W praktyce wiele firm ma z tym tematem dwa przeciwne problemy. Jedne podpisują umowę powierzenia przetwarzania danych „na wszelki wypadek” z każdym zewnętrznym kontrahentem, nawet wtedy, gdy wcale nie dochodzi do przetwarzania danych w cudzym imieniu. Inne odwrotnie — korzystają z usług dostawców IT, hostingu, firm szkoleniowych czy przewoźników, zakładając, że skoro głównym przedmiotem współpracy jest „usługa techniczna”, to RODO nie wymaga dodatkowego uregulowania. Tymczasem punkt wyjścia jest dość prosty: podmiot przetwarzający to taki podmiot, który przetwarza dane osobowe w imieniu administratora, a przetwarzanie przez taki podmiot powinno być uregulowane umową albo innym wiążącym instrumentem prawnym.
Najważniejsze pytanie nie brzmi więc: „czy zewnętrzna firma ma styczność z danymi?”, ale raczej: w jakiej roli ma z nimi styczność. Europejska Rada Ochrony Danych wskazuje, że działanie „w imieniu administratora” oznacza przetwarzanie danych dla korzyści administratora, zgodnie z jego instrukcjami co do celu i zasadniczych elementów przetwarzania. EDPB podkreśla też, że podmiot przetwarzający nie może wykorzystywać danych do własnych celów, a nie każdy usługodawca, który styka się z danymi przy okazji świadczenia usługi, automatycznie staje się procesorem.
Zapraszamy do współpracy
Szczegółowe informacje o ofercie i warunkach współpracy można uzyskać telefonicznie lub wysyłając zapytanie za pomocą formularza kontaktowego.
Kiedy umowa powierzenia jest naprawdę potrzebna?
Umowa powierzenia danych jest potrzebna wtedy, gdy administrator realizuje swoje cele związane z przetwarzaniem danych przy pomocy zewnętrznego podmiotu, którego rola ma charakter pomocniczy, wspierający albo techniczny. UODO wyjaśnia to wprost: potrzeba zawarcia takiej umowy pojawia się wtedy, gdy administrator korzysta z pomocy zewnętrznych specjalistów dla realizacji własnych zadań związanych z przetwarzaniem danych. Innymi słowy, chodzi o sytuację, w której to administrator nadal decyduje „po co” dane są przetwarzane, a zewnętrzny partner pomaga mu to wykonać.
W praktyce zwykle będą to te przypadki, w których zewnętrzny dostawca przetwarza dane na Twoje zlecenie, według Twoich celów i w ramach Twojego procesu, nawet jeśli sam wybiera część środków technicznych. EDPB zaznacza, że procesor może mieć pewien zakres swobody co do narzędzi czy organizacji pracy, ale nie powinien samodzielnie przejmować decyzji co do własnych celów przetwarzania. Dlatego umowa powierzenia będzie typowa tam, gdzie dostawca utrzymuje system, przechowuje dane, archiwizuje je, obsługuje określony fragment procesu albo ma dostęp do informacji wyłącznie po to, by wykonać usługę dla administratora.
Dobrym przykładem z praktyki UODO jest sprawa dotycząca serwerów i przechowywania danych — w decyzji opisano umowę powierzenia, której przedmiotem było przechowanie danych osobowych na serwerach, wraz z obowiązkami dotyczącymi m.in. kopii zapasowych. To klasyczny model, w którym dostawca nie realizuje własnego celu biznesowego względem tych danych, lecz świadczy usługę na rzecz administratora.
Ciekawy i ważny jest też przykład, który dla wielu firm nie jest intuicyjny. UODO opisał sprawę spółki kurierskiej, w której zewnętrzni przewoźnicy uczestniczyli w załadunku, rozładunku i przewozie przesyłek, mając dostęp do etykiet adresowych z danymi osobowymi. Organ uznał, że brak umów powierzenia z takimi przewoźnikami naruszał art. 28 ust. 3 RODO. To pokazuje, że nie tylko „czysto informatyczne” usługi mogą wymagać umowy powierzenia — czasem wystarczy realny udział zewnętrznego partnera w procesie, w którym przetwarza on dane w cudzym imieniu.
Kiedy sama współpraca z podmiotem zewnętrznym jeszcze nie oznacza powierzenia?
Nie każde przekazanie danych albo nie każda obecność zewnętrznego podmiotu przy danych oznacza relację administrator–procesor. EDPB wyraźnie zaznacza, że rola procesora nie wynika z nazwy firmy ani z branży, ale z konkretnej aktywności w konkretnym kontekście. Ten sam podmiot może przy jednych operacjach działać jako administrator, a przy innych jako procesor, dlatego ocena zawsze musi dotyczyć realnego modelu współpracy, a nie samej etykiety w umowie handlowej.
Umowa powierzenia nie będzie potrzebna wtedy, gdy drugi podmiot samodzielnie określa własne cele przetwarzania albo wykonuje własne obowiązki wynikające z prawa. Nie będzie też potrzebna w relacji z osobami działającymi pod bezpośrednim zwierzchnictwem administratora, bo pracownicy czy osoby czasowo zatrudnione nie są procesorami w rozumieniu RODO. EDPB wprost wskazuje, że przetwarzanie danych przez własny personel administratora nie jest „sytuacją procesora”.
Bardzo praktyczny jest tu przykład zewnętrznego inspektora ochrony danych. UODO wyjaśnia, że sama umowa o świadczenie usług polegających na wykonywaniu zadań IOD nie jest umową powierzenia. To ważne rozróżnienie, bo IOD nie działa jako klasyczny wykonawca przetwarzający dane w imieniu administratora dla realizacji jego celów biznesowych, lecz wykonuje ustawowo określoną funkcję w ramach systemu zgodności.
Powierzenie czy udostępnienie danych?
W praktyce właśnie tu pojawia się najwięcej błędów. Jeżeli zewnętrzny partner dostaje dane po to, aby wykonać Twój proces według Twoich instrukcji, najczęściej mówimy o powierzeniu. Jeżeli natomiast dane trafiają do podmiotu, który samodzielnie określa cel ich przetwarzania albo działa na własnej podstawie prawnej, mamy raczej do czynienia z odrębną relacją administrator–odbiorca danych, a nie z klasycznym powierzeniem. EDPB podkreśla, że decydujące jest to, czy usługodawca służy interesowi administratora i działa na jego polecenie, czy zaczyna realizować własne cele przetwarzania.
Z tego powodu nie wystarczy odpowiedzieć sobie na pytanie, „czy ktoś dostał dane”. Trzeba jeszcze ustalić, po co je dostał, kto decyduje o celu, kto określa kluczowe zasady przetwarzania i czy usługodawca może użyć danych do własnych celów. Jeżeli może, zaczyna wychodzić poza rolę procesora. Jeżeli nie może i działa wyłącznie w Twoim imieniu, umowa powierzenia staje się naturalnym i zwykle obowiązkowym rozwiązaniem.
Co powinna zawierać umowa powierzenia?
UODO przypomina, że taka umowa albo inny instrument prawny powinny określać co najmniej przedmiot i czas trwania przetwarzania, charakter i cel przetwarzania, rodzaj danych osobowych, kategorie osób, których dane dotyczą, oraz obowiązki i prawa administratora. To jest rdzeń, bez którego nie da się mówić o prawidłowym uregulowaniu relacji z procesorem.
Na tym jednak praktyka się nie kończy. Z materiałów UODO i wytycznych EDPB wynika, że w prawidłowo skonstruowanej umowie powinny znaleźć się także postanowienia dotyczące działania wyłącznie na udokumentowane polecenie administratora, zachowania poufności, stosowania odpowiednich środków bezpieczeństwa, pomocy administratorowi w realizacji obowiązków wobec osób, których dane dotyczą, zasad zwrotu lub usunięcia danych po zakończeniu współpracy, udostępniania informacji potrzebnych do weryfikacji zgodności oraz zasad korzystania z dalszych podmiotów przetwarzających.
Warto też pamiętać o formie. UODO w materiałach edukacyjnych wskazuje, że umowa może mieć formę pisemną albo elektroniczną, więc nie musi oznaczać papierowego, osobnego dokumentu podpisanego odręcznie. Liczy się to, by była wiążąca, dała się wykazać i rzeczywiście regulowała relację zgodnie z art. 28 RODO.
Czy musi to być osobny dokument?
Nie zawsze. RODO dopuszcza, aby relacja z procesorem była uregulowana umową albo innym instrumentem prawnym wiążącym strony. W praktyce oznacza to, że postanowienia powierzenia mogą być częścią szerszej umowy handlowej, regulaminu usług B2B albo aneksu — pod warunkiem, że rzeczywiście obejmują wszystkie wymagane elementy. Komisja Europejska przyjęła też standardowe klauzule umowne między administratorami a procesorami na podstawie art. 28 ust. 7 RODO, które mogą być punktem odniesienia przy przygotowaniu własnej dokumentacji.
Z praktycznego punktu widzenia ważniejsze od tego, czy dokument nosi tytuł „Umowa powierzenia”, jest to, czy realnie reguluje relację zgodnie z art. 28. Wiele problemów nie wynika dziś z całkowitego braku dokumentu, ale z tego, że wpisano do niego kilka ogólnych zdań o poufności, a pominięto kwestie instrukcji, bezpieczeństwa, wsparcia przy realizacji praw osób czy zasad korzystania z podwykonawców. UODO zwracało uwagę także na takie przypadki, wskazując, że umowy powierzenia niekiedy nie zawierają wszystkich postanowień wymaganych przez art. 28 ust. 3 RODO.
Co z dalszymi podmiotami przetwarzającymi?
To temat często pomijany, zwłaszcza przy usługach SaaS, hostingu i złożonych ekosystemach IT. EDPB wyjaśnia, że procesor nie może zaangażować kolejnego procesora bez wcześniejszej, pisemnej zgody administratora — konkretnej albo ogólnej. Przy zgodzie ogólnej musi też poinformować administratora o planowanych zmianach, tak aby ten mógł się sprzeciwić. Co więcej, jeśli dojdzie do podpowierzenia, na dalszy podmiot trzeba nałożyć zasadniczo te same obowiązki ochrony danych, które wynikają z relacji między administratorem a pierwszym procesorem.
To właśnie dlatego dobra umowa powierzenia nie powinna kończyć się na jednym zdaniu typu „dostawca może korzystać z podwykonawców”. Administrator powinien wiedzieć, kto faktycznie przetwarza dane, gdzie ten podmiot działa i jakie zabezpieczenia stosuje. W niedawnej opinii EDPB podkreślono nawet, że administrator powinien mieć stale dostępne informacje o tożsamości wszystkich procesorów i subprocesorów, aby móc realnie wykonywać obowiązki z art. 28 RODO.
Dlaczego nie warto traktować umowy powierzenia jak formalności?
Bo z perspektywy organu nadzorczego to nie jest „papier do segregatora”, tylko element rozliczalności i kontroli nad całym procesem. UODO przypomina, że administrator ma korzystać wyłącznie z usług takich podmiotów, które dają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych. EDPB w opinii z 2024 r. dodała, że obowiązek weryfikacji gwarancji procesora ma charakter ciągły: administrator powinien być w stanie wykazać, że sprawdził podmiot przetwarzający, a skala tej weryfikacji może się różnić zależnie od okoliczności, ale nie znika tylko dlatego, że administrator uzna ryzyko za niskie.
W praktyce brak wymaganej umowy może skończyć się nie tylko zaleceniem poprawy dokumentacji. UODO w swoich decyzjach i komunikatach wielokrotnie wskazywał na naruszenia art. 28 w sytuacjach, gdy administrator faktycznie powierzał dane bez prawidłowego uregulowania relacji. W jednej z nowszych decyzji urząd podkreślił nawet, że brak umowy powierzenia może oznaczać nie tylko naruszenie art. 28, ale również problem z legalnością i rozliczalnością przetwarzania.
Umowa powierzenia przetwarzania danych
Umowa powierzenia przetwarzania danych jest naprawdę potrzebna wtedy, gdy zewnętrzny podmiot przetwarza dane w Twoim imieniu, dla realizacji Twoich celów, w ramach Twojego procesu i według Twoich instrukcji. Nie jest potrzebna tylko dlatego, że ktoś „gdzieś widzi dane”, ani nie staje się zbędna tylko dlatego, że główny przedmiot usługi jest techniczny albo logistyczny. Kluczowe jest ustalenie roli: czy kontrahent pomaga Ci przetwarzać dane jako procesor, czy działa jako odrębny administrator albo inny odbiorca.
Najbezpieczniejsze podejście jest praktyczne: przed podpisaniem umowy z dostawcą warto zadać sobie cztery pytania. Czy ten podmiot działa dla mojego celu? Czy mogę wydawać mu instrukcje co do przetwarzania? Czy nie używa danych do własnych celów? Czy bez jego udziału mój proces nadal pozostaje „mój”, tylko technicznie wspierany? Jeśli odpowiedzi prowadzą do relacji „w imieniu administratora”, umowa powierzenia zwykle nie jest dodatkiem — tylko obowiązkiem.
