Korzystanie z zewnętrznego księgowego, firmy IT, systemu CRM w chmurze, narzędzia AI do analizy dokumentów - każda z tych sytuacji może wymagać zawarcia umowy powierzenia przetwarzania danych osobowych. Brak takiej umowy, gdy jest ona wymagana, jest naruszeniem art. 28 RODO i może skutkować karą UODO. Co gorsze - wiele firm i kancelarii nie zdaje sobie sprawy, że w ogóle powinna taką umowę zawrzeć.
Kiedy masz obowiązek zawarcia umowy powierzenia
Umowa powierzenia jest wymagana zawsze wtedy, gdy przekazujesz dane osobowe innemu podmiotowi, który będzie je przetwarzał w Twoim imieniu. Kluczowe słowa: "w Twoim imieniu". Podmiot zewnętrzny ma przetwarzać dane zgodnie z Twoimi wskazówkami i w Twoim celu - nie we własnym.
Typowe sytuacje wymagające umowy powierzenia:
- biuro rachunkowe przetwarzające dane pracowników Twojej firmy
- firma IT mająca dostęp do systemów zawierających dane osobowe klientów
- system CRM, ERP lub platforma e-mail marketingowa trzymająca dane klientów w chmurze
- zewnętrzny call center obsługujący Twoich klientów
- narzędzie AI do analizy dokumentów, które przetwarza treść zawierającą dane osobowe
- firma kurierska jeśli przetwarza dane adresowe w swoim systemie w Twoim imieniu
Kiedy umowa NIE jest wymagana: jeśli przekazujesz dane innemu administratorowi (np. kontrahentowi w ramach wspólnej umowy) - to jest udostępnienie danych, nie powierzenie. Inny przypadek: przekazujesz dokumenty z danymi do analizy po ich wcześniejszej anonimizacji. Zanonimizowany dokument nie zawiera danych osobowych, więc nie wymaga umowy powierzenia.
Co musi zawierać umowa powierzenia według art. 28 RODO
Art. 28 ust. 3 RODO wymienia elementy obowiązkowe umowy. Musi ona stanowić, że podmiot przetwarzający:
- przetwarza dane wyłącznie na udokumentowane polecenie administratora
- zapewnia, że osoby upoważnione do przetwarzania są zobowiązane do zachowania poufności
- wdroży środki bezpieczeństwa wymagane przez art. 32 RODO
- nie korzysta z usług podprocesora bez uprzedniej zgody administratora
- pomaga administratorowi wywiązać się z obowiązków wobec podmiotów danych (dostęp do danych, sprostowanie, usunięcie)
- po zakończeniu usług usuwa lub zwraca wszystkie dane i usunie kopie
- udostępni administratorowi wszelkie informacje niezbędne do wykazania spełnienia wymagań
Umowa powierzenia a narzędzia AI i chmura
To najbardziej aktualne i problematyczne pole. Jeśli korzystasz z zewnętrznego systemu AI do analizy dokumentów zawierających dane osobowe klientów lub pracowników, musisz sprawdzić, czy:
- operator narzędzia AI oferuje umowę powierzenia spełniającą wymogi art. 28 RODO
- umowa gwarantuje że dane nie są używane do trenowania modelu
- przetwarzanie odbywa się wyłącznie na terenie EOG lub istnieją odpowiednie gwarancje dla transferu danych
- operator umożliwia audyty i dostarczanie informacji niezbędnych do wykazania zgodności
Wiele popularnych narzędzi AI w wersji darmowej lub tanich planach dla indywidualnych użytkowników nie spełnia tych wymagań. Dla firm i kancelarii oznacza to, że korzystanie z nich z danymi osobowymi klientów jest naruszeniem RODO - nawet jeśli samo narzędzie jest legalne i dobrze znane.
Anonimizacja eliminuje problem umowy powierzenia
Jeśli zanonimizujesz dokument przed wysłaniem do zewnętrznego narzędzia, dokument przestaje zawierać dane osobowe. Nie ma danych osobowych - nie ma wymogu umowy powierzenia. Beznazwisk.pl robi to lokalnie w kilka minut.
Pobierz bezpłatnieJak weryfikować, czy podmiot przetwarzający spełnia wymogi
Art. 28 ust. 1 RODO mówi, że administrator może korzystać wyłącznie z podmiotów przetwarzających "zapewniających wystarczające gwarancje". Sama umowa powierzenia nie wystarczy - administrator powinien zweryfikować, że podmiot faktycznie jest w stanie te gwarancje spełnić.
W praktyce weryfikacja może polegać na:
- sprawdzeniu certyfikatów bezpieczeństwa (ISO 27001, SOC 2)
- przejrzeniu polityki prywatności i dokumentacji bezpieczeństwa
- przeprowadzeniu ankiety bezpieczeństwa lub audytu
- sprawdzeniu historii incydentów bezpieczeństwa i kar regulacyjnych
UODO wielokrotnie wskazywał w decyzjach, że podpisanie umowy powierzenia bez faktycznej weryfikacji podmiotu przetwarzającego nie zwalnia administratora z odpowiedzialności, gdy dojdzie do naruszenia.
Przeczytaj również
Autor: Zespół Beznazwisk.pl. Tekst ma charakter informacyjny i nie stanowi porady prawnej.