Analiza przypadku: Negocjacje umowy o świadczenie usług IT a niezbędny dodatek – DPA (umowa powierzenia przetwarzania danych osobowych)

(Data dodania: 19 marca 2025 r.)

Czy negocjacje DPA na wzorze Usługobiorcy są celowe? 

Umowy powierzenia przetwarzania danych osobowych są częstym elementem relacji pomiędzy Usługodawcą (podmiotem z branży IT) a Usługobiorcą (podmiotem zamawiającym usługi IT). W sytuacji, gdy świadczenie usług wymaga dostępu zewnętrznego podmiotu do danych osobowych przechowywanych przez Usługobiorcę lub jego klienta, zawarcie DPA staje się koniecznością. Problem polega na tym, że Usługobiorcy często nie dopuszczają ingerencji w treść tych umów – nawet drobne propozycje modyfikacji bywa, że są odrzucane. Jak w praktyce wyglądają negocjacje DPA i czy modyfikacja jego postanowień ma sens? 

Co zwykle spotyka Klientów Kancelarii przy negocjacjach DPA? 

Najczęściej umowa powierzenia przetwarzania danych osobowych nie stanowi głównego punktu zainteresowania stron negocjacji. W przypadku dużego podmiotu z branży doradczej i audytorskiej, który musi skorzystać z zewnętrznych zasobów IT, kluczowe kwestie obejmują: przedmiot zlecenia, obowiązki stron, warunki odbiorów i płatności, terminy, zakaz przejmowania personelu czy klauzule konkurencyjne. W tych obszarach często jest miejsce na kompromis. 

Gdy jednak dochodzi do negocjacji DPA, Usługobiorca zwykle przyjmuje stanowisko, że dokument ten nie podlega zmianom. Usługodawca może mieć zastrzeżenia do niektórych postanowień, jednak Usługobiorca dysponuje szeregiem argumentów, by nie podejmować rozmów: 

  • Po pierwsze: GDPR i inne regulacje narzucają określone standardy, które muszą zostać spełnione. 
  • Po drugie: Wewnętrzne procedury organizacyjne wymagają określonych rozwiązań. 
  • Po trzecie: Klienci Usługobiorcy narzucają określone wymagania. 
  • Po czwarte (niewypowiedziane, ale istotne): "Jesteśmy dużą firmą, a Usługodawca mniejszym podmiotem, więc nie widzimy potrzeby zmian". 

Sytuacja komplikuje się, gdy postanowienia DPA wychodzą poza standardowe regulacje i pogarszają pozycję prawną Usługodawcy. Czasami obejmują one np. rozszerzoną odpowiedzialność Usługodawcy jako podmiotu przetwarzającego. Wiele firm akceptuje takie warunki, traktując je jako nienegocjowalne, ale inne starają się zrozumieć potencjalne ryzyka i proponować zmiany. To drugie podejście jest bardziej korzystne – i właśnie tak postąpił Usługodawca w omawianym przypadku. 

Jakie kroki podjąć, gdy postanowienia DPA wykraczają ponad akceptowalne standardy? 

W tym przypadku Kancelaria uczestniczyła w negocjacjach całego kontraktu, a DPA okazało się jednym z problematycznych elementów umowy. Usługodawca był zaniepokojony rozbudowanymi postanowieniami dotyczącymi jego odpowiedzialności (w zakresie DPA) i chciał je skonsultować. Po analizie okazało się, że zakres odpowiedzialności narzucony przez Usługobiorcę jest ponadstandardowy i nie wynika ani z przepisów prawa, a przypuszczalnie również nie z analizy ryzyka. Prawdopodobnie wynikał z polityki maksymalnego przerzucania ryzyka na Usługodawcę. 

Kancelaria pomogła Klientowi zrozumieć, które postanowienia DPA wynikają z przepisów prawa, a które są ponadstandardowymi postanowieniami Usługobiorcy. Klient zdecydował się na zaproponowanie zmian w trybie recenzji, przy czym były one kompromisowe, aby zwiększyć szansę na ich akceptację. Radykalne zmiany mogłyby doprowadzić do zablokowania negocjacji. 

Jak należało podejść do problemu? 

Kancelaria wprowadziła propozycje zmian do kilku postanowień. Wprowadzenie alternatywnych rozwiązań do wyboru Usługobiorcy zmusiło go do odniesienia się do nich, co w niektórych przypadkach przyniosło efekt. Nie wszystkie propozycje zostały zaakceptowane. W takiej sytuacji Klient zapytał, czy mimo to można zaakceptować wersję Usługobiorcy. Kancelaria doradziła rozważenie kilku czynników, m.in.: 

  • wielkości projektu i roli Usługodawcy, 
  • zakresu i rodzaju przetwarzanych danych, 
  • ryzyka naruszeń i ich prawdopodobieństwa, 
  • potencjalnych konsekwencji naruszeń. 

Efekty – kompromis i materiał do decyzji biznesowej 

Dzięki tej metodyce Klient miał możliwość optymalizacji ryzyk. Część zmian została zaakceptowana, a w przypadku pozostałych otrzymał jasne wskazówki do oszacowania ryzyk i podjęcia świadomej decyzji biznesowej. W efekcie zwiększyło się jego bezpieczeństwo prawne i świadomość konsekwencji zawieranej umowy. 

Wnioski i rekomendacje

Z perspektywy Kancelarii oraz Klienta kluczową nauką z tego przypadku jest konieczność rzetelnej analizy treści DPA już na wczesnym etapie negocjacji kontraktu. Akceptacja niekorzystnych postanowień bez ich wcześniejszej oceny może generować istotne ryzyka prawne i finansowe, a nawet w sytuacji silniejszej pozycji Usługobiorcy, dobrze przygotowana argumentacja i propozycje kompromisowe mogą skutkować akceptacją przynajmniej części zmian. 

Podsumowując: nawet w przypadku tak ustandaryzowanych i restrykcyjnych postanowień, jak te dotyczące przetwarzania danych osobowych, nie traktuj DPA, jako formalności, ale koncentruj się na kluczowych ryzykach i proponuj uzasadnione zmiany. 

    Interesują Cię te usługi? Oddzwonimy!