Krótka refleksja. Po wejściu RODO firmy zasypywały się wzajemnie umowami powierzenia danych w sytuacjach, gdy było to zbędne ponieważ zachodziła jedynie relacja udostępnienia danych. Wiele podmiotów przejętych rolą administratora chciało powierzać wszystko wszystkim.

Mamy po części tę falę absurdu i niezrozumienia już za sobą, ale po jej odpływie co raz bardziej uwidacznia się problem z podmiotami, które nie potrafią odnaleźć się w faktycznej roli procesora. Chodzi o podmioty, którym dane są powierzane: np. biura rachunkowe, firmy świadczące usługi kadrowe, płacowe czy informatyczne.

Poniżej zebrałem najczęstsze problemy z jakimi zmierzają się administratorzy chcąc powierzyć dane w ręce firm, które notabene w dobie mody na ochronę danych, w zasadzie powinny świecić przykładem i jako godny zaufania partner wychodzić klientowi na przeciw. Tymczasem zdarza się, że (niezrozumiale w kontekście europejskiego trendu) nie wszyscy dbają o jakość świadczenia usług w tak newralgicznej kwestii jak ochrona danych. Są jednak podmioty, które unikają tego typu sytuacji i systematycznie zwiększają swoją wiarygodność na rynku chwaląc się zgodnością z RODO.

Poniższe wnioski zebrałem na podstawie kilkudziesięciu umów powierzenia, z różnych obszarów rynkowych. Mam oczywiście świadomość, że odpowiedzialność za część z tych błędów i stan faktyczny spoczywa także na firmie, która przekazuje swoje dane.

1. Brak zabiegania o sformalizowanie powierzenia danych – zalegalizowanie swoich czynności przetwarzania. Do póki mniej zorientowany administrator nie odezwie się w sprawie umowy powierzenia milczymy, ponieważ to jego sprawa. Nie do końca…

2. Zwlekanie miesiącami w odpowiedzi na prośbę ADO o zawarcie umowy (po fakcie przekazania danych). Najważniejsze, że usługa jest realizowana i biznes się toczy np. od kilku lat. Gdy ma jednak już dojść do podpisania umowy i zwiększa się świadomość odpowiedzialności zwlekanie może zmienić się w walkę o zapisy w umowie.

3. Walka z klientem o usunięcie z umowy powierzenia danych zapisów, które wynikają wprost z RODO lub są ogólnie akceptowalnym standardem rynkowym zamiast wykazać, że spełnia się nie tylko ogólnie przyjęte minimum, ale że jest się konkurencyjnym w tym zakresie! Dla sprostowania nie chodzi o sytuacje, w której administrator poniesiony wyobraźnią proponuje w trakcie trwania umowy nieuzasadnione zapisy zwiększające koszt czy stawia wymogi absurdalne w swojej treści.

Dlaczego nie wykorzystuje się tego obszaru, aby budować markę i relacje partnerstwa? Powierzenie czego kolwiek oznacza konieczność zaufania… które może być podważane dyskusją na temat niektórych zapisów. Wszystko oczywiście zależy od danego kontekstu i tego jakiego rzędu ryzyka podmiot powierza dane oraz jakiej wielkości i o jakich możliwościach podmiot te dane ma przetwarzać i zabezpieczać. Czynność podpisywania umowy powierzenia może nie tylko być czystą formalnością, ale okazją do wspólnego zastanowienia się czy podmioty przekazujące sobie dane są na adekwatnym poziomie krótko mówiąc: siebie warci at all. Specjalista słusznie powie, że administrator powinen mieć wdrożone procedury wyboru podmiotu przetwarzającego i dokonać tej refleksji przed zawarciem umowy o świadczenie usług. Rzeczywistość jednak jest taka, że gdy weszło RODO wiele firm miały za sobą długoletnią współpracę i zmiana kontrahenta nie zawsze jest łatwa, tania i możliwa. Z doświadczenia mogę powiedzieć, że co raz częściej zdarza się sytuacja zmiana usługodawcy-procesora, tylko ze względu na wysokie ryzyko w obszarze stosowania RODO.

4. Nazywanie siebie administratorem w kontekście danych, które powinny być powierzone przy jednoczesnym braku realizacji obowiązków administratora np. Brak informowania osób, których dane dotyczą – przywłaszczenie danych.

5. Łamanie prawa: chomikowanie danych także po zakończeniu umowy, niezgodne z prawem wykorzystywanie do celów marketingowych, przekazywanie do wywiadu gospodarczego.

6. Decydowanie co jest danymi osobowymi, a co nie – to jest rola administratora, który przekazuje dane. W związku z tym unikanie zawarcia umowy powierzenia i niestosowanie ochrony danych.

7. Brak realizacji zobowiązań wynikających z umowy powierzenia np. oceny ryzyka, dopuszczenie jedynie osób upoważnionych i przeszkolonych, kontroli nad przepływem danych, uważny dobór dalszego podmiotu przetwarzającego. Brak procedury rekacji na incydent, w którym uczestniczyłyby dane wszystkich klientów uwzględniającej poszczególne i indywidulane zapisy umowne.

8. Hit! Brak wiedzy w jakich krajach przetwarzane są dane powierzone przez klienta, oraz wykorzystywanie narzędzi informatycznych, usług chmurowych przetwarzających dane w krajach trzecich.

9. Nie informowanie administratora o przekazaniu powierzonych danych do kolejnych podmiotów przetwarzających (brak wiedzy, audytu lub celowo). Brak umów pod-powierzenia. Do końca życia zapamiętam obraz serwera w piwnicy w bloku, na którym znajdowały się dane biura rachunkowego i jego klientów, którzy te dane powierzyli. Za pewne chcieliby o tym wiedzieć.

10. Zbyt szeroki dostęp do danych w ramach grupy kapitałowej bez zatwierdzonych przez np.UODO wiążących reguł korporacyjnych. „Beztroskie” przekazywanie danych pomiędzy niepowiązanymi kapitałowo podmiotami w ramach jednej marki.

11. Przerzucanie w umowie obowiązków procesora na administratora lub pomylenie ról np. audyt danych i dokumentacji administratora wykonany przez procesora w celu weryfikacji zgodności z RODO, wymuszanie na administratorze zbierania udokumentowanych zgód podczas gdy rzecz jasna ten może mieć inne podstawy prawne przetwarzania, zobowiązanie administratora do informowania osób utworzoną przez procesora klauzulą informacyjną.

12. Serwisy internetowe i usługodawcy zdalni – nie poinformowanie klientów o zmianie regulaminu w zakresie dodania warunków powierzenia danych, w związku z tym administratorzy nie są świadomi, że powierzenie jest i zostało uregulowane.

13. Usprawiedliwienie braku powierzenia danych hostowanych faktem, iż podmiot przetwarzający również jest ich administratorem i ma prawo dostępu do tych samych danych lub dane te są jawne. Zapominając tym samym, że powierzenie może dotyczyć utrzymania dostępności oraz integralności danych.

Powyższe punkty wymagają pewnego rozwinięcia, dopowiedzenia lub osadzenia w przykładzie, nie mniej chodzi bardziej o impuls do refleksji:

Pytanie dla firmy, które procesuje dane klientów: Czy nie warto wykorzystać RODO do budowania własnej marki jako podmiotu, któremu ze spokojem warto powierzyć dane?

Pytanie dla firmy, która musi powierzyć dane podmiotowi przetwarzającemu (np. do biura rachunkowego lub hostingodawcy): Czy nie warto wykorzystać renomy dobrego podmiotu przetwarzającego, aby wpływać na swój wizerunek jako rzetelnego administratora danych czyli np. pracodawcy czy usługodawcy?