„Z powierzeniem danych osobowych jest zupełnie inaczej niż nam się wydaje, czyli sezon na umowy powierzenia czas zacząć”

Od razu nastawiam czytelników, którym udało się dotrwać do pierwszego akapitu i nie wyłączyli się po przeczytaniu tytułu i słowa wstępu, że część z moich wpisów blogowych to zwykłe przemyślenia wynikające z obserwacji rynkowych wyrobnika zajmującego się na codzień czymś takim jak bezpieczeństwo danych, a część to całkiem sensowne propozycje rozwiązań do zastosowania w organizacji, czasem podpatrzonych u innych, czasem wprost wywodzących się z doświadczenia, praktyki własnej, fascynacji tym, że tak właśnie musi być, a nie inaczej. Wydaje mi się jednak, że i jeden i drugi rodzaj wpisów jakie spotkacie na blogu wpłynie na poprawę Waszej świadomości i taki też jest mój zamiar. Musicie traktować to jako moje i tylko moje wewnętrzne przemyślenia, sugestie i niczym niezobowiązujące zalecenia. Można także otwarcie krytykować (merytorykę jak również gramatykę i interpunkcję), mam do siebie duży dystans. Mój blog nie ma charakteru naukowego, nie jestem najlepszym ekspertem na RODO rynku, mylę się jak każdy i niekiedy nawet potrafię się do tego przyznać. Niemniej po kilku latach pracy z danymi osobowymi i setkami godzin szkoleń mam swoje przemyślenia, którymi chętnie się podzielę. Jestem zdania, że RODO to nie kolejne jak mawia kolega Piotr Rocket Sience, a obszar o który należy zadbać w swojej organizacji podobnie jak o bhp i wypłaty każdego 10. dnia miesiąca. Tak więc zaczynamy.

Patrząc na to co dzieje się obecnie na rynku ochrony danych, można śmiało powiedzieć, że mamy do czynienia z sezonem na umowy powierzenia danych osobowych. Wracam pamięcią do czasów majowej RODO paniki roku 2018, kiedy po rynku krążyły „obszerne” umowy powierzenia, pisane na tzw. sztukę. Wówczas wydawało się, że przez najbliższe dwa trzy lata będziemy żyli tylko polityką bezpieczeństwa, procedurami i co najważniejsze klauzulami informacyjnymi. Po dwóch latach można powiedzieć, że zmieniło się w tej materii praktycznie wszystko. A co dokładnie- przeczytajcie poniżej.

Umowy powierzenia są istotnym elementem w całym systemie ochrony danych osobowych i nie należy ich lekceważyć. Administratorzy danych często (jak obserwuję) zapatrzeni są w procedury wewnętrzne, upoważnienia i co najważniejsze oczywiście klauzule informacyjne RODO. Nie daj Bóg, jak nie będzie na nich podpisu osoby zapoznającej się. Zapominają tym samym o tym czym tak na prawdę jest powierzenie danych osobowych i jakie rodzi ryzyka. Wielokrotnie nie czytają samych umów, podpisując je w ciemno. Moją intencją nie jest pouczanie kogokolwiek, każdy prowadzi organizację w taki sposób, w jaki uważa to za stosowne, ale moją intencją jest uwrażliwić osoby decydujące o kierunkach działalności swojej organizacji na istotne aspekty ochrony danych. Słynne powiedzenie mówi, że umowy piszemy na złe czasy, a co za tym idzie umowa powinna we właściwy sposób zabezpieczać strony umowy. Tym samym umowa powierzenia powinna zabezpieczać administratora danych właśnie w tych złych dla administratora czasach. Jakich? Chociażby na wypadek wystąpienia naruszenia ochrony danych, które to naruszenie może wystąpić po stronie procesora (podmiotu przetwarzającego powierzone dane osobowe). Warto być może zadbać o stosowne zapisy o współpracy z procesorem w przypadku takowego naruszenia. Może warto uwzględnić w umowie zasady wymiany informacji, kontaktów, czas reakcji po wystąpieniu incydentu itp.

Pamiętajmy również, że powierzenie danych osobowych to proces, który ma swój początek i koniec, który zapewne w końcu nastąpi. Wiele osób nie zwraca uwagi na istotny element powierzenia – to pewnego rodzaju wypożyczenie danych osobowych. Skoro wypożyczam to z myślą, że kiedyś ktoś pożyczoną rzecz odda. Chyba, że będzie jak na naszym filmie i pożyczycie portfel Piotrowi o czym możecie się przekonać TU  Nie inaczej jest z danymi osobowymi. Brak zrozumienia przesłanki powierzenia danych powoduje, że z jednej strony administratorzy, zupełnie niesłusznie masowo podpisują umowy powierzenia z każdym, kto z nim współpracuje, a nawet kto w ogóle pojawi się w firmie w innej roli niż pracownik, a z drugiej strony po zakończonej umowie zapominają, żeby o „swoje” dane się upomnieć. Powoduje to skutek odwrotny do zamierzonego i w żaden sposób nie chroni poufności osób fizycznych, których dane przetwarzamy.

Zwracajcie również uwagę na to, że umowa powierzenia jest co prawda kolejnym wagonikiem doczepionym do lokomotywy (umowy o świadczeni usług) i często wagonikiem ostatnim, ale traktujcie ten wagonik równie istotnie jak wszystkie przed nim. Nie popełniajmy błędu, wskutek którego wynegocjujemy wszystkie warunki umowne z kontrahentem, a na koniec wyciągniemy z szuflady draft umowy powierzenia, który będzie kwiatkiem do kożucha. Nie trzeba nikomu przypominać, że powierzenie danych osobowych rodzi odpowiedzialność cywilną. Co znaczy, że tak samo odpowiadamy za dane osobowe, które powierzamy jak za inne elementy współpracy z naszym kontrahentem. Traktujmy więc te dane osobowe jako istotny element transakcji umownej.

W całej swojej analizie nie mogę pominąć istotnego elementu, który być może powinien pojawić się jako pierwszy, a mianowicie kwestia samego wyboru naszego procesora (podmiotu przetwarzającego). Art. 28 RODO wprost określa, że przy wyborze procesora musimy kierować się stosowanymi przez niego adekwatnymi zabezpieczeniami technicznymi i organizacyjnymi. Procesor ma skutecznie zabezpieczyć powierzane mu dane osobowe. Co za tym idzie procesor ma być dla nas wiarygodny, musimy przy współpracy z nim czuć się bezpiecznie, a przede wszystkim musimy mieć pewność, że dane osobowe naszych kontrahentów, pracowników, współpracowników i innych osób, których danymi administrujemy, będą tak samo bezpiecznie przetwarzane przez procesora jak przez nas samych. Co nam da fakt, że wdrożymy w pełni system ochrony danych osobowych, przeszkolimy pracowników, przejdziemy całą ścieżkę tworzenia i wdrażania procedur jak na końcu oddamy część (być może mniejszą lub większą) danych osobowych w ręce osób nieodpowiedzialnych. I też należy pamiętać i kierować się zasadą, że nie ilość danych przekazywanych podmiotowi przetwarzającemu decyduje, a zakres danych. Zwracajmy uwagę na ten element. Dla zwykłego Andrzejewskiego w przypadku jakiegokolwiek naruszenia, wycieku danych nie będzie ważne, czy wraz z nim dotknęło to jeszcze 200, 300 a może 500 osób, tylko będą liczyły się jego dobra utracone, jego dane, jego poufność. I wydaje się, że tą zasadą powinniśmy się kierować zawsze – także w procesie powierzania danych osobowych.

Od tego zacznę kolejny wpis poświęcony powierzeniom danych osobowych. Postaram się Wam pokazać jak rynek sobie obecnie radzi z wyborem procesora, jak tego procesora właściwie zweryfikować i czego tak na prawdę od niego wymagać. Napiszę także jak pogodzić biznes w tym wypadku z RODO. Miejcie na uwadze jedno:

RODO nie może hamować biznesu, RODO ma być wartością dodaną do biznesu i właściwie współgrać z procesami biznesowymi, gdyż tylko wtedy będzie skutecznie stosowane przez organizację i zapewni realną a nie fikcyjną ochronę naszych danych osobowych.