Outsourcing HR, księgowości i IT. Gdzie są Twoje umowy powierzenia?
Share
Biuro rachunkowe widzi dane wszystkich Twoich pracowników. Firma IT ma dostęp do całej infrastruktury. Agencja HR przetwarza dane kandydatów. Każdy z nich wymaga umowy którą większość firm nie ma.
Jest taki eksperyment który warto przeprowadzić w każdej firmie.
Weź listę wszystkich zewnętrznych dostawców którzy w jakikolwiek sposób mają kontakt z danymi osobowymi Twojej organizacji – danymi pracowników, klientów, kandydatów, kontrahentów. Biuro rachunkowe. Firma IT. Agencja rekrutacyjna. Hosting. System do mailingu. Platforma do zarządzania projektami. Chmura na której trzymasz dokumenty. Narzędzie do fakturowania.
Lista wyjdzie dłuższa niż myślisz.
A teraz sprawdź – z każdym z tych dostawców masz umowę powierzenia przetwarzania danych osobowych zgodną z art. 28 RODO?
Pierwszą reakcją w większości firm jest chwila ciszy. Drugą – "mamy z nimi umowę ogólną, tam na pewno coś o tym jest." Trzecią – wysłanie maila do prawnika z pytaniem.
Czwartą reakcją – po sprawdzeniu – jest zazwyczaj zaskoczenie.
Czym jest umowa powierzenia i dlaczego jest wymagana
RODO wprowadza fundamentalne rozróżnienie między dwoma rolami w przetwarzaniu danych osobowych.
Administrator to podmiot który decyduje o celach i sposobach przetwarzania danych. Jeśli Twoja firma zbiera dane klientów żeby realizować umowy – jest administratorem tych danych. Jeśli zbiera dane pracowników żeby prowadzić kadry – jest administratorem tych danych.
Podmiot przetwarzający – z angielskiego processor, czasem używane wprost – to podmiot który przetwarza dane w imieniu administratora. Nie decyduje po co. Nie decyduje jak. Wykonuje określone operacje zgodnie z instrukcjami administratora.
Art. 28 RODO stawia sprawę jasno: jeśli administrator powierza przetwarzanie danych podmiotowi przetwarzającemu – musi to zrobić na podstawie umowy. Umowy która spełnia konkretne wymagania co do treści. Umowy pisemnej lub w formie elektronicznej.
Bez takiej umowy powierzenie jest nielegalne. Kropka.
Kto w Twoich dostawcach jest podmiotem przetwarzającym
Tu zaczyna się właściwa analiza.
Biuro rachunkowe.
Klasyczny podmiot przetwarzający. Biuro prowadzi Twoje kadry i płace. Przetwarza dane wszystkich Twoich pracowników – imiona, nazwiska, numery PESEL, adresy, wynagrodzenia, informacje o zwolnieniach lekarskich, dane członków rodziny na potrzeby PIT. Wszystko to są dane osobowe. Biuro nie decyduje po co są przetwarzane – robi to na Twoje zlecenie i zgodnie z Twoimi potrzebami. Wymaga umowy z art. 28 RODO.
Zewnętrzna firma IT.
Jeśli ma dostęp administracyjny do Twoich systemów – do serwerów, baz danych, skrzynek mailowych, systemów CRM – przetwarza dane osobowe w Twoim imieniu. Nawet jeśli formalnie "tylko utrzymuje infrastrukturę." Dostęp administracyjny to techniczna możliwość wglądu w dane. Z perspektywy RODO to jest przetwarzanie.
Agencja HR i firmy rekrutacyjne.
Przetwarzają dane kandydatów zebrane na Twoje zlecenie. Co więcej – często same też są administratorem własnej bazy kandydatów którą Ci udostępniają. Tu dokładna analiza roli wymaga uwagi – czasem mamy podmiot przetwarzający, czasem współadministratora, czasem osobnego administratora z osobnym obowiązkiem informacyjnym.
Dostawca hostingu i chmury.
AWS, Azure, Google Cloud, polskie data center – każdy z nich przetwarza dane które u nich przechowujesz. Nawet jeśli nie mają technicznej możliwości ich odczytania – fakt przechowywania jest przetwarzaniem w rozumieniu RODO. Umowa powierzenia jest wymagana.
Narzędzia SaaS do pracy zespołowej.
Notion, Slack, Monday, Asana, Trello, Google Workspace, Microsoft 365. Każde z nich przetwarza dane Twoich pracowników – przynajmniej ich imiona, nazwiska, adresy mailowe i treści rozmów. Jeśli dodatkowo trzymacie tam dokumenty z danymi osobowymi klientów lub kandydatów – skala przetwarzania jest znacząca.
Systemy do mailingu.
Mailchimp, GetResponse, Freshmail. Przetwarzają dane Twoich odbiorców mailingu. Dla tych dostawców umowy powierzenia są zazwyczaj standardem – ale warto sprawdzić czy faktycznie ją masz podpisaną a nie tylko kliknięty checkbox przy zakładaniu konta.
Kancelaria prawna zewnętrzna.
Tu jest niuans. Kancelaria obsługująca Twoją firmę najczęściej nie jest podmiotem przetwarzającym – jest odrębnym administratorem danych w zakresie świadczenia pomocy prawnej. To wynika z przepisów o adwokaturze i radcach prawnych. W branży jest jednak drobna wojna i poruszenie tego tematu w tłumie może skończyć się bójką. Najważniejsze przy trzymać się modelu który uznaliście za słuszny - powierzenia lud udostepnienia.
Co musi zawierać umowa która faktycznie działa
Art. 28 RODO nie zostawia miejsca na interpretację. Umowa powierzenia musi zawierać konkretne elementy:
Przedmiot i czas trwania przetwarzania. Nie "ogólnie w ramach współpracy" – konkretnie jakie dane, w jakim zakresie, przez jaki okres.
Charakter i cel przetwarzania. Po co podmiot przetwarzający dotyka tych danych.
Rodzaj danych osobowych i kategorie osób których dane dotyczą. Dane pracowników, klientów, kandydatów – musi być wskazane.
Obowiązki i prawa administratora. To co Ty musisz robić i czego masz prawo od dostawcy oczekiwać.
Zobowiązanie podmiotu przetwarzającego do przetwarzania danych tylko na udokumentowane polecenie administratora. To oznacza że biuro rachunkowe nie może użyć Twoich danych do własnych celów – nawet dobrych celów jak analiza rynku pracy.
Zobowiązanie do zachowania poufności przez osoby upoważnione do przetwarzania danych.
Wdrożenie odpowiednich środków technicznych i organizacyjnych zgodnych z art. 32 RODO. Czyli zabezpieczenia danych.
Warunki korzystania z dalszych podmiotów przetwarzających. Jeśli biuro rachunkowe korzysta z systemu informatycznego dostarczanego przez trzecią firmę – masz prawo wiedzieć i masz prawo się nie zgodzić.
Pomoc w realizacji praw osób których dane dotyczą. Jeśli dostaniesz wniosek pracownika o dostęp do jego danych – biuro rachunkowe musi Ci pomóc go obsłużyć.
Pomoc w zapewnieniu bezpieczeństwa przetwarzania, zgłaszaniu naruszeń i ocenie skutków.
Usunięcie lub zwrot danych po zakończeniu świadczenia usług. To jeden z najczęściej pomijanych punktów – a zarazem jeden z najważniejszych.
Udostępnianie informacji niezbędnych do wykazania spełnienia obowiązków i umożliwienie audytów.
Umowa która zawiera wszystkie te elementy jest umową powierzenia zgodną z RODO. Umowa która ma jedno zdanie "strony zobowiązują się przetwarzać dane zgodnie z RODO" – nie jest.
Częste błędy które widzę w praktyce
Błąd pierwszy: założenie że "to jest w umowie głównej."
Umowa główna z biurem rachunkowym opisuje zakres usług, wynagrodzenie i odpowiedzialność. Zazwyczaj ma jeden akapit o RODO – i to zwykle ten sam bezużyteczny akapit o "przestrzeganiu przepisów." Umowa powierzenia z art. 28 RODO wymaga znacznie więcej. Może być osobnym dokumentem. Może być załącznikiem do umowy głównej. Ale musi zawierać wymagane elementy – nie skrót z nich.
Błąd drugi: checkbox przy zakładaniu konta w SaaS.
Przy rejestracji w Notion, Slack czy Mailchimp akceptujesz regulamin który zawiera postanowienia o przetwarzaniu danych. To w wielu przypadkach – ale nie we wszystkich – spełnia wymogi art. 28 RODO. Problem polega na tym że większość firm nie wie czy w ich konkretnym przypadku spełnia. Nigdy tego nie sprawdzili.
Błąd trzeci: brak umów z dostawcami którzy są "tylko technicznymi."
Firma IT która robi kopie zapasowe Twoich serwerów "tylko technicznie" dotyka wszystkich Twoich danych. Fakt że nikt z tej firmy nie czyta zawartości plików nie zmienia faktu że fizycznie te dane są przetwarzane. Umowa powierzenia jest wymagana.
Błąd czwarty: brak monitorowania dalszych podmiotów.
Biuro rachunkowe korzysta z Comarch ERP XL. Comarch przetwarza dane Twoich pracowników jako dalszy podmiot przetwarzający. Twoja umowa z biurem powinna określać czy biuro ma Twoją generalną czy jednostkową zgodę na korzystanie z dalszych podmiotów. Bez tej regulacji – biuro narusza warunki powierzenia każdego dnia.
Błąd piąty: brak zdefiniowanego losu danych po zakończeniu współpracy.
Rozstajesz się z biurem rachunkowym po trzech latach. Co się dzieje z Twoimi danymi? Są usuwane? Zwracane Tobie? W jakim terminie? W jakim formacie? Kto to potwierdza? Większość umów tego nie precyzuje – a potem dane pracowników firmy krążą w systemie byłego biura jeszcze latami.
Praktyczny plan działania dla firm które dotarły do tego miejsca artykułu
Zacznij od inwentaryzacji. Stwórz listę wszystkich zewnętrznych dostawców którzy mają jakikolwiek dostęp do danych osobowych. To nie jest projekt na pół dnia – to jest projekt na tydzień dla średniej firmy. Ale to jest projekt który trzeba wykonać zanim zacznie się cokolwiek naprawiać.
Sprawdź status każdej relacji. Jaki to rodzaj przetwarzania. Czy masz umowę. Czy umowa spełnia wymogi art. 28 RODO. Czy jest aktualna.
Ustaw priorytety. Zacznij od tych dostawców którzy przetwarzają największe zakresy danych lub dane najbardziej wrażliwe. Biuro rachunkowe z pełnymi danymi pracowników przed narzędziem do mailingu z samymi mailami klientów.
Zgłoś się do dostawców po brakujące umowy. Większość profesjonalnych dostawców ma gotowe wzory umów powierzenia. Jeśli dostawca nie ma takiego wzoru i nie rozumie pytania – to jest sygnał że Twoje dane mogą być u niego w gorszych rękach niż myślisz.
Wpisz każdego podmiotu przetwarzającego do rejestru czynności przetwarzania. To jest obowiązek z art. 30 RODO którego również wiele firm nie realizuje – ale to temat na osobny tekst.
Dlaczego to się nie naprawia samo
Umowy powierzenia to jeden z tych obszarów compliance gdzie żadna strona relacji biznesowej nie ma silnej motywacji żeby pierwsza poruszyć temat.
Ty jako administrator nie chcesz się tłumaczyć z braku umowy bo wiesz że dostawca ma rację. Dostawca jako podmiot przetwarzający nie chce podpisywać umowy bo wie że nakłada ona na niego konkretne obowiązki. Obie strony wolą żeby temat się nie pojawił.
Pojawia się zawsze. Albo przy kontroli UODO. Albo przy wycieku danych. Albo przy wniosku kogoś o dostęp do jego danych. Albo przy zmianie dostawcy gdy nagle okazuje się że stary dostawca ma Twoje dane a nie ma podstawy żeby je dalej przechowywać.
Wtedy temat nie tylko się pojawia – przychodzi z konkretną konsekwencją finansową albo wizerunkową.
Lepiej zająć się tym teraz gdy to jest projekt porządkowy niż za rok gdy to będzie projekt kryzysowy.
Podsumowanie
Outsourcing w obszarze HR, księgowości i IT to standard operacyjny większości polskich firm. Umowy powierzenia przetwarzania danych to obowiązek prawny który ten outsourcing legalizuje z perspektywy RODO.
Większość firm ma pierwsze. Mniejszość ma drugie.
Różnica między tymi dwiema grupami nie polega na wielkości budżetu na compliance. Polega na tym że ktoś kiedyś poświęcił tydzień żeby zrobić inwentaryzację dostawców i podpisać brakujące umowy.
Ten tydzień to jest najtańsza inwestycja w ochronę danych jaką możesz zrobić.
I zwykle jest tańsza niż jedna konsekwencja braku tej inwestycji.
Artykuł powstał przy wsparciu AI. Weryfikacja merytoryczna i redakcja: Damian Bielecki, Typ od RODO.