Umowa powierzenia danych z operatorem mailingowym – wzór

Korzystasz z zewnętrznego narzędzia do wysyłki e-maili i przechowujesz w nim adresy swoich klientów? Właśnie w tym momencie przekazujesz dane osobowe podmiotowi trzeciemu — i zgodnie z art. 28 RODO musisz mieć na to pisemną podstawę. Brak umowy powierzenia przetwarzania danych (DPA, ang. Data Processing Agreement) to jeden z najczęstszych błędów RODO w polskich firmach, a kary za to naruszenie sięgają 10 mln EUR lub 2% globalnego obrotu. W tym artykule dowiesz się, co dokładnie powinna zawierać taka umowa z operatorem mailingowym, otrzymasz omówienie kluczowych klauzul i listę kontrolną, którą możesz wykorzystać od razu.

Czym jest umowa powierzenia przetwarzania danych (DPA)?

Umowa powierzenia przetwarzania danych to kontrakt między administratorem danych (Twoją firmą) a procesorem (dostawcą usługi, np. platformą mailingową), w którym administrator zleca procesorowi wykonywanie operacji na danych osobowych w swoim imieniu. Kluczowe: to Ty jako administrator decydujesz po co i w jaki sposób dane są przetwarzane — procesor tylko wykonuje Twoje polecenia.

Podstawą prawną jest art. 28 RODO (Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679). Przepis ten wprost wymaga, by przetwarzanie przez podmiot przetwarzający odbywało się na podstawie umowy lub innego instrumentu prawnego, który wiąże procesora wobec administratora. Umowa musi mieć formę pisemną — w tym elektroniczną (art. 28 ust. 9 RODO).

Kiedy operator mailingowy jest procesorem, a kiedy odrębnym administratorem?

Operator mailingowy jest procesorem, gdy przetwarza dane wyłącznie na Twoje zlecenie — wysyła kampanie, przechowuje listę subskrybentów, raportuje otwarcia. Staje się odrębnym administratorem, gdy zaczyna wykorzystywać te dane do własnych celów (np. profilowania dla swoich produktów). W praktyce renomowane platformy mailingowe działają jako procesorzy i oferują gotowy wzór DPA — ale zawsze warto go przeczytać, zanim podpiszesz.

Co musi zawierać umowa powierzenia – wymagania art. 28 RODO

Art. 28 ust. 3 RODO wymienia elementy, które umowa powierzenia musi regulować. Poniżej znajdziesz je w formie tabeli wraz z krótkim komentarzem praktycznym.

Wzór umowy powierzenia – omówienie klauzul krok po kroku

Poniżej omawiamy strukturę wzorcowej umowy DPA dla relacji firma–operator mailingowy. Nie jest to gotowy dokument prawny (do podpisania zawsze warto skonsultować się z prawnikiem lub inspektorem ochrony danych), ale szczegółowe omówienie tego, co każda sekcja powinna regulować.

§1 – Przedmiot i cel przetwarzania

Wstępna klauzula precyzuje, jakie dane są powierzane (np. imię, nazwisko, adres e-mail, historia otwarć), w jakim celu (wysyłka kampanii e-mail marketingowych, newsletterów transakcyjnych) oraz jak długo będą przetwarzane (czas obowiązywania umowy głównej). Im bardziej konkretnie, tym lepiej — ogólne sformułowania „dane klientów" mogą być zakwestionowane przez organ nadzorczy.

§2 – Zobowiązania procesora

To serce umowy. Procesor powinien zobowiązać się do: przetwarzania danych wyłącznie na pisemne polecenie administratora, nieudostępniania danych osobom trzecim bez zgody, zapewnienia, że osoby upoważnione do przetwarzania są związane tajemnicą, oraz niezwłocznego informowania administratora, jeśli uzna, że polecenie narusza RODO (art. 28 ust. 3 lit. h RODO).

§3 – Środki bezpieczeństwa

Klauzula powinna odwoływać się do konkretnych środków technicznych i organizacyjnych zgodnych z art. 32 RODO: szyfrowanie danych w spoczynku i w tranzycie (np. TLS 1.2+, AES-256), pseudonimizacja tam, gdzie to możliwe, regularne testy bezpieczeństwa, polityka zarządzania dostępem (zasada minimalnych uprawnień). Warto wymagać od operatora aktualnej polityki bezpieczeństwa jako załącznika do umowy.

§4 – Podprocesory (dalsze powierzenie)

Operator mailingowy prawie zawsze korzysta z podwykonawców — dostawców serwerów (AWS, GCP, OVH), systemów antyspamowych czy dostawców infrastruktury DNS. Umowa powinna zawierać listę aktualnych podprocesorów lub mechanizm powiadamiania o zmianach (np. 14 dni przed wdrożeniem nowego podprocesora). Administrator ma prawo sprzeciwić się zmianie — to ważna klauzula, którą wiele gotowych wzorów pomija lub rozmywa.

§5 – Prawa podmiotów danych

Operator musi technicznie umożliwić Ci realizację żądań osób, których dane dotyczą: prawa dostępu (art. 15 RODO), sprostowania (art. 16), usunięcia (art. 17), ograniczenia przetwarzania (art. 18) oraz przenoszenia danych (art. 20). W praktyce oznacza to dostęp do API lub eksport danych w formacie CSV/JSON na żądanie.

§6 – Zgłaszanie naruszeń bezpieczeństwa

Art. 33 RODO nakłada na administratora obowiązek zgłoszenia naruszenia do UODO (Urzędu Ochrony Danych Osobowych) w ciągu 72 godzin od jego wykrycia. Aby to było możliwe, procesor musi poinformować Cię o incydencie niezwłocznie — w umowie warto zapisać konkretny termin, np. 24 godziny od wykrycia, wraz z kanałem powiadomienia (dedykowany adres e-mail, telefon alarmowy).

§7 – Przekazywanie danych do państw trzecich

Jeśli operator lub jego podprocesory przetwarzają dane poza EOG (Europejskim Obszarem Gospodarczym), umowa musi regulować podstawę prawną tego transferu. Po unieważnieniu Privacy Shield (wyrok Schrems II, TSUE 2020) standardem są Standardowe Klauzule Umowne (SCC) przyjęte przez Komisję Europejską w 2021 r. lub inne zatwierdzone mechanizmy (np. wiążące reguły korporacyjne). Brak tej klauzuli przy operatorach hostowanych poza EOG to poważna luka.

§8 – Audyty i kontrole

Administrator ma prawo weryfikować, czy procesor wypełnia swoje obowiązki. Umowa powinna określać: tryb zgłaszania audytu (np. z 14-dniowym wyprzedzeniem), zakres kontroli, osoby uprawnione do jej przeprowadzenia oraz sposób dokumentowania wyników. Procesor może zastrzec, że audyt przeprowadza akredytowany podmiot trzeci — to akceptowalna praktyka, pod warunkiem że wyniki są udostępniane administratorowi.

§9 – Usunięcie danych po zakończeniu umowy

Po rozwiązaniu lub wygaśnięciu umowy głównej operator powinien w określonym terminie (np. 30 dni) usunąć wszystkie kopie danych lub je zwrócić w uzgodnionym formacie. Klauzula powinna obejmować także kopie zapasowe. Potwierdzenie usunięcia powinno być przekazane na piśmie — to ważny element dokumentacji zgodności (ang. accountability), wymaganej przez art. 5 ust. 2 RODO.

Najczęstsze błędy w umowach DPA z operatorami mailingowymi

• Brak precyzji co do kategorii danych — ogólne „dane osobowe klientów" zamiast konkretnego katalogu pól.
• Brak listy podprocesorów lub klauzuli powiadamiania o zmianach.
• Pominięcie transferu do państw trzecich — szczególnie groźne przy operatorach z infrastrukturą w USA.
• Zbyt długi termin powiadomienia o naruszeniu — np. 72 godziny zamiast 24, co uniemożliwia terminowe zgłoszenie do UODO.
• Brak klauzuli audytowej lub jej iluzoryczny charakter (np. „audyt wyłącznie na podstawie certyfikatów ISO").
• Automatyczne przedłużanie umowy bez możliwości sprzeciwu wobec nowych warunków przetwarzania.
• Podpisanie DPA przez osobę bez umocowania — umowa musi być podpisana przez osobę uprawnioną do reprezentacji lub posiadającą stosowne pełnomocnictwo.

Lista kontrolna przed podpisaniem DPA z operatorem mailingowym

1. Czy umowa precyzuje kategorie danych, cel i czas przetwarzania?
2. Czy operator zobowiązuje się przetwarzać dane wyłącznie na Twoje polecenie?
3. Czy opisane są konkretne środki bezpieczeństwa (art. 32 RODO)?
4. Czy umowa zawiera listę podprocesorów i mechanizm powiadamiania o zmianach?
5. Czy operator zapewnia narzędzia do realizacji praw podmiotów danych?
6. Czy termin powiadomienia o naruszeniu jest wystarczająco krótki (max 24–48 h)?
7. Czy uregulowano transfer danych do państw trzecich (SCC lub inny mechanizm)?
8. Czy umowa przewiduje prawo do audytu?
9. Czy określono procedurę usunięcia danych po zakończeniu współpracy?
10. Czy umowa jest podpisana przez uprawnione osoby po obu stronach?

DPA a wybór operatora mailingowego – na co zwrócić uwagę

Jakość oferowanej umowy powierzenia to jeden z ważnych sygnałów dojrzałości procesowej dostawcy. Operator, który nie oferuje DPA lub proponuje dokument pomijający kluczowe elementy art. 28 RODO, naraża Cię na ryzyko prawne — niezależnie od tego, jak dobry jest jego interfejs użytkownika. Przed wyborem platformy warto zapytać wprost: „Czy oferujecie DPA zgodne z art. 28 RODO? Czy korzystacie z podprocesorów poza EOG?".

Narzędzia takie jak MailerPRO, działające w modelu wysyłki przez własne skrzynki SMTP, zmieniają nieco układ sił: Twoje dane mogą pozostawać na Twojej infrastrukturze, co ogranicza zakres powierzenia. Jednak nawet wtedy, gdy platforma przechowuje jakiekolwiek dane osobowe (np. logi wysyłki, raporty otwarć), umowa powierzenia jest wymagana.

Forma i przechowywanie umowy DPA

Art. 28 ust. 9 RODO dopuszcza formę elektroniczną — wystarczy podpisany PDF, kliknięcie „Akceptuję warunki DPA" w panelu dostawcy (jeśli spełnia wymogi formy dokumentowej) lub podpis kwalifikowany. Ważne, byś zachował dowód zawarcia umowy: datę, wersję dokumentu i tożsamość stron. Przechowuj DPA co najmniej przez czas trwania współpracy plus okres przedawnienia roszczeń (w Polsce co do zasady 3–6 lat w zależności od charakteru relacji).

Jeśli Twoja firma wyznaczyła Inspektora Ochrony Danych (IOD), powinien on zaopiniować umowę przed podpisaniem. Brak konsultacji z IOD przy zawarciu DPA może być uznany za naruszenie art. 38 ust. 1 RODO, który nakłada obowiązek angażowania IOD we wszystkie sprawy dotyczące ochrony danych.

Umowa powierzenia przetwarzania danych z operatorem mailingowym to nie formalność — to fundament zgodnego z prawem e-mail marketingu. Skorzystaj z powyższej listy kontrolnej, zanim podpiszesz lub odnowisz kontrakt z dostawcą. Jeśli dopiero wybierasz platformę mailingową, poproś o wzór DPA jeszcze przed testami — odpowiedź wiele powie o podejściu dostawcy do bezpieczeństwa danych Twoich klientów.