Ping z wami. Działy prawne klienta co jakiś czas wymagają od was zawarcia data processing agreement, czyli inaczej umów powierzenia. Kiedy taka umowa jest potrzebna w IT i dlaczego?

Kiedy?
First things first, czyli kiedy – w każdej sytuacji, kiedy mamy dostęp do informacji stanowiących dane osobowe w myśl RODO/GDPR. To czy mamy dostęp do takich informacji powie nam sam klient, to on wie czy wpisują się one w kategorię danych osobowych. Pamiętajcie, że mówimy tu o  informacjach uznanych za dane osobowe przez prawo, nie przez zdroworozsądkowego człowieka.
Co ciekawe to konieczność zawarcia takiej umowy nie zawsze jest oczywista, często spotykam pytania „dlaczego?” i „czy na pewno musimy? Przecież my nic nie robimy!” Ewentualnie „dane są szyfrowane i nic nam do tego”. Tutaj niestety ponownie trzeba odłożyć na bok zdrowy rozsądek oraz logikę i zdać się na przepisy. A przepisy są następujące: każda operacja wykonana na informacji uznanej za dane osobowe jest ich przetwarzaniem, a jak jest przetwarzanie to jest i obowiązek zawarcia takiej umowy. Żeby nie być gołosłownym na dole strony macie listę przykładowych* czynności, które RODO/GDRP uznaje za dane osobowe.

Przechowywanie
Skupmy się na przechowywaniu. Dostarczacie klientowi VPS lub SaaS – przetwarzacie dane osobowe. Na dostarczanych przez was (i pewnie też serwisowanych) urządzeniach, w zarządzanych systemach lub aplikacjach znajdują się informacje stanowiące dane osobowe. Dla prawa oznacza to, że je przetwarzacie. Nie ma dla niego znaczenia czy je widzicie za każdym razem ani czy potrzebujecie je zobaczyć. Nie ma też znaczenia czy jesteście dostawcą usługi od A do Z czy też odpowiadacie tylko za hardware albo tylko za software.

Obsługa IT
Tutaj robi się nieco ciekawiej, bo duży wpływ ma to co robicie dla klienta. Tworzycie dla niego aplikację? Nie ma powierzenia i nie ma problemu. Adminujecie systemem, czyli możecie podejrzeć informacje – tak, potrzebujecie umowy. Serwisujecie sprzęt – jeśli z dostępem do dysków to  raczej tak, bez nie. Obsługujecie własny serwer klienta, laptopy, PC, np. robicie diagnostykę, backup itp. – tak, musicie mieć. Jesteś postmasterem? – bez umowy ani rusz. A jeśli macie wątpliwości? Konsultujecie z prawnikiem IT i klientem by mieć pewność.

Dlaczego?
Bo bez umowy klient nie będzie z wami współpracował. Po prostu nie wolno mu kupować usług i zatrudniać podwykonawców (RODO/GDPR nazywa ich podmiotami przetwarzającymi, w Polsce możecie się spotkać z terminem procesor), którzy nie mają z nim takiej umowy. Jeśli naruszy ten zakaz, to grozi mu kara finansowa (do 10 mln EUR, a jak jest dużym klientem, powyżej 2 mld zł rocznego obrotu, to do 2% tegoż). Widząc ryzyko takiej kary, klienci wolą podpisywać umowy niż ryzykować starcie z Urzędem Ochrony Danych Osobowych lub jego odpowiednikiem w innym kraju UE. A jeśli nie będziecie chcieli takiej umowy podpisać to klient prędzej czy później zakończy z wami współpracę.

Własna propozycja umowy
To ciekawy pomysł, po pierwsze musicie ją mieć. Nawet jeśli klient o tym nie pomyślał, to i tak ją potrzebujecie, bo jako procesor również wy jako podwykonawcy czy usługodawcy możecie zostać ukarani za brak data processing agreement. Kara dla podmiotu przetwarzającego może być taka sama jak dla klienta. Własna umowa powierzenia ma też pewną zaletę, możecie narzucić własne warunki, odpowiednio korzystne dla was i nie raz lepsze niż gdy taką umowę proponuje klient. Oczywiście musi się ona mieścić w ramach tego co narzuca RODO/GDPR, więc nie wprowadzicie tam wszystkiego, ale przykładowo: wzór klienta może utrudniać lub blokować wam pod zlecanie dalej pewnych usług a wasz  nie będzie robił tutaj przeszkód.
Jeśli to klient  zaproponował umowę nie  podpisujcie jej w ciemno. Skonsultujcie się z prawnikiem mającym pojęcie o RODO/GDPR i rozumiejącym na czym polega wasz biznes. Klient  i jego prawnicy nie mają o tym pojęcia i często tworzą  umowy, które  praktycznie uniemożliwiają dalszą współpracę. Nieraz wyciągałem firmy z sytuacji, gdy proponowana umowa praktycznie blokowała biznes bo np. narzucała nierealne terminy, dodawała obowiązki, których nie mogliśmy wykonać bo techniczne brakowało nam wiedzy o procesie biznesowym klienta, wymagała skomplikowanej procedury zgłoszenia podwykonawcy lub przerzucała na nas koszty dostosowania klienta do RODO/GDPR. Oczywiście żadna z tych kwestii nie została napisana w umowie wprost ale prawnik ogarniający RODO/GDPR i  IT widzi takie rzeczy.

Umowa z pracownikiem IT
Czasem stykam się z pytaniem czy trzeba zawrzeć umowę powierzenia z osobą z szeroko rozumianego IT. I tutaj niestety odpowiem, że to zależy, bo czasem trzeba będzie podpisać ją z kimś kto współpracuje z nami w ramach umowy o dzieło lub zlecenia a w innym przypadku może nie być takiej potrzeby, nawet jeśli będzie to osoba na B2B. Wszystko zależy od okoliczności. Rodzaj umowy nie ma znaczenia, raczej wpływa na to  sposób współpracy i zakres zadań.

Czy to ma sens?
Prawne rzeczy nie zawsze wydają się sensowne, ale skoro po całej Unii przetaczają się kary finansowe, jedna została już nałożona w Polsce i zapowiadają się kolejne. to moim zdaniem oszczędzanie na tej kwestii nie ma sensu. Nawet Google od dawna umożliwia swoim klientom zawarcie takiej umowy.

Problemy?
Całe mnóstwo, taka umowa wymaga od nas weryfikacji wszystkich dostawców usług i uregulowania współpracy z nimi. Z tymi, którzy nie zechcą będziemy musieli zakończyć współpracę albo przygotować budżet na kary oraz przymusowe przestoje, ale tak to już bywa.
Dwa największe jakie znam:
1. Przekonanie  Klienta lub osób decyzyjnych w naszej organizacji, że taka umowa jest potrzebna.
2. Zapanowanie nad systemem umów. Jeśli  Klient narzucił nam w umowie  pewien obowiązek lub termin a my wykorzystujemy w projekcie  podwykonawcę lub usługodawcę to nie dość, że musimy zawrzeć z nim odpowiednią umowę  dalszego powierzenia to jeszcze zadbać by obowiązki zawarte w umowie z podwykonawcą/usługodawcą umożliwiały nam wykonanie   naszych, zawartych w umowie z Klientem. Rzecz bardzo trudna gdy  usługodawcą jest duża zewnętrzna firma.