Skip to main content

Czy można podpisać umowę powierzenia danych bez pisemnej umowy głównej?

30 września 2025

Wyobraź sobie sytuację: od lat współpracujesz z firmą informatyczną, która zarządza Twoimi serwerami i bazami danych. Albo z biurem rachunkowym, które prowadzi Twoją księgowość. Współpraca układa się wzorowo – zlecasz zadania, otrzymujesz faktury, płacisz terminowo. Wszystko działa jak w zegarku… tyle że nigdy nie podpisaliście formalnej umowy o współpracę.

I nagle przypominasz sobie o RODO i umowie powierzenia przetwarzania danych. Czy w takiej sytuacji możesz podpisać umowę powierzenia? Czy najpierw musisz sformalizować współpracę? A może już naruszasz prawo i grożą Ci kary?

Te pytania zadaje sobie wielu polskich przedsiębiorców.

Kluczowa odpowiedź: TAK, możesz i MUSISZ podpisać umowę powierzenia. Brak pisemnej umowy głównej nie tylko nie stanowi przeszkody, ale wręcz czyni zawarcie umowy powierzenia danych jeszcze bardziej pilną koniecznością.

Dlaczego? Bo w świetle prawa Wasza współpraca istnieje prawnie jako umowa dorozumiana lub ustna. Faktycznie powierzasz przetwarzanie danych osobowych, a RODO wymaga pisemnej umowy powierzenia bez żadnych wyjątków. Każdy dzień zwłoki to ryzyko kary lub przynajmniej uciążliwej kontroli.

Spis treści

Zamów wzór umowy powierzenia!

  • Umowa powierzenia przetwarzania danych osobowych [PL/EN]
    Wybierz opcje Ten produkt ma wiele wariantów. Opcje można wybrać na stronie produktu Quick View

    Umowa powierzenia przetwarzania danych osobowych [PL/EN]

    149,00 249,00  (z VAT)
  • Umowa NDA o zachowaniu poufności [PL/EN]
    Wybierz opcje Ten produkt ma wiele wariantów. Opcje można wybrać na stronie produktu Quick View

    Umowa NDA o zachowaniu poufności [PL/EN]

    149,00 249,00  (z VAT)

Jak prawo cywilne patrzy na waszą współpracę?

Umowa istnieje, nawet jeśli nie ma jej na papierze. Polski Kodeks cywilny jest elastyczny. Zgodnie z art. 60 k.c., umowę można zawrzeć przez każde zachowanie, które w sposób dostateczny ujawnia wolę stron.

To znaczy, że zlecanie zadań stanowi złożenie oferty, wykonanie usługi jest przyjęciem oferty, wystawienie faktury potwierdza świadczenie, a zapłata oznacza ostateczną akceptację warunków.

W świetle prawa cywilnego macie więc ważną umowę o świadczenie usług, tyle że zawartą w sposób dorozumiany, czyli per facta concludentia.

Dowody istnienia współpracy

Waszą współpracę łatwo udowodnić poprzez faktury VAT, które stanowią najsilniejszy dowód, a także przelewy bankowe, korespondencję e-mail, raporty z wykonanych prac czy zeznania świadków. Istnieje jednak pewien paradoks: te same dowody, które w sporze cywilnym potwierdzają istnienie umowy, podczas kontroli PUODO stają się dowodem obciążającym.

Potwierdzają bowiem, że faktycznie powierzałeś dane, ale nie dopełniłeś obowiązków wynikających z art. 28 RODO.

Co mówi RODO o umowie powierzenia?

Art. 28 RODO jest jednoznaczny i stwierdza, że przetwarzanie przez podmiot przetwarzający odbywa się na podstawie umowy, która nie musi mieć formy pisemnej ale musi zostać w jakiś sposób zawarta i udokumentowana.

Jeśli zewnętrzna firma przetwarza dane w Twoim imieniu, na przykład gdy księgowa przetwarza dane pracowników lub informatyk ma dostęp do bazy klientów, musisz mieć z nim zawartą umowę powierzenia.

Co grozi za brak umowy powierzenia?

Konsekwencje braku umowy powierzenia są poważne i wielowymiarowe. W zakresie kar administracyjnych grozi grzywna do 10 000 000 EUR lub do 2% całkowitego rocznego światowego obrotu.

Odpowiedzialność cywilna obejmuje potencjalne odszkodowania dla osób, których dane wyciekły, przy jednoczesnym braku możliwości dochodzenia roszczeń regresowych od procesora.

Dodatkowo następuje utrata kontroli nad danymi – nie masz prawnych narzędzi kontroli, brakuje procedur w przypadku incydentu, pojawiają się problemy ze zwrotem danych po zakończeniu współpracy.

Jak skonstruować umowę powierzenia bez umowy głównej?

Krok 1: Opisz stan faktyczny w preambule

Zacznij umowę powierzenia od jasnego określenia kontekstu. W preambule napisz, że strony prowadzą stałą współpracę w określonym zakresie od konkretnej daty, współpraca ta nie została dotychczas uregulowana odrębną pisemną umową, w ramach tej współpracy Procesor regularnie przetwarza dane osobowe w imieniu Administratora, a istnienie i zakres współpracy potwierdzają cyklicznie wystawiane i opłacane faktury VAT.

Dopiero po tym wprowadzeniu zaznacz, że strony postanawiają zawrzeć niniejszą umowę powierzenia przetwarzania danych osobowych.

Krok 2: Zdefiniuj kluczowe elementy na podstawie faktów

Przedmiot przetwarzania należy opisać poprzez realnie wykonywane czynności, na przykład jako przetwarzanie danych w systemie CRM klienta w celu obsługi kampanii marketingowych. Czas trwania powinien być powiązany z faktyczną współpracą, więc można zapisać, że umowa obowiązuje na czas trwania faktycznej współpracy, potwierdzonej comiesięcznymi fakturami.

Cel przetwarzania musi odnosić się do faktycznych usług, jak realizacja usług księgowych świadczonych przez Procesora. Rodzaj danych wymaga wymienienia konkretnych kategorii, takich jak imię, nazwisko, PESEL, wynagrodzenie pracowników. Kategorie osób wskazują, czyje dane są przetwarzane, na przykład pracownicy i współpracownicy Administratora.

Krok 3: Zawrzyj klauzulę o udokumentowanym poleceniu

To kluczowy element przy braku umowy głównej. Należy zapisać, że niniejsza umowa stanowi podstawowe udokumentowane polecenie przetwarzania danych osobowych, a wszelkie dalsze szczegółowe polecenia będą przekazywane w formie dokumentowej, przede wszystkim za pośrednictwem poczty elektronicznej.

Krok 4: Określ obowiązki procesora zgodnie z art. 28 ust. 3 RODO

Umowa musi zawierać wszystkie elementy wymagane przez art. 28 ust. 3 RODO. Są to: przetwarzanie tylko na udokumentowane polecenie, zobowiązanie do poufności, wdrożenie środków bezpieczeństwa, zasady podpowierzenia, pomoc w realizacji praw osób, pomoc w wywiązywaniu się z obowiązków bezpieczeństwa, usunięcie lub zwrot danych po zakończeniu współpracy oraz udostępnianie informacji i umożliwienie audytów.

Plan działania – 3 kroki do zgodności

Jeśli już zidentyfikujesz problem tj. brak umowy powierzenia i brak umowy głównej to możesz podzielić działania na trzy etapy według priorytetów. (Traktuj to jako przykład, który może mieć odzwierciedlenie w realnym działaniu Twojej firmy).

Priorytet pierwszy to natychmiastowe działanie w ciągu 7 dni. Musisz podpisać umowę powierzenia danych. Nie czekaj na formalizację współpracy głównej, użyj wzoru dostosowanego do waszej sytuacji. Pamiętaj, że podpis elektroniczny lub skany są wystarczające.

Priorytet drugi to działanie w ciągu 30 dni. Zweryfikuj procesora zgodnie z art. 28 ust. 1 RODO. Poproś o politykę bezpieczeństwa, sprawdź środki techniczne i organizacyjne, zachowaj dokumentację weryfikacji.

Priorytet trzeci to działanie strategiczne w ciągu 90 dni. Sformalizuj umowę główną, uporządkuj całość współpracy, ureguluj kwestie wykraczające poza RODO, określ SLA, odpowiedzialność i warunki wypowiedzenia.

Najczęstsze błędy i jak ich uniknąć

Pierwszym częstym błędem jest przekonanie, że najpierw trzeba mieć umowę główną. Prawda jest taka, że RODO nie czeka i każdy dzień bez umowy powierzenia to naruszenie prawa.

Drugim błędem jest myślenie, że skoro nie ma umowy, to nie ma powierzenia. W rzeczywistości powierzenie to stan faktyczny – jeśli zewnętrzna firma przetwarza Twoje dane, powierzenie istnieje niezależnie od dokumentacji.

Trzeci błąd to założenie, że wystarczy ustne ustalenie. RODO wymaga udokumentowanej umowy, więc ustne ustalenia oznaczają brak umowy i w konsekwencji naruszenie przepisów.

Czwarty błąd to traktowanie umowy powierzenia jako tylko formalności. W rzeczywistości umowa powierzenia to Twoje jedyne narzędzie kontroli nad danymi i ochrona przed odpowiedzialnością.

Podsumowanie – działaj teraz

Jeśli współpracujesz z zewnętrznymi firmami, które przetwarzają Twoje dane osobowe, a nie masz pisemnej umowy powierzenia, jesteś w stanie naruszenia RODO. Nie ma znaczenia, czy macie umowę główną na papierze. Liczy się fakt, że dane są powierzane.

Twój plan minimum na dziś powinien obejmować trzy kroki. Najpierw zidentyfikuj wszystkich procesorów, czyli księgowych, informatyków, agencje marketingowe, firmy hostingowe. Następnie sprawdź, z kim nie masz umowy powierzenia. Wreszcie rozpocznij proces podpisywania umów powierzenia, zaczynając od najważniejszych procesorów.

Potrzebujesz wsparcia prawnika IT? Napisz do mnie!



    Łukasz Kulicki

    O autorze: Łukasz Kulicki

    Radca prawny w Kancelarii After Legal specjalizującej się w obsłudze prawnej firm z sektora IT, nowych technologii i branży internetowej, a także podmiotów przechodzących transformację cyfrową. Specjalizuje się w negocjowaniu umów IT, w szczególności umów wdrożeniowych, umów na usługi IT (w tym chmurowych) i umów body leasingowych. Zajmuje się także doradztwem prawnym z zakresu ochrony danych osobowych (RODO), prawa e-commerce i własności intelektualnej.

    Close Menu
    0
      0
      Koszyk
      Twój koszyk jest pustyWróć do sklepu
      Kontynuuj zakupy