Umowa powierzenia przetwarzania danych (DPA) to kontrakt, który określa, jak dostawca przetwarza dane osobowe w Twoim imieniu.

Przed podpisaniem umowy z jakimkolwiek dostawcą zapytaj o:

  • lokalizację przechowywania danych
  • subprocesorów
  • terminy powiadamiania o naruszeniach
  • praktyki trenowania modeli AI
  • prawa audytu oraz
  • procedury usuwania danych.

Wymogi różnią się w RODO, UK GDPR i stanowych przepisach USA o prywatności, a każda jurysdykcja wymaga specyficznych zapisów umownych.

Ten artykuł ma charakter wyłącznie informacyjny i nie stanowi porady prawnej. Organizacje powinny skonsultować się z wykwalifikowanym prawnikiem w sprawie wytycznych dotyczących umów powierzenia przetwarzania danych i zgodności z przepisami o prywatności w danej jurysdykcji.

Dlaczego DPA dostawcy to dokument zgodności i sygnał ryzyka zarazem

Podpisanie umowy z dostawcą oprogramowania to rutyna. Ale przesyłanie nagrań, udostępnianie danych klientów czy podłączenie narzędzia do analizy spotkań do kalendarza to zupełnie inna stawka.

Z prawnego punktu widzenia od momentu, gdy dane osobowe trafiają do zewnętrznego podmiotu przetwarzającego, wciąż odpowiadasz za to, co się z nimi dzieje.

To fundament wymogów dotyczących DPA: administrator danych (organizacja, która określa cele i sposoby przetwarzania) pozostaje odpowiedzialny za działania podmiotu przetwarzającego.

W Europie

Zgodnie z art. 28 RODO ta odpowiedzialność ma charakter strukturalny. Dobrze skonstruowana umowa DPA dokumentuje, że relacja była właściwie uregulowana. Źle napisana umowa DPA — lub jej brak — pozostawia tę odpowiedzialność nieprzypisaną.

Dane o karach dobrze to obrazują. Jak wynika z raportu DLA Piper GDPR Fines and Data Breach Survey (styczeń 2026), łączne kary nałożone na podstawie RODO od maja 2018 r. sięgnęły 7,1 mld euro, z czego około 1,2 mld euro przypadło na sam 2025 r.

To samo badanie odnotowało wzrost liczby zgłoszeń naruszeń o 22% rok do roku — z 363 do 443 dziennie. To pierwszy raz od wejścia RODO w życie, gdy średnia dzienna liczba zgłoszeń przekroczyła 400.

W Stanach Zjednoczonych

W USA kary z tytułu CCPA/CPRA mogą sięgać 7 988 USD za każde umyślne naruszenie — zgodnie z progami CPPA korygowanymi o wskaźnik CPI.

Organizacje z USA często zakładają, że DPA to wymóg europejski. Tak nie jest.

CCPA/CPRA wymaga pisemnych umów z usługodawcami, które wprost zakazują sprzedaży danych, ich dalszego ujawniania oraz łączenia ich z danymi osobowymi zebranymi przez dostawcę na własną rękę

Kolorado, Wirginia, Connecticut i inne stany z obowiązującymi przepisami o prywatności wymagają podobnych umów. Terminologia prawna się różni; istota pozostaje ta sama.

Zanim o cokolwiek zapytasz: ustal, w jakiej relacji przetwarzania jesteś

W relacji administrator–podmiot przetwarzający to Ty określasz cele i sposoby przetwarzania, a dostawca działa zgodnie z Twoimi poleceniami. Reguluje ją standardowa umowa DPA zgodna z art. 28 RODO. To układ typowy dla większości narzędzi SaaS.

Z kolei w relacji administrator–administrator dostawca przetwarza dane we własnych, niezależnych celach. Jeśli dostawca rozwija produkty, prowadzi analizy lub trenuje modele AI na Twoich danych, może w tych działaniach występować jako administrator — nawet jeśli równocześnie działa jako podmiot przetwarzający w innych.

W takim przypadku standardowa umowa DPA dla podmiotu przetwarzającego nie obejmuje działań dostawcy jako administratora. Jeśli DPA nie rozróżnia wprost tych dwóch ról, umowa ma wadę strukturalną, której nie naprawią żadne negocjacje terminów zgłaszania naruszeń ani list subprocesorów.

Zanim wyślesz poniższe pytania, ustal: jaką rolę pełni ten dostawca i czy DPA odzwierciedla rzeczywistą relację?

Pytania, które warto zadać dostawcy — i jak wygląda dobra odpowiedź

To kryteria oceny, czy DPA rzeczywiście chroni. To, czy dostawca potrafi odpowiedzieć na nie szybko i konkretnie, pokazuje, czy infrastruktura zgodności rzeczywiście istnieje, czy została poskładana po fakcie.

1. Gdzie moje dane są przechowywane i przetwarzane?

Rezydencja danych określa, które ramy prawne obejmują Twoje dane i czy wymagane są mechanizmy transferów międzynarodowych.

W przypadku organizacji z UE i Wielkiej Brytanii transfer danych do kraju bez decyzji o adekwatności wymaga standardowych klauzul umownych (SCC) dla transferów z UE lub brytyjskiej umowy UK IDTA dla transferów z Wielkiej Brytanii.

Te mechanizmy nie są wymienne.

📌 Istotny niuans: Lokalizacja serwerów i jurysdykcja podmiotu prawnego to dwie różne rzeczy. Dostawca z siedzibą w USA i centrami danych w UE nadal podlega amerykańskiej ustawie CLOUD Act, która może wymusić wydanie danych niezależnie od tego, gdzie fizycznie się one znajdują.

Zapytaj wprost, czy podmiot prawny dostawcy jest zarejestrowany w UE lub EOG — nie tylko o to, gdzie stoją serwery.

W przypadku dostawców z USA sprawdź, czy dostawca uczestniczy w programie EU-US Data Privacy Framework, utrzymanym w mocy przez Sąd UE we wrześniu 2025 r. Apelacja do TSUE (sprawa C-703/25 P) pozostaje w toku według stanu na połowę 2026 r., więc organizacje polegające na DPF powinny utrzymywać SCC jako równoległe zabezpieczenie.

✅ Dobry znak: Podmiot zarejestrowany w UE z centrami danych wyłącznie w UE albo dostawca z USA z aktywną certyfikacją DPF i SCC.

❌ Sygnał ostrzegawczy: „Globalna infrastruktura” bez konkretów dotyczących jurysdykcji albo brak możliwości potwierdzenia kraju rejestracji podmiotu prawnego.

2. Kim są Wasi subprocesorzy i jak są kontrolowani?

Subprocesorzy (dalsze podmioty przetwarzające) to strony trzecie, na których dostawca opiera świadczenie swojej usługi.

Zgodnie z art. 28 RODO muszą oni podlegać tym samym obowiązkom ochrony danych co główny podmiot przetwarzający. CPRA również przewiduje wyraźne wymogi przenoszenia tych obowiązków w dół łańcucha.

Zapytaj, czy dostawca prowadzi aktualną, publicznie dostępną listę subprocesorów; jak i kiedy klienci są powiadamiani o nowych subprocesorach; oraz ile czasu mają na zgłoszenie sprzeciwu.

✅ Dobry znak: Publiczna lista subprocesorów z subskrypcją powiadomień i 30-dniowym oknem na sprzeciw.

❌ Sygnał ostrzegawczy: Ogólna zgoda z góry na wszystkich obecnych i przyszłych subprocesorów, bez obowiązku powiadamiania.

3. Czy będziecie używać moich danych do trenowania modeli AI?

Wielu dostawców AI zastrzega sobie prawo do wykorzystywania danych klientów do ulepszania swoich modeli. To prawo często nie figuruje w DPA — kryje się w regulaminie usługi, pod tak niewinnym sformułowaniem jak „w celu ulepszania naszych usług”.

To rozróżnienie jest istotne: politykę prywatności można zmienić jednostronnie. Klauzuli DPA — nie. Ustawienie w produkcie to nie umowa.

Zapytaj wprost, czy DPA zawiera wyraźny umowny zakaz wykorzystywania treści klientów (nagrań, transkrypcji, podsumowań) do trenowania, dostrajania lub ulepszania modeli AI — i czy ten zakaz obowiązuje domyślnie, czy wymaga rezygnacji ze strony klienta.

✅ Dobry znak: Wyraźny, wiążący umowny zakaz trenowania AI, bez żadnych wyjątków.

❌ Sygnał ostrzegawczy: Zakaz trenowania istnieje wyłącznie jako ustawienie produktu; w DPA ani słowa o trenowaniu AI.

4. Jakie certyfikaty bezpieczeństwa posiadacie i czy możecie je udokumentować?

Art. 32 RODO wymaga od podmiotów przetwarzających wdrożenia środków technicznych i organizacyjnych (TOM) adekwatnych do ryzyka.

Ogólnikowe zapisy DPA w rodzaju „komercyjnie uzasadnionych praktyk bezpieczeństwa” nie wystarczą; umowa powinna wymieniać konkretne zabezpieczenia.

Certyfikaty to najszybszy miernik. Poproś o aktualny raport SOC 2 Type II (nie Type I i nie starszy niż 12 miesięcy). Potwierdź, że standardy szyfrowania są określone w DPA (AES-256 podczas przesyłania i w spoczynku).

✅ Dobry znak: Aktualny raport SOC 2 Type II dostępny pod NDA; standardy szyfrowania wymienione w DPA.

❌ Sygnał ostrzegawczy: Certyfikaty wspominane w marketingu, ale nieudokumentowane; dostępny jedynie raport SOC 2 Type I.

5. Jak szybko powiadomicie mnie o naruszeniu ochrony danych?

Art. 33 RODO wymaga od administratorów powiadomienia organu nadzorczego w ciągu 72 godzin od stwierdzenia naruszenia.

Ponieważ ten zegar rusza w momencie, gdy administrator dowiaduje się o naruszeniu, opieszały podmiot przetwarzający bezpośrednio skraca administratorowi czas na reakcję. UK GDPR przewiduje identyczną zasadę.

DPA musi określać maksymalny termin powiadomienia, a nie tylko opisywać je jako „niezwłoczne” czy „bez zbędnej zwłoki”. Oba sformułowania mają znaczenie prawne, ale operacyjnie są mgliste.

✅ Dobry znak: DPA określa powiadomienie najpóźniej w ciągu 72 godzin od wykrycia, ze wskazanym kontaktem eskalacyjnym.

❌ Sygnał ostrzegawczy: „Niezwłocznie” lub „bez zbędnej zwłoki” bez konkretnego terminu; naruszenie zdefiniowane tak wąsko, że wyklucza incydenty, które miałyby dla Ciebie znaczenie.

6. Jakie mam prawa audytu i jak mogę z nich skorzystać?

Art. 28 RODO daje administratorom prawo do audytowania podmiotów przetwarzających i dostępu do wszystkich informacji niezbędnych do wykazania zgodności.

W praktyce operacyjnym mechanizmem jest prawo do zażądania aktualnego raportu SOC 2 Type II.

Zapytaj, czy DPA wprost uznaje raport z audytu zewnętrznego za spełnienie tego obowiązku, czy określa okres powiadomienia (standard to 30 dni) i czy rozciąga prawo audytu na subprocesorów.

✅ Dobry znak: SOC 2 Type II uznawany za spełnienie audytu; określony 30-dniowy okres powiadomienia; jakikolwiek mechanizm weryfikacji zgodności subprocesorów.

❌ Sygnał ostrzegawczy: Niejasne prawo audytu; publiczna strona internetowa wskazana jako spełnienie obowiązku; brak mechanizmu audytu subprocesorów.

7. Jak i kiedy moje dane zostaną usunięte?

DPA powinna określać harmonogram retencji, zdarzenia uruchamiające usunięcie danych oraz to, czy dostawca wystawia pisemne poświadczenie usunięcia po zakończeniu umowy.

Zapytaj, czy usunięcie obejmuje wszystkie kopie (w tym kopie zapasowe i kopie u subprocesorów) oraz czy po zakończeniu współpracy zachowywane są zanonimizowane dane pochodne.

✅ Dobry znak: Zdefiniowany harmonogram retencji; usunięcie w ciągu 30 dni od zakończenia umowy; dostępne pisemne poświadczenie; zakres obejmuje kopie zapasowe.

❌ Sygnał ostrzegawczy: Retencja regulowana polityką prywatności dostawcy zamiast DPA; brak poświadczenia usunięcia.

8. Jakie jurysdykcje obejmuje Wasza umowa DPA?

DPA napisana pod kątem zgodności z RODO nie spełnia automatycznie wymogów UK GDPR.

Po brexicie Wielka Brytania działa w odrębnym reżimie prawnym, a wymaganym mechanizmem transferów międzynarodowych z Wielkiej Brytanii jest UK IDTA (a nie unijne SCC).

W przypadku organizacji z USA podlegających CCPA umowa DPA musi wprost zakazywać dostawcy sprzedaży, zatrzymywania i ujawniania danych osobowych w jakimkolwiek celu wykraczającym poza zakontraktowaną usługę.

✅ Dobry znak: RODO, UK GDPR i CCPA/CPRA wymienione wprost; UK IDTA uwzględniona dla transferów z Wielkiej Brytanii; aneks CCPA z konkretnie wyliczonymi zakazami.

❌ Sygnał ostrzegawczy: Ogólnikowa formuła „obowiązujące przepisy o ochronie danych” bez mechanizmów dla poszczególnych jurysdykcji; brak odniesienia do Wielkiej Brytanii jako odrębnej jurysdykcji.

Lista kontrolna DPA dostawcy w pigułce

Pytanie Co musi zawierać DPA Dobry znak Sygnał ostrzegawczy
Gdzie dane są przechowywane i przetwarzane? Klauzula rezydencji danych; wskazany mechanizm transferów międzynarodowych Podmiot z UE + serwery w UE lub dostawca z USA z certyfikacją DPF „Globalna infrastruktura” bez konkretów dotyczących jurysdykcji
Kim są subprocesorzy? Lista subprocesorów; prawo do powiadomień i sprzeciwu Publiczna lista z subskrypcją aktualizacji; 30-dniowe okno na sprzeciw Ogólna zgoda z góry; brak obowiązku powiadamiania
Czy moje dane są używane do trenowania modeli AI? Wyraźny umowny zakaz trenowania AI Wiążący zakaz w DPA, bez wyjątków Tylko opcja rezygnacji; zakaz istnieje jedynie jako ustawienie produktu
Jakie certyfikaty bezpieczeństwa obowiązują? Konkretne środki techniczne i organizacyjne (TOM); mechanizm dokumentowania Aktualny raport SOC 2 Type II pod NDA; ISO 27001 ze szczegółami certyfikatu Certyfikaty przywoływane w marketingu, ale nieudokumentowane
Jakie są warunki powiadamiania o naruszeniach? Konkretny termin, nie „niezwłocznie” 72 godziny od wykrycia; wskazany kontakt eskalacyjny „Niezwłocznie” bez określonego terminu
Jakie mam prawa audytu? Prawo do audytu lub żądania raportów; mechanizm realizacji SOC 2 uznawany za spełnienie audytu; 30-dniowy okres powiadomienia Niejasne prawo audytu; publiczna strona internetowa wskazana jako spełnienie obowiązku
Kiedy i jak moje dane są usuwane? Harmonogram retencji; poświadczenie usunięcia Usunięcie w ciągu 30 dni od zakończenia umowy; pisemne poświadczenie; obejmuje kopie zapasowe Retencja regulowana polityką prywatności; brak poświadczenia usunięcia
Jakie jurysdykcje obejmuje umowa? RODO, UK GDPR i CCPA wymienione wprost, z mechanizmami dla poszczególnych jurysdykcji Wszystkie istotne regulacje wymienione; UK IDTA dla transferów z Wielkiej Brytanii Tylko RODO z ogólnym odwołaniem do „obowiązujących przepisów”

Co zrobić, gdy DPA dostawcy nie spełnia oczekiwań?

DPA, która nie spełnia części z tych kryteriów, nie oznacza automatycznie dostawcy, z którym nie można współpracować — ale oznacza dostawcę, z którym trzeba negocjować przed podpisaniem.

Zapisy DPA na poziomie enterprise są zwykle negocjowalne: okna powiadamiania o subprocesorach, terminy usuwania danych, zakres jurysdykcji i brzmienie zakazu trenowania AI to elementy powszechnie modyfikowane.

Jeśli standardowa umowa dostawcy w ogóle nie zawiera DPA, poproś o nią wprost podczas onboardingu. Dostawcy SaaS z USA często udostępniają ją na życzenie jako osobny aneks o powierzeniu przetwarzania danych.

Dostawca, który nie potrafi jej przedstawić albo traktuje taką prośbę jako coś niezwykłego, sygnalizuje, że zgodność nie jest wpisana w sposób jego działania. To istotne ryzyko po stronie dostawcy, niezależne od jakości produktu.

Jak wygląda zgodna z przepisami DPA w praktyce

Narzędzia do transkrypcji audio i analizy spotkań to ostrzejsza odsłona problemu DPA niż większość kategorii oprogramowania.

Nagrania zawierają głosy uczestników, treść spotkań i dane z rozmów — wszystko to dane osobowe wymagające starannego traktowania. DPA regulująca tę relację musi odzwierciedlać wrażliwość przetwarzanych treści.

📌 Oto jak wygląda to w praktyce w przypadku HappyScribe:

Centrum danych HappyScribe znajduje się na terenie Unii Europejskiej. To obiekt klasy Tier IV, certyfikowany według standardów PCI DSS i ISO 27001. Serwery są fizycznie odseparowane od innych klientów.

Firma posiada certyfikację SOC 2 Type II, a szczegóły są dostępne w jej Trust Center. Kontrola dostępu oparta na rolach jest dostępna na wszystkich kontach. Pracownicy podpisują umowy NDA jako warunek zatrudnienia, co ogranicza wewnętrzny dostęp do treści klientów.

Enterprise-grade security. European infrastructure. Accurate AI transcription.
Zacznij za darmo

FAQ — umowy powierzenia przetwarzania danych

Czym różni się umowa powierzenia przetwarzania danych od umowy o udostępnianiu danych?

DPA reguluje relację administrator–podmiot przetwarzający: podmiot przetwarzający obsługuje dane zgodnie z poleceniami administratora i nie może ich używać do własnych celów.

Z kolei umowa o udostępnianiu danych reguluje układ administrator–administrator, w którym obie strony niezależnie określają cel przetwarzania. Jeśli dostawca wyznacza własne cele dla Twoich danych, sama DPA nie wystarczy.

Czy firmy z USA potrzebują umowy powierzenia przetwarzania danych?

Firmy z USA przetwarzające dane osobowe z UE lub Wielkiej Brytanii potrzebują umowy DPA zgodnej z RODO lub UK GDPR. W przypadku działalności wyłącznie amerykańskiej CCPA/CPRA wymaga umów z usługodawcami zakazujących dostawcy sprzedaży lub dalszego ujawniania danych osobowych poza zakontraktowanym celem.

Czy jedna umowa DPA może obejmować wymogi RODO i CCPA jednocześnie?

Jeden dokument może obejmować oba reżimy, o ile wymogi każdej jurysdykcji są wymienione wprost. Wiele umów DPA zgodnych z RODO zawiera aneks CCPA obejmujący kalifornijskie zakazy. UK GDPR wymaga osobnej sekcji dotyczącej brytyjskich mechanizmów transferowych — konkretnie UK IDTA zamiast unijnych SCC, ponieważ po brexicie oba reżimy się rozeszły.

Co się stanie, jeśli podpiszę umowę z dostawcą, który nie ma DPA?

Na gruncie RODO działanie bez zgodnej z przepisami umowy z podmiotem przetwarzającym narusza art. 28. Administrator pozostaje odpowiedzialny za działania podmiotu przetwarzającego, a brak pisemnej umowy utrudnia obronę w razie postępowania organu nadzorczego. Na gruncie CCPA brak umowy może oznaczać, że transfer danych zostanie zakwalifikowany jako sprzedaż danych osobowych, co uruchamia obowiązki związane z prawem konsumentów do rezygnacji.

Jak często należy przeglądać DPA dostawcy?

Co najmniej raz w roku oraz przy odnowieniu umowy. Listy subprocesorów się zmieniają, przepisy ewoluują, a raporty SOC 2 Type II wygasają co 12 miesięcy. Ustaw przypomnienia w kalendarzu powiązane z datami odnowienia umów, zamiast traktować przegląd DPA jako jednorazowy krok.

Czy DPA musi odnosić się do trenowania modeli AI?

Standardowe szablony oparte na art. 28 RODO powstały przed erą generatywnej AI i domyślnie nie zawierają zapisów o trenowaniu. Jeśli dostawca używa danych osobowych do trenowania lub dostrajania modeli AI, jest to dodatkowy cel przetwarzania wymagający własnej podstawy prawnej. W przypadku każdego dostawcy przetwarzającego treści rozmów lub audio żądanie wyraźnego umownego zakazu to rozsądna i coraz bardziej standardowa praktyka zakupowa.

Rodoshi Das
Napisane przez

Rodoshi Das

Rodoshi pomaga markom SaaS rozwijać się dzięki treściom, które konwertują i wspinają się w wynikach wyszukiwania i modelach LLM. Spędza dni na testowaniu narzędzi i zamienia swoje doświadczenia w ciekawe narracje, pomagając użytkownikom podejmować świadome decyzje zakupowe. Po pracy zamienia dashboardy na kryminały i terapię ogrodową.