Skip to main content

RODO dla SaaS – jak wdrożyć RODO dla aplikacji SaaS?

4 czerwca 2025 23 czerwca, 2025

Usługi chmurowe stały się niezwykle popularne, ponieważ ułatwiają pracę zespołów i umożliwiają zdalne świadczenie usług odbiorcom z całego globu. Cloud computing występuje w kilku odmianach, wśród których istotne miejsce zajmuje SaaS. Czy konieczne jest wdrażanie RODO w aplikacjach SaaS i jak zrobić to zgodnie z prawem?

Spis treści

Dlaczego w aplikacji SaaS trzeba wdrożyć RODO?

Model oprogramowania SaaS (ang. Software as a Service) często jest stawiany w opozycji do aplikacji typu on-premise. W tym drugim przypadku nabywca otrzymuje gotowy software, który instaluje na firmowych komputerach.

Oczywiście nadal musi przestrzegać postanowień licencyjnych, ale ma kontrolę nad tym, co dzieje się z oprogramowaniem. Z kolei aplikacje SaaS świadczone są z wykorzystaniem usługi chmurowej. Dostawca software’u udostępnia możliwość korzystania z programu, który na ogół dostępny jest z poziomu przeglądarki internetowej. Gdzie stosuje się tego rodzaju rozwiązania? Dobrym przykładem są programy typu:

  • Customer Relationship Management, CRM;
  • Enterprise Resource Management, ERP;
  • Warehouse Resource Management, WMS.

Wiele tego rodzaju programów jest dostarczanych właśnie w modelu SaaS, który jest tańszy i pozwala na płynną skalowalność w przeciwieństwie do aplikacji on-premise. Jednocześnie software typu CRM czy ERP gromadzi duże ilości danych osobowych klientów, które następnie są przetwarzane na wiele sposobów.

Ochrona danych osobowych w aplikacji SaaS jest niezwykle istotna z punktu widzenia przedsiębiorcy, ponieważ naruszenie przepisów rozporządzenia może skutkować nałożeniem bardzo wysokich kar finansowych.

Łukasz Kulicki
Łukasz Kulicki

Radca prawny w Kancelarii After Legal

SaaS Lawyer IT Lawyer GDPR Expert
LinkedIn

W praktyce obserwujemy, że przedsiębiorcy często bagatelizują obowiązki wynikające z RODO w aplikacjach SaaS, traktując je jako drugorzędne względem funkcjonalności biznesowych. To błąd, który może kosztować nawet 4% rocznego obrotu globalnego lub 20 milionów euro kary. Szczególnie narażone są startupy, które w fazie wzrostu koncentrują się na rozwoju produktu, odkładając compliance na później. Niestety, RODO nie zna pojęcia „grace period" – obowiązuje od pierwszego dnia przetwarzania danych osobowych.

Pamiętaj, że konieczność wdrożenia RODO pojawia się niezależnie od tego czy Twoja firma świadczy usługi na rzecz innych przedsiębiorców (B2B SaaS), czy dla konsumentów (B2C SaaS).

Sprawdź również: Audyt prawny aplikacji SaaS – co to jest i kiedy warto go wykonać?

Zamów wzory dokumentów SaaS z naszego sklepu!

Na czym polega przetwarzanie danych osobowych?

Aby pojawiła się konieczność wdrożenia RODO w związku ze świadczeniem usługi SaaS, musi dojść do przetwarzania danych osobowych. Jest to pojęcie bardzo szerokie i obejmuje każdą operację wykonywaną na danych, w tym m.in. ich:

  • zbieranie;
  • utrwalanie;
  • organizowanie;
  • przechowywanie;
  • porządkowanie;
  • przeglądanie;
  • ujawnianie;
  • rozpowszechnianie.

Nie ma przy tym znaczenia czy dane zostały zebrane automatycznie czy nie, a także w jakiej postaci występują (np. rekord w bazie danych, skan dowodu osobistego). Za daną osobową uważa się każdą informację, która pozwala zidentyfikować lub identyfikuje daną osobę. Nie musi nią być wyłącznie imię i nazwisko. Za dane osobowe uważa się też numer i serię dowodu tożsamości, adres IP, dane o lokalizacji, adres zamieszkania, a nawet wysokość dochodów. Jeżeli segregujesz swoich klientów według takich kryteriów – przetwarzasz dane osobowe.

Sprawdź również: IP Due Diligence w spółce SaaS – co analizuje inwestor?

Czy siedziba firmy ma znaczenie dla obowiązku wdrożenia RODO?

Zasadniczo RODO obowiązuje przede wszystkim na terytorium całej Unii Europejskiej (w tym Polski), a także na obszarze Europejskiego Obszaru Gospodarczego. Niezależnie od tego, przepisy rozporządzenia znajdują zastosowanie również w sytuacji, gdy:

  • firma przetwarza dane i ma siedzibę na obszarze obowiązywania RODO, niezależnie od miejsca faktycznego przetwarzania danych osobowych;
  • firma ma siedzibę poza obszarem obowiązywania RODO, ale do przetwarzania danych dochodzi na obszarze jego obowiązywania.

W praktyce oznacza to, że nawet w sytuacji, kiedy wprawdzie założyłeś spółkę w raju podatkowym (np. na Kajmanach), ale firma oferuje swoje usługi obywatelom państw Unii Europejskiej, nadal konieczne będzie wdrożenie RODO.

W jaki sposób wdrożyć RODO w aplikacji SaaS?

Wdrożenie RODO można podzielić na kilka etapów. Zachowanie ich kolejności jest ważne, aby całą pracę wykonać solidnie.

Audyt RODO w firmie SaaS

Pierwszym krokiem powinno być przeprowadzenie audytu RODO w przedsiębiorstwie. Audyt RODO ma na celu określenie stanu wyjściowego wdrożenia procesów ochrony danych osobowych, a także świadomości pracowników w tym zakresie. Przede wszystkim należy ustalić podstawę prawną przetwarzania danych w oparciu o brzmienie art. 6 rozporządzenia. Z reguły będzie nim:

  • zgoda na przetwarzanie danych osobowych danej osoby;
  • umowa wiążąca daną osobę z podmiotem oferującym usługę;
  • prawnie uzasadniony interes administratora (w ostateczności).

Co więcej należy ustalić, które dane osobowe są niezbędne do świadczenia usługi. W tym zakresie trzeba kierować się zasadą minimalizacji, czyli ograniczenia przetwarzania danych do niezbędnego minimum.

Audyt RODO powinien odpowiedzieć również na pytanie o stan zabezpieczeń informatycznych aplikacji. Projektując je należy uwzględnić możliwe zagrożenia jakie mogą się pojawić oraz ryzyko ich wystąpienia. Warto zadbać o to, aby organizacja spełniała międzynarodowe normy z rodziny 27000, które świadczą o zapewnieniu bezpieczeństwa informacji.

Należy także ustalić, kto spośród pracowników i współpracowników ma dostęp do danych gromadzonych w systemie i w jakim zakresie. Warto zadbać, aby osoby mające dostęp do informacji posiadały odpowiedni poziom wiedzy w zakresie ochrony informacji.

Sprawdź również: Audyt zgodności z RODO – jak go przeprowadzić?

Co dzieje się z danymi w aplikacji SaaS?

W ramach realizacji zasady rozliczalności zadbaj o przygotowanie dwóch rejestrów, o których mowa w art. 30 RODO – mowa o rejestrze czynności przetwarzania danych osobowych oraz rejestr kategorii czynności przetwarzania.

Pierwszy z rejestrów stanowi obligatoryjny element dokumentacji RODO. Drugi odnosi się do danych, które będą uploadowali w aplikacji klienci dostawcy aplikacji SaaS, np. dane osobowe swoich klientów. Oba rejestry mogą mieć formę elektroniczną (i w praktyce zwykle tak jest). Jakie dane można odnaleźć w rejestrze czynności przetwarzania? Przede wszystkim będą to:

  • dane administratora oraz IOD;
  • cele przetwarzania danych osobowych;
  • wskazanie kategorii osób, których dane będą przetwarzanie oraz kategorii tych danych;
  • okres retencji danych.

W przypadku rejestru kategorii czynności przetwarzania, mieszczą się w nim m.in:

  • kategorie przetwarzań dokonywanych w imieniu administratora;
  • informacje o przekazaniu danych do państwa trzeciego lub organizacji międzynarodowej.
Łukasz Kulicki
Łukasz Kulicki

Radca prawny w Kancelarii After Legal

SaaS Lawyer IT Lawyer GDPR Expert
LinkedIn

Rejestry czynności przetwarzania w aplikacjach SaaS często są prowadzone w sposób statyczny, co stanowi poważne ryzyko compliance. Dynamiczny charakter środowiska chmurowego wymaga wdrożenia mechanizmów automatycznej aktualizacji rejestrów przy każdej zmianie w przepływach danych. Szczególną uwagę należy zwrócić na poprawne mapowanie międzynarodowych transferów danych, które w architekturze multi-tenant mogą następować bez świadomości administratora. Brak aktualnych rejestrów to pierwsza rzecz, na którą zwracają uwagę organy nadzorcze podczas kontroli.

Opracowanie macierzy ryzyka

Informacje zebrane w trakcie audytu należy wykorzystać do przygotowania macierzy ryzyka. Zazwyczaj ma ona postać obszernej tabeli określającej obszary w których istnieje ryzyko wycieku danych, a także określenie stopnia tego ryzyka. Prawdopodobieństwo wystąpienia incydentu można podzielić np. na:

  • mało prawdopodobne, jeżeli zagrożenie nie występowało w przeszłości, a ryzyko jego pojawienia się jest bliskie zeru;
  • średnio prawdopodobne, jeżeli ryzyko zagrożenia jest niewielkie i sporadycznie pojawiało się ono dotychczas;
  • bardzo prawdopodobne, jeżeli zagrożenie występowało regularnie w przeszłości, a ryzyko jego pojawienia się jest realne;
  • niemal pewne, kiedy istnieje niemal 100-procentowe ryzyko wystąpienia incydentu.

Następnie do każdego ryzyka należy przypisać określone mechanizmy zaradcze. W aplikacjach SaaS zazwyczaj mają one wymiar informatyczny. Opracowując ocenę ryzyka należy pamiętać, że na administratorze ciąży obowiązek wykazania zasady rozliczalności. Szczególnie silne mechanizmy zabezpieczeń powinny zostać opracowane dla danych wrażliwych, np. na potrzeby aplikacji SaaS wykorzystywanych przez placówki ochrony zdrowia, które zapisują historię choroby każdego z pacjentów.

Lista dokumentów RODO, które powinny zostać opracowane na potrzeby SaaS jest dosyć obszerna i poza polityka ochrony danych osobowych oraz wspomnianymi rejestrami obejmuje też procedurę postępowania w przypadku naruszeń uprawnień osób, których dane są przetwarzane, rejestr naruszeń, procedurę usuwania danych osobowych oraz analizę ryzyka, a niekiedy również ocenę skutków naruszenia. Każdy z tych dokumentów powinien być opracowany z uwzględnieniem specyfiki danej usługi SaaS.

Podmiot udostępniający usługę SaaS jako procesor ochrony danych osobowych

Dostawca oprogramowania w modelu SaaS, który udostępnia przedsiębiorcy do dyspozycji aplikację przetwarza dane osobowe na zlecenie i w zakresie określonym przez administratora. W świetle rozporządzenia RODO jest więc procesorem danych osobowych. Zgodnie z art. 28 RODO w takiej sytuacji niezbędne jest zawarcie umowy, której treść powinna wskazywać przede wszystkim:

  • wyraźne powierzenie przetwarzania danych procesorowi przez administratora;
  • zobowiązanie procesora do zachowania tajemnicy w zakresie przetwarzania danych osobowych objętych umową i udostępnienia danych wyłącznie osobom upoważnionym do ich przetwarzania;
  • obowiązek wdrożenia przez procesora odpowiednich środków zapewniających bezpieczeństwo przetwarzania danych osobowych;
  • obowiązek procesora do udzielania wsparcia administratorowi m.in. w zakresie odpowiadania na żądania osób, których dane dotyczą;
  • obowiązek procesora do udostępnienia administratorowi informacji niezbędnych do spełnienia swoich obowiązków oraz przeprowadzenia audytów i inspekcji.

W umowie należy zadbać o to, aby po zakończeniu współpracy między procesorem a administratorem ten pierwszy usunął przechowywane dane osobowe lub zwrócił je administratorowi.

Łukasz Kulicki
Łukasz Kulicki

Radca prawny w Kancelarii After Legal

SaaS Lawyer IT Lawyer GDPR Expert
LinkedIn

Umowy powierzenia przetwarzania danych w modelu SaaS wymagają szczególnej precyzji w definiowaniu zakresu przetwarzania i mechanizmów kontroli. Kluczowe jest uwzględnienie specyfiki środowiska chmurowego, w tym możliwości migracji danych między lokalizacjami geograficznymi oraz zasad sub-powierzenia. Często pomijanym aspektem są procedury audit trail i możliwość weryfikacji przez administratora faktycznych zabezpieczeń stosowanych przez procesora. Bez odpowiednio skonstruowanej umowy powierzenia, całe wdrożenie RODO może okazać się nieskuteczne.

Dodatkowo warto podkreślić, że procesor może przetwarzać dane osobowe w zakresie wyraźnie wskazanym przez administratora, ale nie w sposób dowolny.

Co więcej procesor danych osobowych musi być podmiotem, który zapewnia gwarancję wdrożenia odpowiednich środków technicznych i organizacyjnych, aby ochronić dane osobowe osób, których dane są przechowywane.

Jak zminimalizować ryzyko związane z przetwarzaniem danych osobowych przez procesora?

Skoro administrator i procesor danych osobowych zawierają między sobą umowę, warto zawrzeć w niej klauzule pozwalające na odpowiednie ukształtowanie relacji między tymi podmiotami. Przede wszystkim umowa powinna odpowiadać na pytanie w jakich sytuacji i w jakim zakresie procesor odpowiada za naruszenie danych osobowych klientów administratora. Obowiązek zachowania poufności (umowa NDA) powinien zostać uzupełniony o karę umowną.

Ważne jest też, aby procesor danych osobowych opracował procedury na potrzeby sytuacji kryzysowych oraz zakończenia współpracy, czyli:

  • Recovery Plan – procedura przewidziana w razie wystąpienia sytuacji zagrażającej integralności lub ciągłości podstawowych usług; pozwala na zmniejszenie negatywnych skutków oddziaływania uchybienia i przyspiesza powrót do modelowego funkcjonowania;
  • Exit Plan – określa prawa i obowiązki stron na wypadek zakończenia relacji biznesowych, jak np. okres retencji danych przez procesora czy sposób ich odbioru przez administratora;
  • Business Continuity Plan – określa podejście organizacji do aktualizacji obszarów o kluczowym znaczeniu z punktu widzenia potencjalnych zagrożeń.

Administrator powinien zadbać również o jasną procedurę audytu, która nie będzie budziła wątpliwości co do zakresu obowiązków procesora, terminu czy sposobu przekazania informacji. Wreszcie strony mogą ustalić między sobą konkretne lokalizacje (miejsca położenia serwerów), w których będzie dochodziło do przetwarzania danych osobowych. W ten sposób administrator unika ryzyka, kiedy dane osobowe są przekazywane do państw niestosujących standardów RODO.

Administrator a procesor danych osobowych. Kto ponosi odpowiedzialność za uchybienia?

Planując wdrożenie RODO w aplikacji SaaS należy pamiętać, że procesor oraz administrator danych odpowiadają solidarnie względem osób, których dane zostały naruszone. W praktyce oznacza to, że to poszkodowany może dowolnie wskazać podmiot (lub oba podmioty) od których będzie dochodził naprawienia szkody. Właściwym miejscem, w którym należy uregulować roszczenia regresowe jest właśnie umowa zawierana między administratorem a procesorem.

Zarówno firmy, które korzystają z usług chmurowych typu SaaS, jak i ich dostawcy powinni zwrócić baczną uwagę na przepisy rozporządzenia RODO. Konieczność jego stosowania nakłada cały szereg dodatkowych obowiązków, których niedochowanie może skutkować wysoką karą finansową, a także ryzykiem odpowiedzialności odszkodowawczej.

Sprawdź również: Regulamin SaaS vs. Umowa SaaS – co wybrać?

Kancelaria After Legal świadczy obsługę prawną biznesu w modelu SaaS na każdym etapie – od pozyskania finansowania, przez zaprojektowanie i wykonanie Waszej aplikacji, aż po jej uruchomienie i utrzymanie.

W czym możemy Ci pomóc?

  • przygotowanie i opiniowanie dokumentacji związanej z usługą SaaS,
  • opracowywanie umów z wykonawcami – umowy wdrożeniowe, umowy
  • gwarancyjne, umowy utrzymaniowe,
  • analiza bezpieczeństwa i standardów branżowych,
  • opracowanie dokumentacji RODO,
  • audyt aplikacji SaaS pod kątem zgodności z aktualnymi przepisami,
  • ochrona praw autorskich i znaków towarowych,
  • bieżące doradztwo prawne i rozwiązywanie sporów.

Chcesz wdrożyć RODO dla aplikacji SaaS? Napisz do mnie!



    Łukasz Kulicki

    O autorze: Łukasz Kulicki

    Radca prawny w Kancelarii After Legal specjalizującej się w obsłudze prawnej firm z sektora IT, nowych technologii i branży internetowej, a także podmiotów przechodzących transformację cyfrową. Specjalizuje się w negocjowaniu umów IT, w szczególności umów wdrożeniowych, umów na usługi IT (w tym chmurowych) i umów body leasingowych. Zajmuje się także doradztwem prawnym z zakresu ochrony danych osobowych (RODO), prawa e-commerce i własności intelektualnej.

    Close Menu
    0
      0
      Koszyk
      Twój koszyk jest pustyWróć do sklepu
      Kontynuuj zakupy