W dobie cyfryzacji i gospodarki opartej na specjalizacji, dane osobowe stały
się fundamentem operacyjnym każdej formy działalności. Niezależnie od branży, firmy
i instytucje zlecają procesy podmiotom zewnętrznym, zapominając jednocześnie, że wraz ze zleceniem usługi, przekazują najistotniejszy zasób: dane osobowe. Niewłaściwa klasyfikacja relacji z partnerem logistycznym i brak jej formalnego uregulowania
w umowie powierzenia przetwarzania danych osobowych (DPA – Data Processing Agreement) to najprostsza droga do dotkliwej kary finansowej, o czym przekonała się spółka DPD Polska.
Decyzją DKN.5112.1.2023 z dnia 5 lutego 2026 roku Prezes Urzędu Ochrony Danych Osobowych nałożył kary administracyjne o łącznej kwocie ponad 11 mln zł na spółkę
DPD Polska, w związku z naruszeniem przepisów o ochronie danych osobowych, polegającym na korzystaniu z usług transportowych zewnętrznych przewoźników,
bez uprzedniego zawarcia z nimi umów powierzenia przetwarzania danych osobowych oraz przetwarzaniu danych osobowych bez wdrożenia środków organizacyjnych służących zapewnieniu odpowiedniego bezpieczeństwa danych, tj. środków zapewniających przetwarzanie danych osobowych przez osoby działające
z jej upoważnienia, mające dostęp do danych osobowych, wyłącznie na polecenie
i w oparciu o stosowne upoważnienie administratora.
Kluczowym elementem decyzji Prezesa Urzędu Ochrony Danych Osobowych wobec
DPD Polska sp. z o.o., było stwierdzenie naruszenia zasad bezpieczeństwa i brak odpowiedniego nadzoru nad procesami. Nie miała przy tym znaczenia okoliczność,
czy doszło do wycieku danych, ale fakt, że naruszono zasadę rozliczalności zdefiniowaną w art. 5 ust. 2 RODO. Spółka korzystała z usług podwykonawców (kurierów), nie zapewniając wystarczających gwarancji ochrony danych. W ogólnym kontekście, należy wskazać tu na dwa krytyczne błędy, powtarzające się niemal we wszystkich sektorach gospodarki: brak weryfikacji procesora oraz niejasny status prawny. Administratorzy często pomijają obowiązek weryfikacji, czy podmiot któremu powierzają dane, wdraża odpowiednie środki techniczne i organizacyjne. Pojawia się też problem z jednoznacznym wskazaniem, czy w konkretnej sytuacji przetwarzania danych, mamy do czynienia
z osobnym Administratorem, czy Procesorem.
Zgodnie z art. 28 ust. 3 RODO, obowiązek zawarcia umowy powierzenia przetwarzania danych osobowych powstaje zawsze, gdy podmiot zewnętrzny (Procesor) przetwarza dane osobowe w imieniu i na polecenia Administratora (ADO). Sytuacja taka może wynikać zarówno z modelu biznesowego prezentowanego przez administratora,
jak i wymogów prawnych. Umowa musi precyzyjnie określać przedmiot, czas trwania, charakter przetwarzania, rodzaj danych osobowych, kategorie osób, których dane dotyczą, oraz obowiązki i prawa zarówno po stronie Administratora, jak i Procesora. Polski organ nadzoru, uwzględniając wytyczne Europejskiej Rady Ochrony Danych, kładzie ogromny nacisk na zasadę rozliczalności. Zgodnie ze standardami Prezesa Ochrony Danych Osobowych, Administrator musi być w stanie wykazać, że każda relacja
z podmiotem zewnętrznym, który ma dostęp do danych osobowych, jest uregulowana prawnie. Brak umowy powierzenia sprawia, że Administrator traci realną kontrolę nad danymi, co przy wycieku danych uniemożliwia skuteczne pociągnięcie procesora
do odpowiedzialności.
Mimo, że przypadek DPD odbił się szerokim echem w logistyce, obowiązek zawierania umów powierzenia przetwarzania danych osobowych dotyczy każdego sektora:
IT, kadrowo – płacowego, finansowego i księgowego, marketingowego, ochrony
i monitoringu, opieki zdrowotnej, czy administracji publicznej. To tylko kluczowe przykłady, które nie wyczerpują pełnego katalogu podmiotów będących Administratorami danych, które w ramach swojej działalności operacyjnej, korzystają z usług Procesorów. W każdym przypadku relacji z podmiotem zewnętrznym, które uzyskuje dostęp do danych, brak pisemnej umowy powierzenia jest uznawane przez Prezesa Urzędu Ochrony Danych Osobowych z rażące naruszenie zasad ochrony w fazie projektowania (privacy by design). Formalizm w RODO bez wątpienia chroni przed stratami. Jak go wprowadzić? Przeprowadzić audyt wszystkich umów z kontrahentami, wdrożyć procedurę weryfikacji procesorów przed podpisaniem kontraktu oraz zadbać, by umowy powierzenia przetwarzania danych dawały realne prawo do audytu i kontroli nad tym, co dzieje się
z danymi.
Obowiązek zawierania umów powierzenia przetwarzania danych osobowych powinien być traktowany jako uniwersalny standard rynkowy, narzędzie ochrony klientów i kapitału. W oczach Prezesa Urzędu ochrony Danych Osobowych oraz Europejskiej Rady Ochrony Danych, brak takiej umowy jest równoznaczny z brakiem kontroli nad przetwarzanymi danymi i podstawą do nałożenia sankcji, niezależnie od formy prowadzonej działalności, sektora, czy wielkości.
Maria Kowalik-Sobczak
Kancelaria Wyrzykowscy
Niniejszy artykuł ma charakter wyłącznie informacyjny i nie stanowi porady prawnej, podatkowej ani jakiejkolwiek innej formy doradztwa. Wszelkie przedstawione w nim treści wyrażają osobiste poglądy autora oraz jego wiedzę na temat omawianych zagadnień. Autor ani wydawca nie ponoszą odpowiedzialności za ewentualne skutki wynikające z zastosowania się do informacji zawartych w artykule bez konsultacji z odpowiednim specjalistą.