Pisma RODO wnioski RODO i BIK, wzory umów

TL;DR: Artykuł wskazuje, kiedy trzeba zawrzeć umowę powierzenia z procesorem zgodnie z art. 28 RODO, jakie elementy są obowiązkowe i dlaczego checkbox nie zastąpi umowy.

Strona główna / Baza wiedzy / Umowa powierzenia danych

Kiedy zawrzeć umowę powierzenia z firmą zewnętrzną?

Gdy tylko pozwalasz innej firmie „dotknąć” danych swoich klientów lub pracowników, wchodzisz w świat umów powierzenia. Księgowość, kadry, hosting, CRM, newsletter, helpdesk IT — to wszystko są sytuacje, w których ktoś przetwarza Twoje dane „w Twoim imieniu”. W takich przypadkach umowa powierzenia nie jest dodatkiem do współpracy, tylko jej obowiązkowym elementem.

Najprostsza zasada: jeśli inna firma widzi dane osobowe Twoich klientów albo pracowników, bo pomaga Ci w Twoim biznesie, prawie zawsze powinna być objęta umową powierzenia. To nie „papier dla zasady”, tylko główna linia obrony przy kontroli UODO.

Wróć do Ochrona danych w firmie

W skrócie — najważniejsze fakty

Umowa powierzenia jest wymagana wtedy, gdy inna firma przetwarza dane osobowe w Twoim imieniu i na Twoje polecenie (np. biuro rachunkowe, kadry, dostawca CRM, hosting, agencja marketingowa).
Nie każda współpraca wymaga umowy powierzenia. Gdy druga strona działa jako oddzielny administrator danych (np. bank, firma kurierska, kancelaria prawna), zwykle nie zawierasz umowy powierzenia, tylko opisujesz role w dokumentacji.
Dobra umowa powierzenia nie musi być długa, ale musi zawierać elementy wymagane przez art. 28 RODO — w tym zakres danych, cel, zabezpieczenia i zasady korzystania z podwykonawców.
Brak umowy powierzenia to jeden z najczęstszych „czerwonych alertów” przy kontroli. UODO bardzo szybko wychwytuje sytuacje typu „mamy biuro rachunkowe, ale umowy powierzenia brak”.

Pytania i odpowiedzi: umowa powierzenia

1

1. Czym w ogóle jest umowa powierzenia danych osobowych?

To umowa, na mocy której jako administrator zlecasz innej firmie (podmiotowi przetwarzającemu) przetwarzanie danych osobowych w Twoim imieniu. Określa ona m.in. zakres danych, cel przetwarzania, środki bezpieczeństwa i zasady korzystania z podwykonawców. Innymi słowy: mówisz w niej, co wolno robić z danymi Twoich klientów i pracowników.

2

2. Kiedy muszę zawrzeć umowę powierzenia z firmą zewnętrzną?

Zawsze wtedy, gdy inna firma przetwarza dane osobowe w Twoim imieniu i według Twoich instrukcji. Klasyczne przykłady to: biuro rachunkowe prowadzące księgi i listy płac, firma kadrowa, dostawca systemu CRM, operator newslettera, firma utrzymująca serwery lub chmurę, helpdesk IT z dostępem do systemów, agencja marketingowa obsługująca kampanie na Twoich listach mailingowych.

3

3. Czy muszę mieć umowę powierzenia z biurem rachunkowym lub kadrowym?

Tak, w zdecydowanej większości przypadków. Biuro rachunkowe i firma kadrowa przetwarzają dane Twoich pracowników i kontrahentów dokładnie po to, żeby świadczyć usługę dla Twojej firmy. To modelowy przykład powierzenia. Brak umowy powierzenia przy tej współpracy to proszenie się o problem przy kontroli.

4

4. A co z dostawcą hostingu, chmury lub CRM?

Tak, tu również zwykle potrzebna jest umowa powierzenia. Jeśli dane osobowe „leżą” na serwerach dostawcy (hosting, VPS, chmura) albo są przetwarzane w jego systemie (CRM, helpdesk, newsletter), to ten podmiot faktycznie przetwarza dane w Twoim imieniu. Umowa powierzenia powinna być elementem regulaminu, osobnym załącznikiem albo odrębną umową.

5

5. Czy zawsze potrzebuję umowy powierzenia z agencją marketingową?

Jeżeli agencja pracuje na Twoich bazach danych (np. lista newsletterowa, lista klientów, baza leadów w CRM), to tak — jest podmiotem przetwarzającym i umowa powierzenia jest konieczna. Jeśli agencja działa tylko na własnych danych (np. kupuje ruch w swoim panelu reklamowym i nie ma dostępu do danych Twoich klientów), może być odrębnym administratorem – i wtedy umowy powierzenia nie potrzebujesz.

6

6. Kiedy umowa powierzenia nie jest potrzebna?

Nie jest potrzebna wtedy, gdy druga strona jest odrębnym administratorem danych, np. bank, firma kurierska, kancelaria prawna, notariusz, lekarz medycyny pracy. Każdy z nich przetwarza dane we własnych celach i odpowiada za nie niezależnie od Ciebie. Tutaj zamiast umowy powierzenia ważne jest opisanie ról w dokumentacji (np. w rejestrze czynności przetwarzania).

7

7. Czy trzeba zawrzeć umowę powierzenia z freelancerem lub jednoosobową działalnością?

Tak, jeśli freelancer faktycznie przetwarza dane w Twoim imieniu – np. prowadzi newsletter, administruje stroną i serwerem, robi obsługę klienta na Twojej skrzynce supportowej, prowadzi prace programistyczne z dostępem do baz danych. To, że ktoś jest „osobą fizyczną prowadzącą działalność”, niczego nie zmienia – z punktu widzenia RODO nadal jest podmiotem przetwarzającym.

8

8. Jakie elementy musi zawierać dobra umowa powierzenia (zgodnie z RODO)?

Art. 28 RODO wskazuje minimum: przedmiot i czas trwania przetwarzania, jego charakter i cel, rodzaj danych, kategorie osób, obowiązki i prawa administratora. Dodatkowo trzeba opisać obowiązki podmiotu przetwarzającego: przetwarzanie tylko na udokumentowane polecenie, poufność, odpowiednie środki bezpieczeństwa, zasady korzystania z dalszych podmiotów (podpowierzenie), pomoc przy realizacji praw osób, usuwanie lub zwrot danych po zakończeniu współpracy oraz umożliwienie audytów.

9

9. Co z umową powierzenia, gdy firma jest spoza EOG (np. USA)?

Umowa powierzenia to za mało. Jeśli dane „wyjeżdżają” poza Europejski Obszar Gospodarczy, trzeba zastosować dodatkowe mechanizmy transferu (np. standardowe klauzule umowne albo inne narzędzia przewidziane w RODO). Innymi słowy — najpierw umowa powierzenia, a dopiero do niej dokładamy zasady transferu poza EOG.

10

10. Czy mogę skorzystać z gotowego wzoru umowy powierzenia?

Tak. W ramach naszej umowy współpracy B2B przygotowaliśmy załącznik – wzór umowy powierzenia danych, który możesz dopasować do konkretnej współpracy. To dobre rozwiązanie, gdy jednocześnie regulujesz zasady biznesowej współpracy i kwestie RODO w jednym pakiecie dokumentów.

11

11. Co grozi za brak umowy powierzenia?

Po pierwsze – trudno obronić legalność przetwarzania, skoro nikt nie wie, na jakich zasadach zewnętrzna firma używa danych. Po drugie – przy kontroli UODO brak umów powierzenia to bardzo poważny zarzut i realne ryzyko administracyjnej kary. To jeden z tych dokumentów, którego organ szuka praktycznie od razu.

Twoje obowiązki przy powierzaniu danych innym firmom — w pigułce

Zidentyfikuj, kto jest administratorem, a kto podmiotem przetwarzającym

Zacznij od ustalenia ról. Jeśli inna firma działa „dla Ciebie” i według Twoich instrukcji – jest podmiotem przetwarzającym. Jeśli realizuje własne cele (np. bank, kurier, kancelaria), zwykle jest osobnym administratorem. Bez tego rozróżnienia łatwo podpisać niewłaściwą umowę.

Zawrzyj umowę powierzenia zanim przekażesz dane

Umowa powierzenia powinna być zawarta przed rozpoczęciem przetwarzania, a nie „kiedyś później, jak będzie czas”. Jeżeli podmiot już od dawna ma dostęp do danych bez umowy, to masz gotowy problem na wypadek kontroli.

Sprawdź, czy podmiot zapewnia odpowiedni poziom bezpieczeństwa

RODO wymaga, aby administrator wybierał tylko takich podwykonawców, którzy dają gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych. W praktyce: interesują Cię nie tylko stawki i zakres usług, ale także backupy, szyfrowanie, logi dostępu czy procedury reagowania na incydenty.

Korzystaj z gotowych wzorów – ale je czytaj

Możesz korzystać z gotowych wzorów umów powierzenia – np. w ramach naszej umowy współpracy B2B, gdzie umowa powierzenia jest załącznikiem. Ważne jednak, aby dostosować ją do konkretnej współpracy, zamiast ślepo podpisywać to, co przysłał kontrahent.

RODO dla małych firm i JDG Obowiązki administratora danych – pełna checklista Umowa współpracy B2B + załącznik – wzór umowy powierzenia

Jak zawrzeć umowę powierzenia z firmą zewnętrzną — krok po kroku

Krok 1. Sprawdź, czy faktycznie powierzysz dane

Zrób prosty test: czy druga firma będzie widzieć dane Twoich klientów/pracowników i robić z nimi coś „dla Ciebie”? Jeśli tak — to niemal na pewno mówimy o powierzeniu i potrzebujesz umowy.

Krok 2. Zbierz informacje o zakresie i celu przetwarzania

Ustal, jakie dane będą przetwarzane (np. dane kadrowe, dane klientów, dane z systemu zamówień), w jakim celu i przez jaki czas. Bez tego umowa powierzenia będzie ogólnikiem, a nie realnym zabezpieczeniem.

Krok 3. Wybierz wzór umowy powierzenia

Możesz skorzystać z gotowego wzoru – np. z naszej umowy współpracy B2B, gdzie umowa powierzenia stanowi załącznik – albo z dokumentu przygotowanego przez prawnika. Kluczowe, żeby uwzględniał wymagania art. 28 RODO.

Krok 4. Uzgodnij warunki z kontrahentem

Przedyskutuj m.in. zasady bezpieczeństwa, podpowierzenia, lokalizację serwerów (UE / poza UE) oraz sposób realizacji praw osób, których dane dotyczą. To moment, żeby sprawdzić, czy druga strona traktuje RODO poważnie.

Krok 5. Podpisz umowę przed przekazaniem danych

Umowa powierzenia powinna być zawarta przed tym, jak kontrahent dostanie dostęp do danych. Może być podpisana elektronicznie – ważne, żebyś mógł pokazać ją w razie kontroli.

Krok 6. Dokumentuj i aktualizuj

Dodaj powierzenie do swojej dokumentacji (np. rejestru kategorii czynności przetwarzania) i aktualizuj umowę, jeśli zakres usług się zmienia. Umowa powierzenia to nie papier jednorazowy – żyje razem z Twoim biznesem.

Uwaga: „dogadaliśmy się mailowo” to za mało

Współpraca „na słowo” z biurem rachunkowym, agencją marketingową czy administratorem serwerów może działać latami – aż do pierwszej kontroli albo wycieku danych. Wtedy nagle okazuje się, że nikt nie wie, jakie były zasady bezpieczeństwa ani kto za co odpowiada. Umowa powierzenia jest tania dopóki piszesz ją na spokojnie, a bardzo droga, gdy piszesz ją już po incydencie.

Podstawą obowiązku zawarcia umowy powierzenia danych osobowych jest przede wszystkim art. 28 RODO. Przepis ten wymaga, aby każdy administrator, który powierza przetwarzanie danych innemu podmiotowi, zawarł z nim umowę regulującą co najmniej przedmiot i czas trwania przetwarzania, jego charakter i cel, rodzaj danych, kategorie osób oraz obowiązki i prawa administratora.

Umowa musi także precyzować obowiązki podmiotu przetwarzającego – w tym przetwarzanie wyłącznie na udokumentowane polecenie administratora, zachowanie poufności, wdrożenie odpowiednich środków bezpieczeństwa, zasady korzystania z dalszych podwykonawców, pomoc w realizacji praw osób oraz usunięcie lub zwrot danych po zakończeniu współpracy.

Jeżeli w ramach powierzenia dochodzi do transferu danych poza EOG, zastosowanie mają dodatkowo przepisy o przekazywaniu danych do państw trzecich (art. 44 i nast. RODO), np. standardowe klauzule umowne. Sama umowa powierzenia nie „załatwia” tematu transferu – jest dopiero pierwszym elementem układanki.

Najważniejsze odpowiedzi (dla wyszukiwarek)

Kiedy trzeba zawrzeć umowę powierzenia z dostawcą usług?

Umowę powierzenia podpisujesz, gdy podmiot przetwarza dane w Twoim imieniu jako procesor (hosting, call center, software house). Wymaga tego art. 28 RODO.

Jakie elementy musi zawierać umowa powierzenia?

Określa administratora, procesora, kategorie danych, cel, czas, środki bezpieczeństwa, prawo audytu i zasady podprocesorów. Powinna też regulować usunięcie lub zwrot danych po zakończeniu umowy.

Czy checkbox w regulaminie zastąpi umowę powierzenia?

Nie, konieczna jest umowa spełniająca wymagania art. 28 ust. 3 RODO, podpisana lub zaakceptowana w sposób możliwy do udokumentowania. Samo oświadczenie nie wystarczy.