Skip to main content

Upoważnienie czy powierzenie przetwarzania danych? Co zastosować w projektach IT?

7 października 2025

W codziennej praktyce projektów informatycznych kwestia właściwego uregulowania przepływu danych osobowych stanowi jedno z najczęściej błędnie interpretowanych zagadnień RODO. Szczególnie problematyczne okazuje się rozróżnienie między upoważnieniem do przetwarzania danych a umową powierzenia przetwarzania. Błędny wybór instrumentu prawnego może prowadzić nie tylko do naruszeń przepisów o ochronie danych osobowych, ale również do poważnych komplikacji w realizacji projektu, odpowiedzialności finansowej czy problemów z wykazaniem zgodności z RODO podczas kontroli.

Mylne przekonanie, że upoważnienie może zastąpić umowę powierzenia, wynika często z niezrozumienia fundamentalnej różnicy między tymi instrumentami. Upoważnienie dotyczy relacji wewnętrznych w ramach jednego podmiotu będącego administratorem danych, podczas gdy powierzenie reguluje współpracę między dwoma odrębnymi podmiotami. Ta pozornie prosta zasada w praktyce biznesowej, szczególnie w złożonych strukturach korporacyjnych i projektach IT, bywa jednak źródłem licznych wątpliwości.

Spis treści

Zamów wzór umowy powierzenia!

  • Umowa powierzenia przetwarzania danych osobowych [PL/EN]
    Wybierz opcje Ten produkt ma wiele wariantów. Opcje można wybrać na stronie produktu Quick View

    Umowa powierzenia przetwarzania danych osobowych [PL/EN]

    149,00 249,00  (z VAT)

Natura prawna upoważnienia w kontekście RODO

Upoważnienie do przetwarzania danych osobowych stanowi wewnętrzny instrument organizacyjny administratora, który służy do formalnego dopuszczenia konkretnych osób fizycznych do operacji na danych osobowych. W projektach IT upoważnienia otrzymują przede wszystkim pracownicy administratora, ale także osoby współpracujące na podstawie umów cywilnoprawnych, które działają pod bezpośrednią kontrolą administratora i w jego imieniu. Kluczowe jest zrozumienie, że osoba upoważniona nie staje się odrębnym podmiotem przetwarzającym, lecz pozostaje częścią struktury organizacyjnej administratora.

Artykuł 29 RODO wymaga, aby każda osoba działająca z upoważnienia administratora lub podmiotu przetwarzającego i mająca dostęp do danych osobowych przetwarzała je wyłącznie na polecenie administratora. Oznacza to, że upoważnienie nie przyznaje samodzielności w określaniu celów i sposobów przetwarzania danych. Osoba upoważniona wykonuje jedynie konkretne operacje w ramach ściśle określonych przez administratora procesów biznesowych.

W kontekście projektów informatycznych upoważnienia są właściwe dla programistów zatrudnionych bezpośrednio przez firmę realizującą projekt dla własnych potrzeb, administratorów systemów będących pracownikami administratora danych, czy też konsultantów działających jako osoby fizyczne w ramach struktury organizacyjnej klienta. Istotne jest jednak, że sama forma współpracy nie przesądza o możliwości zastosowania upoważnienia. Decydujący pozostaje rzeczywisty charakter relacji i stopień podporządkowania organizacyjnego.

Powierzenie przetwarzania jako instrument współpracy międzypodmiotowej

Umowa powierzenia przetwarzania danych, uregulowana w artykule 28 RODO, stanowi podstawowy instrument prawny regulujący relacje między administratorem danych a zewnętrznym podmiotem, który przetwarza dane w imieniu administratora. W przeciwieństwie do upoważnienia, powierzenie zakłada istnienie dwóch odrębnych podmiotów prawnych, z których każdy ponosi własną odpowiedzialność za przestrzeganie przepisów o ochronie danych osobowych.

Podmiot przetwarzający, choć działa na zlecenie administratora, zachowuje organizacyjną i operacyjną niezależność. Dysponuje własnymi zasobami, procedurami i personelem, za który ponosi odpowiedzialność. Ta autonomia organizacyjna stanowi kluczową cechę odróżniającą powierzenie od prostego upoważnienia. Podmiot przetwarzający samodzielnie decyduje o technicznych i organizacyjnych aspektach realizacji powierzonych zadań, oczywiście w granicach określonych przez administratora i przepisy prawa.

W projektach IT powierzenie przetwarzania znajduje zastosowanie przede wszystkim w relacjach z zewnętrznymi dostawcami usług informatycznych, firmami hostingowymi, dostawcami oprogramowania w modelu SaaS czy firmami świadczącymi usługi wsparcia technicznego. Każdy z tych podmiotów, realizując usługi na rzecz administratora, uzyskuje dostęp do danych osobowych, ale czyni to jako niezależny podmiot gospodarczy, a nie element struktury organizacyjnej administratora.

Sprawdź również: Czy można podpisać umowę powierzenia danych bez pisemnej umowy głównej?

Case study: System zarządzania kadrami w korporacji międzynarodowej

Międzynarodowa korporacja z siedzibą w Polsce zdecydowała się na wdrożenie kompleksowego systemu zarządzania zasobami ludzkimi. Projekt obejmował integrację danych pracowniczych z różnych spółek grupy kapitałowej oraz współpracę z zewnętrznym dostawcą oprogramowania. Początkowo dział prawny korporacji zaproponował uregulowanie wszystkich relacji poprzez upoważnienia, argumentując, że uprości to procedury i zapewni lepszą kontrolę nad danymi.

Analiza struktury projektu wykazała jednak, że takie podejście byłoby błędne z perspektywy RODO. W ramach projektu można było wyróżnić trzy różne typy relacji wymagające odmiennego uregulowania. Pracownicy działu HR korporacji, którzy mieli administrować systemem i przetwarzać dane pracownicze, rzeczywiście wymagali jedynie upoważnień, gdyż działali w ramach struktury administratora danych. Podobnie konsultanci zatrudnieni bezpośrednio przez korporację na umowy zlecenia, pracujący w siedzibie firmy i pod bezpośrednim nadzorem kierownika projektu, mogli otrzymać upoważnienia.

Sytuacja przedstawiała się jednak zupełnie inaczej w przypadku zewnętrznego dostawcy systemu HR, który nie tylko dostarczał oprogramowanie, ale także świadczył usługi jego utrzymania i wsparcia technicznego. Firma ta, jako odrębny podmiot gospodarczy, wymagała zawarcia umowy powierzenia przetwarzania danych. Dostawca dysponował własnym zespołem programistów i administratorów, którzy w ramach świadczenia usług mieli dostęp do danych osobowych przechowywanych w systemie. Próba uregulowania tej relacji poprzez upoważnienia naraziłaby korporację na zarzut naruszenia artykułu 28 RODO.

Dodatkowo projekt wymagał zaangażowania spółek zależnych korporacji z innych krajów UE. Każda z tych spółek była odrębnym administratorem danych swoich pracowników. Transfer danych między spółkami grupy nie mógł zostać uregulowany ani przez upoważnienia, ani przez powierzenie przetwarzania. Wymagał ustanowienia relacji współadministrowania lub określenia odrębnych celów przetwarzania dla każdego z administratorów, wraz z odpowiednimi podstawami prawnymi transferu danych w ramach grupy kapitałowej.

Konsekwencje niewłaściwego wyboru instrumentu prawnego

Błędne zastosowanie upoważnienia zamiast umowy powierzenia przetwarzania danych niesie ze sobą poważne konsekwencje prawne i biznesowe.

Administrator, który udostępnia dane osobowe zewnętrznemu podmiotowi bez zawarcia wymaganej umowy powierzenia, narusza artykuł 28 RODO, co może skutkować nałożeniem administracyjnej kary pieniężnej sięgającej 10 milionów euro lub 2% całkowitego rocznego światowego obrotu. Dodatkowo, w przypadku naruszenia ochrony danych osobowych, administrator nie będzie mógł przenieść części odpowiedzialności na podmiot przetwarzający, gdyż brak właściwej umowy uniemożliwia wykazanie dochowania należytej staranności w doborze procesora.

Z perspektywy podmiotu zewnętrznego, który przetwarza dane na podstawie niewłaściwego upoważnienia zamiast umowy powierzenia, sytuacja jest równie problematyczna. Podmiot taki nie ma jasno określonych obowiązków i uprawnień wynikających z RODO dla procesora danych. W przypadku kontroli organu nadzorczego może zostać uznany za administratora danych, który przetwarza je bez podstawy prawnej, co naraża go na jeszcze wyższe kary finansowe sięgające 20 milionów euro lub 4% obrotu.

Niewłaściwe uregulowanie relacji wpływa również na kwestie odpowiedzialności cywilnej. Brak umowy powierzenia oznacza brak kontraktowych mechanizmów alokacji odpowiedzialności za naruszenia, limitów odpowiedzialności czy procedur współpracy przy obsłudze żądań osób, których dane dotyczą. W praktyce prowadzi to do sporów i niepewności co do zakresu obowiązków każdej ze stron.

Kryteria rozróżnienia w praktyce projektowej

Właściwy wybór między upoważnieniem a powierzeniem przetwarzania wymaga analizy rzeczywistego charakteru relacji, a nie tylko formalnych aspektów współpracy. Kluczowym kryterium jest organizacyjna niezależność podmiotu, który ma uzyskać dostęp do danych osobowych. Jeśli podmiot ten posiada własną strukturę organizacyjną, samodzielnie zarządza swoimi zasobami i ponosi niezależną odpowiedzialność za swoją działalność, właściwe będzie zawarcie umowy powierzenia, nawet jeśli jego przedstawiciele pracują w siedzibie administratora.

Istotne znaczenie ma również zakres kontroli administratora nad sposobem wykonywania zadań. Upoważnienie jest właściwe, gdy administrator szczegółowo określa nie tylko cel przetwarzania, ale także konkretne metody i procedury pracy. Osoba upoważniona działa według ścisłych instrukcji i pod bezpośrednim nadzorem administratora. Natomiast podmiot przetwarzający, choć realizuje cele określone przez administratora, zachowuje swobodę w zakresie doboru środków technicznych i organizacyjnych służących realizacji powierzonych zadań.

Forma zatrudnienia czy współpracy, choć istotna, nie jest czynnikiem rozstrzygającym. Pracownik administratora z reguły otrzymuje upoważnienie, ale możliwe są sytuacje, gdy pracownik realizuje zadania w ramach działalności gospodarczej prowadzonej równolegle do stosunku pracy, i wtedy może wymagać umowy powierzenia, szczególnie jeśli realizuje zadania z wykorzystaniem swojego sprzętu oraz ma także innych klientów. Podobnie osoba współpracująca na podstawie umowy cywilnoprawnej może otrzymać upoważnienie, jeśli jest w pełni zintegrowana ze strukturą organizacyjną administratora, albo może wymagać umowy powierzenia, jeśli zachowuje niezależność organizacyjną.

Hybrydowe modele współpracy i ich regulacja

Współczesne projekty IT coraz częściej opierają się na złożonych modelach współpracy, które nie mieszczą się w prostym podziale na upoważnienie i powierzenie. Przykładem może być model zespołów mieszanych, gdzie pracownicy klienta i dostawcy usług IT pracują wspólnie nad projektem, dzieląc się odpowiedzialnością za różne komponenty systemu. W takiej sytuacji konieczne jest precyzyjne rozgraniczenie ról i odpowiedzialności, często prowadzące do zastosowania różnych instrumentów prawnych dla różnych aspektów współpracy.

Rozważmy sytuację, w której zewnętrzna firma IT dostarcza klientowi zespół programistów pracujących pod bezpośrednim zarządzeniem klienta w modelu team augmentation. Programiści ci są formalnie zatrudnieni przez firmę IT, ale na co dzień otrzymują zadania od kierownika projektu ze strony klienta i stosują się do jego procedur i standardów pracy. W takiej sytuacji zastosowanie znajduje umowa powierzenia przetwarzania między klientem a firmą IT, gdyż programiści pozostają pracownikami zewnętrznego podmiotu. Jednocześnie jednak umowa ta powinna uwzględniać specyfikę współpracy, przyznając administratorowi szersze uprawnienia kontrolne niż w przypadku standardowego outsourcingu.

Innym przykładem złożoności jest sytuacja dostawców platform no-code czy low-code, które umożliwiają klientom samodzielne tworzenie aplikacji przetwarzających dane osobowe. Dostawca platformy jest niewątpliwie procesorem w zakresie infrastruktury i podstawowych funkcjonalności platformy. Jednak aplikacje tworzone przez klienta mogą przetwarzać dane w sposób, nad którym dostawca nie ma kontroli. Wymaga to starannego określenia granic odpowiedzialności w umowie powierzenia oraz wprowadzenia mechanizmów zapewniających zgodność przetwarzania z RODO mimo ograniczonej kontroli dostawcy nad sposobem wykorzystania platformy.

Praktyczne wskazówki dla menedżerów projektów IT

Planując projekt IT związany z przetwarzaniem danych osobowych, należy już na etapie inicjacji przeprowadzić mapowanie wszystkich podmiotów, które będą miały dostęp do danych osobowych. Dla każdego podmiotu należy określić jego status organizacyjny, zakres dostępu do danych oraz charakter wykonywanych operacji przetwarzania. Ta wstępna analiza pozwoli zidentyfikować, które relacje wymagają upoważnień, a które umów powierzenia przetwarzania.

Dokumentacja projektowa powinna zawierać matrycę odpowiedzialności RODO, jasno określającą role wszystkich uczestników projektu w kontekście przetwarzania danych osobowych. Matryca ta powinna być regularnie aktualizowana w miarę ewolucji projektu i powinna stanowić podstawę do przygotowania odpowiednich instrumentów prawnych. Warto również ustanowić pojedynczy punkt kontaktowy odpowiedzialny za koordynację kwestii związanych z ochroną danych osobowych w projekcie.

Szczególną uwagę należy zwrócić na łańcuchy podpowierzenia, które często powstają w złożonych projektach IT. Każde podpowierzenie powinien wymagać zgody administratora, a cały łańcuch musi być transparentny i możliwy do kontrolowania. Możliwe jest także rozwiązanie, w którym administrator będzie tylko informowany o podpowierzeniu i będzie miał prawo zgłosić wiążący sprzeciw. Rekomendowane jest ograniczanie długości łańcuchów podpowierzenia oraz wprowadzanie mechanizmów zapewniających, że administrator zachowuje realną kontrolę nad wszystkimi podmiotami przetwarzającymi jego dane.

Podsumowanie i rekomendacje

Wybór między upoważnieniem a powierzeniem przetwarzania danych w projektach IT nie powinien być traktowany jako kwestia formalna czy administracyjna, ale jako strategiczna decyzja wpływająca na architekturę projektu, alokację odpowiedzialności i zgodność z przepisami o ochronie danych osobowych. Niewłaściwe zastosowanie upoważnienia w sytuacji wymagającej umowy powierzenia naraża wszystkie zaangażowane strony na poważne konsekwencje prawne i finansowe.

Kluczem do prawidłowego wyboru instrumentu jest analiza rzeczywistego charakteru relacji między podmiotami, ze szczególnym uwzględnieniem niezależności organizacyjnej, zakresu kontroli nad przetwarzaniem oraz alokacji odpowiedzialności. Samo zatrudnienie czy forma współpracy nie przesądzają o właściwym instrumencie prawnym. Decydujący jest faktyczny sposób organizacji pracy i podporządkowania w projekcie.

Ostatecznie, sukces w zapewnieniu zgodności projektów IT z wymogami ochrony danych osobowych zależy od wczesnej identyfikacji potencjalnych wyzwań regulacyjnych i proaktywnego podejścia do ich rozwiązywania. Inwestycja w właściwe uregulowanie relacji na początku projektu zwraca się wielokrotnie poprzez uniknięcie późniejszych komplikacji prawnych, sporów o odpowiedzialność czy kar nałożonych przez organy nadzorcze.

Potrzebujesz wsparcia prawnika IT? Napisz do mnie!



    Łukasz Kulicki

    O autorze: Łukasz Kulicki

    Radca prawny w Kancelarii After Legal specjalizującej się w obsłudze prawnej firm z sektora IT, nowych technologii i branży internetowej, a także podmiotów przechodzących transformację cyfrową. Specjalizuje się w negocjowaniu umów IT, w szczególności umów wdrożeniowych, umów na usługi IT (w tym chmurowych) i umów body leasingowych. Zajmuje się także doradztwem prawnym z zakresu ochrony danych osobowych (RODO), prawa e-commerce i własności intelektualnej.

    Close Menu
    0
      0
      Koszyk
      Twój koszyk jest pustyWróć do sklepu
      Kontynuuj zakupy