Kiedy muszę zawrzeć umowę powierzenia danych (DPA)?

DPA musi zostać zawarte przed udostępnieniem danych osobowych podmiotowi przetwarzającemu — tj. przed powierzeniem przetwarzania. Obowiązek zawarcia DPA zachodzi, gdy podmiot zewnętrzny przetwarza dane osobowe w imieniu administratora: np. firma IT zarządzająca systemem, call center obsługujące klientów, firma kadrowa prowadząca listy płac, dostawca chmury przechowujący dane. Brak DPA jest naruszeniem art. 28 RODO i może skutkować karą Prezesa UODO.

Czym różni się administrator od podmiotu przetwarzającego?

Administrator (ang. controller) to podmiot, który decyduje o celach i sposobach przetwarzania danych osobowych. Podmiot przetwarzający (ang. processor) przetwarza dane wyłącznie na polecenie administratora, nie w swoim imieniu ani we własnym celu. Jeśli podmiot zewnętrzny zaczyna samodzielnie decydować o celach przetwarzania danych — staje się administratorem i ponosi pełną odpowiedzialność wynikającą z RODO. To rozróżnienie jest kluczowe dla właściwego skonstruowania DPA.

Czy mogę zatwierdzić podprocesorów z góry?

Tak — art. 28 ust. 2 RODO dopuszcza zarówno szczegółową zgodę (na konkretnego podprocesora), jak i ogólną zgodę (na angażowanie podprocesorów w ogóle, z obowiązkiem informowania o zmianach). Zgoda ogólna jest wygodniejsza przy dynamicznie zmieniających się łańcuchach podprocesorów (chmury, SaaS). Przy zgodzie ogólnej DPA powinno wskazywać listę zatwierdzonych podprocesorów z możliwością jej aktualizacji oraz procedurę sprzeciwu administratora wobec nowych podprocesorów.

Co to są standardowe klauzule umowne (SCC) i kiedy je stosować?

Standardowe klauzule umowne (SCC — Standard Contractual Clauses) to wzorcowe postanowienia DPA zatwierdzone przez Komisję Europejską (decyzja 2021/914). Mogą być stosowane w całości lub jako podstawa DPA — zapewniają wtedy zgodność z art. 28 RODO. SCC są obowiązkowe przy transferze danych do państw trzecich niezapewniających odpowiedniego stopnia ochrony (np. USA w przypadku wielu usług SaaS). Polskie DPA może opierać się na SCC lub zawierać dostosowane postanowienia spełniające te same standardy.

Jakie kary grożą za brak DPA?

Brak umowy powierzenia przetwarzania danych lub jej niekompletność stanowi naruszenie art. 28 RODO i jest zagrożone karą administracyjną Prezesa UODO do 10 mln euro lub 2% rocznego globalnego obrotu podmiotu (w zależności od tego, która kwota jest wyższa). PUODO wielokrotnie nakładał kary na administratorów i procesory za brak DPA lub za zawieranie umów niespełniających wymogów art. 28 ust. 3 RODO.

W jaki sposób procesor powinien informować o naruszeniach bezpieczeństwa?

DPA powinno nakładać na procesora obowiązek niezwłocznego powiadomienia administratora o naruszeniu ochrony danych — w praktyce w ciągu 24–48 godzin od jego stwierdzenia. Administrator ma bowiem 72 godziny na zgłoszenie naruszenia Prezesowi UODO (art. 33 RODO). Powiadomienie procesora powinno zawierać co najmniej: opis charakteru naruszenia, szacowaną liczbę osób dotkniętych naruszeniem, kategorie naruszonych danych, opis możliwych konsekwencji i środki podjęte w celu zaradzenia naruszeniu.

Co dzieje się z danymi po zakończeniu DPA?

Po zakończeniu świadczenia usług DPA musi zobowiązywać procesora do usunięcia lub zwrotu wszelkich danych osobowych administratorowi, w zależności od jego wyboru, oraz do usunięcia wszelkich istniejących kopii. Wyjątek dotyczy sytuacji, gdy prawo UE lub prawo polskie nakazuje przechowywanie danych (np. przechowywanie faktur przez 5 lat). Procesor powinien wystawić administratorowi pisemne potwierdzenie usunięcia danych lub protokół ich zwrotu.

Czy DPA jest potrzebne, gdy korzystam z chmury obliczeniowej?

Tak — korzystanie z chmury obliczeniowej (AWS, Azure, Google Cloud, OVH) wiąże się z powierzeniem przetwarzania danych osobowych dostawcy chmury. Wszyscy główni dostawcy chmury oferują standardowe DPA zgodne z RODO. Warto sprawdzić, czy DPA oferowane przez dostawcę obejmuje wszystkie elementy art. 28 ust. 3 RODO, czy lista podprocesorów jest dostępna i aktualizowana oraz czy dane mogą być transferowane do państw trzecich — i jakie mechanizmy zabezpieczające są stosowane.

Biznes & PrawoPolska

Darmowy szablon umowy powierzenia przetwarzania danych osobowych

Umowa powierzenia przetwarzania danych osobowych (Data Processing Agreement — DPA) to dokument wymagany przez art. 28 RODO, regulujący relację między administratorem danych a podmiotem przetwarzającym (procesorem). Nasz darmowy szablon spełnia wszystkie wymogi art. 28 ust. 3 RODO, obejmując zakres przetwarzania, obowiązki bezpieczeństwa, warunki angażowania podprocesorów i prawa do audytu.

Create Your Umowa Powierzenia Danych Osobowych

Free to useInstant PDFNo account required

UMOWA POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH

Zawarta Dnia 15 Marca 2026

ADMINISTRATOR DANYCH

MediCare Sp. z o.o.

ul. Zdrowotna 5, 00-001 Warszawa, NIP: 525-111-22-33, KRS 0000111222, repr. przez: dr Janusz Kowalczyk — Prezes Zarządu, IOD: iod@medicare.pl

PODMIOT PRZETWARZAJĄCY

CloudHost Sp. z o.o.

ul. Serwerowa 10, 50-001 Wrocław, NIP: 118-333-44-55, KRS 0000333444, repr. przez: Marcin Nowicki — CTO, IOD: iod@cloudhost.pl

PRZEDMIOT I PODSTAWA PRAWNA

1. Na podstawie art. 28 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych (RODO), Administrator powierza Podmiotowi Przetwarzającemu przetwarzanie danych osobowych w zakresie określonym niniejszą Umową.

2. Podmiot Przetwarzający przetwarza powierzone dane osobowe wyłącznie na udokumentowane polecenie Administratora, chyba że obowiązek taki nakłada na niego prawo Unii Europejskiej lub prawo państwa członkowskiego (art. 28 ust. 3 lit. a RODO).

3. Niniejsza Umowa stanowi integralną część umowy głównej łączącej Strony.

ZAKRES I CHARAKTER PRZETWARZANIA

1. Kategorie osób, których dane dotyczą: Pacjenci kliniki, pracownicy, kontrahenci.

2. Cel przetwarzania: Hosting i utrzymanie systemu medycznego HIS, tworzenie kopii zapasowych, wsparcie techniczne IT.

3. Zakres operacji przetwarzania: Przechowywanie, kopiowanie, archiwizacja, usuwanie danych na polecenie Administratora.

4. Podmiot Przetwarzający przetwarza dane osobowe przez czas trwania umowy głównej lub do czasu cofnięcia przez Administratora upoważnienia do przetwarzania danej kategorii danych, zależnie od tego, co nastąpi wcześniej.

OBOWIĄZKI PODMIOTU PRZETWARZAJĄCEGO

Podmiot Przetwarzający zobowiązuje się w szczególności do:

1. przetwarzania powierzonych danych osobowych wyłącznie zgodnie z niniejszą Umową i udokumentowanymi poleceniami Administratora (art. 28 ust. 3 lit. a RODO);

2. zapewnienia, aby osoby upoważnione do przetwarzania danych osobowych zobowiązały się do zachowania tajemnicy lub podlegały odpowiedniemu ustawowemu obowiązkowi zachowania tajemnicy (art. 28 ust. 3 lit. b RODO);

3. wdrożenia i stosowania odpowiednich technicznych i organizacyjnych środków bezpieczeństwa zgodnych z art. 32 RODO, uwzględniających ryzyko naruszenia praw i wolności osób fizycznych;

4. przestrzegania warunków korzystania z usług innego podmiotu przetwarzającego (podpowierzenia) określonych w § 5 niniejszej Umowy (art. 28 ust. 2 i 4 RODO);

5. uwzględniając charakter przetwarzania, wspomagania Administratora poprzez odpowiednie środki techniczne i organizacyjne w wywiązywaniu się z obowiązku odpowiadania na żądania podmiotów danych w zakresie wykonywania ich praw (art. 28 ust. 3 lit. e RODO);

6. po zakończeniu świadczenia usług, według wyboru Administratora, usunięcia lub zwrotu wszelkich danych osobowych oraz usunięcia wszelkich istniejących kopii (art. 28 ust. 3 lit. g RODO);

7. udostępniania Administratorowi wszelkich informacji niezbędnych do wykazania spełnienia obowiązków wynikających z art. 28 RODO, w tym umożliwienia przeprowadzania audytów (art. 28 ust. 3 lit. h RODO).

REALIZACJA PRAW PODMIOTÓW DANYCH

1. Podmiot Przetwarzający niezwłocznie, nie później niż w terminie 5 dni roboczych od otrzymania żądania, informuje Administratora o każdym żądaniu osoby, której dane dotyczą, skierowanym bezpośrednio do Podmiotu Przetwarzającego w zakresie praw wynikających z art. 15–22 RODO (dostęp, sprostowanie, usunięcie, ograniczenie, przenoszenie, sprzeciw, nieuleganie zautomatyzowanemu przetwarzaniu).

2. Podmiot Przetwarzający nie udziela odpowiedzi na żądania podmiotów danych bez uprzedniej zgody Administratora, chyba że obowiązek taki wynika z bezwzględnie obowiązujących przepisów prawa.

DALSZE POWIERZENIE PRZETWARZANIA (PODPOWIERZENIE)

1. Podmiot Przetwarzający może korzystać z usług innych podmiotów przetwarzających (podprocesorzy) wyłącznie po uzyskaniu uprzedniej, szczegółowej lub ogólnej pisemnej zgody Administratora (art. 28 ust. 2 RODO).

2. Administrator wyraża ogólną zgodę na korzystanie przez Podmiot Przetwarzający z następujących podprocesorów zatwierdzonych na dzień zawarcia Umowy:

Amazon Web Services EMEA SARL (Frankfurt, Niemcy)
Mailgun Technologies LLC (Dublin, Irlandia)

3. Podmiot Przetwarzający informuje Administratora o planowanych zmianach dotyczących dodania lub zastąpienia podprocesorów z wyprzedzeniem minimum 14 dni, umożliwiając Administratorowi zgłoszenie sprzeciwu.

4. Na każdy podprocesor Podmiot Przetwarzający nakłada, w drodze umowy powierzenia, te same obowiązki ochrony danych, jakie spoczywają na Podmiocie Przetwarzającym na mocy niniejszej Umowy (art. 28 ust. 4 RODO). Podmiot Przetwarzający ponosi pełną odpowiedzialność wobec Administratora za działania lub zaniechania podprocesorów.

NARUSZENIA OCHRONY DANYCH OSOBOWYCH

1. Podmiot Przetwarzający bez zbędnej zwłoki, nie później niż w ciągu 24 godzin od stwierdzenia naruszenia ochrony danych osobowych, zgłosi Administratorowi za pośrednictwem poczty elektronicznej wszelkie naruszenia ochrony danych osobowych, o których mowa w art. 33 RODO.

2. Zgłoszenie zawiera co najmniej: opis charakteru naruszenia, kategorie i przybliżoną liczbę osób i rekordów danych, których dotyczy naruszenie, nazwę i dane kontaktowe IOD lub innego punktu kontaktowego, opis możliwych konsekwencji naruszenia, opis środków podjętych lub proponowanych w celu usunięcia naruszenia (art. 33 ust. 3 RODO).

3. Podmiot Przetwarzający niezwłocznie podejmuje wszelkie działania naprawcze w celu ograniczenia skutków naruszenia i zapobieżenia podobnym zdarzeniom w przyszłości.

ODPOWIEDZIALNOŚĆ, KARY UMOWNE I PRAWO WŁAŚCIWE

1. Łączna odpowiedzialność Podmiotu Przetwarzającego wobec Administratora z tytułu niniejszej Umowy jest ograniczona do kwoty 500 000,00 PLN, z wyjątkiem przypadków umyślnego naruszenia przepisów RODO lub umyślnego działania na szkodę osób, których dane dotyczą.

2. Strony potwierdzają, że zgodnie z art. 82 ust. 2 RODO, Podmiot Przetwarzający jest zwolniony od odpowiedzialności, jeżeli udowodni, że w żaden sposób nie ponosi winy za zdarzenie, które doprowadziło do powstania szkody.

3. W razie naruszenia przez Podmiot Przetwarzający istotnych postanowień niniejszej Umowy, Administrator może naliczyć karę umowną w kwocie 50 000,00 PLN za każde udowodnione naruszenie. Kara umowna nie wyłącza prawa dochodzenia odszkodowania uzupełniającego (art. 484 § 1 zd. 2 KC).

4. Niniejsza Umowa podlega prawu polskiemu. Wszelkie spory wynikające z Umowy lub z nią związane Strony poddają pod jurysdykcję Sąd Rejonowy dla m.st. Warszawy.

POSTANOWIENIA KOŃCOWE

1. Niniejsza Umowa wchodzi w życie z dniem podpisania przez obie Strony.

2. Wszelkie zmiany Umowy wymagają formy pisemnej pod rygorem nieważności.

3. Umowa zostaje zawarta na czas obowiązywania umowy głównej. Wygasa automatycznie z chwilą rozwiązania lub wygaśnięcia umowy głównej, z zachowaniem obowiązków związanych z usunięciem lub zwrotem danych (§ 3 pkt 6).

4. W sprawach nieuregulowanych niniejszą Umową stosuje się przepisy RODO, ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych oraz Kodeksu cywilnego.

5. Umowę sporządzono w dwóch jednobrzmiących egzemplarzach, po jednym dla każdej ze Stron.

NA DOWÓD CZEGO strony niniejszej Umowy złożyły swoje podpisy w dniu wskazanym powyżej.

ADMINISTRATOR DANYCH

MediCare Sp. z o.o.

Data: ____________________

PODMIOT PRZETWARZAJĄCY

CloudHost Sp. z o.o.

Data: ____________________

Czym jest umowa powierzenia przetwarzania danych?

Umowa powierzenia przetwarzania danych osobowych (DPA — Data Processing Agreement) to umowa wymagana przez art. 28 ust. 3 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 (RODO), zawierana między administratorem danych osobowych a podmiotem przetwarzającym (procesorem). Podmiot przetwarzający to podmiot, który przetwarza dane osobowe w imieniu i na polecenie administratora — nie we własnym imieniu i w swoim celu. Typowe przypadki powierzenia: administrator zleca podmiotowi zewnętrznemu obsługę IT, przechowywanie danych w chmurze, prowadzenie kadr i płac, zarządzanie CRM lub obsługę marketingu. Brak DPA w sytuacji, gdy faktycznie zachodzi powierzenie, stanowi naruszenie RODO.

Art. 28 ust. 3 RODO precyzyjnie wylicza obowiązkowe elementy DPA. Umowa musi stanowić, że podmiot przetwarzający: przetwarza dane wyłącznie na udokumentowane polecenie administratora; zapewnia, że osoby upoważnione do przetwarzania zobowiązały się do zachowania tajemnicy; wdraża odpowiednie środki techniczne i organizacyjne z art. 32 RODO; przestrzega warunków angażowania innego podmiotu przetwarzającego (podprocesora); pomaga administratorowi wywiązać się z obowiązku odpowiadania na żądania podmiotów danych; pomaga w spełnieniu obowiązków związanych z bezpieczeństwem, naruszeniami i DPIA; usuwa lub zwraca dane po zakończeniu świadczenia usług; udostępnia informacje niezbędne do wykazania zgodności i umożliwia audyty.

Podmiot przetwarzający, który wykracza poza polecenia administratora i sam określa cele i sposoby przetwarzania, staje się administratorem — i ponosi pełną odpowiedzialność wynikającą z RODO. Rozróżnienie między administratorem a podmiotem przetwarzającym jest zatem fundamentalne dla prawidłowego funkcjonowania DPA. Prezes UODO wielokrotnie nakładał kary na podmioty za brak umów powierzenia lub za zawieranie DPA niezawierających wymaganych elementów. Typowe naruszenia to brak klauzul o podprocesorach, brak postanowień o audytach i brak regulacji dotyczących powiadamiania o naruszeniach bezpieczeństwa.

Co zawiera ten szablon

Szablon DPA obejmuje wszystkie elementy wymagane przez art. 28 ust. 3 RODO i polskie przepisy o ochronie danych osobowych.

Strony umowy

Dane administratora i procesora: nazwa, adres, NIP/KRS, dane DPO (jeśli powołano) i dane kontaktowe.

Przedmiot i cel przetwarzania

Opis usług świadczonych przez procesora i wynikającego z nich przetwarzania danych osobowych administratora.

Czas przetwarzania

Czas trwania powierzenia — powiązany z czasem trwania umowy o świadczenie usług lub wskazany wprost.

Rodzaj danych i kategorie podmiotów

Wykaz kategorii przetwarzanych danych osobowych i kategorii osób, których dane dotyczą.

Przetwarzanie wyłącznie na polecenie

Zobowiązanie procesora do przetwarzania danych wyłącznie na podstawie udokumentowanych poleceń administratora.

Środki bezpieczeństwa — art. 32 RODO

Opis wdrożonych środków technicznych i organizacyjnych: szyfrowanie, pseudonimizacja, kontrola dostępu, kopie zapasowe.

Podprocesory

Warunki angażowania dalszych podmiotów przetwarzających: lista podprocesorów, zgoda administratora, zasady odpowiedzialności.

Pomoc w realizacji praw podmiotów danych

Obowiązek procesora do wspierania administratora przy realizacji żądań dostępu, sprostowania, usunięcia i przeniesienia danych.

Naruszenia bezpieczeństwa

Procedura i termin powiadomienia administratora o naruszeniu ochrony danych — maksymalnie 24–72 godziny.

Prawo do audytu

Uprawnienie administratora do przeprowadzenia audytu zgodności lub zlecenia go niezależnemu audytorowi.

Usunięcie lub zwrot danych

Obowiązek zwrotu lub bezpiecznego usunięcia danych po zakończeniu świadczenia usług.

Transfer danych do państw trzecich

Warunki transferu danych poza EOG — mechanizmy zabezpieczające: SCC, BCR lub decyzja adekwatności.

Jak stworzyć umowę powierzenia danych

Postępuj zgodnie z poniższymi krokami, aby przygotować DPA spełniające wymogi art. 28 RODO.

1
Określ strony i charakter przetwarzania
Zidentyfikuj administratora danych (podmiot określający cele i sposoby przetwarzania) i podmiot przetwarzający (procesor — podmiot przetwarzający dane na polecenie administratora). Opisz charakter powierzenia: jakie dane są przetwarzane, w jakim celu, przez jaki czas i w ramach jakich usług. Upewnij się, że DPA jest zawarte jako integralna część lub załącznik do umowy o świadczenie usług.
2
Wskaż kategorie danych i podmiotów danych
Wymień konkretne kategorie przetwarzanych danych osobowych: dane identyfikacyjne, dane kontaktowe, dane o zatrudnieniu, dane finansowe, dane zdrowotne itp. Wskaż kategorie osób, których dane dotyczą: pracownicy, klienci, kontrahenci. Dla danych szczególnych kategorii (art. 9 RODO — dane zdrowotne, etniczne, biometryczne itp.) konieczne jest wyraźne uzasadnienie podstawy prawnej i wzmożone środki bezpieczeństwa.
3
Zdefiniuj obowiązki bezpieczeństwa i podprocesorów
Opisz środki techniczne i organizacyjne wdrożone przez procesora zgodnie z art. 32 RODO: szyfrowanie danych, pseudonimizacja, kontrola dostępu, szkolenia personelu, kopie zapasowe. Określ warunki angażowania podprocesorów (dalszych podmiotów przetwarzających): czy administrator wyraża zgodę ogólną (z prawem do sprzeciwu przy zmianach) czy każdorazową. Dołącz listę zatwierdzonych podprocesorów jako załącznik.
4
Ustaw procedurę naruszenia i audytu
Określ termin, w którym procesor powiadomi administratora o naruszeniu ochrony danych — standardowo niezwłocznie, nie później niż w ciągu 24–48 godzin od stwierdzenia naruszenia (administrator ma 72 godziny na zgłoszenie do UODO). Ustal warunki przeprowadzania audytów zgodności przez administratora lub zewnętrznego audytora, w tym częstotliwość, zakres i koszty.
5
Podpisz DPA i zarchiwizuj
Pobierz szablon jako PDF i podpisz przez upoważnionych reprezentantów administratora i procesora lub złóż kwalifikowane podpisy elektroniczne. Przechowaj DPA wraz z dokumentacją przetwarzania (rejestr czynności przetwarzania — art. 30 RODO) przez cały czas trwania umowy o świadczenie usług i minimum 5 lat po jej zakończeniu. DPA jest dowodem przestrzegania zasady rozliczalności (art. 5 ust. 2 RODO).

Aspekty prawne w Polsce

DPA jest dokumentem obowiązkowym na gruncie art. 28 RODO. Brak DPA lub jego niekompletność stanowi naruszenie RODO i może skutkować karą administracyjną Prezesa UODO.

Niniejszy szablon ma charakter wyłącznie informacyjny i nie stanowi porady prawnej. W przypadku skomplikowanych transakcji lub wątpliwości co do obowiązujących przepisów skonsultuj się z radcą prawnym lub adwokatem.

Zweryfikowano przez prawników. Treść tej strony i klauzule szablonu zostały sprawdzone przez prawników praktykujących w Polsce pod kątem poprawności i solidności prawnej w typowych sytuacjach.

Obowiązkowe elementy DPA — art. 28 ust. 3 RODO

Artykuł 28 ust. 3 RODO enumeratywnie wylicza elementy, które DPA musi zawierać. Brak któregokolwiek z nich stanowi niezgodność z RODO i może być podstawą decyzji Prezesa UODO. Elementy te to m.in.: przetwarzanie wyłącznie na polecenie administratora; zachowanie tajemnicy przez personel procesora; wdrożenie środków art. 32 RODO; warunki angażowania podprocesorów; pomoc w realizacji praw podmiotów danych; pomoc przy naruszeniach bezpieczeństwa i DPIA; usunięcie lub zwrot danych po zakończeniu usług; udostępnianie informacji i umożliwianie audytów. Komisja Europejska opublikowała standardowe klauzule umowne dla DPA (decyzja 2021/914), które mogą być stosowane jako gotowe postanowienia.

Środki bezpieczeństwa — art. 32 RODO

Artykuł 32 RODO zobowiązuje zarówno administratora, jak i podmiot przetwarzający do wdrożenia odpowiednich środków technicznych i organizacyjnych zapewniających stopień bezpieczeństwa odpowiedni do ryzyka przetwarzania. Środki te mogą obejmować m.in.: pseudonimizację i szyfrowanie danych osobowych; zapewnienie ciągłości działania; regularne testowanie, mierzenie i ocenianie skuteczności środków; procedury odtwarzania danych po incydencie. Ocena adekwatności środków uwzględnia stan wiedzy technicznej, koszty wdrożenia, charakter przetwarzanych danych i ryzyko naruszenia praw podmiotów danych. DPA musi opisywać konkretne środki wdrożone przez procesora.

Podprocesory i odpowiedzialność — art. 28 ust. 2 i 4 RODO

Podmiot przetwarzający nie może angażować innego podmiotu przetwarzającego (podprocesora) bez uprzedniej szczegółowej lub ogólnej pisemnej zgody administratora (art. 28 ust. 2 RODO). Przy zgodzie ogólnej procesor musi informować administratora o planowanych zmianach (dodaniu lub zastąpieniu podprocesorów), dając mu możliwość sprzeciwu. Art. 28 ust. 4 RODO stanowi, że jeżeli inny podmiot przetwarzający nie wywiąże się ze swoich obowiązków ochrony danych, pełna odpowiedzialność za wypełnienie obowiązków tego innego podmiotu przetwarzającego wobec administratora spoczywa na pierwotnym podmiocie przetwarzającym.

Naruszenia bezpieczeństwa i DPIA — art. 33 i 35 RODO

Art. 33 RODO zobowiązuje administratora do zgłoszenia naruszenia ochrony danych Prezesowi UODO bez zbędnej zwłoki — w miarę możliwości nie później niż 72 godziny po stwierdzeniu naruszenia. DPA musi nakładać na procesora obowiązek niezwłocznego powiadomienia administratora o naruszeniu — w praktyce w ciągu 24–48 godzin — tak by administrator miał czas na przygotowanie zgłoszenia. Art. 35 RODO nakłada na administratora obowiązek przeprowadzenia oceny skutków dla ochrony danych (DPIA) przed przetwarzaniem, które może rodzić wysokie ryzyko dla praw i wolności osób fizycznych — DPA może zobowiązywać procesora do pomocy przy przeprowadzaniu DPIA.

Najczęściej zadawane pytania

Gotowy, aby zabezpieczyć swoją działalność?

Wypełnij formularz i pobierz profesjonalny, prawnie solidny dokument w kilka minut. Darmowy, bez rejestracji dla wersji podstawowej.

Create Your Umowa Powierzenia Danych Osobowych Browse All Templates

Free · Instant PDF · No account required

Darmowy szablon umowy powierzenia przetwarzania danych osobowych

Czym jest umowa powierzenia przetwarzania danych?

Co zawiera ten szablon

Strony umowy

Przedmiot i cel przetwarzania

Czas przetwarzania

Rodzaj danych i kategorie podmiotów

Przetwarzanie wyłącznie na polecenie

Środki bezpieczeństwa — art. 32 RODO

Podprocesory

Pomoc w realizacji praw podmiotów danych

Naruszenia bezpieczeństwa

Prawo do audytu

Usunięcie lub zwrot danych

Transfer danych do państw trzecich

Jak stworzyć umowę powierzenia danych

Określ strony i charakter przetwarzania

Wskaż kategorie danych i podmiotów danych

Zdefiniuj obowiązki bezpieczeństwa i podprocesorów

Ustaw procedurę naruszenia i audytu

Podpisz DPA i zarchiwizuj

Aspekty prawne w Polsce

Obowiązkowe elementy DPA — art. 28 ust. 3 RODO

Środki bezpieczeństwa — art. 32 RODO

Podprocesory i odpowiedzialność — art. 28 ust. 2 i 4 RODO

Naruszenia bezpieczeństwa i DPIA — art. 33 i 35 RODO

Najczęściej zadawane pytania

Kiedy muszę zawrzeć umowę powierzenia danych (DPA)?

Czym różni się administrator od podmiotu przetwarzającego?

Czy mogę zatwierdzić podprocesorów z góry?

Co to są standardowe klauzule umowne (SCC) i kiedy je stosować?

Jakie kary grożą za brak DPA?

W jaki sposób procesor powinien informować o naruszeniach bezpieczeństwa?

Co dzieje się z danymi po zakończeniu DPA?

Czy DPA jest potrzebne, gdy korzystam z chmury obliczeniowej?

Gotowy, aby zabezpieczyć swoją działalność?