Umowa powierzenia przetwarzania danych (DPA). Elementy i typowe pułapki

Umowa powierzenia przetwarzania danych (DPA). Elementy i typowe pułapki

Jeśli używasz biura rachunkowego, hostingu, CRM-a, mailingu albo dowolnego dostawcy który dotyka danych Twoich klientów lub pracowników – potrzebujesz z nim umowy powierzenia. Brzmi formalnie. Jest prostsze niż się wydaje.

Umowa powierzenia przetwarzania danych – po angielsku DPA, Data Processing Agreement – to jeden z dokumentów które RODO wprost wymaga. I jednocześnie jeden z najczęściej pomijanych w polskich firmach które dopiero zaczynają porządkować compliance.

Nie wymaga prawniczego wykształcenia żeby ją zrobić. Wymaga zrozumienia czego konkretnie ma dotyczyć i czego absolutnie nie wolno z niej pominąć.

Kiedy w ogóle potrzebujesz DPA

Zacznijmy od najprostszego pytania. Z kim musisz mieć umowę powierzenia.

Z każdym podmiotem zewnętrznym który przetwarza dane osobowe w Twoim imieniu.

Konkretnie:

  • Biuro rachunkowe które obsługuje listę płac i kadry. Tak.
  • Dostawca CRM gdzie trzymasz dane klientów. Tak.
  • System mailingowy do wysyłania newsletterów. Tak.
  • Firma hostingowa na której serwerach stoi Twoja strona z formularzami kontaktowymi. Tak
  • Dostawca chmurowy w którym przechowujesz dokumenty firmowe. Tak.

Firma sprzątająca która ma dostęp do biura z dokumentami. Tu odpowiedź jest "niekoniecznie" – jeśli sprzątają po godzinach i nie mają dostępu do systemów ani do dokumentów które celowo przeglądają, raczej nie. Ale dostęp fizyczny do biura z otwartymi szafami jest sytuacją graniczną.

Zasada jest prosta: jeśli ktoś z zewnątrz może zobaczyć, modyfikować albo wykorzystać dane osobowe które Ty zebrałeś – potrzebujesz z nim DPA. Przynajmniej dla świętego spokoju/

To jest łatwiejsze niż się wydaje

Pierwsze co warto powiedzieć żeby zdjąć presję.

DPA nie musi być wielostronicowym aktem prawnym napisanym specjalnie pod Twoją firmę. RODO nie wymaga skomplikowanego dokumentu. Wymaga żeby DPA zawierała konkretne elementy które wymienia art. 28 ust. 3 rozporządzenia.

Większość dostawców enterprise – Microsoft, Google, Amazon, popularne polskie systemy CRM, biura rachunkowe – ma gotowe wzory DPA które spełniają wymogi RODO. Można je podpisać. Nie trzeba pisać od zera.

Mała i średnia firma która nie ma ogromnego obrotu i nie operuje danymi szczególnej kategorii – nie musi mieć perfekcyjnie wypieszczonego prawniczo dokumentu. Musi mieć dokument który spełnia minimalne wymogi prawne.

Lepsza prosta DPA która istnieje niż wymarzona DPA która nie powstała bo "trzeba ją porządnie napisać."

Co konkretnie musi być w DPA

Art. 28 ust. 3 RODO wymienia listę elementów. Każdy z nich musi się w umowie znaleźć ale żaden nie musi zajmować dwóch stron.

Przedmiot przetwarzania. Co dostawca dla Ciebie robi. "Świadczenie usług księgowych" albo "Hosting strony internetowej" albo "Obsługa systemu CRM."

Czas trwania przetwarzania. Najprościej – tak długo jak trwa umowa główna na świadczenie usług. Można to zapisać jednym zdaniem.

Charakter i cel przetwarzania. Po co dostawca przetwarza te dane. "Świadczenie usług księgowych zgodnie z umową główną."

Rodzaj danych osobowych. Konkretne kategorie. Imiona, nazwiska, adresy mailowe, numery PESEL pracowników. Bez nadmiernej szczegółowości – wystarczy ogólnik dopasowany do skali.

Kategorie osób. Kto to są te osoby. "Pracownicy administratora," "Klienci administratora," "Kontrahenci administratora."

Obowiązki i prawa administratora. Twoje uprawnienia do kontroli, do żądania informacji, do zakończenia umowy.

Obowiązki podmiotu przetwarzającego. Co dostawca ma robić:

  • Przetwarzać dane tylko na Twoje udokumentowane polecenia
  • Zachowywać tajemnicę
  • Stosować odpowiednie środki bezpieczeństwa
  • Pomagać Ci w realizacji żądań osób których dane dotyczą
  • Powiadamiać Cię o naruszeniach
  • Pomagać Ci w DPIA jeśli będzie potrzebna
  • Po zakończeniu umowy usunąć albo zwrócić dane
  • Umożliwiać Ci kontrolę i audyt
  • Nie podpowierzać dalej bez Twojej zgody

Te elementy muszą być w umowie. Brak któregokolwiek to luka prawna.

Dlaczego nadmierna szczegółowość to pułapka

Tu jest błąd który widzę regularnie u firm które chciały "porządnie" napisać DPA.

Wypisują w umowie wszystkie konkretne kategorie danych – imię, nazwisko, drugie imię, adres zamieszkania, adres do korespondencji, adres mailowy służbowy, adres mailowy prywatny, numer telefonu komórkowego, numer telefonu stacjonarnego, NIP, REGON, numer rachunku bankowego, data urodzenia, data zatrudnienia.

Brzmi profesjonalnie. Jest bombą zegarową.

Bo za trzy miesiące firma zacznie zbierać też dane biometryczne do systemu dostępu. Albo zacznie obsługiwać klientów zagranicznych z dodatkowymi danymi. Albo wprowadzi nowy proces marketingowy z innymi danymi.

Każda taka zmiana powinna prowadzić do aneksu DPA. W praktyce nikt tego nie pamięta. Po roku rzeczywistość firmy ma się nijak do umowy powierzenia. Przy kontroli okazuje się że dostawca formalnie przetwarza dane do których umowa go nie upoważnia.

Lepsze podejście:

"Dane osobowe pracowników administratora w zakresie niezbędnym do realizacji usługi księgowej zgodnie z umową główną w szczególności takie jak dane kontaktowe, identyfikacyjne...."

"Dane osobowe klientów administratora w zakresie wynikającym z formularzy kontaktowych obsługiwanych przez stronę internetową."

Ogólnie ale dopasowane do faktycznej usługi. Bez listy konkretnych kategorii. Bez ryzyka że umowa się rozjedzie z rzeczywistością przy pierwszej zmianie procesu.

Forma pisemna nie znaczy podpisana ręcznie

Częste nieporozumienie wśród przedsiębiorców.

RODO wymaga formy pisemnej DPA. Pisemna w prawie unijnym znaczy "możliwa do odczytania." Nie znaczy "z odręcznym podpisem na papierze."

Konkretnie:

Mail z załączoną DPA i z mailem zwrotnym akceptującym jej treść – spełnia wymóg formy pisemnej.

Akceptacja DPA przez kliknięcie "akceptuję warunki" w panelu klienta dostawcy SaaS – spełnia wymóg formy pisemnej.

DPA jako załącznik do warunków świadczenia usługi które klient zaakceptował zakładając konto – spełnia wymóg formy pisemnej.

Nie musisz wysyłać kuriera z papierem do każdego dostawcy. Forma elektroniczna z możliwością późniejszego odtworzenia jest wystarczająca. Wszystkie współczesne usługi enterprise pracują w ten sposób.

Co ważne – musisz móc tę DPA przedstawić przy kontroli. To znaczy że trzeba ją zarchiwizować w sposób który pozwala na późniejsze odtworzenie. Mail w skrzynce z którego korzysta tylko jeden pracownik – ryzykowne. Centralny rejestr umów powierzenia z linkami do dokumentów – bezpiecznie.

Najważniejsze: sprawdzenie dostawcy, nie tylko podpisanie umowy

DPA jest dokumentem ale nie jest sama w sobie zabezpieczeniem. To że dostawca obiecał w umowie zachować poufność, stosować szyfrowanie i mieć backupy nie znaczy że to faktycznie robi.

UODO wielokrotnie powtarza w decyzjach – nie ma znaczenia co obiecał dostawca. Ważne czy administrator to sprawdza.

Co to znaczy w praktyce.

Sprawdzenie dostawcy przed powierzeniem. Krótki due diligence – jakie zabezpieczenia stosuje, gdzie ma serwery, jakie ma certyfikaty bezpieczeństwa, jaką ma reputację. Notatka z tej weryfikacji jest dowodem że nie wybraliście dostawcy losowo.

Monitoring w trakcie współpracy. Reagowanie na komunikaty dostawcy o zmianach. Sprawdzanie raportów bezpieczeństwa jeśli ma. Pytanie o incydenty.

Cykliczna weryfikacja. Raz w roku przegląd – czy dostawca nadal spełnia warunki współpracy. Czy zmiany w jego ofercie nie wpłynęły na zakres przetwarzania danych.

To wymaga czasu ale niewiele więcej niż sam fakt podpisania DPA. A daje obronę przy kontroli i przy ewentualnym incydencie.

Co jeśli dostawca ma własną DPA i nie chce podpisać Twojej

Standardowa sytuacja przy dużych dostawcach SaaS.

Microsoft nie podpisze Twojej autorskiej DPA. Google nie podpisze. Amazon nie podpisze. Mają własne DPA jako część warunków świadczenia usługi.

To jest w porządku jeśli ich DPA spełnia wymogi art. 28 RODO. W większości przypadków spełnia – dostawcy enterprise inwestują w prawników którzy to przygotowują pod europejskie wymogi.

Co zrobić:

Pobierz DPA dostawcy i przeczytaj ją. Sprawdź czy zawiera wszystkie elementy z art. 28 ust. 3 RODO. Sprawdź gdzie geograficznie są serwery. Sprawdź czy obejmuje obowiązek powiadamiania o incydentach. Teraz dzięki AI można to bardzo łatwo zweryfikować.

Jeśli DPA dostawcy spełnia wymogi – akceptujesz ją. To jest legalne i powszechne rozwiązanie. Twoja autorska DPA nie jest potrzebna.

Jeśli DPA dostawcy ma luki – masz wybór. Albo negocjujesz uzupełnienie (rzadko skuteczne z dużymi dostawcami). Albo szukasz innego dostawcy.

Rejestr umów powierzenia – Twój wewnętrzny porządek

Bez tego cała kwestia DPA zamienia się w chaos po roku.

Rejestr powinien zawierać:

Listę wszystkich dostawców z którymi macie DPA.

Datę zawarcia umowy i okres jej obowiązywania.

Zakres usługi i rodzaj przetwarzanych danych.

Lokalizację dokumentu DPA – link, ścieżkę do pliku, miejsce w archiwum.

Datę ostatniej weryfikacji dostawcy.

To może być zwykły arkusz w Excelu albo dedykowane narzędzie GRC. Co działa.

Bez rejestru przy pierwszej kontroli UODO odpowiedź na pytanie "ile podmiotów przetwarzających macie" zaczyna się od "muszę sprawdzić." A to jest gorsza odpowiedź niż konkretne "mamy 23 dostawców, lista i wszystkie DPA są w naszym rejestrze."

Praktyczna sekwencja działań

Krok pierwszy: zinwentaryzuj wszystkich dostawców którzy mają dostęp do danych osobowych w Twojej firmie. To często jest dłuższa lista niż się wydaje na początku.

Krok drugi: sprawdź z którymi macie już podpisane DPA. Najpierw enterprise – Microsoft, Google, popularne SaaSy. Często DPA już jest w warunkach licencji.

Krok trzeci: dla pozostałych dostawców – zażądaj DPA albo zaproponuj własny wzór. Polski wzór DPA pod RODO można znaleźć darmowo, jest też dostępny w wielu wzorach prawnych. Nie wymaga osobnego prawnika dla małej firmy.

Krok czwarty: sprawdź faktyczne zabezpieczenia każdego dostawcy. Nawet pobieżnie. Notatka z tej weryfikacji ma znaczenie.

Krok piąty: stwórz rejestr DPA i utrzymuj go aktualnym. Każdy nowy dostawca – wpis do rejestru. Każda zmiana zakresu współpracy – aktualizacja.

Sześć kroków. Max tydzień pracy dla małej firmy. Lata spokoju ducha.

Artykuł powstał przy wsparciu AI. Weryfikacja merytoryczna i redakcja: Damian Bielecki, Typ od RODO.

Powrót do blogu

Zostaw komentarz

Damian Bielecki

Damian Bielecki "Typ od RODO"

Ekspert ds. ochrony danych osobowycgh. Człowiek który postanowił że prawo o ochronie danych nie musi być nudne. W sieci działa jako Typ od RODO – tłumaczy RODO, CyberSec i AI Act językiem który rozumie biznes a nie tylko prawnicy. Ekspert który uzyskał certyfikaty CIPP/E, CIPM i FIP. Jeśli potrzebujesz pomocy z RODO lub marką osobistą – sprawdź jak pracuję wchodząc w linki.