1. Strona główna
  2. AI, RODO, EU Data Act, Cyberbezpieczeństwo, Kryptowaluty, E-handel
  3. RODO i Bezpieczeństwo Informacji
  4. RODO
  5. Weryfikacja podmiotów przetwarzających dane osobowe przez administratora – kompletny poradnik dla firm i instytucji
Wyszukiwanie...

Weryfikacja podmiotów przetwarzających dane osobowe przez administratora – kompletny poradnik dla firm i instytucji

Spis treści

Wybór i nadzór nad procesorem danych (podmiotem przetwarzającym) to jeden z najważniejszych obowiązków administratora danych osobowych. Od rzetelności tej weryfikacji zależy bezpieczeństwo danych klientów i pracowników, a także odpowiedzialność prawna samego administratora.
W tym poradniku wyjaśniam: kiedy i jak trzeba weryfikować procesoraco powinno znaleźć się w dokumentacjijak wygląda to w przypadku dużych dostawców masowych, oraz jakie są konsekwencje braku weryfikacji lub naruszenia po stronie procesora. Otrzymasz też praktyczne przykłady z życia firm i instytucji.

Czym jest powierzenie danych i kiedy powstaje obowiązek weryfikacji?

Powierzenie danych oznacza, że administrator korzysta z zewnętrznego podmiotu, który w jego imieniu wykonuje określone operacje na danych osobowych – np. biuro księgowe, dostawca chmurowej poczty, firma IT utrzymująca systemy czy platforma rekrutacyjna.

👉 Ważne: o tym, kto jest procesorem, nie decyduje sama umowa, ale stan faktyczny. Jeśli treścią współpracy jest faktyczne przetwarzanie danych w imieniu administratora – mamy do czynienia z powierzeniem, nawet jeśli strony nazwały to inaczej .

Dlatego zawarcie umowy powierzenia jest koniecznym obowiązkiem, ale nie wystarcza – bo umowa nie tworzy procesora, a jedynie reguluje jego obowiązki .

Obowiązek weryfikacji – wymóg RODO

Art. 28 ust. 1 RODO mówi wprost:

„Jeżeli przetwarzanie ma być dokonywane w imieniu administratora, korzysta on wyłącznie z usług takich podmiotów przetwarzających, które zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi niniejszego rozporządzenia i chroniło prawa osób, których dane dotyczą.” – RODO, art. 28 ust. 1

W praktyce oznacza to, że administrator:

  • nie może współpracować z podmiotem, który nie daje realnych gwarancji,
  • musi przeprowadzić wnikliwą weryfikację przed podpisaniem umowy,
  • a następnie cyklicznie powtarzać sprawdzenie w czasie współpracy .

Kiedy dokładnie weryfikować procesora?

  1. Przed zawarciem umowy – tylko po rzetelnej ocenie ryzyka i kompetencji procesora można podpisać umowę powierzenia .
    • Potwierdził to PUODO w decyzji przeciwko Ośrodkowi Kultury w Sułkowicach (2022) – kara została nałożona, ponieważ administrator w ogóle nie sprawdził kontrahenta .
  2. W trakcie współpracy – obowiązek ma charakter ciągły, co potwierdzają Wytyczne EROD 07/2020 oraz decyzje organów. Administrator powinien co pewien czas ponownie badać gwarancje procesora (np. audyty, przeglądy, raporty) .
  3. Przy zmianach lub sygnałach zagrożeń – np. zmiana technologii, lokalizacji serwerów, powtarzające się incydenty bezpieczeństwa, czy pojawienie się nowego podprocesora .

📌 Praktyczna rada: w umowie warto zapisać harmonogram audytów (np. co 12–24 miesiące) oraz tzw. „punkty alarmowe” (np. 2 naruszenia w kwartale → obowiązkowy audyt).

Jak weryfikować podmiot przetwarzający – cztery filary oceny

Wytyczne EROD 07/2020 oraz praktyka UODO wskazują, że administrator nie może poprzestać na ogólnych deklaracjach procesora. Musi sprawdzić realne dowody, które potwierdzają, że dany podmiot daje „wystarczające gwarancje”. W praktyce ocena powinna obejmować cztery obszary:

1️⃣ Wiedza fachowa i organizacja ochrony danych

  • Czy procesor posiada doświadczenie w usługach podobnych do tych, które zleca administrator? (np. referencje, opis projektów, skala działalności).
  • Czy powołał Inspektora Ochrony Danych (IOD), a jeśli nie – to jak zorganizował nadzór nad przetwarzaniem?
  • Czy pracownicy mają regularne szkolenia z ochrony danych i bezpieczeństwa? (warto poprosić o program szkoleń i rejestry uczestników).
  • Jak wygląda organizacja wewnętrzna – czy istnieją dedykowane zespoły ds. bezpieczeństwa?

2️⃣ Wiarygodność rynkowa i zgodność z prawem

  • Czy procesor ma certyfikaty potwierdzające stosowanie standardów (np. ISO 27001, zgodność z kodeksem postępowania)?
  • Czy był przedmiotem decyzji nadzorczych (np. PUODO, EROD) lub wyroków sądowych w sprawach ochrony danych? Jeśli tak – jakie wdrożył działania naprawcze?
  • Czy może przedstawić referencje od innych administratorów z podobnej branży?

3️⃣ Zasoby techniczne i organizacyjne (art. 32 RODO)

Tutaj weryfikacja musi być szczególnie szczegółowa. Procesor powinien umieć pokazać dokumenty i raporty potwierdzające, że wdrożył odpowiednie środki bezpieczeństwa. Przykłady pytań:

  • Czy posiada politykę bezpieczeństwa i ochrony danych oraz procedury postępowania w razie naruszenia?
  • Jak wygląda system zarządzania bezpieczeństwem (np. zgodny z ISO 27001, ISO 27002, NIST)?
  • Czy przeprowadza oceny ryzyka oraz analizy skutków dla ochrony danych (DPIA/PIA)?
  • Czy wdrożył pseudonimizację i szyfrowanie danych?
  • Czy testuje odporność systemów – np. odtwarzanie danych z backupów, testy penetracyjne?
  • Czy prowadzi rejestr czynności przetwarzania (jeżeli jest zobowiązany)?
  • Jak wygląda system nadawania uprawnień użytkownikom (listy upoważnień, procedury odbierania dostępów)?
  • Czy prowadzi regularne audyty wewnętrzne i może pokazać ich wyniki?

4️⃣ Współdziałanie z administratorem i rozliczalność

  • Czy procesor umożliwia administratorowi przeprowadzenie audytów i inspekcji? (art. 28 ust. 3 lit. h RODO).
  • W jaki sposób wspiera realizację praw osób, których dane dotyczą (np. dostęp do danych, sprostowanie, usunięcie)?
  • Czy procesor informuje o zmianach (np. dodaniu podprocesorów, przeniesieniu danych poza EOG)?
  • Jak szybko zgłasza naruszenia ochrony danych – czy ma procedurę i SLA (np. 24 godziny od wykrycia)?

Checklist dla administratora – przykładowe pytania do procesora

📄 Przed podpisaniem umowy administrator powinien przekazać procesorowi ankietę due diligence. Oto przykładowe pytania, które można w niej zawrzeć:

  • Czy w organizacji wyznaczono IOD? Proszę podać dane kontaktowe.
  • Proszę przedstawić program i harmonogram szkoleń z ochrony danych dla pracowników.
  • Czy organizacja posiada certyfikat ISO 27001 lub równoważny?
  • Proszę opisać stosowane metody szyfrowania danych w tranzycie i w spoczynku.
  • Kiedy ostatni raz przeprowadzono test odtwarzania danych (Disaster Recovery Test)? Proszę podać wyniki.
  • Jak wygląda procedura obsługi naruszeń danych osobowych? Jaki jest maksymalny czas zgłoszenia do ADO?
  • Czy organizacja prowadzi rejestr naruszeń i czynności przetwarzania?
  • Czy możliwe są audyty/inspekcje na miejscu oraz zdalnie?
  • Proszę wskazać listę podprocesorów i lokalizacje centrów danych.
  • Jak długo dane są przechowywane w backupach i jaka jest procedura ich usuwania?

✅ Dobrą praktyką jest wymaganie nie tylko odpowiedzi na pytania, ale też dokumentów potwierdzających (polityki, raporty z audytów, certyfikaty, protokoły testów).

Jak dokumentować weryfikację procesora – „Teczka procesora”

RODO wprowadza zasadę rozliczalności – administrator musi nie tylko działać zgodnie z prawem, ale także udowodnić, że to zrobił. Dlatego kluczowe jest stworzenie kompletnej dokumentacji dla każdego procesora.

Co powinna zawierać „Teczka procesora”?

  • 📄 Raport weryfikacji wstępnej – opis metodyki, wyniki ankiety due diligence, analiza ryzyka i rekomendacja (zaakceptować, zaakceptować warunkowo, odrzucić).
  • 📑 Artefakty dowodowe – polityki bezpieczeństwa, certyfikaty (np. ISO), raporty z audytów, wyniki testów DR, lista podprocesorów.
  • ✍️ Umowę powierzenia przetwarzania z pełnym katalogiem elementów z art. 28 ust. 3 RODO.
  • 🕵️ Plan audytów okresowych i protokoły z ich przeprowadzenia.
  • 🛠️ Rejestr incydentów dotyczących procesora i podjętych działań naprawczych.
  • 📌 Decyzje zarządu lub kierownictwa – np. uzasadnienie, dlaczego mimo incydentu administrator utrzymuje współpracę.

⚠️ PUODO w decyzjach wielokrotnie podkreślał, że brak dowodów weryfikacji jest samodzielnym naruszeniem RODO. To oznacza, że administrator może ponieść karę, nawet jeśli sam procesor działał poprawnie, ale ADO nie ma śladu, że go sprawdził.

Co musi zawierać umowa powierzenia (art. 28 ust. 3 RODO)

Umowa z procesorem nie jest formalnością – musi mieć określone elementy. Oto checklista umowna:

  • Przedmiot i czas trwania przetwarzania.
  • Charakter i cel przetwarzania danych.
  • Rodzaj danych osobowych i kategorie osób, których dane dotyczą.
  • Prawa i obowiązki administratora.
  • Zobowiązanie procesora do:
    • przetwarzania danych wyłącznie na udokumentowane polecenie administratora,
    • zapewnienia poufności przez osoby upoważnione do przetwarzania,
    • wdrożenia odpowiednich środków bezpieczeństwa (art. 32 RODO),
    • przestrzegania warunków korzystania z podprocesorów (wykaz + prawo sprzeciwu),
    • pomocy administratorowi w realizacji obowiązków wobec osób fizycznych (rozdz. III RODO),
    • wspierania ADO w zakresie zgłaszania naruszeń, oceny skutków dla ochrony danych, konsultacji z organem nadzorczym,
    • usunięcia lub zwrotu danych po zakończeniu umowy,
    • umożliwienia audytów i inspekcji.

📌 W praktyce warto uzupełnić umowę o:

  • SLA (np. czas reakcji na zgłoszenie naruszenia ≤ 24h),
  • wymagane raporty okresowe (np. z testów DR),
  • prawo wypowiedzenia w razie poważnych naruszeń,
  • kary umowne za rażące naruszenia obowiązków.

Praktyczne przykłady

🔹 Przykład 1 – biuro rachunkowe w małej firmie

Firma handlowa „Alfa” (20 pracowników) powierza dane osobowe biuru rachunkowemu „Sigma”.
Działania administratora:

  1. Przekazuje biuru ankietę due diligence.
  2. Otrzymuje politykę bezpieczeństwa, listę upoważnień i dowód ostatniego testu backupu.
  3. Sporządza raport weryfikacji i zachowuje go w „teczce procesora”.
  4. Zawiera umowę powierzenia z pełnym zakresem art. 28 ust. 3.
  5. Po roku przeprowadza audyt – protokół trafia do dokumentacji.

Efekt: administrator ma dowód, że procesor spełnia wymogi i że sam dopełnił obowiązku weryfikacji.

🔹 Przykład 2 – szkoła korzystająca z platformy rekrutacyjnej

Szkoła średnia korzysta z systemu SaaS do rekrutacji uczniów. Dostawcą jest duży, renomowany podmiot.
Działania administratora:

  1. Sprawdza certyfikaty ISO, raporty audytowe i polityki dostawcy.
  2. Dokumentuje analizę – dlaczego wybór tej platformy stanowi „wystarczającą gwarancję”.
  3. W umowie zastrzega prawo do audytu i powiadomienia o zmianach podprocesorów.
  4. Po pół roku sprawdza listę subprocesorów i protokół testu przywracania danych.

Efekt: administrator zachowuje zgodność z art. 28 RODO i może obronić się w razie kontroli UODO.

Masowi dostawcy usług – co na to sądy?

W wyroku WSA w Warszawie (sprawa korzystania z Microsoft Teams w szkole) sąd wskazał, że wybór renomowanego dostawcy globalnego może sam w sobie być uznany za wystarczającą gwarancję zgodności.

⚠️ Jednak nie oznacza to „zwolnienia” z obowiązków – administrator wciąż musi:

  • przeanalizować ryzyko,
  • zebrać dowody (polityki, certyfikaty, raporty),
  • sporządzić notatkę/protokół uzasadniającą wybór.

Odpowiedzialność administratora danych – kiedy odpowiada, a kiedy może się obronić

RODO przewiduje bardzo szeroką odpowiedzialność administratora. To właśnie administrator, a nie procesor, jest w pierwszej kolejności adresatem obowiązków związanych z bezpieczeństwem i zgodnością.

📌 Kary administracyjne

  • Zgodnie z art. 83 ust. 4 lit. a RODO, za naruszenie obowiązków wynikających m.in. z art. 28 RODO, administratorowi grozi kara do 10 mln euro lub do 2% rocznego światowego obrotu – w zależności od tego, która kwota jest wyższa.
  • PUODO wielokrotnie stosował sankcje wobec administratorów, którzy nie udokumentowali weryfikacji procesora (np. Ośrodek Kultury w Sułkowicach).

📌 Kiedy administrator może ograniczyć odpowiedzialność?

  • Jeśli rzetelnie zweryfikował procesora przed powierzeniem danych i posiada dokumentację potwierdzającą należytą staranność, wówczas incydent po stronie procesora nie musi automatycznie oznaczać odpowiedzialności administratora.
  • W wyroku WSA z 5.10.2021 r. podkreślono, że odpowiedzialność administratora nie jest absolutna – liczy się faktyczna staranność i dowody działań.

Co robić, gdy procesor narusza przepisy

Nawet najlepiej dobrany podmiot może popełnić błąd. Kluczowe jest, aby administrator miał plan reakcji i umiał go udokumentować.

1️⃣ Reakcja na pojedyncze incydenty

  • Otrzymujesz zgłoszenie od procesora → wpisz do rejestru incydentów.
  • Oceń, czy naruszenie wymaga zgłoszenia do UODO (art. 33 RODO) i/lub zawiadomienia osób, których dane dotyczą (art. 34 RODO).
  • Zweryfikuj, jakie działania naprawcze podjął procesor.

2️⃣ Powtarzające się naruszenia

  • Jeżeli u procesora dochodzi do incydentów regularnie, administrator ma obowiązek przeprowadzić przegląd nadzwyczajny (audyt, kontrola).
  • W decyzji UODO w sprawie Cyfrowego Polsatu (choć uchylonej przez sąd) podkreślono, że administrator musi reagować na sygnały, że procesor nie spełnia już wymogów RODO.

3️⃣ Brak współpracy procesora

  • Jeśli procesor odmawia audytu, nie przekazuje artefaktów lub nie wdraża środków naprawczych → administrator powinien rozważyć rozwiązanie umowy.
  • Konieczne jest wtedy przeprowadzenie exit planu: migracja danych do nowego dostawcy, usunięcie lub zwrot danych, potwierdzenie ich skasowania także z backupów.

Złote zasady reakcji na problemy z procesorem

✔ Dokumentuj wszystkie incydenty i decyzje zarządcze.
✔ Zawsze oceniaj, czy działania procesora są wystarczające, by przywrócić zgodność.
✔ Nie wahaj się zakończyć współpracy, jeśli podmiot nie spełnia wymogów art. 28 ust. 1 RODO – inaczej ryzykujesz własną odpowiedzialność.

Podsumowanie całego poradnika – najważniejsze wnioski

  1. Weryfikacja procesora to obowiązek ciągły – przed umową i w trakcie współpracy.
  2. Nie wystarczy umowa – potrzebne są dowody weryfikacji (ankiety, certyfikaty, audyty).
  3. Cztery filary oceny: wiedza, wiarygodność, zasoby, współdziałanie.
  4. Dokumentacja w „teczce procesora” – jedyny sposób, by udowodnić należytą staranność.
  5. Umowa powierzenia musi zawierać elementy art. 28 ust. 3 RODO i praktyczne zabezpieczenia (SLA, audyty, kary umowne).
  6. Odpowiedzialność administratora można ograniczyć tylko przez rzetelną i udokumentowaną weryfikację.
  7. Reaguj na sygnały – incydenty, brak współpracy, zmiany w podprocesorach.

Podstawa prawna

  • art. 28 ust. 1 i 3 – Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 (RODO)
  • art. 32–36 – RODO (bezpieczeństwo przetwarzania, zgłaszanie naruszeń, DPIA, konsultacje)
  • art. 83 ust. 4 – RODO (sankcje)
  • Wytyczne EROD 07/2020 dotyczące art. 28 RODO
  • Orzecznictwo: decyzja PUODO ws. Sułkowic (kara za brak weryfikacji), sprawa Cyfrowego Polsatu (reakcja na powtarzające się naruszenia), wyrok WSA (MS Teams – wystarczające gwarancje przy renomowanym dostawcy)

Tematy porad zawartych w poradniku

  • weryfikacja podmiotów przetwarzających RODO
  • umowa powierzenia danych osobowych 2025
  • odpowiedzialność administratora danych osobowych
  • audyt procesora danych osobowych
  • dokumentacja zgodności z RODO

Przydatne adresy urzędowe

Ostatnia aktualizacja: 31.08.2025
Powiązane porady:
Czy ta porada była dla Ciebie pomocna?
Yes No

Zobacz również: