Kilka miesięcy temu firma produkcyjna z Warmii utraciła dostęp do swoich danych po ataku ransomware. Technicznie winę ponosiła firma IT, która administrowała ich infrastrukturą – nie zaktualizowała krytycznego elementu struktury bezpieczeństwa serwera. Prawnie jednak karę UODO nałożyło na właściciela firmy produkcyjnej. Dlaczego? Bo to on, jako administrator danych zgodnie z art. 4 pkt 7 RODO, ponosi ostateczną odpowiedzialność za bezpieczeństwo informacji swoich klientów niezależnie od tego, komu powierzył ich przechowywanie.
Outsourcing IT to wygoda, której dziś nie da się uniknąć. Ale z prawniczego punktu widzenia tworzy on paradoks: im bardziej polegamy na zewnętrznym dostawcy, tym większa staje się nasza odpowiedzialność. Według raportu ENISA Threat Landscape 2025, ataki na łańcuch dostaw stanowią już ponad 10% wszystkich incydentów cybernetycznych w Europie. W praktyce oznacza to, że przestępcy celowo atakują mniejsze firmy IT, które obsługują dziesiątki klientów – bo jeden udany atak daje im dostęp do danych wielu firm jednocześnie. W tym artykule opisuję, jak chronić się przed tym ryzykiem nie poprzez technologię, ale poprzez precyzyjnie sformułowane umowy.
Dlaczego to ważne?
Podstawowa zasada prawa ochrony danych brzmi prosto: odpowiedzialność za dane osobowe nie przenosi się na dostawcę. Art. 28 ust. 1 RODO stanowi jednoznacznie, że administrator może powierzyć przetwarzanie tylko takim podmiotom, które zapewniają “odpowiednie gwarancje w zakresie wdrożenia środków technicznych i organizacyjnych”. To Ty decydujesz, komu powierzysz dane klientów. To Ty masz obowiązek sprawdzić, czy dostawca IT faktycznie chroni te dane. I to Ty odpowiadasz przed UODO, gdy coś pójdzie nie tak.
Warto to zrozumieć bez prawniczego żargonu: umowa z dostawcą IT to nie dokument formalny do schowania w szufladzie. To Twój jedyny mechanizm przeniesienia części ryzyka finansowego na zewnętrzną stronę. Bez niej każda awaria, każdy błąd techniczny, każde zaniedbanie dostawcy staje się Twoim problemem prawnym i finansowym.
Odpowiedzialność, która nie przenosi się
Wyobraź sobie sytuację: zlecasz firmie IT administrowanie serwerem zawierającym dane 500 klientów. Dostawca nie włącza podstawowej funkcji zapory ogniowej. Przestępcy dostają się do systemu i kradną pełen zestaw danych – imiona, nazwiska, adresy, numery telefonów. Kto odpowiada przed UODO?
Ty – jako właściciel firmy zlecającej – odpowiadasz zgodnie z art. 83 RODO. Organ może nałożyć karę do 20 mln EUR lub 4% globalnego obrotu. Dlaczego nie dostawca IT? Bo z perspektywy RODO dostawca jest jedynie przetwarzaczem – narzędziem realizującym Twoje decyzje. To Ty jesteś administratorem, który decyduje o celu i sposobie przetwarzania danych.
Firma IT odpowiada przed Tobą na podstawie umowy cywilnoprawnej – ale to osobna kwestia. W momencie kontroli UODO liczy się wyłącznie Twoja odpowiedzialność jako administratora. Umowa z dostawcą nie zwalnia Cię z tej odpowiedzialności – ale pozwala na dochodzenie odszkodowania, gdy to dostawca spowodował incydent.
Kiedy dostawca staje się Twoią piętą Achillesa?
Badania ENISA wyraźnie wskazują na rosnący trend: ataki na dostawców usług stanowią strategiczny wektor zagrożenia dla MSP. Przestępcy nie atakują już bezpośrednio dużych korporacji – zbyt dobrze zabezpieczonych. Zamiast tego celują w ich mniejszych dostawców, którzy często nie posiadają zaawansowanych systemów bezpieczeństwa.
Według danych CERT Polska, liczba incydentów ransomware w Polsce wzrosła dwukrotnie w 2025 roku (176 incydentów) w porównaniu do 2024 roku (140 incydentów). Wielu z tych incydentów rozpoczęło się właśnie od luk u dostawców zewnętrznych – niezaktualizowanego oprogramowania, braku autentykacji wieloskładnikowej, niezabezpieczonego dostępu zdalnego.
Różnica między firmą, która przetrwa taki incydent, a firmą, która straci klientów i zapłaci karę UODO, często sprowadza się do jednego dokumentu: umowy zawartej z dostawcą IT. Dokumentu, który określa nie tylko co dostawca robi, ale przede wszystkim jak chroni Twoje dane i co robi, gdy coś pójdzie nie tak.
Co powinna zawierać umowa z dostawcą IT?
Art. 28 ust. 3 RODO wymienia siedem obowiązkowych elementów umowy powierzenia przetwarzania danych. Dla dostawców IT – którzy mają bezpośredni dostęp do Twoich systemów – warto jednak dodać klauzule wykraczające poza minimum prawne. Oto trzy obszary, w których większość firm popełnia błędy:
Klauzule bezpieczeństwa – od ogólników do konkretów
Standardowa umowa dostawcy IT zawiera zazwyczaj ogólną klauzulę: “Dostawca zapewnia odpowiednie środki bezpieczeństwa zgodnie z obowiązującymi przepisami”. Brzmi profesjonalnie, ale praktycznie nic nie zobowiązuje.
Dlaczego? Bo “odpowiednie bezpieczeństwo” to pojęcie subiektywne. Dla jednego dostawcy oznacza to włączenie zapory ogniowej. Dla drugiego – regularne aktualizacje systemu. Dla trzeciego – jedynie podstawowe hasła dostępu. Bez precyzyjnych standardów nie masz możliwości weryfikacji, czy dostawca faktycznie chroni Twoje dane.
W praktyce oznacza to, że w umowie powinieneś określić mierzalne wymagania, takie jak:
- Obowiązek wdrożenia autentykacji wieloskładnikowej (MFA) dla wszystkich kont z dostępem do Twoich danych – nie tylko dla kont administratora, ale również dla kont technicznych i API
- Termin instalacji krytycznych patchy bezpieczeństwa – np. “w ciągu 14 dni od oficjalnej publikacji przez producenta oprogramowania”
- Wymóg szyfrowania danych zarówno “w spoczynku” (AES-256), jak i “w transmisji” (TLS 1.3)
- Obowiązek przechowywania logów dostępu przez minimum 90 dni i udostępnienia ich na żądanie w przypadku incydentu
W wytycznych EDPB Guidelines 07/2020 podkreślono, że administrator musi aktywnie weryfikować środki bezpieczeństwa wdrażane przez przetwarzacza. Ogólne zobowiązanie “będziemy chronić dane” nie spełnia tego wymogu – potrzebujesz konkretnych, weryfikowalnych standardów.
Procedura incydentu – kiedy liczy się każda minuta
Art. 33 ust. 2 RODO zobowiązuje przetwarzacza do “niezwłocznego powiadomienia administratora” po wykryciu naruszenia danych. Problem polega na tym, że “niezwłocznie” to pojęcie nieokreślone – w praktyce może oznaczać 2 godziny albo 48 godzin.
A w cyberbezpieczeństwie różnica między 2 godzinami a 48 godzinami to różnica między zminimalizowanym incydentem a katastrofą. W ciągu 48 godzin przestępcy mogą pobrać dane tysięcy klientów, zaszyfrować systemy kopii zapasowych i zażądać okupu w wysokości dziesiątek tysięcy euro. Tak euro, nie polskich złotych.
Dlatego w umowie z dostawcą IT powinieneś precyzyjnie określić:
- Maksymalny termin powiadomienia – np. “w ciągu 2 godzin od potwierdzenia incydentu”
- Minimalny zakres informacji – rodzaj naruszenia, zakres danych, możliwy wpływ na osoby
- Kanały komunikacji – np. “telefon alarmowy + e-mail z potwierdzeniem odczytu”
- Obowiązek współpracy – udostępnienie logów, wsparcie techniczne w dochodzeniu, dostęp do systemów na potrzeby analizy
Bez takiej klauzuli ryzykujesz, że dowiesz się o incydencie dopiero wtedy, gdy przestępcy opublikują Twoje dane na forum dark webu – albo gdy UODO wyśle Ci wezwanie do wyjaśnień.
Prawo do audytu – Twoje oko nad bezpieczeństwem
To najważniejszy, a jednocześnie najczęściej pomijany element umowy z dostawcą IT.
Art. 28 ust. 3 lit. h RODO zobowiązuje przetwarzacza do “udostępniania administratorowi wszystkich niezbędnych informacji w celu wykazania zgodności z obowiązkami […] oraz umożliwienia przeprowadzenia audytów”. W praktyce oznacza to, że masz prawo sprawdzić, czy dostawca faktycznie wdraża deklarowane środki bezpieczeństwa.
Niestety, wiele firm IT odmawia prawa do audytu – albo ogranicza je do “dostępu do certyfikatów ISO 27001”. To za mało. Certyfikat potwierdza, że dostawca miał odpowiednie procedury w momencie audytu – nie gwarantuje, że te procedury są aktualnie stosowane.
W umowie powinieneś określić:
- Prawo do corocznego audytu bezpieczeństwa – nie tylko dostępu do dokumentów, ale również możliwości weryfikacji konfiguracji systemów
- Zakres audytu – np. “sprawdzenie konfiguracji MFA, przegląd logów dostępu, weryfikacja procedur reagowania na incydenty”
- Termin realizacji zaleceń – np. “dostawca wdraża zalecenia audytu w ciągu 30 dni od ich otrzymania”
- Koszty audytu – jasne określenie, kto je ponosi (zazwyczaj administrator)
Jeśli dostawca IT odmawia prawa do audytu – traktuj to jako czerwoną flagę. Oznacza to, że nie masz sposobu na weryfikację, czy faktycznie chroni Twoje dane. W takiej sytuacji warto rozważyć zmianę dostawcy – bezpieczeństwo danych to nie miejsce na kompromisy.
Najczęstsze błędy w umowach
Przez cały okres praktyki prawniczej w zakresie cyberbezpieczeństwa zdążyłem przejrzeć setki umów z dostawcami IT. Dwa błędy pojawiają się niemal zawsze – i oba prowadzą do utraty ochrony prawnej w momencie incydentu.
Błąd pierwszy: ufać ogólnikom
Typowa klauzula z umowy dostawcy IT: “Dostawca stosuje środki bezpieczeństwa zgodne z najlepszymi praktykami branżowymi”.
Brzmi imponująco, ale prawnie jest bezwartościowa. Dlaczego?
- “Najlepsze praktyki branżowe” nie są zdefiniowane w żadnym akcie prawnym – to pojęcie płynne, zależne od interpretacji
- Brak mierzalnych kryteriów = brak możliwości weryfikacji = brak dowodu w przypadku kontroli UODO
- W momencie incydentu dostawca może argumentować: “stosowaliśmy najlepsze praktyki – to nie nasza wina, że zostały złamane”
Jak to naprawić? Zastąp ogólne sformułowania konkretnymi wymaganiami:
- Zamiast: “najlepsze praktyki” → “wdrożenie MFA dla wszystkich kont z dostępem do danych osobowych”
- Zamiast: “bezpieczeństwo zgodne z przepisami” → “szyfrowanie danych AES-256 oraz instalacja krytycznych patchy w ciągu 14 dni”
Pamiętaj: im bardziej precyzyjna umowa, tym silniejsza Twoja pozycja w przypadku incydentu.
Błąd drugi: akceptować klauzule ograniczające odpowiedzialność
Standardowy wzór umowy od dostawcy IT zawiera zazwyczaj klauzulę: “Odpowiedzialność Dostawcy za szkody ogranicza się do wysokości miesięcznej opłaty za usługi”.
To klauzula, która chroni wyłącznie dostawcę – nie Ciebie. Dlaczego?
- Grzywna UODO za naruszenie danych może wynosić dziesiątki czy setki tysięcy złotych
- Miesięczna opłata za usługi IT to często kilkaset złotych
- Różnica zostaje pokryta przez Ciebie – jako administratora danych
Art. 82 RODO zobowiązuje administratora do naprawienia szkody spowodowanej naruszeniem przepisów – niezależnie od tego, kto spowodował incydent. Umowa z dostawcą nie zwalnia Cię z tej odpowiedzialności wobec Twoich klientów ale pozwala na dochodzenie odszkodowania od dostawcy, gdy to on spowodował naruszenie.
Dlatego w negocjacjach z dostawcą IT zawsze domagaj się:
- Usunięcia limitu odpowiedzialności, LUB
- Ustalenia limitu minimum 10-krotności rocznej wartości umowy
- Klauzuli wyłączającej limit w przypadku rażącej niedbalstwa dostawcy (np. brak aktualizacji krytycznych patchy przez więcej niż 30 dni)
Jeśli dostawca odmawia, rozważ zmianę dostawcy. Dobry partner IT rozumie, że bezpieczeństwo to wspólna odpowiedzialność i nie leży wyłącznie na Twoich barkach.
FAQ
Czy umowa z dostawcą IT musi być osobnym dokumentem?
Nie. Art. 28 ust. 9 RODO dopuszcza zawarcie umowy powierzenia w formie elektronicznej. Może to być osobny dokument, załącznik do umowy o świadczenie usług IT lub akceptacja warunków w panelu dostawcy – pod warunkiem że zawiera wszystkie elementy wymagane art. 28 ust. 3.
Czy muszę zawrzeć umowę z każdym dostawcą IT, nawet z tym, który tylko raz naprawił serwer?
Tak – ale z ważnym zastrzeżeniem. Art. 28 RODO dotyczy sytuacji, gdy dostawca przetwarza dane osobowe w imieniu administratora. Jeśli firma IT miała jednorazowy dostęp do serwera zawierającego dane klientów – to jest to przetwarzanie i wymaga umowy powierzenia. Jeśli dostawca miał dostęp wyłącznie do systemów technicznych bez danych osobowych – formalnie nie jest to “przetwarzanie danych osobowych” w rozumieniu RODO, ale zalecam zawarcie umowy również w takich przypadkach.
Jak często należy aktualizować umowę z dostawcą IT?
Umowę z dostawcą IT należy przeglądać raz do roku oraz po każdej istotnej zmianie przepisów – np. po pełnej implementacji dyrektywy NIS2 w Polsce (nowelizacja ustawy o KSC przyjęta w styczniu 2026 r.). Dyrektywa NIS2 wprowadza dodatkowe wymagania dotyczące zarządzania ryzykiem cybernetycznym w łańcuchu dostaw, co będzie wymagało dostosowania umów z dostawcami IT.
Czy umowa z dostawcą IT chroni mnie przed karą UODO?
Nie w pełni – ale znacząco obniża ryzyko. Posiadanie prawidłowej umowy art. 28 nie zwalnia Cię z odpowiedzialności jako administratora, ale stanowi dowód rzetelności w przypadku incydentu (art. 83 ust. 2 lit. c RODO) i umożliwia dochodzenie roszczeń od dostawcy. Firma z prawidłową umową i udokumentowanymi środkami bezpieczeństwa ma szansę na obniżenie kary nawet o 50-70%.
Podsumowanie
Umowa z dostawcą IT to nie biurokratyczna formalność. To Twój główny mechanizm ochrony przed ryzykiem wynikającym z błędów zewnętrznych partnerów. W erze rosnących ataków na łańcuch dostaw – potwierdzonych przez ENISA i CERT Polska – inwestycja w precyzyjnie sformułowaną umowę jest jedną z najtańszych form ubezpieczenia Twojego biznesu.
Nie potrzebujesz drogiego prawnika do przygotowania podstawowej umowy. Potrzebujesz jednak świadomości, że:
- Odpowiedzialność za dane spoczywa na Tobie – nie na dostawcy
- Ogólne klauzule bezpieczeństwa nie chronią – potrzebujesz konkretnych standardów
- Prawo do audytu to nie luksus – to Twój jedyny sposób na weryfikację bezpieczeństwa
To wystarczy, by uniknąć najczęstszych pułapek i znacząco obniżyć ryzyko incydentu w łańcuchu dostaw.
Źródła zweryfikowane: luty 2026 – art. 28 i 32 RODO (Dziennik Urzędowy UE L 119 z 04.05.2016), wytyczne EDPB Guidelines 07/2020, raport ENISA Threat Landscape 2025, raport CERT Polska 2025, nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa (styczeń 2026).
CYBERPOLEX – Prawne Podstawy Cyberbezpieczeństwa
Kamil Kołodziejczak, radca prawny
📧 kontakt@cyberpolex.pl | 🌐 cyberpolex.pl
📱 (+48) 665 805 912
📍 ul. Stare Miasto 29/32 lok. 3, 10-026 Olsztyn
Artykuł powstał na podstawie oficjalnego tekstu RODO, wytycznych EDPB oraz materiałów UODO i ENISA. Nie stanowi indywidualnej porady prawnej – w przypadku wątpliwości zalecamy konsultację z prawnikiem specjalizującym się w ochronie danych.
