DPARODOumowa powierzeniadane osoboweprawo

DPA - co to jest umowa powierzenia przetwarzania danych (RODO)

DPA (umowa powierzenia przetwarzania) to dokument z art. 28 RODO regulujący relację administrator-procesor. Sprawdź, kiedy go potrzebujesz i co musi zawierać.

Kacper Rękawek7 lipca 20267 min czytania
DPA - co to jest umowa powierzenia przetwarzania danych (RODO)

DPA (Data Processing Agreement, czyli umowa powierzenia przetwarzania danych osobowych) to dokument, który na podstawie art. 28 RODO reguluje relację między administratorem danych a podmiotem przetwarzającym (procesorem). Potrzebujesz go zawsze, gdy powierzasz przetwarzanie danych osobowych innemu podmiotowi, na przykład dostawcy narzędzia SaaS.

W tym artykule wyjaśniamy, czym dokładnie jest DPA, kiedy jest wymagana, co musi zawierać zgodnie z RODO oraz jak odróżnić rolę administratora od procesora. Na końcu sekcja FAQ i podsumowanie. To materiał informacyjny, nie porada prawna - w razie wątpliwości skonsultuj się z prawnikiem.

Co to jest DPA?

DPA to umowa, która określa zasady, na jakich jeden podmiot przetwarza dane osobowe w imieniu drugiego. Administrator (np. Twoja firma) decyduje, po co i jak przetwarzane są dane. Procesor (np. dostawca oprogramowania) przetwarza je wyłącznie na udokumentowane polecenie administratora.

Podstawą prawną jest art. 28 RODO, który wymaga, aby powierzenie przetwarzania odbywało się na podstawie umowy lub innego instrumentu prawnego. Bez takiej umowy korzystanie z zewnętrznego narzędzia, które ma dostęp do danych osobowych Twoich klientów lub kontaktów, jest niezgodne z RODO.

W praktyce DPA jest najczęściej osobnym dokumentem lub załącznikiem do umowy głównej (np. regulaminu usługi). Wielu dostawców SaaS udostępnia gotowy wzór DPA do akceptacji. Znaczenie pojęcia znajdziesz też w naszym słowniku cold mailingu.

Warto zapamiętać sam mechanizm: powierzenie to nie to samo co udostępnienie danych. Przy powierzeniu druga strona nie staje się właścicielem danych ani nie przejmuje decyzji o tym, co z nimi robić. Działa wyłącznie jako wykonawca Twoich poleceń, a Ty pozostajesz odpowiedzialny za zgodność całego procesu z RODO. DPA jest dowodem, że ta relacja została poprawnie uregulowana, i jednym z dokumentów, którymi wykazujesz rozliczalność wobec organu nadzorczego.

Kiedy potrzebujesz DPA?

DPA jest wymagana zawsze, gdy powierzasz przetwarzanie danych osobowych innemu podmiotowi, który robi to w Twoim imieniu. Typowe sytuacje:

  1. Korzystasz z narzędzia SaaS, które przechowuje lub przetwarza dane Twoich klientów (CRM, system mailingowy, narzędzie do fakturowania).
  2. Używasz dostawcy poczty lub infrastruktury, który ma techniczny dostęp do danych (hosting, dostawca SMTP).
  3. Zlecasz usługi zewnętrznej firmie, np. biuru księgowemu, agencji marketingowej czy firmie obsługującej kampanie mailingowe.
  4. Wysyłasz kampanie cold mailingowe przez platformę, która hostuje Twoją bazę kontaktów.

Kluczowe pytanie brzmi: czy inny podmiot ma dostęp do danych osobowych, którymi zarządzasz, i przetwarza je dla Ciebie? Jeśli tak, potrzebujesz DPA. Jeśli druga strona przetwarza dane do własnych celów i sama decyduje o sposobie przetwarzania, to nie jest procesor, lecz odrębny administrator - wtedy DPA nie ma zastosowania.

Umowę powierzenia warto zawrzeć zanim procesor zacznie faktycznie przetwarzać dane, a nie po fakcie. Jeśli dopiero wybierasz dostawcę, sprawdź, czy w ogóle udostępnia DPA i czy jego treść odpowiada wymogom art. 28 RODO. Brak gotowej umowy powierzenia u dostawcy, który ewidentnie przetwarza dane osobowe klientów, to sygnał ostrzegawczy. Zgodnie z RODO administrator powinien korzystać wyłącznie z procesorów dających wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych.

Co musi zawierać DPA wg art. 28 RODO?

Art. 28 RODO precyzuje minimalny zakres umowy powierzenia. Poniższa tabela zestawia obowiązkowe elementy:

Element DPACzego dotyczy
Przedmiot i czas przetwarzaniaJakie dane i jak długo procesor je przetwarza
Charakter i cel przetwarzaniaPo co dane są przetwarzane (np. wysyłka maili)
Rodzaj danych i kategorie osóbJakie dane osobowe i czyje (klienci, pracownicy, kontakty)
Obowiązki i prawa administratoraZakres poleceń i kontroli administratora
Działanie na udokumentowane polecenieProcesor przetwarza dane tylko zgodnie z instrukcją administratora
PoufnośćZobowiązanie osób upoważnionych do zachowania poufności
Bezpieczeństwo (art. 32 RODO)Wdrożenie odpowiednich środków technicznych i organizacyjnych
Podpowierzenie (subprocesor)Warunki korzystania z dalszych podmiotów przetwarzających
Pomoc administratorowiWsparcie przy realizacji praw osób i obowiązków administratora
Usunięcie lub zwrot danychPostępowanie z danymi po zakończeniu usługi
Audyt i informacjeUmożliwienie kontroli i wykazanie zgodności

To minimum wynikające z przepisów. Konkretna umowa może zawierać dodatkowe postanowienia, na przykład dotyczące przekazywania danych poza Europejski Obszar Gospodarczy. Pełną treść art. 28 znajdziesz w źródłach na końcu artykułu.

Szczególną uwagę zwróć na dwie kwestie, które najczęściej rodzą problemy w praktyce. Pierwsza to podpowierzenie: procesor może korzystać z dalszych podmiotów (subprocesorów, np. dostawcy chmury) tylko za Twoją zgodą - ogólną lub szczegółową - i musi nałożyć na nich te same obowiązki, które sam ma wobec Ciebie. Druga to los danych po zakończeniu współpracy: umowa powinna jasno określać, czy dane zostaną usunięte, czy zwrócone, oraz w jakim terminie. Brak takiej regulacji oznacza ryzyko, że dane będą przechowywane dłużej, niż to dopuszczalne.

DPA a cold mailing - czy potrzebuję?

Jeśli wysyłasz kampanie cold mailingowe przez zewnętrzną platformę, która hostuje Twoją bazę adresów i danych kontaktowych, to ta platforma przetwarza dane osobowe w Twoim imieniu. W takiej relacji jesteś administratorem, a dostawca narzędzia procesorem, więc DPA jest potrzebna.

Adres e-mail służbowy oraz imię i nazwisko to dane osobowe w rozumieniu RODO, nawet w kontekście B2B. Dlatego korzystając z narzędzia do cold mailingu, powinieneś mieć z dostawcą podpisaną umowę powierzenia. Sama umowa powierzenia nie wystarczy jednak, by kampania była legalna - musisz też mieć podstawę prawną przetwarzania (najczęściej prawnie uzasadniony interes). Szczegóły opisujemy w przewodniku RODO w cold mailingu B2B oraz w materiale cold mailing B2B legalnie.

W OutreachPilot udostępniamy gotową umowę powierzenia do akceptacji - znajdziesz ją na stronie DPA OutreachPilot / umowa powierzenia.

Pamiętaj jednak o granicy odpowiedzialności. DPA z dostawcą narzędzia chroni warstwę techniczną przetwarzania, ale nie zwalnia Cię z obowiązków administratora wobec osób, do których piszesz. To Ty odpowiadasz za podstawę prawną wysyłki, za poszanowanie sprzeciwu i prawa do bycia zapomnianym oraz za to, skąd pochodzą adresy w bazie. Umowa powierzenia jest fundamentem zgodności, lecz sama w sobie nie legalizuje kampanii.

DPA a polityka prywatności - różnica

To dwa różne dokumenty, które łatwo pomylić:

  • DPA to umowa między dwoma podmiotami (administratorem i procesorem). Reguluje, jak procesor przetwarza dane w imieniu administratora. Adresatem jest druga firma.
  • Polityka prywatności to dokument informacyjny skierowany do osób, których dane dotyczą. Wyjaśnia, jakie dane zbierasz, w jakim celu i jakie prawa przysługują tym osobom.

Mówiąc krótko: DPA reguluje relację między firmami, a polityka prywatności informuje osoby fizyczne o przetwarzaniu ich danych. Potrzebujesz obu, bo realizują różne obowiązki wynikające z RODO.

Kto jest administratorem, a kto procesorem?

Rozróżnienie ról jest podstawą całej konstrukcji DPA. Poniższa tabela pokazuje różnice:

KryteriumAdministratorProcesor (podmiot przetwarzający)
Kto to jestPodmiot decydujący o celach i sposobach przetwarzaniaPodmiot przetwarzający dane w imieniu administratora
DecyzjeUstala, po co i jak przetwarzane są daneDziała na udokumentowane polecenie administratora
PrzykładFirma wysyłająca kampanię mailingowąDostawca narzędzia do mailingu, hosting
OdpowiedzialnośćWykazanie zgodności całego procesuBezpieczeństwo i zgodność z poleceniami

W jednej relacji możesz być administratorem (wobec własnych klientów), a w innej procesorem (gdy przetwarzasz dane w imieniu kontrahenta). Rola zależy zawsze od tego, kto faktycznie decyduje o celach i sposobach przetwarzania, a nie od nazwy w umowie.

Zdarza się też relacja współadministrowania, gdy dwa podmioty wspólnie ustalają cele i sposoby przetwarzania. To jednak osobna konstrukcja niż powierzenie i rządzi się innymi zasadami (art. 26 RODO), dlatego nie mylimy jej z DPA. Jeśli nie masz pewności, w jakiej roli występujesz w danej relacji, ustal najpierw, kto realnie podejmuje decyzje o danych - to przesądza o tym, jaki dokument jest potrzebny.

Najczęstsze pytania (FAQ)

Czy DPA musi być podpisana na papierze?

Nie. Art. 28 RODO wymaga formy pisemnej, w tym elektronicznej. W praktyce akceptacja DPA online u dostawcy SaaS spełnia ten wymóg, o ile można wykazać, że umowa została zawarta.

Kto przygotowuje umowę powierzenia?

Najczęściej procesor (dostawca usługi) udostępnia gotowy wzór, który administrator akceptuje. Administrator może też zaproponować własny dokument. Ważne, by treść spełniała wymogi art. 28 RODO.

Czy potrzebuję DPA z każdym dostawcą?

Z każdym, który przetwarza dane osobowe w Twoim imieniu. Jeśli dostawca nie ma dostępu do danych osobowych lub przetwarza je jako odrębny administrator do własnych celów, DPA może nie być potrzebna.

Czy adres e-mail firmowy to dane osobowe?

Adres imienny (np. jan.kowalski@firma.pl) pozwala zidentyfikować osobę, więc jest daną osobową w rozumieniu RODO. Adres ogólny (np. biuro@firma.pl) zwykle nie identyfikuje konkretnej osoby.

Co grozi za brak DPA?

Brak wymaganej umowy powierzenia jest naruszeniem RODO. Nie podajemy tu konkretnych kwot, bo wysokość ewentualnych sankcji zależy od wielu okoliczności i oceny organu nadzorczego. W razie wątpliwości skonsultuj się z prawnikiem.

Podsumowanie

DPA, czyli umowa powierzenia przetwarzania danych, wynika z art. 28 RODO i reguluje relację między administratorem a procesorem. Potrzebujesz jej zawsze, gdy powierzasz przetwarzanie danych osobowych innemu podmiotowi, na przykład narzędziu SaaS czy dostawcy poczty. Umowa musi określać m.in. przedmiot, cel i czas przetwarzania, rodzaj danych oraz zobowiązania procesora w zakresie poufności, bezpieczeństwa i usunięcia danych. To dokument odrębny od polityki prywatności i obie rzeczy są potrzebne.

Chcesz zacząć legalnie? Załóż darmowe konto i zaakceptuj gotową umowę powierzenia w kilka chwil.

Ten artykuł ma charakter informacyjny i nie stanowi porady prawnej. W konkretnej sytuacji skonsultuj się z prawnikiem lub specjalistą ds. ochrony danych.


Źródła:

- FinOd czytania do wysyłki

Gotowy na automatyczny cold outreach?

Znajdź klientów B2B z CEIDG i Google Maps. AI pisze spersonalizowane maile po polsku, a darmowe konto pozwala przygotować pierwszą kampanię bez karty.

Podobne artykuły