Zagadnienia ochrony danych osobowych w projektach IT są ich bardzo istotną, choć często niedocenianą, czy wręcz lekceważoną częścią. Oprócz ustalenia w umowie relacji między stronami umowy w ramach jej realizacji, konieczne jest uwzględnienie wymogów stawianych przez przepisy regulujące ochronę danych osobowych i praw osób, których dane są przetwarzane, w szczególności przez RODO.
1. Niedostosowanie treści i formy umowy do potrzeb
Zapisy umów na realizację projektów IT często ograniczają się do wpisania podstawowych wymogów stawianych przez RODO, bez dostosowania zapisów do realiów umowy, jej celu i zakresu. W wyniku tego brak jest rzeczywistych ustaleń regulujących podział obowiązków i odpowiedzialności za ich realizację na wszystkich etapach realizacji umowy. Może to prowadzić do konfliktów między stronami, niewłaściwego wykonania zadania, ale też do odpowiedzialności za naruszenia ochrony danych osobowych zarówno podczas realizacji umowy jak i w wyniku użytkowania produktu będącego jej owocem.
Od zakresu umowy, złożoności i stopnia skomplikowania produktu, zakresu danych osobowych jakie będą przetwarzania, skali i zasięgu terytorialnego przetwarzania zależy jak rozbudowane będą zapisy dotyczące ochrony danych w umowie. Podstawowym błędem jest stosowanie takich samych zapisów umownych („według wzorca”) do zadań bardzo prostych jak i bardzo skomplikowanych.
Zapisy umowy są też często zbyt formalistyczne, bardzo szczegółowe, gdy zadanie jest stosunkowo proste lub przeciwnie, zapisy są lakoniczne, niedostateczne i nieprecyzyjne, gdy zadanie jest rozbudowane, skomplikowane i wielowątkowe. Jednym słowem: bądź ostrożny w korzystaniu z szablonów umów IT znalezionych w internecie. Umowa musi pasować do Twojego projektu „jak ulał”.
2. Braki w ujęciu wszystkich poziomów ochrony danych osobowych
Ochrona danych w projekcie obejmuje relacje pomiędzy stronami na trzech poziomach: w związku z zawarciem umowy, ochronę danych podczas tworzenia produktu i podczas jego testowania oraz w związku z przetwarzaniem danych z użyciem gotowego produktu. Problematyka ochrony danych w każdym z tych przypadków jest inna, co rzadko znajduje odzwierciedlenie w umowie. Zwróć uwagę na opisanie w umowie IT zasad przetwarzania danych na każdym z tych etapów projektu.
3. Niedostateczne określenie ról i zadań stron umowy IT
W związku z realizacją umowy zaangażowane w nią strony będą na różnych jej etapach występować w różnych rolach: administratorów, współadministratorów, procesorów lub subprocesorów, przekazujących lub odbierających dane, eksporterów lub importerów danych. Będą zatrudniać pracowników przetwarzających dane lub zlecać to przetwarzanie innym firmom lub osobom zatrudnionym na różnych rodzajach umów. Wiążą się z tym liczne obowiązki stron i problemy z przypisaniem ról, zakresów odpowiedzialności itp.
Z rolami takimi jak np. administrator, współadministrator, procesor, subprocesor, wiążą się bardzo konkretne zakresy obowiązków i odpowiedzialności. Wynikają one wprost z RODO. Problematyka ta powinna zostać przeanalizowana, role, relacje, obowiązki i zasady współdziałania ustalone i odzwierciedlone w zapisach umowy lub jej załącznikach. Bardzo często jednak jest to w umowach pomijane lub regulowane zbyt ogólnie. Dlatego w pierwszym kroku ustal prawidłowo role stron umowy IT w Projekcie i prawidłowo je przypisz poszczególnym interesantom.
Jeśli chcesz uniknąć niepotrzebnych problemów konstruując swoje umowy IT skorzystaj ze wsparcia prawników wyspecjalizowanych w branży IT. Zobacz dodatkowe informacje na stronie https://wachowskilaw.com/uslugi/umowy-it/
4. Niedocenianie problematyki powierzenia przetwarzania i eksportu danych
W trakcie tworzenia produktu, jego testowania czy użytkowania dochodzić będzie do przetwarzania danych, ich udostępniania, powierzania ich przetwarzania, korzystania z subprocesorów. Może następować przekazywanie danych do państw trzecich (eksport danych) lub usługowe przetwarzanie danych osób z państw trzecich. Wiążą się z tym bardzo konkretne obowiązki związane z doborem partnerów, sprawdzeniem ich wiarygodności, określeniem stosowanych procedur i zabezpieczeń, zweryfikowaniem i uzgodnieniem wykorzystywanych subprocesorów, spełnieniem warunków umożliwiających przekazanie danych poza obszar EOG i nadzorowaniem czy warunki te nie zmieniły się.
Zagadnienia te są skomplikowane i potencjalnie zagrożone bardzo poważnymi konsekwencjami, w przypadku niedotrzymania obowiązków ciążących na administratorze, wycieków, czy innych naruszeń ochrony danych. Dodatkowo, wymogi stawiane przez EROD i organy nadzorcze są coraz szersze i bardziej restrykcyjne. Dlatego podpisując umowę IT ustal precyzyjnie komu będą udostępnianie dane osobowe i gdzie będą przechowywane.
5. Niedostosowanie uregulowania obowiązków stron w umowie do rzeczywistych potrzeb
Powszechnym błędem w umowach IT jest ograniczanie się do wpisania do umowy podstawowych obowiązków wynikających z odpowiednich paragrafów RODO, zamiast wprowadzenia dostosowanych do realnych potrzeb zapisów szczegółowych, obowiązujących procedur postępowania, załączników, zakresów odpowiedzialności, dostosowanych do potrzeb przetwarzań realizowanych w związku z realizacją umowy.
Częstym błędem jest również wprowadzanie nieadekwatnych do zakresu i warunków realizacji umowy zapisów, dotyczących wymaganych zabezpieczeń, partycypacji wykonawcy w kosztach audytów i kontroli dokonywanych na zlecenie zamawiającego, narzucanie nadmiernych, często niemożliwych do spełnienia obowiązków lub nieadekwatnie wysokich kar umownych. Dlatego nie stosuj w umowie IT szablonowych zapisów, lecz ustal stan faktyczny i wprowadzaj takie, które rzeczywiście dotyczą Twojego projektu. Być może wcale nie będziesz miał lub nie musisz mieć dostępu do danych osobowych Twojego klienta.
6. Niedocenianie roli domyślnej ochrony danych już od etapu projektowania
Ochrona danych obejmuje przede wszystkim produkt określony umową. Zgodnie z zasadami RODO, administrator przy wprowadzaniu lub modernizowaniu procesów przetwarzania danych osobowych musi domyślnie uwzględniać ochronę praw i wolności podmiotów danych i stosować jej zasady już podczas projektowania tych procesów (privacy by default i privacy by design).
Często zagadnienia te są na etapie uzgodnień wstępnych i formułowania umowy niedostatecznie uwzględnione, co później w trakcie realizacji umowy i odbiorów produktów rodzi problemy i konflikty. Brak jest określenia, jakie wymogi ochrony danych musi spełniać produkt, jak powinien realizować realizację praw podmiotów danych czy wykonywanie obowiązków wobec nich (np. rejestrowanie udzielonych zgód i ich treści, cofnięcia zgód, zgłaszanych sprzeciwów do przetwarzania, dostępu operatorów do bazy danych i zmian w niej dokonywanych itp.). Dlatego przed podpisywaniem umowy IT ustal jak będzie wyglądał proces przetwarzania danych od samego początku projektu.
7. Nieuwzględnianie roli właściwej dokumentacji procesów przetwarzania i zabezpieczeń podczas tworzenia produktów IT
Z reguły zapomina się, aby w umowie uzgodnić wykonanie właściwej dokumentacji sposobu dokonywania przetwarzania, użytych zasobów informatycznych, technologii informatycznych, analitycznych zbierających i przekazujących informacje o użytkowniku lub innych osobach stronom trzecim, budowy baz danych i przepływów danych między nimi oraz między aplikacją a odbiorcami danych. Powoduje to późniejsze problemy w wypełnianiu obowiązków wobec podmiotów danych a także stworzenie i prowadzenie prawidłowej dokumentacji ochrony danych osobowych.
Często zapomina się o zapewnieniu właściwej ochrony danych podczas testowania. Praca na domyślnych hasłach i użycie do testów realnych, niezanonimizowanych lub nieprzetworzonych danych to niemal standard wielu wykonawców. To poważne źródło wycieków danych, dlatego nie można zapominać o uwzględnieniu go w dokumentacji umowy.
Takich zagadnień, wpływających na ochronę danych osobowych i obowiązki stron umowy może być bardzo wiele. Jeśli już na etapie wstępnych uzgodnień, składania zamówienia i pisania umowy nie weźmie się ich pod uwagę, nie dokona inwentaryzacji przyszłych potrzeb i nie określi się ich w umowie i załącznikach do niej, ryzykuje się problemami i nieporozumieniami podczas realizacji umowy, ale również później podczas korzystania z zakupionego rozwiązania informatycznego. Rozwiązanie tych problemów może być wówczas znacznie trudniejsze i jest z reguły kosztowniejsze, niż podczas właściwie zaplanowanego i realizowanego przedmiotu umowy. Dlatego przed podpisaniem umowy IT zapoznaj się z dokumentacją dotyczącą przetwarzania danych przez Twojego klienta.
8. Niedostateczne i niespójne ujęcie w umowie wszystkich aspektów realizacji umowy IT
Zagadnienia ochrony danych to tylko jedno ogniwo łańcucha realizacji zadania, które objęte jest umową. Zagadnień takich, które powinny być dobrze opisane w umowie, aby chronić interesy stron, jest znacznie więcej. Są wśród nich zagadnienia takie jak właściwy dobór rodzaju umowy, właściwe określenie celu, zakresu i warunków realizacji umowy, dopasowania treści i formy umowy do realiów zamówienia, określenie zasad współpracy, mierników oceny jego realizacji, kryteriów odbioru prac i rozliczeń, komunikacji między stronami umowy, rozwiązywaniu problemów i konfliktów, problematyki tajemnicy handlowej i własności intelektualnej, przenoszenia praw autorskich czy udzielania licencji. Nie bez znaczenia są również aspekty podatkowe, które warto również rozpatrzyć już na etapie projektowania inwestycji w nowe rozwiązania IT. Aby umowa sprzyjała dobrej i sprawnej realizacji zadania, powinna być starannie, kompleksowo i spójnie opracowana. Dlatego przygotowując umowę zwróć uwagę na wszystkie te aspekty, bo każdy z nich jest potencjalnym zarzewiem sporu. Pamiętaj, że umowy są na czarną godzinę.
9. Niedocenianie roli dobrze przygotowanych umów w procesie biznesowym
Można oczywiście przygotować umowę na podstawie dostępnych w Internecie wzorów, wcześniejszych umów lub umów udostępnionych przez zaprzyjaźnione firmy, licząc, że nic złego się nie stanie i realizacja przebiegnie jak po maśle.
Jednakże takie rozwiązanie, jakkolwiek początkowo tańsze, może w przyszłości przysporzyć wiele kłopotów, gdy jednak realizacja zadania opisanego w umowie nie pójdzie tak jak byśmy chcieli. Już sam zarys tematyki ochrony danych, skromnego, choć ważnego fragmentu umowy, pokazuje jak wiele detali składa się na realizację zadania i jak jego całokształt może być złożony.
Dlatego znacznie bardziej celowym i w końcowym rozliczeniu tańszym rozwiązaniem, będzie włączenie w proces negocjacji warunków umowy i jej tworzenia profesjonalistów, którzy zdobyli doświadczenie przeprowadzając przez podobny proces liczne firmy działające w dziedzinie IT.
Jeżeli planujesz zamówić wykonanie rozwiązania IT lub jesteś wykonawcą takiego rozwiązania i chcesz dobrze zabezpieczyć swoje interesy, skorzystaj z możliwości zamówienia bezpłatnej rozmowy konsultacyjnej z prawnikiem Kancelarii Adwokackiej Wachowski, specjalizującej się w prawie nowych technologii. https://wachowskilaw.com/
Zbigniew Żuk
Inspektor Ochrony Danych w Kancelarii Adwokackiej Wachowski
