Pobierz darmowy wzór umowy powierzenia przetwarzania danych osobowych (RODO) w formacie Word, przygotowany przez ekspertów FakturTax. Dokument jest zgodny z obowiązującymi przepisami na 2026 rok i gotowy do edycji oraz wydruku.

Umowa powierzenia

Gotowy wzór do wypełnienia i natychmiastowego użycia.

dowiedz się więcej >

Aktualizacja na dzień 29.05.2026

Pobranie druku

Umowa powierzenia a kary i odpowiedzialność

Nieprawidłowe powierzenie przetwarzania danych lub brak umowy powierzenia to jedno z najczęściej stwierdzanych naruszeń RODO w Polsce. W 2026 roku warto znać zakres odpowiedzialności obu stron.

Kary dla administratora: Administrator, który powierzył przetwarzanie danych bez wymaganej umowy lub powierzył je podmiotowi niedającemu wystarczających gwarancji bezpieczeństwa, może zostać ukarany przez PUODO karą do 10 000 000 EUR lub 2% rocznego obrotu. Dotychczasowe decyzje PUODO pokazują, że organ aktywnie egzekwuje ten obowiązek.

Kary dla podmiotu przetwarzającego: Podmiot przetwarzający odpowiada za naruszenia RODO w zakresie obowiązków nałożonych bezpośrednio na niego — m.in. za przetwarzanie danych bez polecenia administratora, niedostateczne środki bezpieczeństwa czy nieuzasadnione dalsze powierzenie. Kara może wynieść do 10 000 000 EUR lub 2% obrotu.

Dalsze powierzenie (podprzetwarzający): Podmiot przetwarzający może korzystać z usług kolejnych podmiotów (podprzetwarzających) wyłącznie za uprzednią zgodą administratora — ogólną lub szczegółową. Korzystanie z podprzetwarzającego bez zgody administratora stanowi naruszenie umowy i RODO.

Naruszenie ochrony danych: W razie naruszenia ochrony danych osobowych (np. wycieku) podmiot przetwarzający jest zobowiązany niezwłocznie — bez zbędnej zwłoki — poinformować administratora. Administrator ma następnie 72 godziny na zgłoszenie naruszenia do PUODO, jeśli naruszenie może powodować ryzyko dla praw i wolności osób fizycznych.

Czym jest umowa powierzenia przetwarzania danych osobowych?

Umowa powierzenia przetwarzania danych osobowych (zwana też umową powierzenia lub DPA — Data Processing Agreement) to umowa zawierana między administratorem danych osobowych a podmiotem przetwarzającym, który przetwarza dane w imieniu i na polecenie administratora. Obowiązek jej zawarcia wynika bezpośrednio z art. 28 rozporządzenia RODO (Rozporządzenia Parlamentu Europejskiego i Rady UE 2016/679).

Administrator danych to podmiot, który decyduje o celach i sposobach przetwarzania danych — najczęściej jest to firma zlecająca usługę. Podmiot przetwarzający to natomiast zewnętrzny dostawca usług, który przetwarza dane w imieniu administratora — np. biuro rachunkowe, firma IT, agencja marketingowa, dostawca oprogramowania czy firma kurierska.

Warto wiedzieć: brak umowy powierzenia przy faktycznym przetwarzaniu danych osobowych przez podmiot zewnętrzny stanowi naruszenie RODO i może skutkować karą administracyjną nakładaną przez Prezesa Urzędu Ochrony Danych Osobowych (PUODO) w wysokości do 10 000 000 EUR lub 2% rocznego światowego obrotu przedsiębiorstwa.

Kiedy należy zawrzeć umowę powierzenia ?

Umowa powierzenia przetwarzania danych jest obowiązkowa zawsze, gdy:

firma korzysta z usług biura rachunkowego mającego dostęp do danych pracowników i klientów,
przedsiębiorca wdraża zewnętrzny system CRM, ERP lub kadrowo-płacowy przetwarzający dane osobowe,
agencja marketingowa realizuje kampanie e-mail lub prowadzi bazy mailingowe w imieniu klienta,
firma IT świadczy usługi hostingu, chmury obliczeniowej lub wsparcia technicznego z dostępem do danych,
zewnętrzna firma obsługuje call center lub helpdesk przetwarzający dane klientów,
dostawca oprogramowania kadrowego lub księgowego ma dostęp do danych pracowników,
firma kurierska lub logistyczna przetwarza dane adresowe klientów w imieniu sklepu internetowego.

Kluczowe kryterium jest proste: jeśli zewnętrzny podmiot przetwarza dane osobowe w imieniu Twojej firmy i według Twoich instrukcji — umowa powierzenia jest obowiązkowa.

POLECANE

*w połączeniu z usługą księgową

zł*

~~300 zł~~

KOSZT ZAŁOŻENIA

Załóż firmę z nami >

Zakładasz firmę ?

Załatwimy za Ciebie CEIDG, VAT-R i ZUS w 35 minut. Bez wizyt w urzędach.

Pobierz wzór

WIDEO

FAQ: Umowa powierzenia - wzór

5. Czy umowa powierzenia obejmuje dane pracowników?

Tak, jeśli zewnętrzny podmiot (np. firma kadrowa, dostawca systemu HR, biuro rachunkowe) przetwarza dane pracowników w imieniu pracodawcy, wymagana jest umowa powierzenia. Dane pracowników są danymi osobowymi w rozumieniu RODO, a pracodawca jest ich administratorem. Każdy zewnętrzny dostęp do tych danych wymaga formalnego uregulowania.

4. Co się dzieje z danymi po zakończeniu umowy?

Po zakończeniu świadczenia usług podmiot przetwarzający jest zobowiązany — zgodnie z wyborem administratora, do usunięcia lub zwrotu wszystkich danych osobowych oraz do usunięcia istniejących kopii, chyba że prawo UE lub prawo krajowe nakazuje ich przechowywanie. Obowiązek ten powinien być precyzyjnie uregulowany w umowie powierzenia wraz z terminem jego wykonania.

3. Czy biuro rachunkowe wymaga umowy powierzenia?

Tak,biuro rachunkowe przetwarzające dane pracowników, kontrahentów i klientów swojego klienta działa jako podmiot przetwarzający. Zawarcie umowy powierzenia z biurem rachunkowym jest obowiązkowe i stanowi jeden z podstawowych wymogów RODO dla każdego przedsiębiorcy korzystającego z zewnętrznej księgowości. Brak takiej umowy to jedno z najczęstszych naruszeń stwierdzanych podczas kontroli PUODO.

2. Czym różni się administrator od podmiotu przetwarzającego?

Administrator samodzielnie decyduje o celach i sposobach przetwarzania danych, odpowiada za to, po co i w jaki sposób dane są przetwarzane. Podmiot przetwarzający przetwarza dane wyłącznie na polecenie administratora i w zakresie przez niego określonym, nie ma prawa przetwarzać danych we własnych celach. Błędne zakwalifikowanie roli stron jest częstym błędem prowadzącym do nieprawidłowego skonstruowania umowy.

1. Czy umowa powierzenia musi być zawarta na piśmie?

Tak, art. 28 ust. 3 RODO wymaga, aby umowa powierzenia była zawarta w formie pisemnej lub elektronicznej. Ustne ustalenia nie spełniają wymogów RODO i nie mogą zastąpić formalnej umowy. Dopuszczalna jest forma elektroniczna np. podpisany dokument PDF przesłany e-mailem lub umowa zawarta przez platformę z podpisem kwalifikowanym.