Czy umowa powierzenia przetwarzania danych musi mieć formę pisemną?

Art. 28 ust. 3 RODO wymaga, aby umowa powierzenia miała formę pisemną lub elektroniczną. Oznacza to, że wystarczy elektroniczna wymiana dokumentów — np. podpisanie przez obie strony skanu lub zawarcie umowy przez akceptację warunków w systemie dostawcy (tzw. click-wrap agreement), o ile jest ona archiwizowana i możliwa do wykazania. Forma ustna jest niedopuszczalna. W Polsce dla celów dowodowych i pewności obrotu rekomenduje się formę pisemną lub podpis kwalifikowany (podpis elektroniczny równoważny podpisowi własnoręcznemu na podstawie rozporządzenia eIDAS).

Czy biuro rachunkowe jest procesorem moich danych?

Tak, biuro rachunkowe obsługujące firmę jest podmiotem przetwarzającym (procesorem) w zakresie, w jakim przetwarza dane osobowe pracowników, kontrahentów lub klientów firmy w ramach zleconych usług księgowych lub kadrowych. Przekazanie danych pracowników do biura rachunkowego w celu naliczenia wynagrodzeń i sporządzenia deklaracji ZUS wymaga zawarcia DPA na podstawie art. 28 RODO. Wyjątek dotyczy biura, które przetwarza dane we własnym imieniu dla własnych celów — wtedy jest odrębnym administratorem, a nie procesorem. W praktyce ta konfiguracja jest rzadka, ponieważ biuro działa wyłącznie na zlecenie i w imieniu klienta.

Co grozi za brak umowy powierzenia przetwarzania danych?

Brak DPA przy faktycznym przekazaniu danych osobowych do zewnętrznego podmiotu stanowi naruszenie art. 28 ust. 3 RODO i może skutkować administracyjną karą pieniężną nakładaną przez Prezesa Urzędu Ochrony Danych Osobowych (PUODO) na podstawie art. 83 ust. 4 lit. a RODO — do 10 mln EUR lub 2% rocznego obrotu globalnego (za naruszenia przepisów o podmiocie przetwarzającym i zasadach przetwarzania). Kary nakładane przez PUODO w Polsce w sprawach DPA wynosiły od kilku do kilkuset tysięcy złotych. Dodatkowo administrator ponosi ryzyko odpowiedzialności cywilnej wobec osób, których dane dotyczą, za szkody wyrządzone w związku z przetwarzaniem bez właściwej podstawy umownej.

Czy procesor może korzystać z podprocesorów bez zgody administratora?

Nie. Art. 28 ust. 2 RODO stanowi, że procesor nie może korzystać z usług innego podmiotu przetwarzającego bez uprzedniej pisemnej zgody administratora — szczegółowej (dotyczącej konkretnego podprocesora) lub ogólnej (z prawem wniesienia sprzeciwu przez administratora przy zmianie lub dodaniu podprocesora). Administrator powinien w DPA wyraźnie wskazać preferowany model. W praktyce wielu dostawców usług SaaS stosuje model ogólnej zgody i prowadzi publicznie dostępną listę podprocesorów, informując o planowanych zmianach z wyprzedzeniem 14-30 dni, co daje administratorowi czas na wniesienie sprzeciwu.

W jakim terminie procesor musi zgłosić administratorowi naruszenie ochrony danych?

RODO wprost nie określa terminu zgłoszenia naruszenia przez procesora do administratora — nakazuje jedynie „niezwłoczne” zgłoszenie (art. 33 ust. 2 RODO). Ponieważ administrator ma 72 godziny na zgłoszenie naruszenia do PUODO (art. 33 ust. 1 RODO), w DPA rekomenduje się ustalenie terminu 24 godzin dla procesora — daje to administratorowi czas na weryfikację naruszenia i przygotowanie zgłoszenia. Kara za niedopełnienie obowiązku zgłoszenia przez procesora może być nałożona przez PUODO bezpośrednio na procesora na podstawie art. 83 ust. 4 RODO.

Czy gotowe DPA udostępniane przez dostawcę SaaS jest wystarczające?

Gotowe DPA dostawcy (np. Google, Microsoft, Salesforce) jest punktem wyjścia, lecz nie zawsze wystarczy bez weryfikacji. Administrator musi sprawdzić, czy dokument zawiera wszystkie elementy wymagane przez art. 28 ust. 3 RODO, w szczególności: pełny wykaz podprocesorów, opis środków bezpieczeństwa, zasady usuwania danych, prawo do audytu i procedurę zgłaszania naruszeń. Jeśli DPA dostawcy spełnia te wymogi — można je zaakceptować. Jeśli nie — administrator powinien negocjować uzupełnienia lub wybrać innego dostawcę. Brak weryfikacji gotowego DPA i przyjęcie go bez analizy nie zwalnia administratora z odpowiedzialności wobec PUODO.

Co się dzieje z danymi po wygaśnięciu umowy z procesorem?

Art. 28 ust. 3 lit. g RODO nakłada na procesora obowiązek usunięcia lub zwrócenia wszelkich danych osobowych po zakończeniu świadczenia usług, zależnie od decyzji administratora, chyba że przepisy prawa Unii lub prawa polskiego nakazują przechowywanie danych. W DPA należy określić termin (np. 30 lub 60 dni od rozwiązania umowy) i formę potwierdzenia usunięcia (certyfikat usunięcia lub protokół). Administrator powinien poinformować procesora o dacie zakończenia umowy z odpowiednim wyprzedzeniem i zachować dokumentację potwierdzającą prawidłowe usunięcie danych — jest to element zasady rozliczalności (art. 5 ust. 2 RODO).

Umowa powierzenia przetwarzania danych osobowych

Rzeczpospolita Polska — RODO art. 28, art. 29 i art. 32 oraz ustawa z 10.05.2018 o ochronie danych osobowych

Tytuł

zawarta dnia [Data zawarcia] r. w [Miejscowość]

Strony umowy

pomiędzy:

ADMINISTRATOREM DANYCH (ADO):

[Nazwa administratora], z siedzibą: [Adres administratora], [NIP/KRS administratora], zwanym/-ą dalej „Administratorem”,

PODMIOTEM PRZETWARZAJĄCYM (Procesorem):

[Nazwa procesora], z siedzibą: [Adres procesora], [NIP/KRS procesora], zwanym/-ą dalej „Procesorem”.

Podstawa i przedmiot

§ 1. PODSTAWA PRAWNA I PRZEDMIOT UMOWY

Niniejsza umowa zostaje zawarta na podstawie art. 28 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych (RODO) oraz ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz.U. 2018 poz. 1000 ze zm.).

Administrator powierza Procesorowi przetwarzanie danych osobowych w następującym zakresie:

Cel przetwarzania: [Cel przetwarzania]
Kategorie danych osobowych: [Kategorie danych]
Kategorie osób, których dane dotyczą: [Kategorie osób]
Czas trwania przetwarzania: [Czas trwania przetwarzania]
Umowa główna: [Umowa główna]

Obowiązki Procesora

§ 2. OBOWIĄZKI PODMIOTU PRZETWARZAJĄCEGO (art. 28 ust. 3 RODO)

Procesor zobowiązuje się:

przetwarzać dane osobowe wyłącznie na udokumentowane polecenie Administratora (art. 28 ust. 3 lit. a RODO) i nie przetwarzać ich w żadnym innym celu;
zapewnić, aby osoby upoważnione do przetwarzania danych zobowiązały się do zachowania tajemnicy lub podlegały stosownemu ustawowemu obowiązkowi zachowania tajemnicy (art. 28 ust. 3 lit. b RODO);
podjąć wszelkie wymagane środki bezpieczeństwa (art. 32 RODO): [Środki bezpieczeństwa];
przestrzegać warunków korzystania z usług innego podmiotu przetwarzającego (art. 28 ust. 2 i 4 RODO);
uwzględniając charakter przetwarzania, pomagać Administratorowi poprzez odpowiednie środki techniczne i organizacyjne w wywiązywaniu się z obowiązku odpowiadania na żądania osoby, której dane dotyczą (art. 28 ust. 3 lit. e RODO);
pomagać Administratorowi w zapewnieniu zgodności z obowiązkami określonymi w art. 32-36 RODO (bezpieczeństwo przetwarzania, ocena skutków, uprzednie konsultacje);
po zakończeniu świadczenia usług usunąć lub zwrócić Administratorowi wszelkie dane osobowe oraz usunąć istniejące ich kopie, o ile przepisy prawa nie nakazują przechowywania danych;
udostępniać Administratorowi wszelkie informacje niezbędne do wykazania spełnienia obowiązków i umożliwiać przeprowadzanie audytów (art. 28 ust. 3 lit. h RODO).

Podpowierzenie

§ 3. DALSZE POWIERZENIE PRZETWARZANIA

Podpowierzenie dozwolone: [Podpowierzenie dozwolone].

W przypadku korzystania z usług podprocesorów Procesor nakłada na nich takie same obowiązki ochrony danych jak wynikające z niniejszej umowy, zgodnie z art. 28 ust. 4 RODO. Procesor ponosi odpowiedzialność wobec Administratora za działania podprocesorów jak za własne działania.

Naruszenia i audyty

§ 4. NARUSZENIA OCHRONY DANYCH I AUDYTY

Procesor zgłasza Administratorowi wszelkie naruszenia ochrony danych osobowych niezwłocznie, nie później niż w ciągu 24 godzin od ich wykrycia, w celu umożliwienia Administratorowi spełnienia obowiązku zgłoszenia do Prezesa Urzędu Ochrony Danych Osobowych (PUODO) w terminie 72 godzin (art. 33 RODO). Procesor udziela Administratorowi wszelkich niezbędnych informacji i pomocy w związku z naruszeniem.

Administrator lub upoważniony przez niego audytor ma prawo przeprowadzenia audytu przestrzegania niniejszej umowy przez Procesora z zachowaniem rozsądnego okresu powiadomienia (co najmniej 7 dni roboczych). Procesor udostępnia wszelką dokumentację niezbędną do wykazania zgodności z art. 28 RODO.

Odpowiedzialność

§ 5. ODPOWIEDZIALNOŚĆ

Procesor ponosi odpowiedzialność wobec Administratora za szkody wyrządzone wskutek naruszenia niniejszej umowy lub przepisów RODO. W relacji zewnętrznej (wobec osób, których dane dotyczą) odpowiedzialność Administratora i Procesora jest solidarna zgodnie z art. 82 RODO — każdy z nich może być zwolniony od odpowiedzialności, jeżeli udowodni, że nie ponosi winy za zdarzenie, które spowodowało szkodę.

Postanowienia końcowe

§ 6. POSTANOWIENIA KOŃCOWE

Umowa wchodzi w życie z dniem podpisania przez obie strony. Wszelkie zmiany wymagają formy pisemnej pod rygorem nieważności. W sprawach nieuregulowanych stosuje się przepisy RODO oraz ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych. Spory będą rozstrzygane przez sąd właściwy dla siedziby Administratora.

Administrator danych (ADO)

________________

Signature

Podmiot przetwarzający (Procesor)

________________

Signature

Prowadzone przez Vladislav Sergienko, Założyciel·Szablon ostatnio zmodyfikowany: 2026-06-23·Zgłoś błąd

Czym jest Umowa powierzenia przetwarzania danych osobowych?

Umowa powierzenia przetwarzania danych osobowych (ang. Data Processing Agreement, DPA) w Polsce to kontrakt wymagany przez art. 28 rozporządzenia (UE) 2016/679 (RODO) w każdym przypadku, gdy administrator danych osobowych korzysta z usług zewnętrznego podmiotu — tzw. procesora — w zakresie przetwarzania danych. Umowa reguluje prawa i obowiązki obu stron, gwarantuje stosowanie środków bezpieczeństwa wymaganych przez art. 32 RODO oraz zapewnia, że procesor przetwarza dane wyłącznie na udokumentowane polecenie administratora, nie wykraczając poza zakres i cel wynikający z umowy.

Art. 4 pkt 7 RODO definiuje administratora (ADO) jako podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych. Art. 4 pkt 8 RODO definiuje podmiot przetwarzający (procesor) jako osobę fizyczną lub prawną, która przetwarza dane w imieniu administratora na podstawie umowy. Rozróżnienie między administratorem a procesorem jest kluczowe: firma prowadząca sklep internetowy jest administratorem danych swoich klientów, a firma hostingowa, biuro rachunkowe obsługujące jej księgowość lub dostawca systemu CRM — procesorami, zobowiązanymi do zawarcia DPA. Brak umowy powierzenia stanowi naruszenie RODO i może skutkować administracyjną karą pieniężną nakładaną przez Prezesa Urzędu Ochrony Danych Osobowych (PUODO).

Umowa powierzenia musi mieć formę pisemną lub elektroniczną i zawierać elementy wymienione w art. 28 ust. 3 RODO: przedmiot, czas trwania, charakter i cel przetwarzania, rodzaj danych osobowych, kategorie osób, których dane dotyczą, a także prawa i obowiązki administratora. Kluczowe obowiązki procesora obejmują: przetwarzanie wyłącznie zgodnie z udokumentowanymi poleceniami administratora (art. 28 ust. 3 lit. a), zapewnienie poufności (art. 28 ust. 3 lit. b), stosowanie środków bezpieczeństwa z art. 32 RODO (art. 28 ust. 3 lit. c), przestrzeganie zasad dalszego powierzenia (art. 28 ust. 3 lit. d), pomaganie administratorowi w realizacji praw osób (art. 28 ust. 3 lit. e–f), usuwanie lub zwrotu danych po zakończeniu usług (art. 28 ust. 3 lit. g) oraz umożliwienie przeprowadzenia audytów (art. 28 ust. 3 lit. h).

Szczególną wagę ma kwestia dalszego powierzenia danych (podprocesing). Procesor może korzystać z usług innego podmiotu przetwarzającego wyłącznie za uprzednią pisemną zgodą administratora (art. 28 ust. 2 RODO), a na podprocesora musi nałożyć takie same obowiązki jak wynikające z DPA. Procesor odpowiada za działania podprocesorów jak za własne. Od momentu wejścia w życie RODO (25 maja 2018 r.) Prezes Urzędu Ochrony Danych Osobowych (PUODO) aktywnie egzekwuje ten obowiązek — kary nakładane w związku z brakiem DPA lub jego niewystarczającą treścią sięgają setek tysięcy złotych, a administratorzy pozbawieni umowy powierzenia nie mogą skutecznie odeprzeć zarzutów braku zgodności z RODO podczas kontroli PUODO lub postępowań wszczynanych na wniosek osób, których dane dotyczą.

Umowa powierzenia przetwarzania danych osobowych jest zatem nie tylko wymogiem formalnym, lecz fundamentem systemu zarządzania ryzykiem ochrony danych w każdej organizacji korzystającej z zewnętrznych dostawców usług IT, księgowości, kadr, marketingu lub przechowywania danych. Wzorzec DPA zgodny z art. 28 RODO i wymogami PUODO dla Polski udostępnia forms-legal.com, ułatwiając compliance bez angażowania zewnętrznego prawnika RODO na etapie przygotowania pierwszego dokumentu.

Kiedy potrzebujesz Umowa powierzenia przetwarzania danych osobowych?

Umowa powierzenia przetwarzania danych osobowych w Polsce jest obowiązkowa w każdej sytuacji, w której administrator korzysta z usług zewnętrznego podmiotu, który w ramach tych usług uzyskuje dostęp do danych osobowych osób fizycznych — niezależnie od skali, branży czy formy prawnej stron.

**Hosting i chmura obliczeniowa.** Każda firma, która przechowuje bazę danych klientów, pracowników lub kontrahentów na serwerze zewnętrznym (IaaS, SaaS, PaaS) — np. AWS, Google Cloud, Microsoft Azure, OVH — musi zawrzeć DPA z dostawcą, ponieważ ma on dostęp do danych osobowych w ramach świadczenia usługi. Dostawcy usług chmurowych zazwyczaj udostępniają gotowe DPA, jednak administrator musi je przeanalizować pod kątem zgodności z RODO.

**Biuro rachunkowe i obsługa kadrowa.** Przekazanie danych pracowników lub kontrahentów do biura rachunkowego (do celów naliczania wynagrodzeń, ZUS, podatku dochodowego) lub do firmy kadrowej — wymaga DPA, ponieważ biuro jest procesorem danych przetwarzanych w imieniu administratora-pracodawcy.

**Systemy CRM, marketing automation, newsletter.** Korzystanie z platform do zarządzania relacjami z klientami (Salesforce, HubSpot, Pipedrive) lub systemów do wysyłki newsletterów (MailerLite, GetResponse, Freshmail) wiąże się z przetwarzaniem przez te podmioty danych kontaktowych klientów — wymaga zawarcia DPA z każdym dostawcą.

**Firmy kurierskie i logistyczne.** Przekazanie adresów dostawy klientów firmie kurierskiej (InPost, DPD, DHL, Poczta Polska) wymaga DPA — dane te są przetwarzane przez kuriera wyłącznie w celu realizacji zlecenia administratora-sprzedawcy.

**Typowe sytuacje wymagające DPA:** - wdrożenie nowego oprogramowania SaaS (systemu ERP, CRM, kadrowego) - podpisanie umowy z biurem rachunkowym lub kancelarią kadrową - outsourcing IT lub helpdesk z dostępem do danych użytkowników - korzystanie z usług agencji marketingowej operującej bazą klientów - wdrożenie systemu HR z dostępem podmiotu zewnętrznego - korzystanie z wirtualnego biura przechowującego korespondencję - transfer danych do zagranicznego podmiotu z grupy kapitałowej

**Wyjątek — odrębny administrator.** Gdy firma korzysta z usług banku, ubezpieczyciela lub podmiotu działającego w swoim własnym imieniu (jako odrębny administrator), nie jest wymagane DPA, lecz ewentualnie umowa o współadministrowanie (art. 26 RODO) lub samo powiadomienie o przekazaniu danych odbiorcy. Kluczowe jest ustalenie roli: jeśli podmiot przetwarza dane wyłącznie na polecenie i w imieniu administratora — jest procesorem, jeśli sam decyduje o celach — jest odrębnym administratorem. PUODO wydaje wytyczne pomocnicze w tym zakresie, a błędna kwalifikacja roli ma istotne konsekwencje prawne.

Co powinien zawierać Umowa powierzenia przetwarzania danych osobowych

Umowa powierzenia przetwarzania danych osobowych w Polsce musi zawierać wszystkie elementy wymagane przez art. 28 ust. 3 RODO, a jej treść powinna być wystarczająco szczegółowa, aby można ją było egzekwować zarówno w stosunkach między stronami, jak i przed PUODO.

**1. Przedmiot, charakter i cel przetwarzania.** Opis usługi, w związku z którą dochodzi do przetwarzania danych (np. hosting bazy danych, obsługa kadrowa, wysyłka newsletterów) oraz cel przetwarzania, który musi być zgodny z celem Administratora. Ogólne sformułowania (np. „przetwarzanie w związku z umową główną”) bez wskazania konkretnego charakteru operacji (np. „przechowywanie, tworzenie kopii zapasowych, przesyłanie”) są niewystarczające.

**2. Czas trwania przetwarzania.** Określenie okresu, przez który procesor jest upoważniony do przetwarzania — zazwyczaj czas trwania umowy głównej lub konkretna data końcowa. Po upływie okresu procesor musi usunąć lub zwrócić dane (art. 28 ust. 3 lit. g RODO).

**3. Rodzaj i kategorie danych osobowych.** Dokładne wskazanie danych powierzanych do przetwarzania (imię, nazwisko, PESEL, dane kontaktowe, dane finansowe itp.) oraz kategorii osób, których dane dotyczą (klienci, pracownicy, kontrahenci). Precyzja jest niezbędna, ponieważ procesor nie może przetwarzać danych wykraczających poza zakres DPA.

**4. Obowiązki i prawa Administratora.** Wyłączne prawo do wydawania poleceń procesorowi, prawo do przeprowadzania audytów (art. 28 ust. 3 lit. h RODO), prawo do zgody lub odmowy na korzystanie z podprocesorów (art. 28 ust. 2 RODO) oraz prawo do żądania usunięcia danych po zakończeniu umowy.

**5. Obowiązki Procesora (art. 28 ust. 3 RODO).** Przetwarzanie wyłącznie na polecenie (lit. a), zachowanie tajemnicy przez upoważnione osoby (lit. b), stosowanie środków bezpieczeństwa z art. 32 RODO (lit. c), przestrzeganie zasad podprocesingu (lit. d), pomoc w realizacji praw osób (lit. e), pomoc w zapewnieniu bezpieczeństwa, OCT, uprzednich konsultacjach (lit. f), usunięcie lub zwrot danych (lit. g) i umożliwienie audytów (lit. h).

**6. Środki bezpieczeństwa (art. 32 RODO).** Opis technicznych i organizacyjnych środków bezpieczeństwa stosowanych przez procesora: szyfrowanie, pseudonimizacja, kontrola dostępu, testy penetracyjne, procedury tworzenia kopii zapasowych, certyfikacja ISO 27001. Środki muszą być adekwatne do ryzyka naruszenia praw i wolności osób fizycznych.

**7. Dalsze powierzenie — podprocesing (art. 28 ust. 2 i 4 RODO).** Wyraźne wskazanie, czy procesor może korzystać z podprocesorów i na jakich zasadach: ogólna zgoda (z prawem wniesienia sprzeciwu) lub każdorazowa zgoda. Lista zatwierdzonych podprocesorów powinna być dołączona jako załącznik. Procesor nakłada na podprocesorów takie same obowiązki jak wynikające z DPA. Narzędzie do generowania zgodnych wzorów DPA dla Polski — forms-legal.com — umożliwia wybór modelu zgody ogólnej lub indywidualnej.

**8. Naruszenia ochrony danych (art. 33 RODO).** Obowiązek procesora niezwłocznego (w ciągu 24 godzin) zgłaszania administratorowi wszelkich naruszeń, wraz z opisem charakteru naruszenia, kategoriami i przybliżoną liczbą osób i wpisów, możliwymi konsekwencjami i proponowanymi środkami zaradczymi. Administrator ma 72 godziny na zgłoszenie naruszenia do PUODO (art. 33 RODO) — 24-godzinny termin dla procesora daje mu bufor na weryfikację.

**9. Odpowiedzialność i odszkodowanie (art. 82 RODO).** Klarowne postanowienia o odpowiedzialności stron: procesor odpowiada wobec administratora za szkody wynikające z naruszenia DPA lub RODO. Wobec osoby, której dane dotyczą, administrator i procesor odpowiadają solidarnie. Warto uregulować zasady regresu między stronami na wypadek, gdy administrator zostanie zobowiązany do zapłaty odszkodowania za naruszenie będące wyłącznie winą procesora.

Jak wypełnić Umowa powierzenia przetwarzania danych osobowych

Umowę powierzenia przetwarzania danych osobowych w Polsce wypełnia się przez dostosowanie wzoru do konkretnej relacji biznesowej między administratorem a procesorem — mechaniczne kopiowanie gotowych szablonów bez weryfikacji treści prowadzi do dokumentów niezgodnych ze stanem faktycznym.

**Krok 1: Dane stron.** Wpisz pełną firmę, adres siedziby i numer NIP oraz KRS lub CEIDG zarówno administratora, jak i procesora. Dane muszą być identyczne z danymi rejestrowymi — rozbieżności mogą utrudnić egzekucję umowy. Wskaż osoby uprawnione do reprezentacji zgodnie z dokumentami rejestrowymi.

**Krok 2: Precyzyjne określenie zakresu przetwarzania.** Opisz cel i charakter przetwarzania zgodny z umową główną — np. „przechowywanie i tworzenie kopii zapasowych bazy danych klientów sklepu internetowego administratora w celu realizacji umów sprzedaży”. Wskaż dokładne kategorie danych (imię, nazwisko, adres e-mail, adres dostawy, historia zakupów) i kategorie osób (klienci sklepu). Unikaj ogólnych sformułowań — PUODO ocenia zawartość merytoryczną DPA, a nie tylko sam fakt jego zawarcia.

**Krok 3: Czas trwania.** Ustal okres przetwarzania powiązany z umową główną lub z konkretnym projektem. Dodaj postanowienie, że po zakończeniu umowy procesor usuwa lub zwraca dane w określonym terminie (np. 30 dni) i wystawia potwierdzenie usunięcia.

**Krok 4: Środki bezpieczeństwa.** Zaznacz środki stosowane przez procesora na podstawie jego polityki bezpieczeństwa. Warto dołączyć jako załącznik zestawienie środków technicznych i organizacyjnych (TOMs — Technical and Organisational Measures) lub odesłać do certyfikatu ISO 27001 procesora. Im bardziej szczegółowy opis, tym lepiej — ogólne deklaracje „stosowania odpowiednich środków” nie są wystarczające dla wykazania zgodności z art. 32 RODO.

**Krok 5: Podpowierzenie.** Zdecyduj, czy dajesz procesorowi ogólną zgodę na korzystanie z podprocesorów (z prawem wniesienia sprzeciwu) czy wymagasz każdorazowej zgody. Dołącz lub zażądaj dostarczenia listy aktualnych podprocesorów wraz ze wskazaniem kraju i zakresu przetwarzania. Upewnij się, że DPA nakłada na procesora obowiązek informowania o planowanych zmianach podprocesorów.

**Krok 6: Naruszenia i audyty.** Ustal termin zgłaszania naruszeń przez procesora (rekomendowane 24 godziny), formę zgłoszenia (e-mail na wskazany adres) i tryb przeprowadzania audytów (np. raz w roku, z 14-dniowym powiadomieniem, w godzinach pracy). Upewnij się, że procesor akceptuje prawo administratora do wglądu w dokumentację i infrastrukturę.

**Krok 7: Podpisanie.** DPA wymaga podpisu obu stron przed faktycznym przekazaniem danych procesorowi. W relacjach B2B dopuszczalne jest zawarcie umowy elektronicznie (podpisem kwalifikowanym lub przez akceptację w systemie). Umowę należy archiwizować przez czas trwania relacji z procesorem plus minimum 3 lata po jej zakończeniu, z uwagi na możliwe postępowanie przed PUODO.

Wymogi prawne dla Umowa powierzenia przetwarzania danych osobowych

Umowa powierzenia przetwarzania danych osobowych w Polsce musi spełniać wymogi art. 28 RODO jako lex specialis regulującego relację administrator–procesor.

**Art. 28 ust. 1 RODO — wybór procesora.** Administrator korzysta wyłącznie z podmiotów przetwarzających, które zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, tak aby przetwarzanie spełniało wymogi RODO. Oznacza to, że administrator powinien przeprowadzić due diligence procesora (np. sprawdzić certyfikat ISO 27001, politykę bezpieczeństwa, referencje) przed podpisaniem DPA.

**Art. 28 ust. 3 RODO — obligatoryjna treść DPA.** Umowa musi zawierać wszystkie elementy wymienione w art. 28 ust. 3 lit. a–h: przetwarzanie wyłącznie na polecenie, zachowanie tajemnicy, stosowanie środków bezpieczeństwa, zasady podprocesingu, pomoc w realizacji praw, pomoc w zakresie bezpieczeństwa/OCT, usuwanie lub zwrot danych, umożliwienie audytów. Brak któregokolwiek elementu powoduje, że DPA jest niezgodne z RODO.

**Art. 28 ust. 4 RODO — podprocesing.** Procesor może korzystać z usług innego podmiotu przetwarzającego wyłącznie za uprzednią pisemną zgodą administratora (szczegółową lub ogólną). Na podprocesora muszą być nałożone takie same obowiązki jak na procesora wynikające z DPA. Procesor odpowiada wobec administratora za działania podprocesorów.

**Art. 29 RODO — działanie pod nadzorem administratora.** Podmiot przetwarzający i każda osoba działająca pod jego nadzorem, która ma dostęp do danych osobowych, przetwarza je wyłącznie na polecenie administratora, chyba że wymagają tego przepisy prawa UE lub państwa członkowskiego.

**Art. 32 RODO — bezpieczeństwo przetwarzania.** Zarówno administrator, jak i procesor wdrażają odpowiednie środki techniczne i organizacyjne, uwzględniając stan wiedzy technicznej, koszt wdrożenia, charakter przetwarzania i ryzyko naruszenia praw i wolności osób fizycznych. Środki obejmują pseudonimizację i szyfrowanie, zapewnienie ciągłości przetwarzania, regularne testowanie i ocenę skuteczności środków.

**Art. 33 RODO — zgłaszanie naruszeń.** Administrator zgłasza naruszenia ochrony danych do PUODO w terminie 72 godzin od ich stwierdzenia — procesor ma obowiązek niezwłocznie (w DPA: 24 godziny) poinformować administratora, aby ten miał czas na weryfikację i zgłoszenie. Naruszenia o niskim ryzyku dla osób nie wymagają zgłoszenia do PUODO, lecz muszą być dokumentowane wewnętrznie.

**Ustawa o ochronie danych osobowych z 10.05.2018 r.** Prezes Urzędu Ochrony Danych Osobowych (PUODO) nadzoruje przestrzeganie RODO w Polsce i może nałożyć karę administracyjną zarówno na administratora, jak i na procesora (art. 83 RODO). PUODO kontroluje DPA w toku postępowań, badając kompletność treści umowy, faktyczne stosowanie deklarowanych środków bezpieczeństwa i procedury reagowania na naruszenia.

Najczęstsze błędy w Umowa powierzenia przetwarzania danych osobowych

Umowy powierzenia przetwarzania danych osobowych zawierają w Polsce szereg typowych błędów, które prowadzą do niezgodności z art. 28 RODO i narażają obie strony na odpowiedzialność wobec PUODO.

**Brak DPA w ogóle.** Najpoważniejszy błąd — korzystanie z usług zewnętrznych podmiotów mających dostęp do danych osobowych bez zawarcia jakiejkolwiek umowy powierzenia. PUODO regularnie karze administratorów za brak DPA z biurami rachunkowymi, dostawcami hostingu lub systemów CRM.

**Ogólnikowa treść bez konkretnych kategorii danych i osób.** DPA, w którym „przedmiot przetwarzania” opisany jest jedną lakoniczną linią, nie spełnia wymogów art. 28 ust. 3 RODO. Konieczne jest precyzyjne wskazanie kategorii danych i osób, zakresu operacji przetwarzania i czasu trwania.

**Brak postanowień o podprocesingu.** Pominięcie zasad dalszego powierzenia przy jednoczesnym korzystaniu przez procesora z podprocesorów (np. dostawca CRM korzysta z serwerów AWS) stanowi naruszenie art. 28 ust. 4 RODO.

**Brak klauzuli dotyczącej usuwania lub zwrotu danych.** Art. 28 ust. 3 lit. g RODO wymaga, aby po zakończeniu świadczenia usług procesor usunął lub zwrócił wszelkie dane. Pominięcie tej klauzuli lub brak określonego terminu usunięcia jest częstą luką w DPA.

**Brak prawa do audytu.** Wyłączenie lub nadmierne ograniczenie prawa administratora do przeprowadzenia audytu u procesora narusza art. 28 ust. 3 lit. h RODO i uniemożliwia realizację zasady rozliczalności z art. 5 ust. 2 RODO.

**Zawarcie DPA po faktycznym przekazaniu danych.** DPA musi być zawarta przed przekazaniem danych procesorowi — zawarcie umowy „z mocą wsteczną” po naruszeniu nie konwaliduje braku zgodności za okres poprzedni i może zostać wzięte pod uwagę przez PUODO jako okoliczność obciążająca.

Cytuj tę stronę

Powołaj się na ten darmowy szablon w artykule, programie zajęć lub notatce badawczej:

APA

Forms Legal. (2026). Umowa powierzenia przetwarzania danych osobowych (Polska) [Legal document template]. Forms Legal. https://forms-legal.com/pl/polska/business/contracts/umowa-powierzenia-przetwarzania-danych

MLA

"Umowa powierzenia przetwarzania danych osobowych (Polska)." Forms Legal, 2026, https://forms-legal.com/pl/polska/business/contracts/umowa-powierzenia-przetwarzania-danych.

BibTeX

@misc{formslegal-umowa-powierzenia-przetwarzania-danych,
  author       = {{Forms Legal}},
  title        = {Umowa powierzenia przetwarzania danych osobowych (Polska)},
  year         = {2026},
  howpublished = {\url{https://forms-legal.com/pl/polska/business/contracts/umowa-powierzenia-przetwarzania-danych}},
  note         = {Free legal document template}
}

Najczęściej zadawane pytania

Szablon z odniesieniami do przepisów — Szablon ostatnio zmodyfikowano w czerwiec 2026

Niniejszy szablon ma charakter wyłącznie informacyjny i nie stanowi porady prawnej. Przepisy różnią się w zależności od jurysdykcji i zmieniają się z czasem. W sprawie porady dostosowanej do Twojej sytuacji skonsultuj się z wykwalifikowanym prawnikiem.Pełne zastrzeżenie prawne

Znalazłeś błąd? Daj nam znać