Umowa udostępnienia danych osobowych

Umowa udostępnienia danych osobowych w Polsce to dokument regulujący przekazanie danych osobowych przez jednego administratora innemu administratorowi, który będzie je przetwarzał we własnym imieniu i we własnych celach, z poszanowaniem zasad wynikających z rozporządzenia (UE) 2016/679 (RODO) oraz ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz.U. 2018 poz. 1000 ze zm.). Dokument ten odgrywa kluczową rolę w relacjach biznesowych obejmujących wymianę baz danych klientów, współpracę marketingową, kooperację między spółkami powiązanymi kapitałowo lub w ramach grup przedsiębiorstw.

Kluczowym elementem odróżniającym udostępnienie danych od powierzenia przetwarzania (art. 28 RODO) jest autonomia odbiorcy w zakresie decydowania o celach i środkach przetwarzania. Podmiot przetwarzający (procesor) działa wyłącznie na polecenie administratora i w jego imieniu — nie może samodzielnie decydować, jak przetwarza dane. Odbiorca danych w umowie udostępnienia staje się odrębnym administratorem — ma własne cele przetwarzania, własną podstawę prawną i ponosi własną odpowiedzialność wobec osób, których dane dotyczą, i przed Prezesem Urzędu Ochrony Danych Osobowych (PUODO). Mylenie tych dwóch relacji i stosowanie umowy powierzenia tam, gdzie faktycznie zachodzi udostępnienie, lub odwrotnie, jest jednym z najczęstszych błędów RODO w polskich firmach.

Reguły dotyczące udostępnienia danych między dwoma odrębnymi administratorami wywodzi się z kilku przepisów RODO. Art. 26 RODO reguluje współadministrowanie — gdy dwóch lub więcej administratorów wspólnie ustalają cele i sposoby przetwarzania, są współadministratorami i muszą zawrzeć stosowne uzgodnienia. Art. 6 RODO nakłada na każdego administratora (w tym na odbiorcę danych) obowiązek posiadania własnej podstawy prawnej do przetwarzania. Art. 14 RODO nakłada na odbiorcę, który pozyskuje dane nie bezpośrednio od osoby, lecz od innego administratora, obowiązek poinformowania tej osoby o nowym administratorze — co musi nastąpić najpóźniej w ciągu miesiąca od otrzymania danych lub przy pierwszym kontakcie z osobą.

Praktyka Prezesa Urzędu Ochrony Danych Osobowych (PUODO) pokazuje, że organ nadzorczy szczegółowo bada, czy udostępnianie danych ma właściwą podstawę prawną po stronie udostępniającego i odbiorcy oraz czy osoby, których dane dotyczą, otrzymały właściwy obowiązek informacyjny. Umowa udostępnienia danych osobowych między przedsiębiorcami w Polsce, zgodna z wymaganiami RODO i praktyką PUODO, dostępna jest na forms-legal.com.

Umowa udostępnienia danych osobowych w Polsce jest wymagana lub wysoce wskazana we wszystkich przypadkach, gdy jeden administrator przekazuje dane osobowe innemu podmiotowi, który będzie przetwarzał je we własnym imieniu i we własnych celach.

**Wspólne kampanie marketingowe i co-marketing.** Dwie firmy prowadzące wspólną kampanię reklamową lub promujące produkty kooperującego partnera często wymieniają dane klientów lub subskrybentów. Jeżeli każda z firm wysyła własne komunikaty do klientów drugiej firmy — jest to udostępnienie danych do własnych celów marketingowych każdej z firm, wymagające podstawy prawnej i obowiązku informacyjnego z art. 14 RODO.

**Grupy kapitałowe i spółki powiązane.** Spółki należące do jednej grupy kapitałowej lub holdingu nie tworzą z mocy prawa jednego administratora — każda spółka jest odrębnym podmiotem prawnym i odrębnym administratorem danych osobowych. Przekazywanie danych między spółkami córkami, matką a córką lub między spółkami siostrzanymi wymaga podstawy prawnej i często umowy udostępnienia. Argument „grupy kapitałowej" jako samoistna podstawa udostępnienia danych nie jest uznawany przez PUODO.

**Outsourcing procesów sprzedażowych lub obsługi klienta.** Jeżeli kontrahent przejął samodzielną obsługę klientów udostępniającego i działa we własnym imieniu, pobierając wynagrodzenie od tych klientów — staje się odrębnym administratorem, a nie procesorem. W tej sytuacji niezbędna jest umowa udostępnienia, a nie umowa powierzenia.

**Typowe sytuacje wymagające umowy udostępnienia:** - przekazanie bazy klientów partnerowi biznesowemu w celu realizacji wspólnej oferty lub programu lojalnościowego - udostępnienie danych pracowników firmie zewnętrznej w celu realizacji programu benefitowego (jeżeli benefity świadczy zewnętrzna firma jako odrębny administrator) - przekazanie danych kontrahentom w celu windykacji we własnym imieniu (firma windykacyjna kupująca wierzytelności staje się odrębnym administratorem danych dłużnika) - wymiana danych referencyjnych lub kredytowych między instytucjami finansowymi - udostępnienie danych pracowników do systemu medycyny pracy prowadzonego przez zewnętrzną klinikę jako odrębnego administratora - przekazanie danych członków stowarzyszenia lub spółdzielni podmiotom trzecim w celu realizacji usług skierowanych do tych członków

**Kiedy umowa powierzenia jest właściwsza.** Jeżeli zewnętrzny podmiot przetwarza dane wyłącznie na podstawie poleceń administratora, w jego imieniu i bez samodzielnej decyzji co do celów przetwarzania — jest to relacja powierzenia (art. 28 RODO) i wymagana jest umowa powierzenia przetwarzania danych, a nie umowa udostępnienia. Przykłady: biuro rachunkowe przetwarzające dane pracowników na zlecenie pracodawcy, dostawca oprogramowania CRM przechowujący dane klientów administratora, zewnętrzne call center realizujące obsługę klienta według ścisłych instrukcji administratora.

Umowa udostępnienia danych osobowych w Polsce powinna zawierać elementy zapewniające legalność udostępnienia zarówno po stronie udostępniającego, jak i odbiorcy oraz regulujące ich wzajemne obowiązki wobec osób, których dane dotyczą.

**1. Precyzyjna identyfikacja stron jako odrębnych administratorów.** Pełne dane identyfikacyjne obu podmiotów (firma, adres, NIP, KRS lub CEIDG) z wyraźnym zaznaczeniem, że każda ze stron jest odrębnym administratorem w rozumieniu art. 4 pkt 7 RODO. Odróżnienie to ma kluczowe znaczenie prawne — determinuje zakres odpowiedzialności każdej ze stron wobec osób, których dane dotyczą, i przed Prezesem Urzędu Ochrony Danych Osobowych (PUODO).

**2. Precyzyjny zakres udostępnianych danych.** Enumeratywne wyliczenie kategorii danych osobowych (np. imię, nazwisko, adres e-mail, numer telefonu) i kategorii osób, których dane dotyczą. Zasada minimalizacji danych (art. 5 ust. 1 lit. c RODO) wymaga, aby udostępniany zakres był adekwatny i niezbędny do wskazanego celu — udostępnianie danych „na zapas" narusza tę zasadę.

**3. Cel udostępnienia i ograniczenie celu dla odbiorcy.** Wyraźne wskazanie celu, w jakim odbiorca będzie przetwarzał udostępnione dane, z zakazem przetwarzania w innych celach. Zasada ograniczenia celu (art. 5 ust. 1 lit. b RODO) wymaga, aby dane były zbierane i przetwarzane wyłącznie w określonych, wyraźnych i prawnie uzasadnionych celach. Odbiorca nie może przetwarzać danych do celów niezgodnych z podanym w umowie bez dodatkowej podstawy prawnej lub zgody udostępniającego.

**4. Podstawy prawne obu stron.** Umowa powinna dokumentować, że każda ze stron dysponuje własną podstawą prawną do przetwarzania danych. Udostępniający wskazuje swoją podstawę do udostępnienia (np. prawnie uzasadniony interes z art. 6 ust. 1 lit. f RODO lub zgoda osoby z art. 6 ust. 1 lit. a RODO), a odbiorca oświadcza, że dysponuje własną podstawą do przetwarzania po odbiorze. Brak podstawy prawnej po stronie któregokolwiek z administratorów czyni przetwarzanie niezgodnym z prawem. Umowę udostępnienia danych osobowych dla polskich przedsiębiorców z właściwym ujęciem podstaw prawnych oferuje forms-legal.com.

**5. Obowiązek informacyjny z art. 14 RODO.** Podział odpowiedzialności za realizację obowiązku informacyjnego wobec osób, których dane dotyczą, gdy dane pozyskiwane są nie od nich samych, lecz od innego administratora. Jeżeli udostępniający już poinformował osoby o planowanym udostępnieniu ich danych odbiorcy w swojej klauzuli informacyjnej (art. 13 RODO) — obowiązek informacyjny odbiorcy z art. 14 RODO jest odpowiednio ograniczony. Jeżeli nie — odbiorca musi samodzielnie zrealizować obowiązek informacyjny najpóźniej w ciągu 1 miesiąca od otrzymania danych.

**6. Maksymalny okres retencji przez odbiorcę i zasady usunięcia danych.** Określenie, jak długo odbiorca może przechowywać udostępnione dane, i obowiązek ich trwałego usunięcia lub zwrotu po upływie tego okresu lub z chwilą rozwiązania umowy. Odbiorca musi mieć własną politykę retencji zgodną z zasadą ograniczenia przechowywania (art. 5 ust. 1 lit. e RODO).

**7. Zakaz dalszego udostępniania danych podmiotom trzecim.** Odbiorca nie powinien móc przekazywać otrzymanych danych kolejnym podmiotom bez zgody udostępniającego lub bez wyraźnej podstawy prawnej. Niekontrolowane dalsze udostępnianie naraża udostępniającego na odpowiedzialność wobec osób, których dane dotyczą.

**8. Obowiązek zgłaszania naruszeń i audyt.** Obowiązek odbiorcy do niezwłocznego powiadamiania udostępniającego o naruszeniach ochrony danych dotyczących udostępnionych danych (analogia do art. 33 ust. 2 RODO — obowiązku procesora, stosowany tu przez analogię między współadministratorami) oraz prawo udostępniającego do audytu sposobu przetwarzania danych przez odbiorcę.

Umowa udostępnienia danych osobowych w Polsce wypełniana jest przez dostosowanie wzoru do konkretnej sytuacji biznesowej i zakresu danych, które są przekazywane — nie ma szablonu universal pasującego do wszystkich przypadków.

**Krok 1: Identyfikacja stron.** Wpisz pełną firmę, adres siedziby i NIP obu stron — udostępniającego i odbiorcy. Wskaż, kto jest stroną pierwszą (udostępniający) a kto drugą (odbiorca). Jeżeli obie strony wspólnie decydują o celach i środkach przetwarzania — rozważ, czy właściwsze nie byłoby uzgodnienie współadministrowania z art. 26 RODO.

**Krok 2: Zakres udostępnianych danych.** Wypisz dokładnie, jakie dane osobowe są przekazywane. Nie używaj sformułowań typu „wszelkie dane klientów" — wylicz enumeratywnie kategorie danych zgodnie z zasadą minimalizacji. Opisz, czyje dane są przekazywane: „klienci będący osobami fizycznymi" lub „pracownicy kontaktowi u klientów biznesowych".

**Krok 3: Cel i podstawa prawna.** Wpisz precyzyjny cel, w jakim odbiorca będzie przetwarzał dane — np. „realizacja wspólnej kampanii marketingowej produktów X" lub „obsługa posprzedażowa i serwisowa klientów udostępniającego". Wybierz podstawę prawną, którą dysponuje udostępniający: jeżeli jest to prawnie uzasadniony interes — opisz interes i przeprowadź test wyważenia (wynik udokumentuj wewnętrznie, niekoniecznie w treści umowy). Jeżeli podstawą jest zgoda osoby — potwierdź, że zgoda obejmuje udostępnienie danych temu konkretnemu odbiorcy.

**Krok 4: Retencja przez odbiorcę.** Ustal maksymalny okres, przez który odbiorca może przechowywać dane. Powinien wynikać z celu przetwarzania — np. „do zakończenia wspólnej kampanii i przez 12 miesięcy po jej zakończeniu". Termin „bezterminowo" jest niedopuszczalny — narusza zasadę ograniczenia przechowywania.

**Krok 5: Obowiązek informacyjny.** Uzgodnij z odbiorcą, kto wypełni obowiązek informacyjny z art. 14 RODO wobec osób, których dane dotyczą. Jeżeli udostępniający już poinformował osoby o planowanym przekazaniu — odnotuj to w umowie. Jeżeli nie — zobowiąż odbiorcę do realizacji obowiązku informacyjnego w terminie 1 miesiąca od otrzymania danych.

**Krok 6: Podpisanie i archiwizacja.** Umowę podpisują osoby upoważnione do reprezentacji obu stron. Przechowuj umowę przez cały okres współpracy i przez co najmniej 5 lat po jej zakończeniu — jako dowód legalności udostępnienia w przypadku kontroli Prezesa Urzędu Ochrony Danych Osobowych (PUODO) lub roszczeń osób, których dane dotyczą. Dodaj umowę do rejestru czynności przetwarzania jako element dokumentujący odbiorcę danych i podstawę udostępnienia.

Umowa udostępnienia danych osobowych w Polsce musi uwzględniać kilka kluczowych przepisów RODO regulujących relacje między odrębnymi administratorami.

**Art. 26 RODO — współadministrowanie.** Gdy dwóch lub więcej administratorów wspólnie ustala cele i sposoby przetwarzania, są współadministratorami i zawierają uzgodnienia określające zakres ich obowiązków dotyczących wypełniania wymogów RODO — w szczególności w zakresie wykonywania praw przez osoby, których dane dotyczą, i obowiązków informacyjnych. Umowa udostępnienia danych między podmiotami, które mają wspólne lub nakładające się cele przetwarzania, może być uznana za uzgodnienie współadministrowania z art. 26 RODO.

**Art. 6 RODO — podstawa prawna dla każdego administratora.** Każdy administrator (zarówno udostępniający, jak i odbiorca) musi dysponować własną podstawą prawną do przetwarzania danych z art. 6 RODO: zgoda (lit. a), wykonanie umowy (lit. b), obowiązek prawny (lit. c), żywotne interesy (lit. d), interes publiczny (lit. e), prawnie uzasadniony interes (lit. f). Brak podstawy prawnej po stronie odbiorcy czyni jego przetwarzanie danych niezgodnym z prawem — udostępnienie przez innego administratora nie tworzy samo w sobie podstawy prawnej dla odbiorcy.

**Art. 5 ust. 1 lit. b RODO — ograniczenie celu.** Zasada ograniczenia celu zakazuje przetwarzania danych w sposób niezgodny z pierwotnymi celami, dla których zostały zebrane. Dalsze przetwarzanie danych przez odbiorcę w innym celu niż wskazany w umowie udostępnienia może naruszać tę zasadę i wymagać odrębnej podstawy prawnej.

**Art. 14 RODO — obowiązek informacyjny przy pozyskaniu danych nie od osoby.** Gdy odbiorca pozyskuje dane nie bezpośrednio od osoby, lecz od innego administratora, ma obowiązek poinformowania tej osoby o nowym administratorze, celach przetwarzania, podstawie prawnej, kategoriach danych, odbiorcach i prawach osoby — najpóźniej w ciągu 1 miesiąca od otrzymania danych lub przy pierwszym kontakcie z osobą. Wyjątek z art. 14 ust. 5 lit. a RODO: jeżeli osoba została już poinformowana przez udostępniającego w zakresie pokrywającym się z obowiązkiem odbiorcy — odbiorca może ograniczyć zakres swojego obowiązku informacyjnego.

**Ustawa o ochronie danych osobowych z 10.05.2018 r.** Prezes UODO sprawuje nadzór nad legalnością udostępnienia danych. Udostępnienie bez podstawy prawnej lub naruszenie zasady ograniczenia celu naraża obu administratorów na kary administracyjne z art. 83 RODO — do 20 mln EUR lub 4% rocznego obrotu. Prezes UODO może nakazać zaprzestanie udostępnienia danych lub nakazać usunięcie danych przez odbiorcę, jeżeli udostępnienie odbyło się bez właściwej podstawy.

Umowy udostępnienia danych osobowych w Polsce zawierają typowe błędy, które mogą czynić udostępnienie niezgodnym z RODO i narażać obie strony na odpowiedzialność wobec PUODO.

**Mylenie umowy udostępnienia z umową powierzenia.** Najczęstszy błąd — stosowanie umowy powierzenia przetwarzania (art. 28 RODO) tam, gdzie faktycznie zachodzi udostępnienie danych odrębnym administratorom, lub odwrotnie. Jeżeli odbiorca samodzielnie decyduje o celach przetwarzania — jest administratorem, nie procesorem. Wymagana jest umowa udostępnienia, a nie umowa powierzenia. Błędna klasyfikacja relacji może skutkować brakiem obowiązku informacyjnego z art. 14 RODO wobec osób lub brakiem odpowiedniej podstawy prawnej.

**Brak podstawy prawnej po stronie odbiorcy.** Udostępniający przekazuje dane na podstawie zgody lub prawnie uzasadnionego interesu, lecz odbiorca nie ma własnej podstawy prawnej do dalszego przetwarzania. Zgoda wyraźona na przetwarzanie danych przez administratora A nie obejmuje automatycznie przetwarzania przez administratora B — odbiorca musi mieć własną podstawę, a osoby muszą być o tym poinformowane.

**Pominięcie obowiązku informacyjnego z art. 14 RODO.** Nowy administrator (odbiorca danych) często zapomina o obowiązku poinformowania osób, których dane pozyskał nie bezpośrednio od nich, lecz od innego administratora. Art. 14 RODO jest wiodącym przepisem, na podstawie którego PUODO wszczyna postępowania po skargach osób informujących, że nie wiedzą, skąd odbiorca zna ich dane kontaktowe.

**Zbyt szeroki zakres danych.** Przekazywanie pełnych baz danych klientów zamiast wyłącznie danych niezbędnych do wskazanego celu narusza zasadę minimalizacji danych (art. 5 ust. 1 lit. c RODO). Umowa powinna enumeratywnie wymieniać kategorie danych, a nie odwoływać się ogólnie do „bazy danych klientów".

**Brak ograniczenia retencji przez odbiorcę.** Udostępnienie danych bez określenia maksymalnego czasu ich przechowywania przez odbiorcę de facto zezwala na bezterminowe przechowywanie — co narusza zasadę ograniczenia przechowywania (art. 5 ust. 1 lit. e RODO). Odbiorca musi mieć określony termin usunięcia danych i być zobowiązany do jego przestrzegania.