Wiele firm korzysta z zewnętrznych dostawców — biur rachunkowych, systemów CRM, hostingu, agencji marketingowych. W większości tych relacji dochodzi do przekazania danych osobowych podmiotowi zewnętrznemu. I tu pojawia się pytanie, które zadaje sobie niemal każdy administrator danych: czy w tej sytuacji potrzebuję umowy powierzenia?

Odpowiedź zależy od jednej kluczowej kwestii: czy dostawca przetwarza dane osobowe w Twoim imieniu i zgodnie z Twoimi instrukcjami. Jeśli tak — umowa powierzenia jest obowiązkowa. Jej brak to naruszenie art. 28 RODO — niezależnie od tego, jak długa jest współpraca i jak bardzo ufasz dostawcy.

Administrator a podmiot przetwarzający — kluczowa różnica

Zanim przejdziemy do umowy, trzeba zrozumieć rozróżnienie między administratorem a podmiotem przetwarzającym, bo to od niego zależy, czy umowa powierzenia jest w ogóle potrzebna.

Administrator danych to podmiot, który samodzielnie decyduje o celach i sposobach przetwarzania danych osobowych. Ponosi pełną odpowiedzialność za zgodność przetwarzania z RODO.

Podmiot przetwarzający (procesor) to podmiot, który przetwarza dane osobowe w imieniu administratora — wyłącznie na jego polecenie i w zakresie przez niego określonym. Sam nie decyduje o celu przetwarzania.

Praktyczna różnica: biuro rachunkowe, które przetwarza listy płac Twoich pracowników na Twoje zlecenie, jest podmiotem przetwarzającym. Natomiast kancelaria prawna, która reprezentuje Twoją firmę w sporze sądowym i przetwarza dane stron postępowania jako samodzielny administrator — nie jest podmiotem przetwarzającym i nie wymaga umowy powierzenia.

Błędna kwalifikacja relacji — uznanie za powierzenie czegoś, co jest udostępnianiem danych między administratorami — prowadzi do nieprawidłowego wdrożenia RODO.

Kiedy umowa powierzenia jest obowiązkowa

Umowa powierzenia jest wymagana zawsze, gdy administrator przekazuje dane osobowe podmiotowi zewnętrznemu, który przetwarza je w jego imieniu. W praktyce dotyczy to bardzo wielu relacji biznesowych.

Typowe sytuacje wymagające umowy powierzenia:

Hosting i infrastruktura IT — dostawca serwera lub chmury, na której przechowywane są dane klientów lub pracowników, przetwarza te dane w imieniu administratora.

System CRM — dostawca oprogramowania CRM dostępny przez przeglądarkę (SaaS) przetwarza dane klientów na serwerach dostawcy. Umowa powierzenia jest wymagana.

System mailingowy — Mailchimp, GetResponse, Freshmail i podobne narzędzia przetwarzają dane subskrybentów w imieniu administratora.

Biuro rachunkowe — przetwarza dane pracowników (wynagrodzenia, PESEL, rachunki bankowe) na zlecenie pracodawcy.

Agencja marketingowa — gdy otrzymuje bazę klientów administratora do prowadzenia kampanii.

Firma kurierska — gdy administrator przekazuje jej dane adresowe klientów w celu realizacji dostawy.

System HR i kadrowy — dostawca oprogramowania kadrowego przetwarza dane pracowników na serwerach zewnętrznych.

Kiedy umowa powierzenia NIE jest potrzebna

Nie każde przekazanie danych osobowych wymaga umowy powierzenia. Umowa nie jest potrzebna gdy:

Podmiot jest odrębnym administratorem — sam decyduje o celach i sposobach przetwarzania danych. Przykłady: ZUS i urząd skarbowy (przetwarzają dane na własnej podstawie prawnej), bank obsługujący przelewy, operator pocztowy.

Podmiot działa jako współadministrator — gdy dwa podmioty wspólnie ustalają cele i sposoby przetwarzania. Wtedy zamiast umowy powierzenia wymagana jest umowa o współadministrowaniu z art. 26 RODO.

Dane są przekazywane na żądanie podmiotu zewnętrznego działającego na własną odpowiedzialność — np. kancelaria prawna prowadząca własne postępowanie.

Co musi zawierać umowa powierzenia — elementy wymagane przez art. 28 RODO

Art. 28 RODO precyzuje, jakie elementy musi zawierać umowa powierzenia przetwarzania danych. Umowa powinna określać:

Przedmiot i czas trwania przetwarzania — jakiego zakresu danych dotyczy powierzenie i przez jaki okres.

Charakter i cel przetwarzania — w jakim celu dane są przetwarzane przez podmiot przetwarzający i jakiego rodzaju operacje są wykonywane.

Rodzaj danych osobowych i kategorie osób — jakie dane są przekazywane (np. dane kontaktowe, dane finansowe) i czyje (klientów, pracowników).

Obowiązki i prawa administratora — w tym prawo do kontroli i audytu podmiotu przetwarzającego.

Dodatkowo umowa powinna zobowiązywać podmiot przetwarzający do:

• przetwarzania danych wyłącznie na udokumentowane polecenie administratora,
• zapewnienia poufności przez osoby upoważnione do przetwarzania,
• wdrożenia odpowiednich środków bezpieczeństwa,
• udzielania pomocy administratorowi w realizacji praw osób,
• usunięcia lub zwrotu danych po zakończeniu świadczenia usług,
• udostępniania wszelkich informacji niezbędnych do wykazania zgodności,
• informowania administratora o dalszym powierzeniu danych podprocesorem.

Podprocesorzy — dalsze powierzenie danych

Podmiot przetwarzający może korzystać z usług innych podmiotów (podprocesorów) — ale tylko za wyraźną zgodą administratora. Zgoda może być ogólna (na korzystanie z podprocesorów z obowiązkiem informowania o zmianach) lub szczegółowa (na konkretnych podprocesorów).

W praktyce większość umów DPA od dużych dostawców SaaS zawiera klauzulę o ogólnej zgodzie na podprocesorów z listą aktualnych podmiotów dostępną na stronie dostawcy. Administrator powinien zweryfikować tę listę i upewnić się, że podprocesorzy działają zgodnie z wymogami RODO — szczególnie jeśli przetwarzają dane poza EOG.

Jak ewidencjonować umowy powierzenia

Samo zawarcie umowy powierzenia to za mało. Administrator powinien prowadzić ewidencję wszystkich podmiotów przetwarzających, z którymi współpracuje — jako element rejestru czynności przetwarzania lub odrębny dokument.

Ewidencja powinna zawierać dla każdego podmiotu przetwarzającego: nazwę i dane kontaktowe, zakres powierzonych danych, cel powierzenia, datę zawarcia umowy oraz informację o podprocesorach.

W praktyce wiele organizacji nie wie, ile aktywnych umów powierzenia posiada, gdzie są przechowywane i które wymagają aktualizacji po zmianie zakresu współpracy. To jeden z pierwszych obszarów weryfikowanych podczas kontroli UODO.

Umowy powierzenia w iGDPR

iGDPR posiada dedykowany moduł ewidencji podmiotów przetwarzających i umów powierzenia, który pozwala powiązać każdą umowę z konkretnymi czynnościami przetwarzania w rejestrze. Dla każdego podmiotu przetwarzającego możesz przechowywać dane umowy, zakres powierzenia i informacje o podprocesorach — wszystko w jednym miejscu, gotowe na kontrolę UODO.

Podsumowanie

Umowa powierzenia przetwarzania danych jest obowiązkowa zawsze, gdy zewnętrzny dostawca przetwarza dane osobowe w imieniu administratora. Jej brak narusza art. 28 RODO — niezależnie od zaufania do dostawcy czy długości współpracy.

Kluczowe zasady:

• umowa powierzenia jest wymagana gdy dostawca przetwarza dane na zlecenie i według instrukcji administratora,
• umowy nie potrzeba gdy podmiot zewnętrzny jest odrębnym administratorem,
• umowa musi zawierać wszystkie elementy wskazane w art. 28 RODO,
• podmiot przetwarzający może korzystać z podprocesorów tylko za zgodą administratora,
• administrator powinien prowadzić aktualną ewidencję wszystkich umów powierzenia.

Często zadawane pytania o umowę powierzenia