto zaczyna kręcić, udawać, że nie rozumie pytania, albo zbywać Cię ogólnikami, ten prawdopodobnie ma bałagan także w miejscach, których nie widzisz.

Podejrzliwość powinny budzić też umowy podejrzanie ogólne, które w kilku zdaniach udają, że regulują coś, co wymaga konkretów. Dokument, który nie mówi nic o zabezpieczeniach, o podwykonawcach ani o tym, co dzieje się z danymi po zakończeniu współpracy, to fasada, a nie realna umowa. Lepiej to wychwycić na starcie, niż odkryć w chwili, gdy dokument miałby faktycznie zadziałać.

Traktuj więc temat umowy powierzenia także jako test dostawcy. Sposób, w jaki firma podchodzi do tej kwestii, jest dobrym wskaźnikiem tego, jak podchodzi do bezpieczeństwa i porządku w ogóle. To jedno z tych pytań, które przy okazji formalności pozwalają Ci ocenić, komu naprawdę można zaufać ze swoimi danymi.

Najczęstsze błędy

Kilka pomyłek wraca w tym temacie wyjątkowo często i warto je znać, żeby ich nie powtórzyć. Pierwsza to zakładanie, że skoro mam ogólną umowę o współpracy, to ona załatwia sprawę. Nie załatwia, bo umowa powierzenia to osobny dokument o konkretnej treści, a nie ogólna klauzula gdzieś w większej umowie. Druga to podpisanie umowy i schowanie jej do szuflady bez przeczytania, przez co nie wiesz, do czego się właściwie zobowiązałeś ani czego możesz wymagać.

Trzecia pomyłka to pamiętanie o głównym dostawcy i zapominanie o mniejszych. Firmy pamiętają zwykle o programie, w którym trzymają sprawy, a zapominają o biurze rachunkowym czy narzędziu do wysyłki wiadomości, które też dotykają danych. Czwarta to traktowanie tematu jako jednorazowego. Lista podmiotów się zmienia, dochodzą nowi partnerzy, a umowy trzeba zawierać na bieżąco, a nie raz na zawsze.

Wszystkie te błędy mają wspólny mianownik, którym jest traktowanie umowy powierzenia jak zbędnej formalności. Kiedy zmienisz to nastawienie i zobaczysz w niej realne narzędzie porządkujące relacje z partnerami, przestaje być uciążliwością, a staje się elementem prowadzenia firmy poważnie. A poważne prowadzenie danych to dziś coś, co realnie odróżnia dobre firmy od tych, które kiedyś się na tym przewrócą.

Co dzieje się z danymi, gdy kończysz współpracę

Jednym z ważniejszych, a często pomijanych punktów umowy powierzenia jest to, co dzieje się z danymi po zakończeniu współpracy z dostawcą. Wyobraź sobie, że po kilku latach postanawiasz zmienić program albo hosting. Twoje dane cały czas są u dotychczasowego dostawcy. Umowa powinna jasno mówić, że po zakończeniu współpracy dane zostają Ci zwrócone albo trwale usunięte, zgodnie z Twoją decyzją, i że nie zostają one u dostawcy w nieskończoność.

To ma znaczenie z dwóch powodów. Po pierwsze, dane Twoich klientów nie powinny leżeć u firmy, z którą już nie współpracujesz, bo tracisz nad nimi kontrolę, a nadal za nie odpowiadasz. Po drugie, sam potrzebujesz tych danych, żeby przenieść je gdzie indziej i dalej prowadzić firmę. Umowa, która milczy na ten temat, zostawia Cię w niepewności dokładnie wtedy, gdy najbardziej potrzebujesz jasności, czyli w trakcie zmiany dostawcy.

Dlatego przy czytaniu umowy zwróć szczególną uwagę na końcówkę, na te zapisy o losie danych po rozwiązaniu współpracy. Poważny dokument opisuje to konkretnie, mówiąc, w jakim czasie i w jakiej formie dane zostaną zwrócone albo usunięte. Brak takich zapisów albo mgliste sformułowania to znak, że warto dopytać, zanim się podpisze, bo potem może być za późno na negocjacje.

Prawo do kontroli i wglądu

Umowa powierzenia to nie tylko lista obowiązków podmiotu przetwarzającego, ale też Twoje uprawnienia wobec niego. Jako administrator masz prawo sprawdzić, czy ten, komu powierzyłeś dane, faktycznie wywiązuje się z tego, do czego się zobowiązał. To nie jest wyraz braku zaufania, tylko element odpowiedzialności, którą i tak ponosisz.

W praktyce rzadko chodzi o to, żebyś jeździł do dostawcy i osobiście przeglądał jego serwerownię. Zwykle wystarczy, że dostawca jest w stanie na Twoje pytanie wykazać, jak dba o bezpieczeństwo, i że umowa daje Ci prawo takich informacji zażądać. Poważni dostawcy są na to przygotowani i traktują takie pytania jako naturalną część relacji, a nie jako czepianie się. Ich spokój w tej sprawie jest kolejnym dobrym znakiem.

Warto, żeby umowa przewidywała też obowiązek informowania Cię o naruszeniach. Jeśli u dostawcy dojdzie do incydentu dotyczącego Twoich danych, musisz się o tym dowiedzieć, i to szybko, bo część obowiązków związanych z naruszeniem spoczywa na Tobie jako administratorze. Dostawca, który zobowiązuje się bez zwłoki zgłaszać Ci takie zdarzenia, daje Ci szansę zareagować na czas. Dostawca, który taki obowiązek pomija, zostawia Cię ślepego na coś, za co i tak odpowiadasz.

Gotowy wzór czy umowa szyta na miarę

Często pada pytanie, czy wystarczy wziąć gotowy wzór umowy powierzenia z internetu, czy trzeba mieć dokument przygotowany specjalnie pod siebie. Odpowiedź jest gdzieś pośrodku i zależy od sytuacji. W większości typowych relacji, na przykład z dostawcą oprogramowania, to dostawca dostarcza swoją umowę, dopasowaną do tego, jak działa jego usługa. Wtedy Twoja rola to przeczytać ją i ocenić, a nie pisać własną.

Gorzej, gdy to Ty musisz taką umowę zaproponować, na przykład komuś, kto działa na Twoje zlecenie, a sam takiego dokumentu nie ma. Wtedy gotowy wzór bywa dobrym punktem wyjścia, ale traktuj go właśnie jako punkt wyjścia, a nie gotowca do bezmyślnego podpisania. Wzory bywają ogólne i nie zawsze pasują do konkretnej sytuacji, a niektóre są kiepskiej jakości. Jeśli sprawa jest dla Ciebie istotna, warto dokument skonsultować z kimś, kto się na tym zna.

Najgorszy wariant to podpisać cokolwiek, byle był papier, bez czytania i bez zrozumienia. Umowa powierzenia ma realnie chronić dane i porządkować relację, a nie tylko istnieć na wypadek pytania. Dokument, którego nie rozumiesz i którego treści nie sprawdziłeś, daje fałszywe poczucie bezpieczeństwa, a to bywa groźniejsze niż świadomy brak umowy, bo usypia czujność. Lepiej poświęcić chwilę na zrozumienie, co się podpisuje, niż mieć w szufladzie papier, który w razie potrzeby okaże się bezwartościowy.

Na koniec

Umowa powierzenia przetwarzania danych brzmi jak papierologia, a jest po prostu sposobem na to, żeby dane Twoich klientów były bezpieczne także wtedy, gdy trafiają w ręce Twoich partnerów. To Twój obowiązek jako administratora, ale też Twoja ochrona, bo jasny podział ról i obowiązków chroni Cię lepiej niż zaufanie oparte na dobrym słowie. Warto mieć ten temat poukładany, zanim ktoś o niego zapyta, a nie w chwili, gdy pytanie już padło.

Podejdź do tego spokojnie i metodycznie. Spisz, komu powierzasz dane, zdobądź brakujące umowy, przeczytaj te, które masz, i utrzymuj listę na bieżąco. To jednorazowy wysiłek, który zamienia niejasną zaległość w uporządkowany element firmy. A przy okazji, sprawdzając, jak partnerzy podchodzą do tego tematu, dowiadujesz się o nich rzeczy, których w inny sposób byś nie zobaczył. To rzadki przypadek, gdy nudna formalność jest jednocześnie całkiem niezłym testem zaufania.

Na sam koniec jeszcze jedna myśl, którą warto zapamiętać. Umowa powierzenia nie chroni Twoich klientów tylko wtedy, gdy wisi na ścianie albo leży podpisana w szufladzie. Chroni ich wtedy, gdy stoją za nią realne działania, czyli gdy dostawca faktycznie robi to, do czego się zobowiązał, a Ty faktycznie sprawdziłeś, komu powierzasz dane. Papier jest tylko potwierdzeniem porządku, który powinien istnieć naprawdę, a nie jego zamiennikiem. Jeśli o tym pamiętasz, temat umów powierzenia z uciążliwego obowiązku zamienia się w coś, co po prostu dobrze świadczy o Twojej firmie.

Bo w gruncie rzeczy chodzi o rzecz prostą i bardzo ludzką. Klient przychodzi do Ciebie z zaufaniem i oddaje Ci najbardziej wrażliwe informacje o sobie, licząc, że zaopiekujesz się nimi tak, jak zaopiekujesz się jego sprawą. Zadbanie o to, żeby te dane były bezpieczne także u Twoich partnerów, to dotrzymanie tej cichej obietnicy. Umowa powierzenia jest tylko narzędziem, które to zabezpiecza, ale sama obietnica jest tym, co naprawdę buduje firmę, do której klienci wracają i którą polecają dalej.