Podstawą współpracy między administratorem a procesorem danych osobowych jest umowa powierzenia przetwarzania danych (ang. Data Processing Agreement – DPA). To właśnie art. 28 ust. 3 RODO precyzyjnie określa, co taka umowa musi zawierać.
Choć dla wielu organizacji jest to tylko „kolejna formalność”, w praktyce treść i jakość tej umowy mogą decydować o bezpieczeństwie danych oraz odpowiedzialności prawnej obu stron.
1. Dlaczego umowa powierzenia jest obowiązkowa?
Jeśli administrator zleca podmiotowi zewnętrznemu (procesorowi) przetwarzanie danych osobowych – np. firmie IT, biuru rachunkowemu czy dostawcy usług chmurowych – musi zawrzeć umowę powierzenia.
Bez niej przetwarzanie danych jest niezgodne z RODO i naraża organizację na poważne kary finansowe.
2. Co musi zawierać umowa powierzenia (zgodnie z art. 28 ust. 3 RODO)?
Każda umowa powierzenia powinna określać co najmniej:
- przedmiot i czas trwania przetwarzania,
- charakter i cel przetwarzania,
- rodzaj danych osobowych oraz kategorie osób,
- obowiązki i prawa administratora,
- zasady dotyczące poufności danych,
- wymagania wobec stosowania środków technicznych i organizacyjnych,
- warunki korzystania z podprocesorów (subprocesorów),
- zasady zwrotu lub usunięcia danych po zakończeniu współpracy,
- możliwość audytów i kontroli po stronie administratora.
3. Forma umowy powierzenia
Umowa powierzenia nie musi być podpisana w tradycyjnej formie papierowej. RODO dopuszcza również formę elektroniczną – ważne, by była pisemna i dawała możliwość udokumentowania warunków współpracy.
4. Najczęstsze błędy w umowach powierzenia
❌ Zbyt ogólne zapisy – np. brak wskazania rodzaju danych czy celu przetwarzania.
❌ Brak regulacji dotyczących subprocesorów – co pozwala procesorowi swobodnie korzystać z podwykonawców.
❌ „Martwe” umowy – podpisane tylko na papierze, bez faktycznej kontroli i audytów.
❌ Brak zasad usuwania danych – procesor może przechowywać je w nieskończoność.
5. Jak przygotować dobrą umowę powierzenia?
✅ Dopasować jej treść do charakteru i zakresu współpracy.
✅ Precyzyjnie opisać dane, które będą przetwarzane.
✅ Wprowadzić zapisy o bezpieczeństwie, audytach i reagowaniu na incydenty.
✅ Kontrolować i aktualizować umowy wraz ze zmianami w usługach lub technologii.
Podsumowanie
Umowa powierzenia przetwarzania danych to nie tylko formalny dokument – to realne narzędzie zarządzania ryzykiem i odpowiedzialnością. To w niej zapisane są granice odpowiedzialności procesora i prawa administratora do kontroli.
W praktyce dobrze skonstruowana umowa powierzenia jest jednym z filarów skutecznej ochrony danych osobowych i dowodem, że organizacja poważnie traktuje wymagania RODO.
👉 W kolejnym wpisie z serii „Art. 28 RODO w praktyce” zajmiemy się podpowierzeniem danych i rolą subprocesorów – czyli co zrobić, gdy procesor chce korzystać z podwykonawców.
Twoje bezpieczeństwo to nasza pasja! 🌐 Jeśli interesuje Cię ochrona danych osobowych, bezpieczeństwo informacji czy cyberbezpieczeństwo, zajrzyj na stronę CAB oraz Platformę Cyberbezpieczeństwa. Szukasz informacji o ochronie sygnalistów? 📢 Sprawdź stronę Kanału Zgłoszeniowego. Czekają tam praktyczne porady i ekspercka wiedza!