Global Site
Argentina Aruba Barbados Bolivia Brazil Canada Cayman Islands Chile Colombia Costa Rica Curacao Ecuador El Salvador Guatemala Honduras Mexico Paraguay Peru Puerto Rico Saint Martin Suriname United States Uruguay Venezuela
Australia Cambodia China Hawaii Hong Kong India Indonesia Japan Macau Malaysia Maldives Mongolia Myanmar Nepal New Zealand Pakistan Philippines Singapore South Korea Sri Lanka Taiwan Thailand Vietnam
Albania Andorra Armenia Austria Azerbaijan Belgium Bulgaria Croatia Cyprus Czech Republic Denmark Estonia Finland France Georgia Germany Greece Hungary Ireland Italy Kazakhstan Kosovo Latvia Lithuania Luxembourg Malta Moldova Netherlands Norway Poland Portugal Romania Serbia Slovakia Slovenia Spain Sweden Switzerland Tajikistan Turkey Ukraine United Kingdom Uzbekistan
Algeria Angola Bahrain Egypt Ghana Israel Jordan Kenya Kuwait Lebanon Liberia Mauritius Morocco Mozambique Nigeria Oman Qatar Saudi Arabia Senegal Sierra Leone South Africa Tanzania Togo Tunisia Uganda United Arab Emirates Yemen
Kontakt
home Publikacje
Słoneczna ulica w mieście z dużą ilością ludzi

Umowa powierzenia przetwarzania danych i kara PUODO dla DPD – wnioski

17.03.2026
Słoneczna ulica w mieście z dużą ilością ludzi
Najnowsza decyzja Prezesa Urzędu Ochrony Danych Osobowych nakładająca ponad 11 mln zł kary na DPD Polska ponownie zwraca uwagę na jeden z fundamentalnych, a często bagatelizowanych elementów systemu ochrony danych osobowych – prawidłowe uregulowanie relacji pomiędzy administratorem danych a podmiotem przetwarzającym. Sprawa ta pokazuje, że brak właściwie zawartej umowy powierzenia przetwarzania danych osobowych nie jest jedynie formalnym uchybieniem, lecz może stanowić poważne naruszenie przepisów RODO.

Umowa powierzenia przetwarzania danych

Czego dowiesz się z tego artykułu?

  • Czym w świetle art. 28 RODO jest umowa powierzenia i jakie elementy muszą się w niej znaleźć, aby była uznana za skuteczną?
  • Dlaczego łańcuch podwykonawców (przewoźnicy, IT, marketing) stanowi największe wyzwanie dla zachowania zasady rozliczalności?
  • Czym jest due diligence procesora i dlaczego administrator ma obowiązek weryfikować swoich partnerów biznesowych?
  • Jakie konkretne kroki powinien podjąć przedsiębiorca, aby uniknąć błędów wykazanych w decyzji organu nadzorczego?

Umowa powierzenia przetwarzania danych

Powierzenie danych jako podstawa legalnego przetwarzania przez podmiot zewnętrzny

Zgodnie z art. 28 RODO administrator danych może korzystać z usług podmiotu przetwarzającego wyłącznie wtedy, gdy przetwarzanie odbywa się na podstawie umowy lub innego instrumentu prawnego wiążącego strony. Dokument ten określa m.in. przedmiot i czas trwania przetwarzania, charakter i cel operacji na danych, rodzaj danych osobowych oraz kategorie osób, których dane dotyczą.

Celem umowy powierzenia przetwarzania danych osobowych jest zapewnienie realnej kontroli administratora nad sposobem przetwarzania danych przez podmiot zewnętrzny. W praktyce oznacza to konieczność precyzyjnego określenia obowiązków procesora, w tym stosowania odpowiednich środków technicznych i organizacyjnych, zasad angażowania dalszych podwykonawców czy też obowiązku wsparcia administratora przy realizacji praw osób, których dane dotyczą.

Umowa powierzenia przetwarzania danych

Problem systemowy w modelach opartych na podwykonawcach

Praktycznie w każdej branży łatwo o sytuację, w której dostęp do danych osobowych uzyskują liczne podmioty uczestniczące w realizacji usługi. W praktyce mogą to być przewoźnicy, informatycy, agencje marketingowe, operatorzy magazynowi, firmy obsługujące dostawy.

Decyzja PUODO wskazuje, że brak właściwego uregulowania tych relacji – zwłaszcza w przypadku szerokiej sieci partnerów operacyjnych – może prowadzić do naruszenia zasady rozliczalności określonej w art. 5 ust. 2 RODO. Administrator pozostaje bowiem odpowiedzialny za wykazanie, że dane osobowe są przetwarzane zgodnie z przepisami, niezależnie od tego, ilu podwykonawców uczestniczy w procesie.

Umowa powierzenia przetwarzania danych

Umowa powierzenia jako element zarządzania ryzykiem

Z perspektywy compliance i zarządzania ryzykiem umowa powierzenia pełni funkcję narzędzia kontrolnego. Powinna ona nie tylko formalnie regulować przetwarzanie danych, lecz także odzwierciedlać rzeczywiste procesy biznesowe. Oznacza to konieczność wcześniejszej identyfikacji wszystkich podmiotów mających dostęp do danych oraz oceny zakresu przetwarzania realizowanego przez każdego z nich.

W praktyce coraz większe znaczenie zyskują także procedury weryfikacji podmiotów przetwarzających – tzw. due diligence procesora. Administrator powinien mieć możliwość sprawdzenia, czy dany podmiot spełnia wymagania RODO w zakresie bezpieczeństwa informacji oraz czy posiada odpowiednie środki organizacyjne i techniczne.

Wnioski dla przedsiębiorców

Decyzja PUODO stanowi istotne przypomnienie, że w systemie ochrony danych osobowych kluczowe znaczenie ma właściwe uregulowanie relacji z podmiotami zewnętrznymi. W praktyce oznacza to konieczność:

  • identyfikacji wszystkich procesorów mających dostęp do danych osobowych,
  • zawarcia umów powierzenia zgodnych z wymogami art. 28 RODO,
  • monitorowania sposobu wykonywania tych umów w praktyce,
  • zapewnienia kontroli nad ewentualnym dalszym podpowierzeniem danych.

Sprawa DPD pokazuje, że urząd kontroli coraz większą wagę przykłada nie tylko do incydentów bezpieczeństwa, lecz także do prawidłowej organizacji procesów przetwarzania danych. W efekcie odpowiednio skonstruowana i wdrożona umowa powierzenia staje się dziś jednym z podstawowych narzędzi ograniczania ryzyka prawnego w działalności przedsiębiorstw.

Zabezpiecz swoją firmę z ekspertami RODO

Nie ryzykuj kar i utraty wizerunku. Od audytów zgodności, przez szkolenia, aż po outsourcing funkcji IOD – zapewniamy pełne wsparcie:

Zapytaj o ofertę