Umowy powierzenia przetwarzania danych osobowych nie są tak naprawdę niczym nowym. Obowiązek ich zawierania istniał już przed rozpoczęciem obowiązywania RODO, lecz świadomość konieczności regulacji przepływu danych za pomocą umowy była o wiele mniejsza niż obecnie. Zmianą, jaką przyniosło RODO jest zakres umowy, znacznie szerszy niż dotychczas.
Zakres umowy powierzenia może stać się przyczyną problemów, przede wszystkim, gdy administrator próbuje nałożyć na podmiot przetwarzający wiele restrykcyjnych obowiązków. W ostatnich miesiącach niejednokrotnie spotykam się z umowami, których celem jest niezwykle mocne zabezpieczenie interesów administratora. Niestety obowiązki nałożone za pomocą takich umów na podmiot przetwarzający są zazwyczaj niewykonalne. Prowadzi to do długich negocjacji lub jest przyczyną odmowy zawarcia umowy.
Oczywiście zadaniem administratora jest jak najlepiej dbać o przetwarzane przez niego dane osobowe, czemu można dać wyraz w umowie powierzenia przetwarzania danych. Uważam jednak, że należy wziąć również pod uwagę interesy i możliwości organizacyjne lub techniczne podmiotu przetwarzającego. Dzięki temu podmiot przetwarzający będzie bardziej skłonny zawrzeć umowę, zaś administrator będzie miał większą pewność, że w razie potrzeby druga strona wykona nałożone na nią obowiązki.
W pierwszej kolejności należy się zastanowić, czy w ogóle istnieje potrzeba dokładnego uregulowania współpracy, w ramach której dochodzi do powierzenia przetwarzania danych osobowych? Być może wystarczy umowa zbudowana przede wszystkim w oparciu o ogólne postanowienia określone w art. 28 RODO? Jeśli natomiast potrzebujemy dokładniejszych regulacji, ustalmy, na czym najbardziej nam zależy. Pod uwagę warto wziąć również renomę kontrahenta, poziom wykonywanych przez niego usług czy dotychczasową współpracę.
Oto lista zagadnień, które moim zdaniem najczęściej prowadzą do sporów pomiędzy administratorem a podmiotem przetwarzającym w trakcie negocjacji umowy powierzenia przetwarzania danych osobowych:
- odpowiedzialność podmiotu przetwarzającego (stosowanie kar umownych, szeroki zakres odpowiedzialności);
- tryb rozwiązywania umowy w przypadku jej nieprawidłowego wykonania (rozmaite przyczyny rozwiązania, brak uwzględnienia konieczności dokończenia współpracy);
- audyty (wykonywanie ich w sposób naruszający organizację pracy podmiotu przetwarzającego, zakres audytu);
- zabezpieczenie danych (konieczność spełnienia o wiele surowszych wymagań niż przewiduje to RODO);
- współpraca przy realizacji żądań osób, których dane są przetwarzane (nieuwzględnianie konieczności poniesienia nakładów finansowych oraz wysiłku organizacyjnego przed podmiot przetwarzający).
Oczywiście, jeśli uda się nam zawrzeć umowę, zgodnie z którą podmiot przetwarzający weźmie na siebie szereg obowiązków, będziemy mieli problem z głowy. Jednak w przypadku, gdy najważniejsze będzie dla nas, aby kontrahent zgodził się na restrykcyjne postanowienia, może okazać się, że do podpisania umowy w ogóle nie dojdzie. Zmusi nas to albo do szukania nowego podmiotu przetwarzającego, albo do dalszej współpracy przy jednoczesnym braku umowy (jeśli wyżej będziemy cenić sam fakt współpracy niż zgodność z przepisami RODO).