Umowa o powierzeniu danych (RODO) w B2B – czy musisz ją mieć?

Wyobraź sobie piątkowe popołudnie. Jesteś programistą, wirtualną asystentką albo agencją marketingową. Właśnie kończysz projekt dla klienta, gdy nagle otrzymujesz maila od Inspektora Ochrony Danych tej firmy z pytaniem o… wyciek bazy mailingowej, na której pracowałeś.

Zimny pot? To dopiero początek. Jeśli Twoja umowa B2B milczy na temat RODO, a Ty faktycznie pracowałeś na danych osobowych, wchodzisz na pole minowe. W oczach prawa możesz być traktowany jak haker, a nie partner biznesowy.

Wielu freelancerów i przedsiębiorców traktuje RODO jak przykry obowiązek – „papierkologię”, którą podpisuje się w ciemno. To błąd, który może kosztować dorobek kilku lat pracy. Dziś wyjaśnię Ci, czym jest umowa powierzenia danych B2B, kiedy jest niezbędna i jak uchronić swój portfel przed karami, pisząc językiem biznesu, a nie ustawy.

Administrator vs Procesor – kim jesteś dla klienta?

W relacji B2B, zwłaszcza w branży IT i usługach kreatywnych, rzadko jesteśmy równymi partnerami w kontekście danych. Aby zrozumieć, czy rodo dla freelancera to realny problem, musimy ustalić Twoją rolę.

Najprościej wytłumaczyć to na przykładzie budowy domu:

• Twój Klient to Administrator Danych (Inwestor). To on decyduje, „co” budujemy (zbiera dane klientów) i „po co” to robimy (np. żeby wysłać newsletter lub obsłużyć zamówienie). On ma władzę nad danymi.
• Ty jesteś Podmiotem Przetwarzającym, czyli Procesorem (Wykonawcą). Klient daje Ci „cegły” (dane osobowe) i mówi: „zbuduj z tego ścianę” (zrób wysyłkę mailingu, przetestuj bazę na środowisku deweloperskim, nalicz płace). Nie decydujesz, po co są te dane. Ty tylko wykonujesz na nich zadania zlecone przez Klienta.

To właśnie to „wykonywanie zadań na danych klienta” to w języku prawnym przetwarzanie danych osobowych B2B. Jeśli jako procesor zgubisz te dane lub je udostępnisz konkurencji – odpowiadasz za to. Ale uwaga: odpowiadasz na zasadach określonych w umowie powierzenia. Jeśli jej nie ma… panuje chaos, który w sądzie zazwyczaj działa na Twoją niekorzyść.

Kiedy umowa powierzenia jest niezbędna?

Panuje mit, że każda faktura B2B wymaga RODO. To bzdura. Umowa powierzenia jest konieczna tylko wtedy, gdy masz dostęp do danych osobowych należących do klienta.

Kiedy MUSISZ podpisać umowę powierzenia?

• Jako programista masz dostęp do „żywej” bazy danych użytkowników aplikacji (niezanonimizowanej).
• Jako wirtualna asystentka odpisujesz na maile klientów Twojego zleceniodawcy.
• Jako księgowa przetwarzasz dane pracowników klienta.
• Jako agencja marketingowa wgrywasz bazę maili do systemu mailingowego.

Kiedy NIE potrzebujesz umowy powierzenia?

• Piszesz kod, który nie dotyka danych osobowych (backend bez dostępu do bazy produkcyjnej).
• Tworzysz grafikę, logotypy czy teksty na bloga (pod warunkiem, że nie dostajesz wsadów z danymi osobowymi).
• Wykonujesz audyt techniczny infrastruktury bez wglądu w dane użytkowników.

Często jednak dostęp do danych idzie w parze z dostępem do know-how firmy. Warto wtedy zadbać nie tylko o RODO, ale sprawdzić, jak sformułowana jest klauzula poufności w Twoim kontrakcie. Dane osobowe to jedno, ale tajemnice biznesowe to drugie płuco bezpieczeństwa Twojego klienta.

Kary za brak umowy RODO (Dla obu stron)

Wielu przedsiębiorców myśli: „Jak nie podpiszemy papierka, to RODO nas nie dotyczy”. Jest dokładnie odwrotnie. Brak umowy powierzenia (gdy jest ona wymagana) to naruszenie przepisów samo w sobie.

Czego realnie powinieneś się bać?

1. Kary administracyjne (UODO): Urząd może nałożyć karę zarówno na Administratora (Twój klient), jak i na Ciebie (Procesor). Tak, freelancer też może dostać karę administracyjną, jeśli rażąco zaniedbał bezpieczeństwo powierzonych danych.
2. Roszczenie regresowe (To zaboli najbardziej): To scenariusz, który widzę w kancelarii najczęściej. Wyobraź sobie, że przez Twój błąd wyciekły dane. Klient dostaje karę od UODO (np. 50 000 zł) i musi wypłacić odszkodowania ludziom, których dane wyciekły. Co robi klient? Pozywa Ciebie o zwrot tych kosztów.

Jeśli nie masz dobrej umowy powierzenia danych B2B, która limituje Twoją odpowiedzialność (np. do krotności wynagrodzenia), odpowiadasz całym swoim majątkiem. To moment, w którym „oszczędność” na prawniku przy podpisywaniu kontraktu mści się najboleśniej.

Wzór klauzuli RODO w kontrakcie B2B

Czy wystarczy jedno zdanie: „Strony zobowiązują się przestrzegać RODO”? Absolutnie nie. Taki zapis jest prawnie bezwartościowy. Artykuł 28 RODO precyzyjnie określa, co musi znaleźć się w umowie.

Dobra umowa powierzenia (lub rozbudowana klauzula w umowie głównej) musi określać:

• Przedmiot i czas trwania: Co robisz i jak długo?
• Charakter i cel przetwarzania: Dlaczego w ogóle dotykasz tych danych?
• Rodzaj danych osobowych: Czy to tylko maile, czy może dane wrażliwe (np. o zdrowiu)?
• Obowiązki i prawa administratora oraz procesora: Co musisz zrobić, gdy zdarzy się wyciek? Jak szybko musisz poinformować klienta? (Standard to 24-48h).

Zanim podpiszesz cokolwiek, zastanów się też nad szerszym kontekstem. Twoja praca to często dostęp do najgłębszych sekretów firmy. RODO chroni osoby fizyczne, ale co z bazami danych B2B, strategiami, kodem źródłowym? Tutaj wkracza temat ochrony know-how. Jeśli nie wiesz, co w Twojej firmie lub u klienta jest chronione, warto przeprowadzić audyt tajemnicy przedsiębiorstwa.

Moja rada: Nie szukaj „darmowych wzorów” na chomikuj czy forach. Każdy biznes jest inny. Programista potrzebuje innych zapisów o backupach i szyfrowaniu niż wirtualna asystentka. Źle dobrany wzór to fałszywe poczucie bezpieczeństwa.

Masz wątpliwości, czy Twoja umowa B2B zabezpiecza Cię przed milionowymi roszczeniami?
Nie ryzykuj dorobku firmy dla „świętego spokoju”.
-> Umów się na krótką konsultację i sprawdźmy Twoje umowy.

FAQ – Najczęstsze pytania o RODO w B2B