EuroComply
Sign up
Back to blog
RODO 9 min read

Jak przeprowadzić audyt zewnętrznych podmiotów przetwarzających zgodnie z RODO

What you need to know: Jak przeprowadzić audyt zewnętrznych podmiotów przetwarzających zgodnie z RODO

Artykuł 28 RODO zobowiązuje organizacje do korzystania wyłącznie z podmiotów przetwarzających dających wystarczające gwarancje. Przewodnik wyjaśnia, jak audytować dostawców i prowadzić zgodne umowy powierzenia przetwarzania danych.

Source: EuroComply Editorial (2024-11-15)Reviewed:
EuroComply Team
EU regulatory specialistsContent reviewed against official EUR-Lex texts
EuroComply Editorial Team

Każda organizacja, która powierza zewnętrznemu dostawcy przetwarzanie danych osobowych w swoim imieniu, musi zapewnić, że dostawca ten daje „wystarczające gwarancje" w rozumieniu artykułu 28 RODO. Nie jest to zwykła formalność kontraktowa — jest to materialne zobowiązanie w zakresie rozliczalności, a organy nadzorcze traktują niedostateczne zarządzanie podmiotami przetwarzającymi jako poważne naruszenie compliance, świadczące o ogólnej jakości zarządzania danymi przez administratora.

Niniejszy przewodnik wyjaśnia, czym jest podmiot przetwarzający, jakie wymogi nakłada artykuł 28, jak skutecznie przeprowadzać audyty podmiotów przetwarzających oraz jak wypełniać bieżące zobowiązania wynikające z relacji powierzenia przetwarzania.

Czym jest podmiot przetwarzający?

Artykuł 4 pkt 8 RODO definiuje podmiot przetwarzający jako „osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który przetwarza dane osobowe w imieniu administratora." Kluczowe wyrażenie to „w imieniu" — podmiot przetwarzający działa zgodnie z instrukcjami administratora i przetwarza dane w jego celach, nie we własnych.

Do typowych przykładów podmiotów przetwarzających należą: dostawcy hostingu w chmurze, biura rachunkowe obsługujące naliczanie wynagrodzeń, platformy e-mail marketingu, systemy CRM, oprogramowanie do zarządzania zasobami ludzkimi, narzędzia obsługi klienta oraz wszelkie platformy analityczne przetwarzające dane osobowe, które Państwo dostarczają lub generują. Dostawca przetwarzający dane osobowe wyłącznie we własnych celach — na przykład firma analityczna agregująca Państwa dane z danymi innych klientów na potrzeby własnego produktu — nie jest podmiotem przetwarzającym; jest współadministratorem lub niezależnym administratorem, i obowiązują wówczas odmienne zasady.

To rozróżnienie ma zasadnicze znaczenie, ponieważ wymogi artykułu 28 odnoszą się wyłącznie do relacji powierzenia przetwarzania. Błędna kwalifikacja — traktowanie niezależnego administratora jako podmiotu przetwarzającego — prowadzi do nieprawidłowych struktur umownych i potencjalnego nieodpowiedniego przypisania odpowiedzialności.

Wymogi artykułu 28

Artykuł 28 nakłada na administratorów dwa podstawowe obowiązki :

1. Korzystać wyłącznie z podmiotów przetwarzających dających wystarczające gwarancje. Przed skorzystaniem z podmiotu przetwarzającego należy ocenić, czy daje on „wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych" tak, aby przetwarzanie spełniało wymogi RODO i chroniło prawa osób, których dane dotyczą. Pojęcie „wystarczalności" nie jest zdefiniowane w rozporządzeniu — wymaga realnej oceny, nie mechanicznego odhaczania pozycji na liście.

2. Zawrzeć umowę powierzenia przetwarzania danych. Każda relacja administrator–podmiot przetwarzający musi być regulowana umową lub innym instrumentem prawnym wiążącym podmiot przetwarzający wobec administratora.

Co musi zawierać umowa powierzenia przetwarzania (8 obowiązkowych klauzul)

Artykuł 28 ust. 3 RODO określa, że umowa powierzenia musi stanowić, iż podmiot przetwarzający:

  1. Przetwarza dane osobowe wyłącznie na udokumentowane polecenie administratora — w tym w odniesieniu do przekazywania danych do państw trzecich — chyba że obowiązek taki nakłada na niego prawo Unii lub prawo państwa członkowskiego (w takim przypadku podmiot przetwarzający informuje o tym administratora przed przetwarzaniem, chyba że prawo zakazuje udzielania takich informacji).
  2. Zapewnia, by osoby upoważnione do przetwarzania danych były zobowiązane do zachowania tajemnicy lub podlegały ustawowemu obowiązkowi zachowania tajemnicy.
  3. Wdraża odpowiednie środki techniczne i organizacyjne w zakresie bezpieczeństwa zgodnie z artykułem 32.
  4. Przestrzega warunków korzystania z usług innego podmiotu przetwarzającego — w szczególności uzyskuje uprzednią pisemną zgodę administratora oraz przekazuje dalszemu podmiotowi przetwarzającemu równoważne obowiązki.
  5. Pomaga administratorowi w realizacji obowiązku odpowiadania na żądania osób, których dane dotyczą, w zakresie wykonywania ich praw (dostępu, sprostowania, usunięcia, ograniczenia przetwarzania, przenoszenia danych, sprzeciwu) — uwzględniając charakter przetwarzania.
  6. Pomaga administratorowi w zapewnieniu przestrzegania obowiązków dotyczących bezpieczeństwa, zgłaszania naruszeń ochrony danych, oceny skutków (DPIA/DSFA) oraz uprzednich konsultacji — uwzględniając charakter przetwarzania oraz dostępne mu informacje.
  7. Po zakończeniu świadczenia usług usuwa lub zwraca wszelkie dane osobowe administratorowi oraz usuwa istniejące kopie, chyba że prawo Unii lub prawo państwa członkowskiego nakazuje przechowywanie danych.
  8. Udostępnia administratorowi wszelkie informacje niezbędne do wykazania spełnienia obowiązków oraz umożliwia administratorowi lub upoważnionemu przez niego audytorowi przeprowadzanie audytów i inspekcji, a także do nich współdziała.

Te osiem klauzul stanowi minimum. Wiele umów powierzenia zawiera dodatkowe postanowienia dotyczące harmonogramów reagowania na incydenty, powiadamiania o naruszeniach danych osobowych oraz szczegółowych standardów bezpieczeństwa.

Jak audytować podmioty przetwarzające

Prawa do audytu zapisane w umowie powierzenia są bezwartościowe, jeśli nie są egzekwowane. Praktyczny program audytu podmiotów przetwarzających składa się z trzech elementów:

Ocena przedkontraktowa

Przed podpisaniem umowy powierzenia przeprowadź ocenę opartą na kwestionariuszu, obejmującą: polityki i certyfikaty bezpieczeństwa dostawcy; miejsce przechowywania i przetwarzania danych osobowych (lokalizacja danych); listę podpodmiotów przetwarzających i sposób zarządzania nimi; zdolności w zakresie zgłaszania naruszeń oraz dotychczasowe incydenty; procedury szkolenia personelu i weryfikacji pracowników; a także procedury usuwania lub zwrotu danych.

Certyfikaty, na które należy zwrócić uwagę: ISO 27001 (system zarządzania bezpieczeństwem informacji) oraz SOC 2 Type II (kontrole bezpieczeństwa, dostępności i poufności) to dwa najważniejsze. Certyfikat ISO 27001 wydany przez akredytowaną jednostkę certyfikującą stanowi silny wskaźnik dojrzałości programu bezpieczeństwa. Raporty SOC 2 Type II należy szczegółowo analizować, nie tylko potwierdzać ich odbiór — należy skupić się na sekcji dotyczącej wyjątków, a nie wyłącznie na opinii audytora.

Certyfikaty te zmniejszają, lecz nie eliminują potrzeby bezpośredniej oceny. Dostawca może posiadać certyfikat ISO 27001 i jednocześnie wykazywać luki specyficzne dla RODO.

Kontraktowe prawa do audytu

Upewnij się, że umowa powierzenia zawiera wyraźne prawa do audytu — prawo do przeprowadzania audytów działań przetwarzania i środków bezpieczeństwa podmiotu przetwarzającego, bezpośrednio lub za pośrednictwem wyznaczonego podmiotu trzeciego. Duże podmioty przetwarzające (hyperscalerzy chmurowi, główne platformy SaaS) często sprzeciwiają się bezpośrednim audytom i zamiast tego dostarczają raporty audytowe (SOC 2, certyfikaty ISO 27001) jako substytut. Jest to dopuszczalne w wielu przypadkach na podstawie artykułu 28 ust. 3 lit. h RODO, jednak należy zachować kontraktowe prawo do przeprowadzania bezpośrednich audytów, gdy okoliczności tego wymagają.

Coroczny przegląd

Co najmniej raz w roku należy dokonać przeglądu stanu zgodności podmiotu przetwarzającego: czy jego certyfikacja wygasła, czy doszło do incydentów bezpieczeństwa, czy lista podpodmiotów przetwarzających zmieniła się w sposób wymagający oceny, czy zmieniły się warunki umowne? Wielu dostawców powiadamia klientów o zmianach w umowach powierzenia i listach podpodmiotów przetwarzających — należy wdrożyć proces weryfikacji tych powiadomień zamiast automatycznie je akceptować.

Zarządzanie podpodmiotami przetwarzającymi (artykuł 28 ust. 2)

Artykuł 28 ust. 2 RODO zobowiązuje podmiot przetwarzający do uzyskania zgody administratora przed skorzystaniem z usług innego podmiotu przetwarzającego. Istnieją dwa modele udzielania zgody:

Zgoda szczegółowa: Administrator zatwierdza każdy podpodmiot przetwarzający indywidualnie przed jego zaangażowaniem przez podmiot przetwarzający. Zapewnia maksymalną kontrolę, ale jest operacyjnie uciążliwa dla podmiotów przetwarzających posiadających rozbudowane lub często zmieniające się listy podpodmiotów.

Zgoda ogólna: Administrator udziela uprzedniej zgody na kategorie podpodmiotów przetwarzających lub zezwala podmiotowi przetwarzającemu na dodawanie podpodmiotów po uprzednim powiadomieniu. Większość dużych dostawców SaaS działa według tego modelu. Kluczowym wymogiem jest to, aby podmiot przetwarzający informował administratora o planowanych zmianach dotyczących podpodmiotów przetwarzających, a administrator zachował prawo do zgłoszenia sprzeciwu.

Należy prowadzić rejestr podpodmiotów przetwarzających w ramach programu zarządzania podmiotami przetwarzającymi. Gdy podmiot przetwarzający powiadamia o zmianie podpodmiotu przetwarzającego, należy ocenić zgodność nowego podpodmiotu przed upływem 30-dniowego okna do zgłoszenia sprzeciwu.

Klauzule standardowe dla transferów międzynarodowych (artykuł 46)

Jeżeli podmiot przetwarzający (lub podpodmiot przetwarzający) przetwarza dane osobowe poza EOG, wymagany jest mechanizm transferu na podstawie artykułu 46 RODO. Standardowe klauzule umowne (SCC) Komisji Europejskiej (przyjęte w czerwcu 2021 r.) są standardowym mechanizmem. Klauzule SCC modułu 2 (administrator do podmiotu przetwarzającego) powinny zostać włączone do umowy powierzenia lub dołączone do niej jako załącznik.

Samo włączenie SCC nie jest wystarczające — należy również przeprowadzić ocenę skutków transferu (Transfer Impact Assessment, TIA) dla każdego miejsca docelowego transferu, oceniając, czy ramy prawne kraju odbiorcy zapewniają ochronę równoważną tej obowiązującej w EOG. Należy udokumentować metodologię TIA oraz wyciągnięte wnioski.

Prowadzenie rejestru podmiotów przetwarzających

W ramach rejestru czynności przetwarzania (RCP) prowadzonego na podstawie artykułu 30 RODO należy prowadzić rejestr podmiotów przetwarzających zawierający: nazwę i dane kontaktowe podmiotu przetwarzającego; kategorie prowadzonych czynności przetwarzania; stosowane podpodmioty przetwarzające; miejsca docelowe transferów danych i stosowane mechanizmy transferu; odniesienie i wersję umowy powierzenia; oraz datę ostatniego przeglądu. Rejestr ten jest dokumentem rozliczalności demonstrującym program zarządzania podmiotami przetwarzającymi organowi nadzorczemu — w Polsce jest nim Prezes Urzędu Ochrony Danych Osobowych (UODO).

Coroczny przegląd to minimum — należy wbudować wyzwalacze w procesy zakupowe i zarządzania dostawcami, tak aby rejestr był aktualizowany za każdym razem, gdy angażowany jest nowy podmiot przetwarzający, zmieniana jest umowa powierzenia lub otrzymywane jest powiadomienie o zmianie podpodmiotu przetwarzającego.


Ostatnia aktualizacja: maj 2026. Wyłącznie w celach informacyjnych — nie stanowi porady prawnej.

Często zadawane pytania

Korzystamy z setek narzędzi SaaS — czy potrzebujemy indywidualnych umów powierzenia ze wszystkimi?

Tak, jeżeli przetwarzają one dane osobowe w Państwa imieniu. W praktyce większość dostawców SaaS udostępnia standardową dokumentację umów powierzenia poprzez swoją stronę internetową lub na życzenie, i należy ją podpisać lub zaakceptować przed uruchomieniem narzędzi z danymi osobowymi. Standardem stosowanym przy ocenie umowy powierzenia jest to, czy zawiera ona wszystkie osiem elementów wymaganych przez artykuł 28 ust. 3 RODO. Niektóre standardowe umowy powierzenia dostawców są niewystarczające — brakuje im właściwych praw do audytu, nie regulują zarządzania podpodmiotami przetwarzającymi lub pomijają obowiązek usunięcia danych. Jeżeli standardowa umowa powierzenia dostawcy zawiera istotne luki, należy negocjować zmiany lub — jeśli dostawca odmawia — ocenić, czy ryzyko związane z przetwarzaniem uzasadnia kontynuowanie współpracy, i udokumentować tę ocenę.

Co w praktyce oznaczają „wystarczające gwarancje" w przypadku małego dostawcy bez certyfikatów?

W przypadku dostawców nieposiadających ISO 27001 ani SOC 2 „wystarczające gwarancje" muszą być wykazane w inny sposób. Należy zażądać dowodów na istnienie polityk bezpieczeństwa (dopuszczalne użytkowanie, kontrola dostępu, zarządzanie łatkami, reagowanie na incydenty), informacji o tym, jak dane osobowe są chronione podczas transmisji i w spoczynku, informacji o praktykach szkoleniowych pracowników oraz wyników ewentualnych testów penetracyjnych. Wytyczne Europejskiej Rady Ochrony Danych (EROD) dotyczące artykułu 28 uznają, że mniejsze podmioty mogą nie posiadać formalnych certyfikatów, ale nadal muszą dostarczać merytorycznych dowodów na stosowanie odpowiednich środków bezpieczeństwa. Należy udokumentować ocenę — istnienie uzasadnionej oceny samo w sobie wpisuje się w obowiązek rozliczalności wynikający z artykułu 5 ust. 2 RODO, nawet jeśli wnioskiem jest, że pewne ryzyko szczątkowe pozostaje.

Co się dzieje, gdy podmiot przetwarzający doznaje naruszenia ochrony danych?

Na podstawie artykułu 28 ust. 3 lit. f RODO podmiot przetwarzający musi powiadomić Państwa bez zbędnej zwłoki po stwierdzeniu naruszenia ochrony danych osobowych. Umowa powierzenia powinna określać termin powiadomienia — zazwyczaj 24 lub 48 godzin — oraz treść powiadomienia (charakter naruszenia, kategorie i przybliżona liczba dotkniętych rekordów, punkt kontaktowy u podmiotu przetwarzającego, prawdopodobne konsekwencje, podjęte środki). Po otrzymaniu powiadomienia jako administrator mają Państwo obowiązek wynikający z artykułu 33 RODO do oceny, czy naruszenie może skutkować ryzykiem dla praw i wolności osób fizycznych, a jeśli tak — powiadomienia organu nadzorczego (UODO) w ciągu 72 godzin od jego stwierdzenia. Powiadomienie od podmiotu przetwarzającego uruchamia Państwa 72-godzinny termin.

Źródła

  • EUR-Lex, Rozporządzenie (UE) 2016/679 (RODO), artykuły 4(8), 28 i 46: https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX%3A32016R0679
  • Europejska Rada Ochrony Danych (EROD), Wytyczne 07/2020 w sprawie pojęć administratora i podmiotu przetwarzającego: https://edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-072020-concepts-controller-and-processor_en
  • Komisja Europejska, Standardowe klauzule umowne dla transferów międzynarodowych (2021): https://commission.europa.eu/law/law-topic/data-protection/international-dimension-data-protection/standard-contractual-clauses-scc_en
  • ICO (Wielka Brytania), Contracts and liabilities between controllers and processors — detailed guidance: https://ico.org.uk/for-organisations/uk-gdpr-guidance-and-resources/contracts-and-liabilities/contracts-and-liabilities-between-controllers-and-processors-multi-topic-guide/

Niniejszy artykuł ma charakter wyłącznie informacyjny i nie stanowi porady prawnej. Przed podjęciem decyzji dotyczących zgodności należy skonsultować się z wykwalifikowanym doradcą prawnym.

Key takeaways: Jak przeprowadzić audyt zewnętrznych podmiotów przetwarzających zgodnie z RODO

This article covers: Czym jest podmiot przetwarzający?, Wymogi artykułu 28, Co musi zawierać umowa powierzenia przetwarzania (8 obowiązkowych klauzul).

  • Czym jest podmiot przetwarzający?
  • Wymogi artykułu 28
  • Co musi zawierać umowa powierzenia przetwarzania (8 obowiązkowych klauzul)
  • Jak audytować podmioty przetwarzające
  • Zarządzanie podpodmiotami przetwarzającymi (artykuł 28 ust. 2)
Source: EuroComply Editorial (2024-11-15)Reviewed:
EC

EuroComply Editorial Team

EU regulatory compliance specialists covering the AI Act, GDPR, NIS2, and related legislation. Content reviewed against official EU regulation texts and enforcement guidance.

For informational purposes only. Consult qualified legal counsel.

Share:

Get the weekly EU compliance briefing — 2 minutes, every Thursday.

See how your site scores

Run a free EU compliance scan — no signup, 30 seconds.