Umowa udostępnienia danych osobowych to pisemne porozumienie między dwoma lub więcej podmiotami, które reguluje zasady przekazywania i wykorzystywania danych osobowych poza relacją powierzenia. Dokument jest niezbędny zawsze, gdy polska firma udostępnia dane swoich klientów, pracowników lub kontrahentów innemu administratorowi — na przykład partnerowi handlowemu, instytucji finansowej lub organizacji branżowej — i obie strony działają na własną odpowiedzialność prawną.
Legal basis: art. 26 RODO (współadministrowanie); art. 6 ust. 1 RODO (podstawy prawne); art. 5 ust. 1 lit. b RODO (ograniczenie celu); art. 14 RODO (obowiązek informacyjny przy pozyskaniu danych nie od osoby); ustawa z 10.05.2018 o ochronie danych osobo
umowa udostepnienia danych osobowych — free, fillable template; download as PDF or Word.
Czym jest umowa udostępnienia danych osobowych
Polskie prawo ochrony danych rozróżnia dwa fundamentalnie różne schematy przepływu danych. Powierzenie przetwarzania dotyczy sytuacji, w której podmiot zewnętrzny przetwarza dane wyłącznie w imieniu i na polecenie administratora — klasycznym przykładem jest firma hostingowa przechowująca serwery. Udostępnienie natomiast zachodzi wtedy, gdy dane trafiają do podmiotu, który przejmuje nad nimi pełną kontrolę jako niezależny administrator i realizuje własne cele przetwarzania.
Właśnie ten drugi scenariusz wymaga odrębnej umowy. Art. 6 ust. 1 RODO nakłada na każdego administratora obowiązek dysponowania odpowiednią podstawą prawną przed przekazaniem danych. Bez pisemnego porozumienia strony nie są w stanie wykazać zgodności z tym wymogiem ani udokumentować, jaki cel przetwarzania uzasadnia transfer. Ustawa z 10 maja 2018 r. o ochronie danych osobowych, która wdraża RODO do polskiego porządku prawnego, nakłada na administratorów obowiązek prowadzenia rejestru czynności przetwarzania — a każde udostępnienie powinno w nim figurować wraz z odniesieniem do podstawy prawnej i celu.
Kiedy umowa jest potrzebna
Umowa udostępnienia danych osobowych jest potrzebna zawsze, gdy co najmniej dwie strony stają się niezależnymi administratorami tych samych zbiorów danych. Poniższe sytuacje pojawiają się najczęściej w praktyce biznesowej:
- Partnerstwa marketingowe. Dwie firmy wymieniają bazy kontaktów w celu organizacji wspólnej kampanii. Każda z nich przetwarza dane według własnej polityki prywatności.
- Grupy kapitałowe. Spółka matka przekazuje dane pracowników spółce córce do celów kadrowych lub sprawozdawczości wewnętrznej. Mimo powiązania kapitałowego obie spółki pozostają odrębnymi administratorami.
- Platformy wymiany danych branżowych. Instytucje finansowe lub ubezpieczyciele współdzielą informacje o klientach w ramach systemów oceny ryzyka.
- Współadministrowanie. Art. 26 RODO dotyczy sytuacji, gdy co najmniej dwóch administratorów wspólnie ustala cele i sposoby przetwarzania. Umowa musi wówczas określać podział obowiązków między współadministratorami, w tym to, który z nich odpowiada za realizację praw osób fizycznych oraz za wykonanie obowiązku informacyjnego z art. 14 RODO.
- Transakcje M&A i due diligence. Ujawnienie danych pracowników lub klientów potencjalnemu nabywcy wymaga wyraźnej podstawy prawnej i ograniczenia celu zgodnie z art. 5 ust. 1 lit. b RODO.
Jeżeli natomiast podmiot zewnętrzny przetwarza dane wyłącznie na zlecenie i nie decyduje samodzielnie o celach — właściwą formą jest umowa powierzenia przetwarzania, nie umowa udostępnienia.
Kluczowe klauzule dokumentu
Dobrze skonstruowana umowa udostępnienia danych osobowych zawiera kilka warstw postanowień, których pominięcie prowadzi do luk w dokumentacji zgodności.
Identyfikacja stron i kategorie danych. Umowa powinna precyzyjnie wskazywać podmioty — ze wskazaniem ich statusu jako administratorów — oraz enumeratywnie wymieniać kategorie danych będących przedmiotem udostępnienia (np. imiona i nazwiska, adresy e-mail, numery telefonów, dane dotyczące zatrudnienia). Ogólne sformułowania w rodzaju „dane klientów" są zbyt lakoniczne i utrudniają późniejsze rozliczenie zakresu przetwarzania.
Cel i podstawa prawna. Art. 6 ust. 1 RODO wymaga wskazania co najmniej jednej legalnej podstawy przetwarzania. Umowa musi precyzować konkretny cel po stronie odbiorcy danych i powiązać go z odpowiednią podstawą — może to być wykonanie umowy, prawnie uzasadniony interes lub zgoda osoby, której dane dotyczą.
Zasada ograniczenia celu. Art. 5 ust. 1 lit. b RODO zakazuje przetwarzania danych w sposób niezgodny z pierwotnym celem, dla którego zostały zebrane. Umowa powinna expressis verbis zakazywać odbiorcy wykorzystywania przekazanych danych do innych celów niż te, które zostały wskazane w dokumencie.
Obowiązek informacyjny wobec osób, których dane dotyczą. Art. 14 RODO nakazuje administratorowi, który pozyskał dane nie bezpośrednio od osoby (czyli właśnie w drodze udostępnienia od innego administratora), poinformowanie jej o tym fakcie, o tożsamości pierwotnego administratora oraz o celach dalszego przetwarzania. Umowa powinna jednoznacznie przesądzać, która ze stron wykonuje ten obowiązek, w jakim terminie i w jakiej formie.
Środki bezpieczeństwa i poufność. Strony powinny zobowiązać się do stosowania adekwatnych środków technicznych i organizacyjnych chroniących przekazane dane oraz — w razie naruszenia — do niezwłocznego wzajemnego powiadomienia.
Czas trwania i usunięcie danych. Umowa powinna określać okres, przez jaki odbiorca jest uprawniony do przechowywania danych, oraz sposób ich usunięcia lub zwrotu po wygaśnięciu umowy. Warto też przewidzieć procedurę weryfikacji, potwierdzającą, że dane zostały faktycznie usunięte lub zanonimizowane, a nie jedynie oznaczone do usunięcia w systemach IT.
Podział odpowiedzialności. Jasne postanowienia o tym, która ze stron odpowiada za realizację praw osób fizycznych (dostęp, sprostowanie, usunięcie, ograniczenie przetwarzania), zapobiegają późniejszym sporom i umożliwiają dotrzymanie ustawowych terminów.
Jak wypełnić i podpisać umowę
Skorzystaj z gotowego wzoru dostępnego w serwisie, aby uniknąć pominięcia obowiązkowych klauzul. Umowa udostępnienia danych osobowych prowadzi przez kolejne pola w formie intuicyjnego kreatora.
Przed przystąpieniem do wypełniania warto zebrać następujące informacje:
- Dane identyfikacyjne obu stron — pełne nazwy, adresy rejestrowe, numery NIP lub KRS, dane kontaktowe inspektora ochrony danych (jeśli został wyznaczony).
- Precyzyjna lista kategorii danych — sporządź ją na podstawie rzeczywistego zakresu transferu, nie szablonowych założeń.
- Cel przetwarzania po stronie odbiorcy — zapisany w sposób konkretny i weryfikowalny.
- Wybrana podstawa prawna z art. 6 ust. 1 RODO — wraz z uzasadnieniem, jeśli stosujesz prawnie uzasadniony interes.
- Harmonogram realizacji obowiązku informacyjnego — kiedy i w jaki sposób odbiorca poinformuje osoby, których dane dotyczą, zgodnie z art. 14 RODO.
Gotowy dokument powinien zostać podpisany przez osoby umocowane do reprezentowania każdej ze stron. W obrocie B2B wystarczy podpis odręczny lub kwalifikowany podpis elektroniczny. Przechowuj egzemplarze przez okres umożliwiający wykazanie zgodności w razie kontroli Prezesa Urzędu Ochrony Danych Osobowych — w praktyce oznacza to przechowywanie przez czas trwania umowy oraz przez odpowiedni okres po jej wygaśnięciu, uwzględniający terminy przedawnienia roszczeń.
Najczęstsze błędy i jak ich uniknąć
Mylenie udostępnienia z powierzeniem. Kwalifikacja prawna stosunku między stronami decyduje o formie dokumentu. Zanim sięgniesz po wzór umowy udostępnienia, ustal, czy odbiorca danych rzeczywiście działa jako niezależny administrator, czy jedynie wykonuje polecenia. Błędna kwalifikacja prowadzi do stosowania nieodpowiedniej umowy, co jest nieprawidłowością w razie kontroli.
Zbyt ogólnie sformułowany cel przetwarzania. Sformułowania takie jak „cel marketingowy" lub „działalność gospodarcza" nie spełniają wymogów art. 5 ust. 1 lit. b RODO. Cel musi być konkretny i ograniczony do tego, co faktycznie niezbędne.
Brak postanowień o obowiązku informacyjnym. Strony często zakładają, że obowiązek z art. 14 RODO „automatycznie" spoczywa na odbiorcy. Umowa powinna tę kwestię rozstrzygnąć wprost — w tym wskazać termin i formę realizacji.
Pominięcie klauzul dotyczących współadministrowania. Jeżeli obie strony wspólnie decydują o celach przetwarzania, zastosowanie ma art. 26 RODO, który nakłada dodatkowe wymagania — w szczególności określenie kanału, przez który osoby fizyczne mogą realizować swoje prawa. Pominięcie tych postanowień w umowie, która faktycznie opisuje współadministrowanie, naraża obie strony na zarzut naruszenia.
Brak ograniczenia czasowego. Umowa na czas nieokreślony bez klauzuli wygaśnięcia lub usunięcia danych jest niezgodna z zasadą ograniczenia przechowywania. Nawet jeśli współpraca ma charakter długoterminowy, umowa powinna zawierać mechanizm weryfikacji zasadności dalszego przechowywania.
Brak aktualizacji przy zmianie zakresu danych. Jeśli w trakcie współpracy dochodzi do przekazywania dodatkowych kategorii danych — umowę należy zaktualizować lub zawrzeć aneks. Przetwarzanie danych nieobjętych pierwotnym dokumentem odbywa się bez podstawy prawnej.
Brak powiązania z rejestrem czynności przetwarzania. Administratorzy mają obowiązek prowadzenia rejestru wszystkich czynności przetwarzania. Każde udostępnienie — zarówno jako strona przekazująca, jak i odbierająca — powinno zostać odnotowane w rejestrze z odesłaniem do odpowiedniej umowy i podstawy prawnej. Pominięcie tego kroku sprawia, że dokumentacja zgodności jest niekompletna, choć sama umowa może być prawidłowa.
Precyzyjnie sporządzona umowa udostępnienia danych osobowych chroni obie strony przed ryzykiem prawnym, umożliwia wykazanie zgodności z przepisami i buduje zaufanie w relacjach biznesowych opartych na wymianie informacji. Regularne przeglądanie zawartych umów — w miarę jak zmienia się zakres współpracy lub kategorie przetwarzanych danych — jest praktyką równie ważną jak samo sporządzenie dokumentu.
Need the document itself? Download the free template →
This article is general information, not legal advice — see our accuracy & editorial policy. Confirm the cited law is current before relying on it.