Kiedy umowa powierzenia NIE jest potrzebna?

W ostatnich latach, w kontekście dynamicznego rozwoju przepisów o ochronie danych osobowych, a w szczególności RODO, umowy powierzenia przetwarzania danych stały się niemal nieodłącznym elementem współpracy między przedsiębiorcami. Często traktowane są jako standardowe zabezpieczenie, dodawane niemal do każdej umowy. Jednak, czy zastanawialiście się kiedyś, czy w każdej sytuacji zawarcie takiej umowy jest rzeczywiście konieczne? Okazuje się, że nie zawsze. Zrozumienie, kiedy umowa powierzenia jest zbędna, może nie tylko uprościć procedury, ale również uchronić przed niepotrzebnymi obowiązkami.

Kiedy mamy do czynienia z powierzeniem przetwarzania danych?

Aby zrozumieć, kiedy umowa powierzenia nie jest wymagana, kluczowe jest zdefiniowanie, czym w ogóle jest powierzenie przetwarzania danych osobowych. Zgodnie z wytycznymi Europejskiej Rady Ochrony Danych, o powierzeniu możemy mówić, gdy spełnione są następujące warunki:

• Procesor jest podmiotem zewnętrznym w stosunku do administratora. Nie jest częścią struktury organizacyjnej administratora.
• Procesor przetwarza dane osobowe w imieniu administratora. Działa na zlecenie i pod kontrolą administratora.
• Cel przetwarzania danych jest ściśle określony przez administratora. Procesor realizuje cel wyznaczony przez administratora, a nie swój własny.
• Procesor przetwarza dane zgodnie z instrukcjami administratora. Działania procesora są podporządkowane dyspozycjom administratora.

Jeżeli wszystkie te warunki są spełnione, mówimy o relacji administrator – podmiot przetwarzający i zazwyczaj zawarcie umowy powierzenia przetwarzania danych osobowych jest konieczne. Jednak, co w sytuacji, gdy któryś z tych warunków nie jest spełniony?

Sztandarowy przykład powierzenia: usługi księgowe

Klasycznym przykładem sytuacji, w której umowa powierzenia przetwarzania danych jest bezwzględnie wymagana, jest outsourcing usług księgowych. Wyobraźmy sobie przedsiębiorcę, który zleca biuru księgowemu prowadzenie księgowości swoich pracowników. W takim przypadku:

• Biuro księgowe jest podmiotem zewnętrznym.
• Biuro księgowe przetwarza dane pracowników (np. dane osobowe, dane dotyczące wynagrodzenia) w imieniu przedsiębiorcy.
• Cel przetwarzania danych (rozliczenia płac, podatki, ZUS) jest zdefiniowany przez przedsiębiorcę, wynikający z jego obowiązków prawnych jako pracodawcy.
• Biuro księgowe działa zgodnie z instrukcjami przedsiębiorcy i przepisami prawa.

W tej relacji przedsiębiorca pełni rolę administratora danych osobowych swoich pracowników, a biuro księgowe występuje jako podmiot przetwarzający (procesor). Biuro księgowe przetwarza dane wyłącznie w celu realizacji obowiązków administratora i nie ma własnego, niezależnego celu przetwarzania tych danych. Zatem, umowa powierzenia przetwarzania danych jest tutaj niezbędna, aby formalnie uregulować zasady współpracy i odpowiedzialność za bezpieczeństwo danych.

Złożony przypadek: dostawcy usług benefitowych

Sytuacja staje się bardziej skomplikowana w przypadku relacji z dostawcami usług benefitowych, takich jak karty sportowe czy opieka zdrowotna. Przedsiębiorca zawiera umowę z dostawcą benefitów dla swoich pracowników. Czy w tym przypadku również mamy do czynienia z powierzeniem przetwarzania danych?

Analizując cel przetwarzania danych, zauważamy, że dostawca benefitów ma swój własny cel przetwarzania danych – świadczenie usług sportowych lub zdrowotnych na rzecz pracowników przedsiębiorcy. Przedsiębiorca natomiast ma swój odrębny cel – oferowanie benefitów pracowniczych w ramach prowadzonej działalności i polityki personalnej.

W idealnym scenariuszu, relacja ta powinna być uregulowana jako współadministrowanie danymi osobowymi. Oznaczałoby to, że zarówno przedsiębiorca, jak i dostawca benefitów, wspólnie ustalają cele i sposoby przetwarzania danych i ponoszą wspólną odpowiedzialność za zgodność z RODO. Jednak, w praktyce rynkowej, często spotykamy się z innym modelem.

Często to dostawca benefitów inicjuje proces zbierania danych osobowych pracowników, którzy chcą skorzystać z oferty benefitów. Przedsiębiorca w takim przypadku może być traktowany jako podmiot przetwarzający, działający na zlecenie dostawcy benefitów, który staje się administratorem danych w tym konkretnym kontekście. Przedsiębiorca zbiera dane pracowników i przekazuje je dostawcy benefitów, który wykorzystuje je do aktywacji kart sportowych czy usług zdrowotnych. W tym modelu, cel przetwarzania danych (pozyskiwanie klientów i świadczenie usług benefitowych) jest określony przez dostawcę benefitów, a przedsiębiorca działa zgodnie z jego instrukcjami.

Choć to rozwiązanie może wydawać się nieintuicyjne, jest dość powszechne na rynku. Warto jednak dokładnie przeanalizować relację z dostawcą benefitów i rozważyć, czy model współadministrowania nie byłby bardziej adekwatny i zgodny z duchem RODO.

Kiedy umowa powierzenia przetwarzania danych NIE jest konieczna?

Pomimo wszechobecnej praktyki zawierania umów powierzenia, istnieją sytuacje, w których taka umowa nie jest wymagana. Co więcej, w niektórych przypadkach, niepotrzebne zawarcie umowy powierzenia może nawet wprowadzić dodatkowe, niepotrzebne obowiązki.

Przekazywanie danych kontaktowych w celu realizacji umowy

Jedną z kluczowych sytuacji, w której umowa powierzenia przetwarzania danych nie jest potrzebna, jest przekazywanie danych kontaktowych pracowników lub osób reprezentujących drugą stronę umowy w celu jej realizacji. Załóżmy, że przedsiębiorstwo A zawiera umowę z przedsiębiorstwem B na dostawę towarów. W ramach realizacji tej umowy, przedsiębiorstwo A przekazuje przedsiębiorstwu B dane kontaktowe swojego pracownika (np. imię, nazwisko, adres e-mail, numer telefonu) odpowiedzialnego za kontakt w sprawie dostawy.

W takim przypadku, nie dochodzi do powierzenia przetwarzania danych osobowych. Obie strony umowy działają jako odrębni administratorzy danych osobowych. Przekazanie danych kontaktowych jest niezbędne i uzasadnione w celu wykonania umowy. Podstawą prawną przetwarzania danych osobowych w tym przypadku jest uzasadniony interes prawny administratora (art. 6 ust. 1 lit. f RODO), polegający na umożliwieniu sprawnej komunikacji i realizacji umowy. W niektórych przypadkach, podstawą prawną może być również niezbędność przetwarzania do wykonania umowy (art. 6 ust. 1 lit. b RODO).

Każda ze stron przetwarza dane kontaktowe osób kontaktowych drugiej strony w swoim własnym celu – w celu realizacji zawartej umowy. Nie ma tutaj relacji administrator – podmiot przetwarzający, gdzie jedna strona działa na zlecenie i pod kontrolą drugiej. Dlatego też, w takich sytuacjach nie ma potrzeby zawierania umowy powierzenia przetwarzania danych osobowych.

Usługi kurierskie i pocztowe

Podobnie, umowa powierzenia przetwarzania danych nie jest zazwyczaj wymagana w relacjach z firmami kurierskimi i Pocztą Polską, które doręczają przesyłki. Choć firmy te przetwarzają dane osobowe (adres nadawcy i odbiorcy, numer telefonu, itp.), to działają one jako odrębni administratorzy danych osobowych w zakresie realizacji usługi pocztowej lub kurierskiej.

Firma kurierska przetwarza dane osobowe we własnym imieniu i na własny rachunek, w celu świadczenia usług dostawy przesyłek. Cel przetwarzania danych jest określony przez firmę kurierską, a nie przez nadawcę przesyłki. Firma kurierska odpowiada za prawidłowe doręczenie przesyłki i realizuje to zadanie w ramach swojej własnej działalności gospodarczej.

Oczywiście, firmy kurierskie muszą przestrzegać przepisów RODO i zapewnić odpowiednie bezpieczeństwo przetwarzanych danych osobowych. Jednak, relacja z nadawcą przesyłki nie jest zazwyczaj relacją powierzenia przetwarzania danych. Wyjątkiem mogłyby być sytuacje, gdy zakres współpracy jest bardziej rozbudowany i firma kurierska wykonuje dodatkowe usługi na zlecenie nadawcy, które wykraczają poza standardową usługę dostawy przesyłki. W takich specyficznych przypadkach, analiza relacji i ewentualna konieczność zawarcia umowy powierzenia przetwarzania danych powinna być przeprowadzona indywidualnie.

Podsumowanie: Analizuj relację, zanim podpiszesz umowę powierzenia

Powszechność umów powierzenia przetwarzania danych osobowych nie powinna przesłaniać nam konieczności dokładnej analizy relacji między podmiotami przed podjęciem decyzji o zawarciu takiej umowy. Automatyczne podpisywanie umów powierzenia „na wszelki wypadek” może być nie tylko niepotrzebne, ale również generować dodatkowe obowiązki i koszty.

Pamiętajmy, że zidentyfikowanie strony jako administratora danych osobowych niesie ze sobą odpowiedzialność za przetwarzanie danych, w tym za działania podmiotu przetwarzającego. Z kolei, uznanie siebie za podmiot przetwarzający daje administratorowi prawo do kontroli naszej działalności i przeprowadzania audytów. Zanim zatem zdecydujemy się na zawarcie umowy powierzenia przetwarzania danych osobowych, warto zadać sobie kilka kluczowych pytań:

• Czy rzeczywiście przetwarzamy dane osobowe w imieniu i na zlecenie innego podmiotu?
• Czy cel przetwarzania danych jest określony przez drugą stronę, a my jedynie realizujemy jej instrukcje?
• Czy nie działamy jako odrębny administrator danych osobowych, realizując własny cel przetwarzania?

Odpowiedzi na te pytania pomogą nam właściwie zidentyfikować relację prawną i podjąć świadomą decyzję, czy umowa powierzenia przetwarzania danych osobowych jest w danej sytuacji rzeczywiście konieczna. Dokładna analiza i zrozumienie specyfiki relacji między podmiotami jest kluczowe dla zapewnienia zgodności z RODO i uniknięcia niepotrzebnych formalności.

Jeśli chcesz poznać inne artykuły podobne do Kiedy umowa powierzenia NIE jest potrzebna?, możesz odwiedzić kategorię Rachunkowość.