Czy dokumenty są zgodne z prawem?

Oparte na RODO (UE 2016/679), ustawie o świadczeniu usług drogą elektroniczną i ustawie o prawach konsumenta. Szablony edytowalne — nie stanowią porady prawnej.

Ile kosztuje polityka prywatności?

Polityka prywatności kosztuje 49 PLN jednorazowo. Pakiet startowy (polityka prywatności + regulamin) kosztuje 79 PLN.

Ile czasu zajmuje wypełnienie formularza?

4 kroki: dane firmy, co zbierasz, jakich usług używasz, wybór pakietu. Łącznie ok. 5 minut.

Czy potrzebuję konta?

Zero rejestracji. Podajesz email dostawy przy zakupie — tam trafiają dokumenty.

Czy mogę zwrócić zakup?

Zgodnie z art. 38 ust. 1 pkt 13 ustawy o prawach konsumenta prawo odstąpienia nie przysługuje przy treściach cyfrowych, jeśli konsument wyraził zgodę na natychmiastowe dostarczenie.

Dla kogo jest ten generator?

Sklepy online, strony B2C, SaaS-y, blogi — każdy kto zbiera dane osobowe i chce to robić zgodnie z prawem.

Umowa powierzenia przetwarzania danych — kiedy jest wymagana i jak ją zawrzeć

Czym jest umowa powierzenia przetwarzania danych?

Umowa powierzenia przetwarzania danych (ang. Data Processing Agreement, DPA) to dokument wymagany przez art. 28 RODO, który reguluje relację między administratorem danych (Twoją firmą) a podmiotem przetwarzającym (zewnętrznym dostawcą, któremu przekazujesz dane).

Mówiąc prościej: zawsze gdy ktoś inny przetwarza dane Twoich klientów w Twoim imieniu — musisz mieć z nim umowę powierzenia.

Kiedy umowa powierzenia jest wymagana?

Umowę powierzenia zawierasz za każdym razem, gdy:

Korzystasz z **zewnętrznego narzędzia SaaS**, które przetwarza dane Twoich użytkowników

Zlecasz **obsługę hostingu** zewnętrznej firmie przechowującej dane klientów

Korzystasz z **agencji marketingowej** mającej dostęp do Twojej bazy email

Zatrudniasz **zewnętrzne biuro rachunkowe** przetwarzające dane pracowników lub klientów

Używasz **chmurowego CRM** (HubSpot, Salesforce, Pipedrive)

Przykłady narzędzi wymagających DPA:

Narzędzie	Dane, które przetwarza
Mailchimp / GetResponse / Brevo	Adresy email subskrybentów newslettera
Stripe / PayU / Przelewy24	Dane płatności i dane klientów
Google Analytics 4	Dane o zachowaniu użytkowników, adresy IP
Hotjar / Microsoft Clarity	Nagrania sesji, mapy ciepła z danymi użytkowników
Cloudflare	Logi dostępu zawierające adresy IP
Intercom / Zendesk	Korespondencja z klientami, dane kontaktowe

Czym umowa powierzenia różni się od zgody na przetwarzanie?

To częsty błąd — mylenie zgody użytkownika (art. 6 RODO) z umową powierzenia (art. 28 RODO):

Zgoda użytkownika — użytkownik wyraża zgodę na to, że Ty przetwarzasz jego dane (klik checkboxa)

Umowa powierzenia — Ty zlecasz przetwarzanie danych zewnętrznemu podmiotowi i regulujesz warunki tego przetwarzania

Obie są wymagane niezależnie od siebie.

Co musi zawierać umowa powierzenia?

Zgodnie z art. 28 ust. 3 RODO umowa musi określać:

1. Przedmiot i czas trwania przetwarzania

2. Charakter i cel przetwarzania

3. Rodzaj danych osobowych i kategorie osób, których dane dotyczą

4. Obowiązki i prawa administratora

5. Zobowiązanie podmiotu przetwarzającego do:

- przetwarzania danych wyłącznie na udokumentowane polecenie administratora

- zapewnienia poufności przez personel

- wdrożenia odpowiednich środków bezpieczeństwa (art. 32 RODO)

- niekorzystania z podpodmiotów przetwarzających bez zgody administratora

- pomocy administratorowi w realizacji praw podmiotów danych

- usunięcia lub zwrotu danych po zakończeniu świadczenia usług

- udostępniania informacji umożliwiających wykazanie zgodności

Jak w praktyce zawrzeć umowę powierzenia?

Narzędzia SaaS (Mailchimp, Stripe, Google, Hotjar)

Większość dużych dostawców SaaS ma gotowe umowy powierzenia (DPA) dostępne na ich stronach. Wystarczy:

1. Zalogować się do panelu narzędzia

2. W ustawieniach prawnych lub na stronie RODO/privacy podpisać DPA (zazwyczaj wystarczy akceptacja regulaminu zawierającego DPA)

3. Zachować potwierdzenie podpisania

Przykłady:

Mailchimp: Ustawienia → Informacje o koncie → Umowa o przetwarzaniu danych

Stripe: automatycznie zawarta przy akceptacji warunków korzystania z usługi

Google: Narzędzia → Centrum bezpieczeństwa → Umowy o przetwarzaniu danych

Biuro rachunkowe / agencja marketingowa

Tutaj musisz samodzielnie zawrzeć umowę. Masz dwie opcje:

Aneks do istniejącej umowy o współpracy

Osobna umowa powierzenia

Umowa powierzenia a przekazywanie danych do USA

Jeśli podmiot przetwarzający ma serwery poza UE (np. Mailchimp, Stripe, Google — USA), umowa musi zawierać dodatkowe zabezpieczenia:

Standardowe klauzule umowne (SCC) — zatwierdzone przez Komisję Europejską wzory umów

Ocena skutków dla ochrony danych (TIA) — analiza ryzyka transferu do konkretnego kraju

W praktyce: większość dużych dostawców (Google, Stripe, Mailchimp) ma zatwierdzone SCC wbudowane w swoje DPA — nie musisz robić niczego dodatkowego poza akceptacją ich umów.

Co grozi za brak umowy powierzenia?

Brak umowy powierzenia to naruszenie art. 28 RODO. Sankcje:

Kara finansowa — do 10 mln EUR lub 2% rocznego obrotu (art. 83 ust. 4 lit. a RODO)

W Polsce UODO nałożył kary za brak umów powierzenia na kilka firm w ostatnich latach

W praktyce UODO podczas kontroli sprawdza, czy administrator posiada umowy ze wszystkimi podmiotami przetwarzającymi. Brak umowy z popularnym narzędziem jak Mailchimp lub biurem rachunkowym jest jednym z najczęściej wykrywanych naruszeń.

Najczęstsze błędy

1. Brak DPA z biurem rachunkowym — to najbardziej przeoczany obowiązek. Biuro rachunkowe przetwarza dane pracowników i często klientów — umowa powierzenia jest obowiązkowa.

2. Używanie narzędzi bez weryfikacji DPA — przed wdrożeniem nowego narzędzia SaaS sprawdź, czy oferuje DPA i jak je podpisać.

3. Brak aktualizacji listy podmiotów przetwarzających — dodałeś nowe narzędzie? Zaktualizuj politykę prywatności i upewnij się, że masz DPA.

4. Mylenie DPA z regulaminem narzędzia — samo zaakceptowanie regulaminu niekoniecznie oznacza zawarcie umowy powierzenia. Szukaj sekcji "DPA", "Data Processing Agreement" lub "Umowa powierzenia".

Podsumowanie

Umowa powierzenia przetwarzania danych jest obowiązkowa zawsze, gdy zewnętrzny podmiot przetwarza dane Twoich klientów lub użytkowników. Duże narzędzia SaaS mają gotowe DPA — wystarczy je zaakceptować. Z biurami rachunkowymi i agencjami marketingowymi musisz zawrzeć odrębną umowę. Pamiętaj też o wpisaniu podmiotów przetwarzających do polityki prywatności — generuj ją na [regulaminrodo.pl](/generate).