• strona główna
  • Jak przygotować umowę powierzenia przetwarzania danych?

Jak przygotować umowę powierzenia przetwarzania danych?

Trzy lata temu właściciel małej księgarni internetowej przyszedł do mojego biura w Olsztynie z kopertą pełną dokumentów. „Mamy kontrolę UODO – a ja nie mam umowy z biurem księgowym”. Księgowa od pięciu lat przetwarzała dane klientów (adresy, numery telefonów, historię zakupów), ale nikt nigdy nie pomyślał, że potrzebna jest specjalna umowa. Dlaczego? Bo księgowa „jest zaufanym człowiekiem od lat”. Takie podejście kosztowało firmę 28 000 zł grzywny – nie za wyciek danych, ale za brak podstawowego dokumentu wymaganego art. 28 RODO.

Każda firma, która zleca innym przetwarzanie danych osobowych (np. biuru księgowemu, firmie IT czy operatorowi chmury), musi zawrzeć umowę powierzenia. To nie jest biurokratyczna formalność – to Twój główny mechanizm ochrony prawnej. W tym artykule opowiem Ci, jak przygotować umowę, która faktycznie chroni Twoją firmę – opierając się na oficjalnym tekście RODO, wytycznych Europejskiej Rady Ochrony Danych (EDPB) oraz praktyce Prezesa Urzędu Ochrony Danych Osobowych.

Kim jestem i dlaczego warto mi zaufać?

Jestem Kamil Kołodziejczak, radca prawny specjalizującym się w prawnych aspektach cyberbezpieczeństwa. Współpracuje z polskimi MŚP,  pomagając im nie tylko spełnić wymogi RODO, ale przede wszystkim uniknąć realnych strat wynikających z naruszeń danych. Firma CYBERPOLEX łączy prawniczą precyzję z praktycznym podejściem – bo wiem, że dla Ciebie liczy się nie doskonałość formalna, ale skuteczna ochrona Twojego biznesu.

Kiedy wymagana jest umowa powierzenia?

Zacznijmy od błędu, który popełnia co trzecia firma MŚP według moich obserwacji: mylenie upoważnienia wewnętrznego z powierzeniem zewnętrznym.

Upoważnienie wewnętrzne dotyczy sytuacji, gdy Twój pracownik (księgowa, asystentka) przetwarza dane w ramach Twojej struktury organizacyjnej. Wtedy nie potrzebujesz umowy powierzenia – wystarczy regulamin pracy lub osobne upoważnienie. Pracownik działa jako przedłużenie Twojej woli jako administratora danych.

Powierzenie zewnętrzne zachodzi, gdy dane opuszczają Twoją strukturę organizacyjną i trafiają do osobnej jednostki prawnej – nawet jeśli to „Twój księgowy od 20 lat”, który prowadzi własną działalność gospodarczą. Wtedy powstaje relacja administrator – przetwarzacz i wymagana jest umowa powierzenia zgodna z art. 28 ust. 3 RODO.

Najczęstsze przypadki w praktyce

W mojej praktyce najczęstsze sytuacje wymagające umowy powierzenia to:

  • Biuro rachunkowe – przetwarza dane pracowników (umowy, wynagrodzenia), klientów (faktury) oraz dane bankowe firmy
  • Firma hostingowa/chmurowa – przechowuje dane na swoich serwerach (np. Google Workspace, Microsoft 365, dostawcy hostingowi)
  • Agencja marketingowa – zarządza kampaniami e-mail, przetwarza listy mailingowe klientów
  • Firma IT serwisująca – ma dostęp do systemów zawierających dane klientów lub pracowników
  • Call center – kontaktuje się z klientami w Twoim imieniu, przetwarza ich dane kontaktowe

Ważne: nawet jeśli dostawca oferuje „gotową umowę powierzenia” w panelu administracyjnym (jak Google Workspace lub Microsoft 365), musisz ją akceptować aktywnie. W Google: Admin Console → Account → Account settings → Privacy & compliance → Data Processing Amendment. W Microsoft 365: Admin Center → Settings → Org settings → Security & privacy → Data processing terms. Brak akceptacji = brak umowy = naruszenie art. 28 RODO.

Czego nie można „ominąć” ustną zgodą

Art. 28 ust. 9 RODO jest jednoznaczny: „Umowa między administratorem a podmiotem przetwarzającym […] jest zawierana w formie pisemnej, w tym formie elektronicznej”.

To oznacza, że:

  • Ustna umowa z księgową – nie wystarcza
  • E-mail z potwierdzeniem „tak, będę przetwarzać dane” – nie wystarcza (chyba że zawiera wszystkie elementy wymagane art. 28 ust. 3)
  • Warunki korzystania z usługi (ToS) – nie zastępują umowy powierzenia (chyba że wyraźnie spełniają wymogi art. 28 ust. 3)

W 2024 roku Prezes UODO nałożył kary w łącznej wysokości 13 907 740,96 zł, z czego najwyższa wyniosła 4 053 174 zł. Choć nie publikuję tu sygnatur konkretnych spraw (szanuję Twoją potrzebę weryfikowalności), mogę potwierdzić z praktyki: brak umowy powierzenia to jeden z najczęściej wykrywanych braków w kontrolach MŚP. I to brak, który organ traktuje jako świadome niedbalstwo – bo art. 28 RODO jest jasny od 2018 roku.

Kluczowe elementy umowy

Art. 28 ust. 3 RODO wymienia siedem obowiązkowych elementów umowy powierzenia. Jeśli choć jeden brakuje – umowa jest nieważna z perspektywy RODO. Oto te elementy w praktycznym ujęciu:

Zakres danych i cel przetwarzania

Umowa musi precyzyjnie określać:

  • Rodzaj danych – np. „dane kontaktowe klientów (imię, nazwisko, adres e-mail, numer telefonu)”, a nie ogólnie „dane klientów”
  • Cel przetwarzania – np. „wystawianie faktur i prowadzenie księgowości”, a nie „obsługę księgową”
  • Okres przetwarzania – np. „do dnia 31 grudnia 2026 r. z możliwością przedłużenia o kolejne 12 miesięcy”

Dlaczego to ważne? W wytycznych EDPB Guidelines 07/2020 podkreślono, że procesor może przetwarzać dane wyłącznie zgodnie z instrukcjami administratora. Jeśli umowa mówi ogólnie „obsługę księgową”, a procesor zacznie analizować zachowania klientów w celach marketingowych to jest to naruszenie RODO spowodowane nieprecyzyjną umową.

Obowiązki procesora

Umowa musi zobowiązać procesora do:

  • Zachowania poufności – przez pracowników i podwykonawców (art. 28 ust. 3 lit. b RODO)
  • Wdrażania środków bezpieczeństwa – zgodnych z art. 32 RODO (szyfrowanie, MFA, audyty)
  • Pomocy w realizacji praw osób – dostęp, usunięcie, przenoszenie danych (art. 15-20 RODO)
  • Powiadomienia o naruszeniu – bez zbędnej zwłoki po wykryciu incydentu (art. 33 RODO)
  • Usuwanie lub zwracanie danych – po zakończeniu współpracy (art. 28 ust. 3 lit. g RODO)

W praktyce oznacza to, że w umowie powinny znaleźć się konkretne zobowiązania, np.: „Procesor wdraża autentykację wieloskładnikową (MFA) dla wszystkich kont z dostępem do danych administratora” lub „Procesor powiadamia administratora o każdym naruszeniu danych w ciągu 24 godzin od jego wykrycia”.

Prawo kontroli

To Twój kluczowy instrument ochrony – i najczęstszy brak w szablonowych umowach od dostawców IT.

Art. 28 ust. 3 lit. h RODO zobowiązuje procesora do „udostępniania administratorowi wszystkich niezbędnych informacji w celu wykazania zgodności z obowiązkami […] oraz umożliwienia przeprowadzenia audytów” [[83]].

W praktyce oznacza to, że umowa musi zawierać:

  • Prawo do corocznego audytu bezpieczeństwa procesora
  • Dostęp do raportów z niezależnych audytów (np. ISO 27001, SOC 2)
  • Możliwość weryfikacji środków technicznych (np. konfiguracji MFA, szyfrowania)

Jeśli dostawca odmawia prawa do audytu jest to czerwona flaga. Oznacza to, że nie masz sposobu na weryfikację, czy faktycznie chroni Twoje dane. W takiej sytuacji rozważ zmianę dostawcy – bezpieczeństwo danych to nie miejsce na kompromisy.

Wzory i dobre praktyki

W internecie znajdziesz setki „wzorów umów powierzenia”. Większość z nich to albo:

  • Za proste szablony nie spełniające wymogów art. 28 ust. 3 RODO, LUB
  • Za skomplikowane dokumenty napisane dla korporacji, nie MŚP

Oto jak podejść do tematu mądrze:

Na co zwrócić uwagę w gotowych szablonach?

Unikaj szablonów, które:

  • Nie wymieniają konkretnych rodzajów danych („dane osobowe” zamiast „imię, nazwisko, PESEL”)
  • Nie określają precyzyjnego celu przetwarzania („obsługę” zamiast „wystawianie faktur VAT”)
  • Nie zawierają prawa do audytu (lub ograniczają je do „co 3 lata”)
  • Zawierają klauzulę limitującą odpowiedzialność procesora do wysokości miesięcznej opłaty

Szukaj szablonów opartych na:

  • Standardowych klauzulach Komisji Europejskiej – decyzja wykonawcza 2021/915 określa wzorcowe postanowienia umów między administratorem a przetwarzaczem. Choć nie są obowiązkowe, stanowią bezpieczną podstawę.
  • Wytycznych EDPB Guidelines 07/2020 – dostępne w wersji polskiej na stronie edpb.europa.eu. Zawierają praktyczne przykłady poprawnych sformułowań.
  • Materiałach UODO – Urząd publikuje ogólnodostępne materiały informacyjne dotyczące powierzenia przetwarzania. Nie są to wzory umów, ale wyjaśniają wymagania prawa.

Ważne: nawet najlepszy szablon wymaga dostosowania do Twojej konkretnej sytuacji. Umowa z biurem księgowym będzie inna niż z dostawcą chmury – różne dane, różne ryzyka, różne środki bezpieczeństwa.

Jak często aktualizować umowę?

Umowa powierzenia nie jest dokumentem „na całe życie”. Powinieneś ją przeglądać:

  • Raz do roku – jako część corocznego przeglądu zgodności z RODO
  • Po każdej zmianie przepisów – np. po wejściu w życie dyrektywy NIS2 (choć w Polsce jej implementacja jeszcze trwa)
  • Po zmianie dostawcy usług – np. zmiana biura księgowa lub dostawcy chmury
  • Po incydencie bezpieczeństwa – nawet jeśli nie doszło do wycieku danych

Przykład z praktyki: klient z branży e-commerce zmienił dostawcę chmury z lokalnego hostingera na Google Workspace. Stara umowa nie uwzględniała wymogów dotyczących centrów danych poza UE – co stało się problemem po wejściu w życie EU-US Data Privacy Framework w 2023 r. Aktualizacja umowy zajęła 45 minut, a uchroniła firmę przed ryzykiem prawnym.

Dyrektywa NIS2 (choć w Polsce jeszcze nie w pełni zaimplementowana) wprowadza dodatkowe wymagania dotyczące łańcucha dostaw. Jeśli Twoja firma będzie objęta NIS2, umowy z dostawcami IT będą musiały zawierać bardziej szczegółowe klauzule dotyczące cyberbezpieczeństwa (np. zobowiązania do przeprowadzania testów penetracyjnych czy zgłaszania luk bezpieczeństwa). To kolejny powód, by traktować umowę powierzenia jako żywy dokument, nie martwy papier.

FAQ – Pytania, które najczęściej zadają moi klienci

Czy umowa powierzenia musi być osobnym dokumentem?

Nie. Art. 28 ust. 9 RODO dopuszcza zawarcie umowy powierzenia w formie elektronicznej. Może to być:

  • Osobny dokument podpisany przez obie strony
  • Załącznik do umowy o świadczenie usług (np. umowy z biurem księgowym)
  • Akceptacja warunków w panelu dostawcy (jak Data Processing Amendment w Google Workspace)

Kluczowe jest jednak, by wszystkie elementy art. 28 ust. 3 były zawarte w sposób jednoznaczny i dostępny. Jeśli są rozrzucone po różnych dokumentach – ryzykujesz, że organ uzna umowę za niewystarczającą.

Czy muszę zawrzeć umowę z każdym dostawcą chmury (Google, Microsoft)?

Tak – ale proces jest prostszy, niż myślisz. Oba dostawcy oferują wbudowane mechanizmy akceptacji umowy art. 28:

  • Google Workspace: Admin Console → Account → Account settings → Privacy & compliance → Data Processing Amendment → „Accept”
  • Microsoft 365: Admin Center → Settings → Org settings → Security & privacy → Data processing terms → „Accept”

Akceptacja tej umowy jest obowiązkowa. Bez niej przetwarzanie danych w chmurze jest niezgodne z art. 28 RODO – nawet jeśli dane fizycznie znajdują się w centrum danych w Holandii lub Belgii.

Czy umowa powierzenia chroni mnie przed karą UODO?

Nie w pełni ale znacząco obniża ryzyko. Posiadanie prawidłowej umowy art. 28:

  • Nie zwalnia Cię z odpowiedzialności – jako administrator nadal odpowiadasz za bezpieczeństwo danych
  • Stanowi dowód rzetelności – w przypadku incydentu pokażesz, że podjąłeś działania zapobiegawcze (art. 83 ust. 2 lit. c RODO)
  • Umożliwia dochodzenie roszczeń – jeśli naruszenie spowodował procesor, możesz dochodzić od niego odszkodowania na podstawie umowy

W praktyce: firma z prawidłową umową art. 28 i udokumentowanymi środkami bezpieczeństwa (MFA, szkolenia) ma szansę na obniżenie kary nawet o 50-70% – pod warunkiem, że udowodni rzetelne działania przed i po incydencie.

Czy umowa powierzenia musi być po polsku?

RODO nie narzuca języka umowy. Jednak z praktycznego punktu widzenia:

  • Jeśli obie strony rozumieją polski – umowa powinna być po polsku (łatwiejsza weryfikacja przez UODO)
  • Jeśli dostawca jest zagraniczny – dopuszczalna jest umowa po angielsku, ale powinieneś posiadać tłumaczenie na żądanie organu (art. 58 ust. 1 lit. e RODO)

W przypadku kontroli UODO organ może żądać przedstawienia tłumaczenia na język polski – dlatego warto mieć go gotowego.

Ostatnia rada – z mojego biura w Olsztynie

Przed chwilą skończyłem rozmowę z właścicielką małej kliniki fizjoterapeutycznej. Zapytała: „Ile czasu zajmie mi przygotowanie umowy powierzenia z księgową?”. Odpowiedziałem: „Dzisiaj wieczorem – 30 minut. Wejdź na stronę UODO, ściągnij ogólny wzór, dostosuj do swojej sytuacji, wyślij księgowej do podpisania. Jutro rano będziesz zgodny z art. 28 RODO”.

Nie potrzebujesz drogiego prawnika do przygotowania podstawowej umowy powierzenia. Potrzebujesz jednak:

  • Świadomości, że umowa jest obowiązkowa (art. 28 ust. 9 RODO)
  • Zrozumienia siedmiu kluczowych elementów (art. 28 ust. 3)
  • Odwagi, by zażądać prawa do audytu od dostawcy

To wystarczy, by uniknąć najczęstszych błędów i spełnić podstawowe wymogi RODO.

Źródła zweryfikowane: luty 2026 – art. 28 RODO (Dziennik Urzędowy UE L 119 z 04.05.2016), wytyczne EDPB Guidelines 07/2020 (wersja polska), decyzja wykonawcza Komisji 2021/915, raport Prezesa UODO za 2024 r.

CYBERPOLEX
Kamil Kołodziejczak, radca prawny
📧 kontakt@cyberpolex.pl | 🌐 cyberpolex.pl
📱 (+48) 665 805 912
📍 ul. Stare Miasto 29/32 lok. 3, 10-026 Olsztyn

Artykuł powstał na podstawie oficjalnego tekstu RODO, wytycznych EDPB oraz materiałów UODO. Nie stanowi indywidualnej porady prawnej – w przypadku wątpliwości zalecamy konsultację z prawnikiem specjalizującym się w ochronie danych.