BazaPrawa.
Umowa powierzenia przetwarzania danych (DPA) zgodna z RODO – rozkład szablonu na 2025 r.
zespół BazaPrawa | 30 marca 2025
1. Dlaczego DPA jest must-have w 2025 r.?
Powierzenie danych osobowych bez umowy DPA to w świetle art. 28 ust. 3 RODO naruszenie podlegające administracyjnej karze pieniężnej. Organy nadzorcze w 2024 r. zwiększyły liczbę kontroli łańcuchów przetwarzania, a wytyczne EROD 07/2020 jasno wskazują, że odpowiedzialność za brak DPA spoczywa zawsze na administratorze. Rok 2025 przynosi dodatkowo:
- uszczegółowienie klauzul o pod-powierzaniu w nowych Standard Contractual Clauses (SCC 3.1),
- silniejsze połączenie z NIS2 – dostawca usług kluczowych musi weryfikować, czy procesor spełnia wymogi cyberbezpieczeństwa,
- większą presję z rynku chmurowego: hyperscalerzy wprowadzają już własne szablony DPA, które trzeba negocjować, aby uniknąć asymetrii odpowiedzialności.
2. Mapa prawna na jednej stronie
| Podstawa prawna / wytyczne | Zakres, który dotyka DPA |
|---|---|
| RODO art. 28 ust. 3 | Minimalny katalog obowiązkowych klauzul |
| EROD Guidelines 07/2020 | Dobre praktyki redakcyjne, przykłady nieprawidłowych postanowień |
| SCC 2021 module two | Wzór międzynarodowego transferu między administratorem a procesorem |
| NIS2 | Wymóg "stan-of-the-art" w dziedzinie bezpieczeństwa usług cyfrowych |
| Wytyczne UODO 2024 | Lista kontrolna przy audycie dostawcy |
3. Dziesięć kluczowych klauzul w szablonie DPA 2025
| Nr | Klauzula | Na co zwrócić uwagę w 2025 r.? |
|---|---|---|
| 1 | Przedmiot i cel przetwarzania | Opis procesu nie może odnosić się do "dowolnych danych"; wymagany jest zakres, kategorie, cel. |
| 2 | Instrukcje administratora | DPA musi przewidywać, że procesor wykonuje tylko udokumentowane instrukcje; brak domyślnych uprawnień. |
| 3 | Poufność personelu | Dodaj zobowiązanie do regularnych szkoleń oraz rejestru upoważnień. |
| 4 | Bezpieczeństwo przetwarzania | Powołaj się na normy ISO 27001 lub SOC 2, ale wymień konkretne środki (szyfrowanie, pseudonimizacja). |
| 5 | Pod-powierzanie | Wprowadź mechanizm sprzeciwu administratora lub co najmniej powiadomienia oraz listę bieżących subprocesorów online. |
| 6 | Pomoc w realizacji praw osób | Określ maksymalny termin odpowiedzi procesora (np. 72 h). |
| 7 | Pomoc przy naruszeniach | Obowiązek zgłoszenia incydentu "bez zbędnej zwłoki", najlepiej w ciągu 24 h; wymień kanał komunikacji. |
| 8 | Audyt i inspekcja | Zbalansuj prawo do audytu z tajemnicą handlową procesora; zaproponuj audyt zewnętrzny typu SOC 2 Type II co rok. |
| 9 | Usunięcie lub zwrot danych | Wprowadź harmonogram retencji i format zwrotu; uwzględnij trwałe usunięcie z backupów. |
| 10 | Odpowiedzialność i odszkodowanie | Unikaj klauzul pełnego wyłączenia; ustal limit odpowiedzialności nie mniejszy niż dwukrotność wartości kontraktu. |
4. Nowości na horyzoncie: co zmienia 2025 r.?
| Zmiana w otoczeniu prawnym | Wpływ na brzmienie DPA |
|---|---|
| Nowe SCC 3.1 | Trzeba dodać załącznik opisujący "techniczne i organizacyjne środki" zgodne z Annex II. |
| Rozporządzenie e-Privacy (plan) | Jeśli wejdzie, będzie wymagać odrębnej zgody na cookies; uwzględnij procesora, który prowadzi analitykę sieciową. |
| NIS2 | Administratorzy usług kluczowych muszą wpisywać w DPA wymóg testów penetracyjnych procesora. |
| AI Act | Jeżeli procesor trenuje modele na danych administratora, DPA musi odwoływać się do matrycy ryzyka AI. |
5. Checklist wdrożeniowy dla działu prawnego
- Zrób macierz procesorów – spisz wszystkich dostawców oraz rodzaj danych, który im powierzacie.
- Zaktualizuj szablon DPA – wprowadź klauzule z tabeli nr 3 i uwzględnij SCC 3.1, jeśli jest transfer poza EOG.
- Weryfikuj subprocesorów – domagaj się listy aktualnej mniej niż 30 dni od podpisania umowy.
- Zaplanuj audyt roczny – wskaż termin, zakres i kryteria akceptacji raportu audytowego.
- Integruj z KSeF – przy umowie powierzenia wystawca faktur elektronicznych także przetwarza dane osobowe.
- Szkolenie i polityki – upewnij się, że wewnętrzne instrukcje odpowiadają klauzulom w DPA.
6. FAQ
| Pytanie | Odpowiedź w pigułce |
|---|---|
| Czy DPA może być w e-mailu? | Nie. Musi mieć formę dokumentową z podpisem kwalifikowanym lub elektronicznym. |
| Czy wystarczy odwołać się do "standardów branżowych"? | Nie. RODO wymaga "konkretnych środków", które można zweryfikować. |
| Jak długo procesor może trzymać kopie zapasowe? | Tylko tak długo, jak uzasadnia to cel; najlepiej określić maksymalny okres w miesiącach. |
| Czy można ograniczyć odpowiedzialność procesora do kwoty kontraktu? | Tak, ale nadzorcy krytykują limity mniejsze niż dwukrotność wartości usług. |
7. Podsumowanie
Dobrze napisany Data-Processing Agreement to fundament zgodności z RODO i podstawowe zabezpieczenie przed karami, które w 2025 r. mogą sięgnąć 4 procent globalnego obrotu. Kluczowe jest:
- uaktualnienie szablonu o nowe SCC i wymogi NIS2,
- precyzyjne opisanie środków bezpieczeństwa,
- transparentna lista subprocesorów oraz
- jasne procedury audytu i incydentów.
Zacznij od macierzy procesorów i przeglądu klauzul – unikniesz pośpiechu, gdy klient lub regulator poprosi o kopię umowy.
Źródła
- RODO (Regulation EU 2016 / 679)
- European Data Protection Board, Guidelines 07 / 2020 on Articles 46(2)(a) and 46(3)(b) GDPR
- UODO, Zalecenia dotyczące umów powierzenia przetwarzania danych, 2024
- ENISA, Cloud Security for SMEs, 2024
- European Commission, Standard Contractual Clauses 2021 – Commission Implementing Decision (EU) 2021 / 914