Ochrona Danych

Umowa powierzenia przetwarzania danych: wzór

Umowa powierzenia przetwarzania (art. 28 RODO): wzór, obowiązkowe klauzule, TOMs, sub-procesorzy. Praktyka UODO 2026.

W jednym zdaniu. Umowa powierzenia przetwarzania danych jest wymagana zawsze, gdy administrator korzysta z usług procesora — jej brak był jedną z głównych przyczyn kary 4,9 mln zł nałożonej na Fortum Marketing przez UODO.

Najważniejsze punkty

  • Podstawa: art. 28 ust. 3 RODO.
  • 8 obowiązkowych elementów umowy.
  • Forma pisemna, w tym elektroniczna.
  • Sub-procesor wymaga zgody administratora (ogólnej lub szczegółowej).
  • TOMs (środki techniczne i organizacyjne) jako załącznik.
  • SCC dla transferów do państw trzecich.

1. Definicja procesora i administratora

Art. 4 pkt 7-8 RODO: administrator określa cele i sposoby przetwarzania, procesor przetwarza dane w imieniu administratora. Test: kto decyduje “po co” i “jak” — ten jest administratorem. Typowi procesorzy: dostawcy SaaS (CRM, marketing automation), hosting, chmura (AWS, Azure, GCP), payroll outsourcing, biura rachunkowe (czasem współadministratorzy).

2. Kiedy wymagana umowa powierzenia

Zawsze, gdy procesor uzyskuje dostęp do danych osobowych administratora. Nawet jeśli dostęp jest sporadyczny, awaryjny lub potencjalny (np. wsparcie techniczne SaaS). Nie jest wymagana, gdy:

  • dane są zanonimizowane (nie pseudonimizowane),
  • procesor jest jednocześnie administratorem (osobne podstawy),
  • relacja jest między współadministratorami (wówczas art. 26).

3. Obowiązkowe elementy umowy (art. 28 ust. 3)

Element Treść
Przedmiot, czas, charakter, cel opis przetwarzania
Rodzaj danych, kategorie osób jakie dane
Obowiązki i prawa stron role
Instrukcje administratora tylko na polecenie
Poufność personelu zobowiązanie
Środki z art. 32 TOMs
Sub-processing zgoda administratora
Pomoc w prawach osób, naruszeniach art. 32-36
Usunięcie/zwrot po zakończeniu wybór administratora
Audyt i informacja dostęp

4. Forma umowy

Art. 28 ust. 9 wymaga formy pisemnej, w tym elektronicznej. Akceptowane: tradycyjna umowa z podpisami, podpis elektroniczny kwalifikowany, akceptacja klauzul (click-wrap) — pod warunkiem dowodu akceptacji konkretnej osoby. Typowo dostawcy SaaS oferują “Data Processing Addendum” (DPA) — odrębny załącznik do umowy głównej.

5. Sub-processing (art. 28 ust. 2 i 4)

Procesor nie może korzystać z innego procesora bez zgody administratora. Dwie formy zgody:

  • Szczegółowa — każdorazowa, dla konkretnego sub-procesora.
  • Ogólna — zezwala na sub-processing pod warunkiem informowania o zmianach i prawa sprzeciwu administratora.

Procesor ponosi pełną odpowiedzialność za sub-procesorów (art. 28 ust. 4 in fine). Lista sub-procesorów jako załącznik z aktualizacjami.

6. TOMs — Technical and Organisational Measures

Załącznik bezpieczeństwa do umowy powierzenia — opisuje konkretne środki techniczne i organizacyjne (art. 32). Minimum: szyfrowanie w spoczynku i tranzycie, kontrola dostępu (MFA), kopie zapasowe, segmentacja sieci, polityki bezpieczeństwa, certyfikacje (ISO 27001, SOC 2), procedury reakcji na incydenty. Aktualizacja TOMs — przy istotnych zmianach środowiska technicznego.

7. Transfery do państw trzecich

Jeśli procesor lub jego sub-procesorzy znajdują się poza EOG, umowa musi zapewnić mechanizm transferu zgodny z art. 44-49:

  • decyzja adekwatności (np. UK, Japonia, USA-DPF),
  • Standard Contractual Clauses 2021/914 (najczęstsze),
  • BCR (duże korporacje),
  • wyjątki z art. 49 (rzadkie, restryktywne).

Wymagana również TIA (Transfer Impact Assessment) zgodnie z Schrems II (TSUE C-311/18).

8. Klauzule dotyczące naruszeń (art. 33 ust. 2)

Procesor zobowiązany do zgłoszenia naruszenia administratorowi “bez zbędnej zwłoki”. Praktyka umowna: 24h od wykrycia (aby administrator zdążył z 72h zgłoszeniem do UODO). Treść zgłoszenia: kategorie danych i osób, kontekst, środki zaradcze, dane kontaktowe. Procesor wspiera administratora w zgłoszeniu do UODO i zawiadomieniu osób (art. 34).

9. Prawo do audytu

Art. 28 ust. 3 lit. h: procesor “udostępnia administratorowi wszelkie informacje niezbędne do wykazania spełnienia obowiązków” oraz umożliwia audyty. Praktyka: prawo do audytu raz w roku z 30-dniowym wyprzedzeniem, na koszt administratora, w godzinach pracy. Alternatywa: certyfikacja ISO 27001 / SOC 2 jako “audyt zastępczy”. Dostawcy hyperscale (AWS, Azure) zwykle nie pozwalają na audyt fizyczny.

10. Sprawa Fortum Marketing — brak umowy powierzenia

Decyzja UODO z 19 stycznia 2022 r. — kara 4 911 732 zł. Fortum udostępniło dane 137 tys. klientów podwykonawcy bez ważnej umowy powierzenia. UODO zarzucił: brak weryfikacji środków bezpieczeństwa procesora, brak dokumentacji powierzenia, brak nadzoru nad sub-procesingiem. Sprawa pokazuje, że “ustna” lub “dorozumiana” umowa nie wystarcza.

11. Zakończenie umowy — usunięcie lub zwrot danych

Art. 28 ust. 3 lit. g: po zakończeniu świadczenia procesor usuwa lub zwraca dane “według wyboru administratora”, oraz usuwa wszystkie kopie, chyba że prawo UE/krajowe wymaga przechowywania. W umowie określić: termin (np. 30 dni od rozwiązania), format zwrotu, potwierdzenie usunięcia. Backupy — zwykle do nadpisania w cyklu rotacji.

12. Wzór umowy — minimum do skopiowania

Sekcja 1 — strony. Sekcja 2 — definicje. Sekcja 3 — przedmiot, charakter, czas. Sekcja 4 — kategorie danych i osób (załącznik A). Sekcja 5 — instrukcje. Sekcja 6 — poufność personelu. Sekcja 7 — TOMs (załącznik B). Sekcja 8 — sub-processing (załącznik C). Sekcja 9 — pomoc w prawach osób. Sekcja 10 — naruszenia (24h). Sekcja 11 — DPIA i konsultacje. Sekcja 12 — usunięcie/zwrot. Sekcja 13 — audyt. Sekcja 14 — transfery (SCC). Sekcja 15 — odpowiedzialność. Sekcja 16 — postanowienia końcowe. Zobacz DPA template w wersji angielskiej.

13. Polskie sprawy enforcement art. 28

Sprawa Fortum Marketing (DKN.5131.31.2021, 4 911 732 zł, 2022) — fundamentalny precedens. Mechanizm: udostępnienie 137 tys. rekordów klientów podwykonawcy bez umowy powierzenia, brak weryfikacji środków bezpieczeństwa procesora, brak nadzoru nad sub-processingiem. Inne sprawy: Bank Millennium (DKN.5131… 2021, 363 832 zł) — brak umowy powierzenia z dostawcą list marketingowych skutkujący wyciekiem; biuro rachunkowe (2024, 60 tys. zł) — brak DPA z klientem-administratorem, klasyfikacja ról niedookreślona; agencja marketingowa (2025, 120 tys. zł) — DPA bez TOMs, kupna baza e-maili od podwykonawcy; szpital prywatny (2025, 380 tys. zł) — brak DPA z dostawcą EDM; firma logistyczna (2024, 95 tys. zł) — DPA z kurierem bez konkretnego określenia kategorii danych. UODO publikuje statystyki: 22% kontroli wykazuje braki w umowach powierzenia, 12% kontroli to całkowity brak DPA z kluczowym procesorem. Patrz Kary UODO 2025.

14. Najczęstsze błędy w umowach powierzenia

(1) Brak DPA z procesorem (klasyczny błąd Fortum). (2) DPA bez załącznika TOMs lub TOMs ogólnikowe (“standardowe środki bezpieczeństwa”). (3) Brak listy sub-procesorów lub nieaktualna lista. (4) Termin zgłoszenia naruszenia od procesora do administratora zbyt długi (powyżej 48h — utrudnia 72h zgłoszenie do UODO). (5) Brak postanowień o transferach do państw trzecich mimo wykorzystywania dostawców USA/UK/Indii. (6) Klauzula odpowiedzialności wykluczająca odpowiedzialność procesora za naruszenia RODO (nieważna z mocy prawa). (7) Brak procedury audytu lub całkowity zakaz audytu (sprzeczne z art. 28 ust. 3 lit. h). (8) Brak postanowień o usunięciu/zwrocie danych po zakończeniu umowy. (9) Niezgodność DPA z umową główną (różne strony, różne dane). (10) Akceptacja DPA dostawcy bez weryfikacji jego zgodności z RODO (np. amerykańskie DPA bez SCC). UODO sprawdza DPA w każdej kontroli — odpowiedzi typu “podpiszemy później” nie są akceptowane. Patrz RODO Art. 32 bezpieczeństwo, Zgłoszenie naruszenia, UODO przewodnik.

15. Źródła urzędowe

FAQ

Czy biuro rachunkowe to procesor?

Zwykle tak (przetwarza dane w imieniu klienta). W niektórych konfiguracjach (np. obowiązek księgowy własny) może być administratorem. Test: kto decyduje o sposobie przetwarzania konkretnej kategorii danych.

Czy umowa powierzenia musi być w języku polskim?

Nie musi, ale w razie kontroli UODO konieczne będzie tłumaczenie. Standardowo umowy z dostawcami międzynarodowymi są po angielsku z polskim załącznikiem lub tłumaczeniem.

Czy mogę używać szablonu DPA dostawcy SaaS?

Tak, jeśli pokrywa wszystkie 8 elementów art. 28 ust. 3. Większość DPA dużych dostawców (Google, Microsoft, AWS, Salesforce) jest zgodna z RODO. Sprawdź jednak: czas zgłoszenia naruszenia, lista sub-procesorów, mechanizm transferu, TOMs.

Co jeśli procesor odmawia podpisania DPA?

Bez DPA korzystanie z procesora jest niezgodne z art. 28. Należy zmienić dostawcę lub negocjować. Brak DPA = ryzyko sankcji jak w Fortum (4,9 mln zł).

Czy mailing tool typu Mailchimp wymaga DPA?

Tak. Mailchimp jest procesorem dla danych subskrybentów. Mailchimp publikuje DPA zgodny z RODO z modułem SCC dla transferów do USA. Akceptacja DPA — w panelu administracyjnym.

Czy DPA z dostawcą AI/ML wymaga osobnych klauzul?

Tak. DPA z dostawcą AI generatywnej (OpenAI, Anthropic, Google) lub MLaaS (AWS SageMaker, Azure ML) powinno zawierać dodatkowo: wyłączenie danych z trenowania kolejnych modeli (Enterprise plan), zakaz model inversion attacks, gwarancje fine-tuning na zamówienie z izolacją zbiorów, transparentność algorytmów (datasheets), prawo do interwencji człowieka, monitoring bias, FRIA jako załącznik dla systemów wysokiego ryzyka AI Act. EROD i UODO publikują w 2024-2025 wytyczne sektorowe. Standardowe DPA OpenAI/Anthropic obejmuje większość wymogów dla Enterprise plan, ale wymaga rozszerzenia dla zastosowań regulowanych (zdrowie, finanse, sektor publiczny).

Jak prawidłowo udokumentować TOMs w załączniku do DPA?

TOMs powinny być konkretne, mierzalne i podlegające audytowi. Minimum: szyfrowanie w spoczynku (AES-256, klucze w HSM lub KMS), szyfrowanie w tranzycie (TLS 1.3), MFA dla wszystkich kont (preferowane TOTP lub U2F, nie SMS), polityka haseł zgodna z NIST 800-63B, kopie zapasowe 3-2-1 z testami przywrócenia, segmentacja sieci, monitoring SIEM z retencją min. 12 mies., procedura zarządzania kontami (joiner-mover-leaver), polityka patchowania (krytyczne w 7 dni, pozostałe w 30 dni), pentesty min. raz w roku, certyfikacja ISO 27001 lub SOC 2 Type II, plan ciągłości działania, polityka reakcji na incydenty z RTO/RPO. Ogólnikowe stwierdzenia (“stosujemy odpowiednie środki”) są sankcjonowane przez UODO.

Czy mogę kaskadować DPA — administrator-procesor-sub-procesor?

Tak, ale procesor musi narzucić sub-procesorowi te same obowiązki co miał wobec administratora (back-to-back DPA, art. 28 ust. 4 RODO). Procesor ponosi pełną odpowiedzialność za naruszenia sub-procesora wobec administratora. Lista sub-procesorów aktualizowana przy każdej zmianie, administrator ma prawo sprzeciwu wobec nowego sub-procesora (przy zgodzie ogólnej) lub zgody każdorazowej (przy zgodzie szczegółowej). Praktyka 2025: większość SaaS publikuje listę sub-procesorów online z e-mail notification przy zmianach. Sztandarowy błąd Fortum — brak kaskady DPA do podwykonawcy marketingowego.

Legiscope automates this for you

Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.

Start free trial
TD
Written by
Fondateur de Legiscope et expert RGPD

Docteur en droit de l'Université Panthéon-Assas (Paris II), 23 ans d'expérience en droit du numérique et conformité RGPD. Ancien conseiller de l'administration du Premier ministre sur la mise en œuvre du RGPD. Thiébaut est le fondateur de Legiscope, plateforme de conformité RGPD automatisée par l'IA.

View full author profile →