Klauzula RODO w umowach IT 2026 — co musi być (wzór + checklist)

Klauzula RODO w umowie IT: kiedy jest obowiązkowa w 2026 roku?

Klauzula RODO w umowach IT nie jest dodatkiem „na wszelki wypadek”. Jest potrzebna zawsze wtedy, gdy dostawca IT działa jako podmiot przetwarzający, czyli ma dostęp do danych osobowych klienta i wykonuje na nich operacje w imieniu administratora. W praktyce MŚP dotyczy to znacznie częściej, niż wynikałoby z samej nazwy usługi: reseller Microsoft 365 konfigurujący tenant, firma hostingowa, dostawca backupu, helpdesk MSP, administrator serwerów, dostawca EDR/antywirusa z konsolą chmurową, integrator ERP/CRM oraz podwykonawca utrzymujący stronę z formularzami kontaktowymi.

Podstawą jest art. 28 RODO. EDPB w Guidelines 07/2020 podkreśla, że sama ogólna deklaracja zgodności nie wystarcza: umowa powierzenia ma konkretnie opisywać role, instrukcje, zabezpieczenia, podwykonawców i sposób rozliczenia po zakończeniu współpracy. Ministerstwo Cyfryzacji publikuje również wzorcowe klauzule w umowach IT, które dobrze pokazują poziom szczegółowości oczekiwany w projektach informatycznych.

Szybka diagnoza: czy potrzebujesz DPA?

Jeżeli odpowiedź na choć jedno z poniższych pytań brzmi „tak”, w umowie głównej lub załączniku powinna znaleźć się umowa powierzenia przetwarzania danych osobowych, czyli DPA.

• Czy dostawca może zalogować się do poczty, panelu administracyjnego, bazy danych, systemu kadrowego, CRM lub helpdesku?
• Czy usługa przechowuje kopie plików, e-maile, logi użytkowników, adresy IP, identyfikatory urządzeń albo zgłoszenia serwisowe?
• Czy vendor ma konsolę chmurową, w której widzi użytkowników, hosty, incydenty lub zawartość alertów?
• Czy podwykonawca może przywracać backup, migrować skrzynki, usuwać konta albo analizować incydenty bezpieczeństwa?

Typowe przykłady to Microsoft 365 (DPO included), hosting aplikacji, Backup z encryption, zdalny helpdesk, zarządzanie endpointami, Antywirusy biznes oraz infrastruktura serwerowa oparta o Windows Server 2025. Sam zakup pudełkowej licencji bez dostępu usługodawcy do danych zwykle nie wymaga DPA, ale konfiguracja, utrzymanie lub wsparcie techniczne już bardzo często tak.

Co musi zawierać klauzula RODO zgodna z art. 28?

Dobra klauzula RODO nie powtarza tylko przepisów. Ma być instrukcją operacyjną dla dostawcy i dowodem dla administratora, że dobrał procesora z odpowiednimi gwarancjami. W 2026 roku szczególnie ważne są usługi chmurowe, podprocesorzy spoza EOG, dowody audytowe oraz krótki czas zgłoszenia incydentu.

1. Przedmiot i czas trwania przetwarzania. Wskaż usługę, umowę główną, datę startu i zasady retencji po zakończeniu współpracy.
2. Charakter i cel przetwarzania. Opisz, czy chodzi o hosting, migrację, helpdesk, backup, ochronę endpointów, administrację tenantem lub utrzymanie aplikacji.
3. Rodzaje danych osobowych. Nie pisz ogólnie „dane osobowe”. Wymień np. imię, nazwisko, e-mail, numer telefonu, IP, login, dane kadrowe, dane klientów, logi aktywności.
4. Kategorie osób. Najczęściej: pracownicy, współpracownicy, klienci, kontrahenci, kandydaci, użytkownicy aplikacji, osoby kontaktowe.
5. Obowiązki procesora. Przetwarzanie wyłącznie na udokumentowane polecenie, poufność personelu, środki bezpieczeństwa, pomoc przy prawach osób i DPIA.
6. Subprocesorzy. Lista, mechanizm aktualizacji, termin na sprzeciw oraz wymóg przeniesienia tych samych obowiązków na dalszych podwykonawców.
7. Bezpieczeństwo. MFA, szyfrowanie, segmentacja dostępu, kopie zapasowe, logowanie, zarządzanie podatnościami i procedura incident response.
8. Naruszenia ochrony danych. Procesor powinien zgłosić incydent bez zbędnej zwłoki, praktycznie w 24-72 godziny od uzyskania świadomości, aby administrator zdążył ocenić obowiązek zgłoszenia do UODO w terminie 72 godzin.
9. Audyty i dowody zgodności. Minimum raz na 12 miesięcy, zdalnie lub on-site, przez raporty ISO 27001, SOC 2, wyniki testów, ankiety bezpieczeństwa i logi.
10. Zwrot lub usunięcie danych. Po końcu umowy dostawca zwraca dane albo usuwa je w terminie wskazanym w DPA, z wyjątkiem obowiązków ustawowych.

Wzór klauzuli RODO do umowy IT

Poniższy wzór jest praktycznym szkieletem dla MŚP. Nie zastępuje porady prawnej, ale pokazuje, jak powinny brzmieć paragrafy w standardzie stosowanym w umowach wdrożeniowych i utrzymaniowych, podobnym do praktyki dużych integratorów IT oraz kancelarii obsługujących projekty technologiczne.

§ 1. Powierzenie i zakres

Administrator powierza Procesorowi przetwarzanie danych osobowych wyłącznie w celu wykonania Umowy głównej, obejmującej świadczenie usług IT: konfigurację, utrzymanie, wsparcie techniczne, backup, monitoring bezpieczeństwa lub administrację środowiskiem wskazanym w zamówieniu. Procesor przetwarza dane przez czas obowiązywania Umowy głównej oraz przez okres niezbędny do zakończenia migracji, zwrotu lub usunięcia danych.

§ 2. Kategorie danych i osób

Powierzenie obejmuje dane pracowników, współpracowników, klientów, kontrahentów i użytkowników systemów Administratora, w szczególności: imię, nazwisko, adres e-mail, numer telefonu, stanowisko, identyfikator użytkownika, adres IP, logi aktywności, treść zgłoszeń serwisowych oraz dane zapisane w kopiach bezpieczeństwa, o ile są objęte usługą.

§ 3. Obowiązki Procesora

Procesor przetwarza dane wyłącznie na udokumentowane polecenie Administratora, zapewnia poufność osób upoważnionych do przetwarzania, stosuje środki techniczne i organizacyjne adekwatne do ryzyka, pomaga Administratorowi w realizacji praw osób, obsłudze naruszeń, ocenie skutków dla ochrony danych oraz konsultacjach z organem nadzorczym, jeżeli są wymagane.

§ 4. Subprocesorzy

Administrator wyraża ogólną zgodę na korzystanie z dalszych podmiotów przetwarzających wskazanych w załączniku lub panelu dostawcy, pod warunkiem poinformowania Administratora o planowanej zmianie z co najmniej 14-dniowym wyprzedzeniem i umożliwienia zgłoszenia sprzeciwu. Procesor zapewnia, że subprocesorzy przyjmą obowiązki nie mniej rygorystyczne niż określone w niniejszej klauzuli.

§ 5. Naruszenia i audyt

Procesor powiadamia Administratora o naruszeniu ochrony danych osobowych nie później niż w ciągu 24 godzin od jego stwierdzenia, a jeżeli pełne informacje nie są jeszcze dostępne, przekazuje raport wstępny i uzupełnia go bez zbędnej zwłoki. Administrator może raz na 12 miesięcy przeprowadzić audyt zdalny lub żądać dowodów zgodności, w szczególności certyfikatów, raportów, list kontrolnych i opisów zabezpieczeń.

§ 6. Zakończenie umowy

Po zakończeniu świadczenia usług Procesor, według wyboru Administratora, zwraca lub usuwa powierzone dane w terminie 30 dni, chyba że prawo Unii lub prawo krajowe nakazuje dalsze przechowywanie. Procesor potwierdza usunięcie danych na żądanie Administratora.

Subprocesorzy: największe ryzyko w chmurze

W klasycznej umowie z lokalnym informatykiem lista podwykonawców bywa krótka. W chmurze jest inaczej. Microsoft, Google, Adobe, dostawcy backupu i EDR korzystają z globalnych łańcuchów dostaw: centrów danych, operatorów wsparcia, telemetrii, usług bezpieczeństwa i narzędzi diagnostycznych. Microsoft opisuje zasady przetwarzania w Products and Services Data Protection Addendum oraz publikuje mechanizmy informowania o subprocesorach.

Po Schrems II samo stwierdzenie „dane są w chmurze” nie zamyka tematu transferów. Jeżeli subprocesor lub wsparcie techniczne działa z USA albo innego państwa trzeciego, należy sprawdzić podstawę transferu, najczęściej Standard Contractual Clauses, oraz środki uzupełniające: szyfrowanie, kontrolę dostępu, ograniczenie telemetrii i lokalizację danych. Dlatego przy wdrożeniu Microsoft 365 Business Premium warto dokumentować konfigurację MFA, Conditional Access, retencję, DLP i role administratorów, a nie tylko przechowywać link do DPA.

Audyty i incydenty: jak zapisać to bez paraliżu dostawcy?

Audyt nie musi oznaczać wejścia do serwerowni. W 2026 roku dla większości usług SaaS i MSP wystarczy zdalny pakiet dowodowy: certyfikat ISO 27001, raport SOC 2, opis kontroli dostępu, polityka backupu, potwierdzenie MFA dla administratorów, historia testu odtworzenia i lista incydentów. RODO wymaga, aby procesor udostępnił informacje potrzebne do wykazania zgodności i umożliwił audyt; nie oznacza to jednak nieograniczonego prawa do naruszania tajemnicy przedsiębiorstwa dostawcy.

Przy incydentach liczy się czas. Art. 33 RODO daje administratorowi, co do zasady, 72 godziny na zgłoszenie naruszenia organowi nadzorczemu od momentu stwierdzenia naruszenia. Procesor powinien więc powiadomić administratora wcześniej. ENISA opisuje w kontekście cyberincydentów model wczesnego ostrzeżenia i pełniejszego raportowania w kolejnych godzinach; zob. ENISA Threats and Incidents. W umowie IT praktyczny zapis to: 24 godziny na raport wstępny, aktualizacje co 24 godziny w fazie aktywnej i końcowy raport po zamknięciu incydentu.

Co zrobić, gdy vendor nie chce podpisać DPA?

Brak DPA to nie tylko problem formalny. Jeżeli vendor faktycznie przetwarza dane w imieniu firmy, administrator ryzykuje brak podstawy powierzenia, brak kontroli subprocesorów i chaos przy incydencie. Poniższa ścieżka decyzyjna jest praktyczna dla małych i średnich firm.

1. Ustal rolę dostawcy. Jeżeli sprzedaje wyłącznie licencję bez dostępu do danych, DPA może nie być potrzebne. Jeżeli świadczy usługę utrzymania, konfiguracji lub hostingu, przejdź dalej.
2. Poproś o standardowe DPA vendora. Duzi dostawcy zwykle mają DPA w regulaminie, panelu klienta lub dokumentach licencyjnych.
3. Sprawdź braki. Najczęstsze luki w konkurencyjnych wzorach to brak listy subprocesorów, brak terminu zgłoszenia naruszenia, brak procedury usunięcia danych i zbyt ogólne zabezpieczenia.
4. Negocjuj minimum operacyjne. Jeśli vendor nie zmieni całego wzoru, negocjuj załącznik: kontakt incydentowy, termin zgłoszenia, retencja backupów, lista subprocesorów, eksport danych.
5. Wybierz niższy zakres dostępu albo innego dostawcę. Jeżeli DPA nadal nie ma, ogranicz uprawnienia vendora, wybierz plan z oficjalnym DPA albo zmień usługodawcę.

Przykład: jeśli firma wybiera ochronę endpointów, warto kupować rozwiązanie z centralną konsolą i dokumentacją przetwarzania, a nie przypadkową licencję konsumencką. W ofercie KluczeSoft można porównać Bitdefender, ESET i Norton dla firm, a przy środowisku serwerowym uwzględnić także cennik Windows Server i CAL. Dla poczty, plików i zarządzania urządzeniami sensownym punktem odniesienia jest Microsoft 365 cennik planów 2026, szczególnie gdy firma potrzebuje MFA, Intune i Defendera.

Checklista do wydruku: klauzula RODO w umowie IT

• Określono administratora, procesora i umowę główną.
• Opisano przedmiot, czas trwania, charakter i cel przetwarzania.
• Wymieniono rodzaje danych oraz kategorie osób.
• Procesor działa wyłącznie na udokumentowane polecenie administratora.
• Personel procesora ma obowiązek poufności.
• Wskazano środki techniczne i organizacyjne, w tym MFA, szyfrowanie, backup i logowanie dostępu.
• Jest lista subprocesorów albo wiarygodny mechanizm jej aktualizacji.
• Administrator ma czas na sprzeciw wobec nowych subprocesorów.
• Transfery poza EOG są oparte o SCC lub inną właściwą podstawę.
• Procesor zgłasza incydent w 24-72 godziny od stwierdzenia.
• Umowa przewiduje audyt co najmniej raz na 12 miesięcy lub zdalne dowody zgodności.
• Po zakończeniu umowy dane są zwracane albo usuwane w określonym terminie.
• Kary umowne obejmują najważniejsze naruszenia operacyjne: brak zgłoszenia incydentu, nieuprawnione podpowierzenie, brak usunięcia danych.

Podsumowanie dla zarządu i IT

Najlepsza klauzula RODO w umowie IT jest krótka tam, gdzie może być krótka, i konkretna tam, gdzie pojawia się realne ryzyko: uprawnienia administratorów, subprocesorzy, transfery poza EOG, backup, incydenty i audyt. W 2026 roku nie wystarczy zapytać „czy dostawca jest zgodny z RODO?”. Trzeba wiedzieć, jakie dane widzi, gdzie je przetwarza, komu je podpowierza, jak szybko zgłosi incydent i jak usunie dane po zakończeniu współpracy.

Przy zakupie lub modernizacji środowiska IT warto od razu dobierać narzędzia, które ułatwiają wykazanie zgodności: Microsoft 365 z zarządzaniem bezpieczeństwem, backup z szyfrowaniem i retencją, firmowy antywirus z konsolą oraz serwery objęte aktualnym wsparciem. To nie zastępuje DPA, ale sprawia, że jej postanowienia da się realnie wykonać.