Przejdź do treści
KluczeSoft Wiedza
Powrót do Centrum Pomocy
Bezpieczeństwo
Bezpieczeństwo

Art 28 RODO — poradnik praktyczny 2026

Art. 28 RODO to jeden z najważniejszych, a zarazem najczęściej sprawdzanych podczas kontroli przepisów ogólnego rozporządzenia o ochronie danych. W 2026 roku, p

13 min czytania·Zaktualizowano dzisiaj

Art. 28 RODO to jeden z najważniejszych, a zarazem najczęściej sprawdzanych podczas kontroli przepisów ogólnego rozporządzenia o ochronie danych. W 2026 roku, po ośmiu latach obowiązywania RODO i kilku głośnych karach nakładanych przez Prezesa Urzędu Ochrony Danych Osobowych, nie ma już miejsca na improwizację. Każda firma powierzająca dane osobowe zewnętrznemu podmiotowi — dostawcy chmury, agencji marketingowej, biuru księgowemu czy firmie IT — musi mieć podpisaną zgodną z art. 28 umowę powierzenia. Brak tej umowy lub jej niedopasowanie do realiów przetwarzania to nie tylko ryzyko administracyjnej kary do 20 milionów euro, ale też realne zagrożenie utraty klientów i kontrahentów, którzy coraz dokładniej audytują swoich partnerów. W tym poradniku pokażemy Ci, jak krok po kroku zbudować zgodność z art. 28 RODO, na co zwrócić uwagę w 2026 roku i jak uniknąć najczęstszych pułapek.

Dlaczego art. 28 RODO ma znaczenie komercyjne

Brzmienie art. 28 wydaje się formalnością — lista punktów, które trzeba uwzględnić w pisemnej umowie z podmiotem przetwarzającym. W praktyce jednak to fundament bezpieczeństwa operacyjnego każdej firmy przetwarzającej dane na zlecenie. Kiedy w 2025 roku jeden z dużych dostawców oprogramowania HR otrzymał karę 1,2 miliona euro właśnie za niekompletną umowę powierzenia, rynek zamarł. Okazało się, że problem dotyczył nie tylko braku dokumentu, ale faktu, że umowa istniała, lecz nie odzwierciedlała faktycznego zakresu przetwarzania — nie wymieniono w niej podprocesorów, co stanowi naruszenie art. 28 ust. 2 i 4.

Komercyjnie rzecz ujmując, sprawnie przygotowana umowa powierzenia to przewaga konkurencyjna. Firmy rozpisujące przetargi na usługi IT czy marketing automation coraz częściej wymagają nie tylko samej umowy, ale też audytu zgodności z art. 28 u podwykonawców. Jeśli jako dostawca nie potrafisz przedstawić pełnej dokumentacji w 48 godzin, odpadasz z wyścigu — nie ze względu na cenę, ale z powodu ryzyka prawnego, którego zamawiający nie chce brać na siebie. Dobrze przygotowana dokumentacja RODO staje się więc elementem oferty handlowej, podobnie jak SLA czy certyfikaty bezpieczeństwa.

Kiedy art. 28 RODO ma zastosowanie — granice powierzenia

Artykuł 28 stosuje się wyłącznie w relacji administrator — podmiot przetwarzający (procesor). Kluczowe jest precyzyjne ustalenie, czy dany podmiot faktycznie przetwarza dane w Twoim imieniu, czy może działa jako odrębny administrator. Granica bywa płynna — weźmy przykład biura rachunkowego. Jeśli księgowa jedynie wprowadza faktury do systemu zgodnie z Twoimi wytycznymi, jest procesorem i potrzebujesz umowy powierzenia. Jeśli jednak doradza Ci optymalizację podatkową, analizując przy tym dane klientów, część tej działalności może być uznana za odrębne administratorstwo.

W 2026 roku Europejska Rada Ochrony Danych wydała zaktualizowane wytyczne dotyczące pojęcia administratora i procesora w kontekście sztucznej inteligencji. Wskazano w nich, że dostawca modelu AI, który samodzielnie decyduje o zakresie danych treningowych i celach uczenia, jest administratorem wobec tych danych — nawet jeśli klient dostarcza mu zbiory do fine-tuningu. Ta interpretacja ma ogromne znaczenie praktyczne: każda firma korzystająca z zewnętrznych narzędzi AI musi przeanalizować, gdzie kończy się powierzenie, a zaczyna odrębna rola dostawcy.

Prezes UODO w swoim wystąpieniu z marca 2026 roku podkreślił, że przy kontrolach art. 28 priorytetem jest weryfikacja, czy administrator rzeczywiście rozumie, co podmiot przetwarzający robi z danymi, czy jedynie ufa deklaracjom marketingowym dostawcy. Nie wystarczy podpisać standardowej umowy dostarczonej przez procesora — musisz wiedzieć, co podpisujesz.

Obowiązkowe elementy umowy powierzenia — checklista 2026

Art. 28 ust. 3 RODO wymienia dziesięć obligatoryjnych elementów, które muszą znaleźć się w każdej umowie lub innym akcie prawnym regulującym powierzenie. W praktyce 2026 roku warto rozszerzyć tę listę o elementy, które — choć literalnie niewymagane — są oczekiwane przez audytorów i kontrahentów. Oto kompletna checklista:

Elementy obowiązkowe (art. 28 ust. 3):

  1. Przedmiot, czas trwania, charakter i cel przetwarzania — opisane konkretnie, nie ogólnikowo. Zamiast "przetwarzanie danych klientów" napisz "przechowywanie i backup bazy danych kontaktów CRM w celu zapewnienia ciągłości sprzedaży przez okres obowiązywania umowy głównej plus 30 dni na migrację".
  2. Rodzaj danych osobowych i kategorie osób, których dane dotyczą — nie "dane osobowe pracowników", tylko "imię, nazwisko, adres e-mail, stanowisko, numer telefonu służbowego pracowników działu sprzedaży i marketingu".
  3. Obowiązki i prawa administratora — w tym prawo do audytu i inspekcji.
  4. Obowiązek przetwarzania danych wyłącznie na udokumentowane polecenie administratora — w tym również w zakresie transferów międzynarodowych.
  5. Obowiązek zachowania poufności przez osoby upoważnione do przetwarzania.
  6. Obowiązek wdrożenia odpowiednich środków technicznych i organizacyjnych zgodnie z art. 32 RODO.
  7. Warunki korzystania z podprocesorów — w tym obowiązek uzyskania uprzedniej, konkretnej lub ogólnej pisemnej zgody administratora.
  8. Obowiązek wspierania administratora w realizacji praw osób, których dane dotyczą.
  9. Obowiązek wspierania administratora w zapewnieniu bezpieczeństwa, zgłaszaniu naruszeń i ocenie skutków.
  10. Obowiązek usunięcia lub zwrotu danych po zakończeniu przetwarzania.

Elementy zalecane w 2026 roku:

  • Procedura eskalacji incydentów i szczegółowe terminy powiadomień.
  • Zobowiązanie procesora do uczestnictwa w audytach na własny koszt (coraz częściej spotykane w umowach z dużymi dostawcami chmurowymi).
  • Klauzula o karach umownych za naruszenie obowiązków z art. 28 — niezależnie od kar administracyjnych UODO.
  • Obowiązek procesora do posiadania i utrzymywania certyfikacji (ISO 27001, SOC 2) przez cały okres trwania umowy.
  • Jasne postanowienia dotyczące lokalizacji danych — szczególnie istotne po wyroku TSUE w sprawie C-311/18 (Schrems II) i wobec trwających negocjacji nowej umowy ramowej UE-USA.

Podprocesorzy — najbardziej niedoceniany obowiązek

Kwestia podprocesorów to pięta achillesowa większości polskich firm i źródło największej liczby naruszeń stwierdzanych podczas kontroli UODO. Art. 28 ust. 2 i 4 wymaga, aby procesor nie korzystał z usług innego podmiotu przetwarzającego bez uprzedniej, szczególnej lub ogólnej pisemnej zgody administratora. Co to oznacza w 2026 roku, gdy przeciętny dostawca SaaS korzysta z dziesiątek podwykonawców — od hostingu przez CDN po narzędzia analityczne?

Po pierwsze, zgoda ogólna jest dopuszczalna, ale wymaga od procesora poinformowania administratora o każdych planowanych zmianach i umożliwienia mu wniesienia sprzeciwu. Nie możesz więc raz na zawsze zaakceptować dowolnych podprocesorów — musisz mieć mechanizm otrzymywania aktualizacji i reagowania na nie. W praktyce oznacza to, że umowa powinna wskazywać listę zatwierdzonych podprocesorów w załączniku oraz procedurę zgłaszania nowych, z terminem na sprzeciw (standardowo 14-30 dni).

Po drugie, procesor musi nałożyć na podprocesora te same obowiązki ochrony danych, które sam przyjął — w formie pisemnej umowy. To tworzy łańcuch odpowiedzialności: jeśli podprocesor naruszy RODO, procesor odpowiada wobec administratora za jego działania jak za własne. W wyroku z 2023 roku TSUE potwierdził, że procesor nie może uwolnić się od odpowiedzialności, wskazując na podprocesora — administrator zawsze może dochodzić roszczeń bezpośrednio od swojego procesora.

Trzeci aspekt to transparentność wobec klienta końcowego. Od 2025 roku UODO oczekuje, że administrator będzie w stanie na żądanie wskazać pełny łańcuch przetwarzania — od swojego procesora, przez jego podprocesorów, aż do fizycznej lokalizacji serwerów. Nie musisz publikować tej listy na stronie, ale musisz ją mieć i utrzymywać w aktualności.

Audyt procesora — jak go skutecznie przeprowadzić

Art. 28 ust. 3 lit. h daje administratorowi prawo do przeprowadzania audytów i inspekcji u podmiotu przetwarzającego. W 2026 roku samodzielny audyt u dostawcy chmurowego pokroju AWS czy Azure jest iluzją — zamiast tego standardem stały się audyty trzeciej strony, raporty SOC 2 Type II, certyfikaty ISO 27001 i ISO 27701 oraz przygotowywane przez procesorów pakiety zgodności (compliance packs). UODO akceptuje to podejście, ale z zastrzeżeniem — musisz wykazać, że przeanalizowałeś te dokumenty i oceniłeś ich adekwatność do swojego ryzyka.

Jak wygląda praktyczny audyt procesora w 2026? Oto minimalny zakres:

  1. Weryfikacja dokumentacji formalnej — umowa powierzenia, lista podprocesorów, polityka bezpieczeństwa, rejestr naruszeń, procedura reagowania na incydenty.
  2. Analiza środków technicznych — szyfrowanie danych w spoczynku i tranzycie, kontrola dostępu (MFA, RBAC), logowanie i monitorowanie, separacja środowisk, procedury backupu i disaster recovery.
  3. Weryfikacja personalna — czy procesor prowadzi rejestr osób upoważnionych, czy pracownicy mają szkolenia z RODO, czy obowiązują procedury przy rozpoczęciu i zakończeniu zatrudnienia.
  4. Test zgodności operacyjnej — czy procesor faktycznie realizuje prawa osób, których dane dotyczą, w terminach ustawowych, czy potrafi zareagować na naruszenie w ciągu 24 godzin.
  5. Ocena ryzyka transferowego — czy dane opuszczają EOG, jeśli tak to na jakiej podstawie prawnej, czy wdrożono środki uzupełniające zgodnie z zaleceniami EROD.

Dla mniejszych firm, które nie mogą sobie pozwolić na pełen audyt, dobrym rozwiązaniem jest grupowanie się z innymi administratorami korzystającymi z tego samego procesora i wspólne zamawianie audytu — praktyka coraz popularniejsza wśród izb gospodarczych i klastrów technologicznych.

Konsekwencje braku zgodności — kary i ryzyka biznesowe 2026

Spektrum konsekwencji naruszenia art. 28 RODO wykracza daleko poza administracyjne kary pieniężne. Oto pełny obraz ryzyk w 2026 roku:

Kary administracyjne UODO. Górny pułap to 20 milionów euro lub 4% rocznego światowego obrotu — w zależności od wartości wyższej. W praktyce polskiego UODO kary za naruszenia art. 28 oscylują w 2026 roku między 50 tysięcy a 2 milionów złotych, w zależności od skali przetwarzania, stopnia zawinienia i współpracy administratora w trakcie postępowania. Prezes UODO konsekwentnie nakłada kary nie tylko na administratorów, ale i na procesorów — zwłaszcza gdy naruszenie wynika z lekceważenia obowiązków umownych.

Odpowiedzialność odszkodowawcza. Art. 82 RODO daje osobom fizycznym prawo do odszkodowania za szkodę majątkową i niemajątkową spowodowaną naruszeniem. W głośnej sprawie z 2025 roku sąd w Warszawie przyznał odszkodowanie w wysokości 15 tysięcy złotych za sam stres związany z wyciekiem danych, który wynikał z braku nadzoru nad procesorem. Roszczeń może być wiele — jeden incydent może generować setki pozwów.

Ryzyko kontraktowe. Coraz więcej umów B2B zawiera klauzule audytowe i kary umowne za brak zgodności z RODO. Utrata kluczowego kontrahenta z powodu nieprzedstawienia poprawnej umowy powierzenia to realny scenariusz, który w 2025 roku dotknął co najmniej trzy duże agencje marketingowe w Polsce.

Ryzyko reputacyjne. W erze mediów społecznościowych informacja o karze UODO rozchodzi się w ciągu godzin. Dla firm B2C oznacza to odpływ klientów, dla B2B — problemy z uzyskaniem statusu dostawcy w kolejnych przetargach.

Kary dla członków zarządu. Choć UODO nie nakłada kar bezpośrednio na osoby fizyczne za naruszenie art. 28, to prokuratura coraz częściej bada wątki karne — od narażenia danych na nieuprawniony dostęp (art. 267 k.k.) po działanie na szkodę spółki. W 2026 roku trwają co najmniej cztery postępowania karne powiązane z rażącymi zaniedbaniami w obszarze powierzenia danych.

Art 28 RODO a chmura obliczeniowa i SaaS

W 2026 roku ponad 80% polskich firm korzysta z przynajmniej jednego rozwiązania chmurowego — od Microsoft 365 przez Google Workspace po niszowe SaaS-y branżowe. Każda taka usługa to relacja powierzenia w rozumieniu art. 28, a każdy dostawca chmurowy ma własną, często niepodlegającą negocjacjom, umowę powierzenia (Data Processing Agreement, DPA).

Najczęstszy błąd? Akceptacja DPA bez czytania. Standardowe umowy globalnych dostawców chmury są zgodne z RODO co do zasady, ale nie uwzględniają specyfiki Twojego przetwarzania. Przykład: Microsoft 365 w standardowej konfiguracji może przetwarzać dane telemetryczne i diagnostyczne w celach własnych (ulepszanie produktu), co wykracza poza klasyczne powierzenie i może być uznane za odrębne administratorstwo. Od 2025 roku Microsoft oferuje rozszerzoną konfigurację prywatności (EU Data Boundary), która pozwala ograniczyć ten zakres — ale musisz ją świadomie włączyć i udokumentować.

Kilka zasad bezpiecznego korzystania z chmurowych procesorów w 2026 roku:

  • Sprawdź, czy DPA wyczerpuje wszystkie punkty art. 28 ust. 3 — jeśli nie, zażądaj aneksu lub uzupełnienia.
  • Zweryfikuj listę podprocesorów dostawcy — duzi providerzy aktualizują ją co kwartał, subskrybuj powiadomienia.
  • Ustal lokalizację danych — dla klientów z sektora publicznego i finansowego dane muszą pozostać w EOG, co jest możliwe, ale wymaga odpowiedniej konfiguracji.
  • Wdróż własne szyfrowanie (BYOK, HYOK), jeśli przetwarzasz dane szczególnych kategorii — w razie naruszenia u procesora Twoje dane pozostaną nieczytelne.
  • Zaplanuj strategię wyjścia — umowa powinna określać, w jakim formacie i terminie procesor zwróci dane po zakończeniu współpracy.

Częste pytania

Czy umowa powierzenia musi być podpisana na papierze? Nie. Art. 28 ust. 9 dopuszcza formę pisemną, w tym elektroniczną. Akceptowane są kwalifikowane podpisy elektroniczne, podpisy zaawansowane (np. DocuSign, Autenti), a także kliknięcie "akceptuję" w systemie, o ile mechanizm zapewnia identyfikację strony i integralność dokumentu. Zwykła wymiana skanów mailowo jest dopuszczalna, ale trudniejsza do obrony w razie sporu — rekomendujemy platformy e-signature.

Co się stanie, jeśli mój procesor nie chce podpisać umowy powierzenia? Nie możesz legalnie powierzać mu danych. Przetwarzanie bez umowy to naruszenie art. 28, za które odpowiada zarówno administrator, jak i procesor. W praktyce masz trzy opcje: negocjować dalej, zmienić dostawcę, albo — w ostateczności — zrezygnować z outsourcingu i przetwarzać dane samodzielnie. Ryzyko nie jest warte oszczędności — kara UODO wielokrotnie przewyższy koszt zmiany procesora.

Czy art. 28 dotyczy mikroprzedsiębiorców? Tak, bez wyjątków. RODO nie przewiduje zwolnień dla małych firm. Jedyna różnica polega na tym, że UODO uwzględnia skalę działalności przy wymiarze kary — mikroprzedsiębiorca zapłaci proporcjonalnie mniej, ale sam fakt naruszenia jest tak samo stwierdzany. W 2026 roku UODO prowadzi co najmniej 30 postępowań wobec firm zatrudniających poniżej 10 osób, dotyczących właśnie braku umów powierzenia.

Co z darmowymi narzędziami online — też potrzebuję umowy? Jeśli narzędzie przetwarza dane osobowe (nawet adres e-mail użytkownika), a Ty decydujesz o celach i sposobach przetwarzania — jesteś administratorem i potrzebujesz umowy z dostawcą. Większość darmowych narzędzi nie oferuje DPA w bezpłatnym planie, co skutecznie wyklucza ich legalne wykorzystanie w biznesie. Wyjątkiem są narzędzia, których regulamin wyraźnie wyłącza przetwarzanie danych osobowych — ale to rzadkość.

Jak pokazać umowę powierzenia podczas kontroli UODO, jeśli zawiera tajemnicę przedsiębiorstwa? Możesz zanonimizować fragmenty handlowe (ceny, SLA), ale wszystkie elementy wymagane art. 28 muszą być jawne dla organu. UODO ma prawo zażądać pełnej, nieocenzurowanej umowy w toku postępowania — odmowa grozi dodatkową karą za utrudnianie kontroli. Tajemnica przedsiębiorstwa nie jest przesłanką do ukrywania przed UODO treści dotyczących ochrony danych.

Czy muszę mieć osobną umowę powierzenia z każdym dostawcą? Tak. Każda relacja powierzenia wymaga odrębnego aktu prawnego — czy to osobnego dokumentu, czy integralnej części umowy głównej. Nie możesz stworzyć jednej zbiorczej umowy dla wszystkich procesorów, bo każdy przetwarza inne dane, w innym zakresie i celu. Możesz natomiast ustandaryzować wzór i dostosowywać go załącznikami.

Czy art. 28 wymaga ode mnie audytu u każdego procesora? Literalnie nie — wymaga prawa do audytu, nie obowiązku jego przeprowadzenia. Jednak UODO oczekuje, że administrator wykaże się należytą starannością w doborze procesora, co w 2026 roku praktycznie oznacza przeprowadzenie jakiejś formy weryfikacji — audytu własnego, przeglądu certyfikacji lub analizy kwestionariusza bezpieczeństwa.

Jak długo przechowywać umowy powierzenia po zakończeniu współpracy? RODO nie podaje sztywnego terminu. Rekomendowany okres to 6 lat (ogólny termin przedawnienia roszczeń cywilnoprawnych) plus czas trwania ewentualnego postępowania przed UODO (do 3 lat od powzięcia informacji o naruszeniu). W praktyce bezpiecznym minimum jest 10 lat od zakończenia przetwarzania.

Czy mogę powierzyć dane podmiotowi spoza EOG bez dodatkowych zabezpieczeń? Nie, chyba że Komisja Europejska wydała decyzję stwierdzającą odpowiedni stopień ochrony dla danego kraju (w 2026 roku lista obejmuje m.in. Japonię, Koreę Południową, Wielką Brytanię, ale nie USA). W pozostałych przypadkach musisz wdrożyć standardowe klauzule umowne (SCC) i przeprowadzić ocenę skutków transferu (TIA), a często także środki uzupełniające. Transfery do USA wciąż wymagają szczególnej ostrożności mimo trwających prac nad następcą Tarczy Prywatności.

Czy potrzebuję pomocy prawnika do przygotowania umowy powierzenia? Nie ma takiego wymogu prawnego i wiele firm radzi sobie z gotowymi wzorami. Jednak biorąc pod uwagę złożoność relacji przetwarzania w 2026 roku, dynamiczne orzecznictwo i rosnące wymagania UODO, inwestycja w profesjonalny przegląd umów powierzenia zwraca się wielokrotnie przy pierwszej kontroli lub audycie kontrahenta. Jeśli zarządzasz większą liczbą relacji procesorskich, warto rozważyć platformę do zarządzania zgodnością, która automatyzuje monitoring umów i alerty o zmianach — dzięki czemu zyskujesz pewność, że żaden termin ani obowiązek nie umknie Twojej uwadze.

Sprawdź też

Potrzebujesz licencji? Microsoft Office — sprawdź ofertę KluczeSoft.pl — legalne klucze, faktura VAT, dostawa e-mail.

Najczęściej zadawane pytania

Nie. Art. 28 ust. 9 dopuszcza formę pisemną, w tym elektroniczną. Akceptowane są kwalifikowane podpisy elektroniczne, podpisy zaawansowane (np. DocuSign, Autenti), a także kliknięcie "akceptuję" w systemie, o ile mechanizm zapewnia identyfikację strony i integralność dokumentu. Zwykła wymiana skanów mailowo jest dopuszczalna, ale trudniejsza do obrony w razie sporu — rekomendujemy platformy e-signature.
Nie możesz legalnie powierzać mu danych. Przetwarzanie bez umowy to naruszenie art. 28, za które odpowiada zarówno administrator, jak i procesor. W praktyce masz trzy opcje: negocjować dalej, zmienić dostawcę, albo — w ostateczności — zrezygnować z outsourcingu i przetwarzać dane samodzielnie. Ryzyko nie jest warte oszczędności — kara UODO wielokrotnie przewyższy koszt zmiany procesora.
Tak, bez wyjątków. RODO nie przewiduje zwolnień dla małych firm. Jedyna różnica polega na tym, że UODO uwzględnia skalę działalności przy wymiarze kary — mikroprzedsiębiorca zapłaci proporcjonalnie mniej, ale sam fakt naruszenia jest tak samo stwierdzany. W 2026 roku UODO prowadzi co najmniej 30 postępowań wobec firm zatrudniających poniżej 10 osób, dotyczących właśnie braku umów powierzenia.
Jeśli narzędzie przetwarza dane osobowe (nawet adres e-mail użytkownika), a Ty decydujesz o celach i sposobach przetwarzania — jesteś administratorem i potrzebujesz umowy z dostawcą. Większość darmowych narzędzi nie oferuje DPA w bezpłatnym planie, co skutecznie wyklucza ich legalne wykorzystanie w biznesie. Wyjątkiem są narzędzia, których regulamin wyraźnie wyłącza przetwarzanie danych osobowych — ale to rzadkość.
Możesz zanonimizować fragmenty handlowe (ceny, SLA), ale wszystkie elementy wymagane art. 28 muszą być jawne dla organu. UODO ma prawo zażądać pełnej, nieocenzurowanej umowy w toku postępowania — odmowa grozi dodatkową karą za utrudnianie kontroli. Tajemnica przedsiębiorstwa nie jest przesłanką do ukrywania przed UODO treści dotyczących ochrony danych.
Tak. Każda relacja powierzenia wymaga odrębnego aktu prawnego — czy to osobnego dokumentu, czy integralnej części umowy głównej. Nie możesz stworzyć jednej zbiorczej umowy dla wszystkich procesorów, bo każdy przetwarza inne dane, w innym zakresie i celu. Możesz natomiast ustandaryzować wzór i dostosowywać go załącznikami.
Literalnie nie — wymaga prawa do audytu, nie obowiązku jego przeprowadzenia. Jednak UODO oczekuje, że administrator wykaże się należytą starannością w doborze procesora, co w 2026 roku praktycznie oznacza przeprowadzenie jakiejś formy weryfikacji — audytu własnego, przeglądu certyfikacji lub analizy kwestionariusza bezpieczeństwa.
RODO nie podaje sztywnego terminu. Rekomendowany okres to 6 lat (ogólny termin przedawnienia roszczeń cywilnoprawnych) plus czas trwania ewentualnego postępowania przed UODO (do 3 lat od powzięcia informacji o naruszeniu). W praktyce bezpiecznym minimum jest 10 lat od zakończenia przetwarzania.
Nie, chyba że Komisja Europejska wydała decyzję stwierdzającą odpowiedni stopień ochrony dla danego kraju (w 2026 roku lista obejmuje m.in. Japonię, Koreę Południową, Wielką Brytanię, ale nie USA). W pozostałych przypadkach musisz wdrożyć standardowe klauzule umowne (SCC) i przeprowadzić ocenę skutków transferu (TIA), a często także środki uzupełniające. Transfery do USA wciąż wymagają szczególnej ostrożności mimo trwających prac nad następcą Tarczy Prywatności.
Nie ma takiego wymogu prawnego i wiele firm radzi sobie z gotowymi wzorami. Jednak biorąc pod uwagę złożoność relacji przetwarzania w 2026 roku, dynamiczne orzecznictwo i rosnące wymagania UODO, inwestycja w profesjonalny przegląd umów powierzenia zwraca się wielokrotnie przy pierwszej kontroli lub audycie kontrahenta. Jeśli zarządzasz większą liczbą relacji procesorskich, warto rozważyć platformę do zarządzania zgodnością, która automatyzuje monitoring umów i alerty o zmianach — dzięki czemu zyskujesz pewność, że żaden termin ani obowiązek nie umknie Twojej uwadze.

Czy ten artykuł był pomocny?

Art 28 RODO — poradnik praktyczny 2026 | KluczeSoft | Centrum Pomocy KluczeSoft