Administrator a podmiot przetwarzający — kluczowa różnica
RODO rozróżnia dwie role: administrator (art. 4 pkt 7 RODO) — podmiot, który sam decyduje o celach i sposobach przetwarzania danych, oraz podmiot przetwarzający (procesor, art. 4 pkt 8) — podmiot, który przetwarza dane wyłącznie w imieniu i na polecenie administratora. DPA jest wymagane w relacji administrator → procesor. Nie jest wymagane między dwoma administratorami (tam stosuje się umowę o współadministrowaniu lub standardowe klauzule).
Kiedy DPA jest obowiązkowy
DPA musisz zawrzeć gdy przekazujesz dane osobowe do zewnętrznego dostawcy, który przetwarza je wyłącznie w Twoim imieniu. Przykłady: hostingodawca (serwer z danymi klientów), platforma CRM lub ERP w modelu SaaS (Salesforce, HubSpot), zewnętrzna księgowość lub kadrowe, platforma do email marketingu (Mailchimp, GetResponse), call center obsługujące Twoich klientów, firma IT wykonująca prace serwisowe z dostępem do systemów. Brak DPA nie zwalnia z odpowiedzialności — administrator odpowiada za wybór procesora i za jego działania.
Obowiązkowe elementy DPA zgodnie z art. 28 ust. 3 RODO
DPA musi zawierać: przedmiot przetwarzania (jakie operacje: przechowywanie, analizowanie, wysyłanie), czas trwania przetwarzania, charakter i cel przetwarzania, rodzaj danych osobowych (dane kontaktowe, dane finansowe, dane pracownicze itp.), kategorie osób, których dane dotyczą (klienci, pracownicy, kontrahenci), obowiązki i prawa administratora. Procesor musi zobowiązać się do: przetwarzania danych wyłącznie na udokumentowane polecenie administratora, zachowania poufności, wdrożenia odpowiednich środków bezpieczeństwa, nieangażowania podprocesorów bez zgody administratora, usunięcia lub zwrotu danych po zakończeniu umowy, pomocy przy audytach.
Współadministrowanie — kiedy stosować zamiast DPA
Współadministrowanie (art. 26 RODO) ma miejsce gdy dwa lub więcej podmiotów wspólnie ustala cele i sposoby przetwarzania danych — np. dwie firmy prowadzące wspólną akcję marketingową. Wymaga odrębnej umowy określającej zakresy odpowiedzialności każdego z administratorów. Nie jest tym samym co DPA — procesor nie ma żadnej autonomii decyzyjnej.
Klauzule standardowe i gotowe wzory
Duże platformy SaaS (Google, Microsoft, AWS, Salesforce) mają gotowe DPA do podpisania online — wystarczy zaakceptować w panelu administratora. Dla mniejszych dostawców warto skorzystać z wzoru przygotowanego przez UODO lub EROD. Ważne: DPA może być wymagane przez polskie prawo nawet gdy dostawca jest poza UE — wtedy konieczne są standardowe klauzule umowne (SCCs) zatwierdzone przez KE.
Konsekwencje braku DPA
Brak DPA to naruszenie art. 28 RODO — może skutkować: karą UODO do 10 mln EUR (lub 2% rocznego obrotu) dla naruszenia art. 28, odpowiedzialnością cywilną wobec osób, których dane dotknęło naruszenie, reputacyjnymi konsekwencjami przy kontroli UODO lub mediach. W kontrolach UODO brak DPA jest jednym z najczęstszych stwierdzanych naruszeń.
Audyt DPA — co sprawdzić
Czy masz DPA z wszystkimi procesorami? Sporządź listę zewnętrznych dostawców IT i usług z dostępem do danych osobowych. Sprawdź czy DPA zawiera wszystkie elementy z art. 28 RODO. Zweryfikuj czy podprocesorzy (poddostawcy procesora) są ujawnieni i zatwierdzeni. Zaktualizuj DPA gdy zmieniają się dostawcy lub zakres przetwarzania.
Podsumowanie
DPA to nie biurokratyczny wymóg — to zabezpieczenie Twojej firmy i Twoich klientów. Systematyczny audyt umów z dostawcami IT i aktualizacja DPA to prosty krok w kierunku zgodności z RODO i ograniczenia ryzyka odpowiedzialności.
Powiązane strony