+48 792 911 906 | kancelaria@cenkier.pl
Joanna Cenkier Radca Prawny
Strona główna
O kancelarii
Specjalizacje
Obsługa firm Nowoczesne technologie Kredyty frankowe Prawo gospodarcze Windykacja Prawo budowlane
Branże
Firmy IT i software houses E-commerce i sklepy online Startupy i scale-upy AI i automatyzacja SaaS i platformy cyfrowe Agencje marketingowe Deweloperzy nieruchomości Firmy budowlane Podwykonawcy budowlani Inwestorzy indywidualni Spółki handlowe Produkcja i przemysł Handel hurtowy i dystrybucja Franczyza Transport i spedycja
Artykuły
Kalkulatory
FAQ
Kontakt
Konsultacja
Strona główna
O kancelarii
Specjalizacje
Obsługa firm Nowoczesne technologie Kredyty frankowe Prawo gospodarcze Windykacja Prawo budowlane
Branże
Firmy IT i software houses E-commerce i sklepy online Startupy i scale-upy AI i automatyzacja SaaS i platformy cyfrowe Agencje marketingowe Deweloperzy nieruchomości Firmy budowlane Podwykonawcy budowlani Inwestorzy indywidualni Spółki handlowe Produkcja i przemysł Handel hurtowy i dystrybucja Franczyza Transport i spedycja
Artykuły
Kalkulatory
FAQ
Kontakt
Konsultacja
Powrót do artykułów Obsługa firm

Umowa powierzenia przetwarzania danych osobowych (DPA) — kiedy wymagana i co musi zawierać

4 lipca 2026 3 min czytania
Umowa powierzenia przetwarzania danych osobowych (DPA) — kiedy wymagana i co musi zawierać

Administrator a podmiot przetwarzający — kluczowa różnica

RODO rozróżnia dwie role: administrator (art. 4 pkt 7 RODO) — podmiot, który sam decyduje o celach i sposobach przetwarzania danych, oraz podmiot przetwarzający (procesor, art. 4 pkt 8) — podmiot, który przetwarza dane wyłącznie w imieniu i na polecenie administratora. DPA jest wymagane w relacji administrator → procesor. Nie jest wymagane między dwoma administratorami (tam stosuje się umowę o współadministrowaniu lub standardowe klauzule).

Kiedy DPA jest obowiązkowy

DPA musisz zawrzeć gdy przekazujesz dane osobowe do zewnętrznego dostawcy, który przetwarza je wyłącznie w Twoim imieniu. Przykłady: hostingodawca (serwer z danymi klientów), platforma CRM lub ERP w modelu SaaS (Salesforce, HubSpot), zewnętrzna księgowość lub kadrowe, platforma do email marketingu (Mailchimp, GetResponse), call center obsługujące Twoich klientów, firma IT wykonująca prace serwisowe z dostępem do systemów. Brak DPA nie zwalnia z odpowiedzialności — administrator odpowiada za wybór procesora i za jego działania.

Obowiązkowe elementy DPA zgodnie z art. 28 ust. 3 RODO

DPA musi zawierać: przedmiot przetwarzania (jakie operacje: przechowywanie, analizowanie, wysyłanie), czas trwania przetwarzania, charakter i cel przetwarzania, rodzaj danych osobowych (dane kontaktowe, dane finansowe, dane pracownicze itp.), kategorie osób, których dane dotyczą (klienci, pracownicy, kontrahenci), obowiązki i prawa administratora. Procesor musi zobowiązać się do: przetwarzania danych wyłącznie na udokumentowane polecenie administratora, zachowania poufności, wdrożenia odpowiednich środków bezpieczeństwa, nieangażowania podprocesorów bez zgody administratora, usunięcia lub zwrotu danych po zakończeniu umowy, pomocy przy audytach.

Współadministrowanie — kiedy stosować zamiast DPA

Współadministrowanie (art. 26 RODO) ma miejsce gdy dwa lub więcej podmiotów wspólnie ustala cele i sposoby przetwarzania danych — np. dwie firmy prowadzące wspólną akcję marketingową. Wymaga odrębnej umowy określającej zakresy odpowiedzialności każdego z administratorów. Nie jest tym samym co DPA — procesor nie ma żadnej autonomii decyzyjnej.

Klauzule standardowe i gotowe wzory

Duże platformy SaaS (Google, Microsoft, AWS, Salesforce) mają gotowe DPA do podpisania online — wystarczy zaakceptować w panelu administratora. Dla mniejszych dostawców warto skorzystać z wzoru przygotowanego przez UODO lub EROD. Ważne: DPA może być wymagane przez polskie prawo nawet gdy dostawca jest poza UE — wtedy konieczne są standardowe klauzule umowne (SCCs) zatwierdzone przez KE.

Konsekwencje braku DPA

Brak DPA to naruszenie art. 28 RODO — może skutkować: karą UODO do 10 mln EUR (lub 2% rocznego obrotu) dla naruszenia art. 28, odpowiedzialnością cywilną wobec osób, których dane dotknęło naruszenie, reputacyjnymi konsekwencjami przy kontroli UODO lub mediach. W kontrolach UODO brak DPA jest jednym z najczęstszych stwierdzanych naruszeń.

Audyt DPA — co sprawdzić

Czy masz DPA z wszystkimi procesorami? Sporządź listę zewnętrznych dostawców IT i usług z dostępem do danych osobowych. Sprawdź czy DPA zawiera wszystkie elementy z art. 28 RODO. Zweryfikuj czy podprocesorzy (poddostawcy procesora) są ujawnieni i zatwierdzeni. Zaktualizuj DPA gdy zmieniają się dostawcy lub zakres przetwarzania.

Podsumowanie

DPA to nie biurokratyczny wymóg — to zabezpieczenie Twojej firmy i Twoich klientów. Systematyczny audyt umów z dostawcami IT i aktualizacja DPA to prosty krok w kierunku zgodności z RODO i ograniczenia ryzyka odpowiedzialności.

Powiązane strony

Specjalizacja: Obsługa firm · Więcej artykułów: Obsługa firm
Umów konsultację
Joanna Cenkier Radca Prawny

Kancelaria Radcy Prawnego specjalizująca się w obsłudze przedsiębiorstw, prawie gospodarczym oraz sprawach frankowych. Ponad 10 lat doświadczenia w ochronie interesów Klientów.

Specjalizacje

  • Wszystkie specjalizacje
  • Obsługa firm
  • Nowoczesne technologie
  • Kredyty frankowe
  • Prawo gospodarcze
  • Windykacja
  • Prawo budowlane

Szybkie linki

  • O kancelarii
  • Branże
  • Kalkulatory
  • Wszystkie artykuły
  • Artykuły — Kredyty frankowe
  • Artykuły — Prawo gospodarcze
  • Artykuły — Nowoczesne technologie
  • Artykuły — Obsługa firm
  • Artykuły — Prawo budowlane
  • Artykuły — Windykacja
  • FAQ
  • Polityka prywatności

Kontakt

  • +48 792 911 906
  • kancelaria@cenkier.pl
  • ul. Krótka 4/3

    20-077 Lublin

© 2026 Kancelaria Radcy Prawnego Joanna Cenkier. Wszelkie prawa zastrzeżone.

NIP: 7123053374 | REGON: 386450770