0Zero Awarii ← Wróć do strony
Wzór dokumentu · Załącznik do Umowy głównej

Umowa powierzenia przetwarzania danych osobowych

Zgodna z art. 28 RODO · Wersja 1.0 · Obowiązuje od 21 maj 2026 r.
Czym jest ten dokument: Umowa powierzenia (data processing agreement, DPA) jest obowiązkowa w sytuacji, gdy jeden przedsiębiorca (Procesor) przetwarza dane osobowe w imieniu drugiego (Administrator). Dotyczy to każdej współpracy z Zero Awarii — bo w trakcie świadczenia Usług mamy dostęp do danych Twoich pracowników, klientów lub kontrahentów. Dokument jest załącznikiem do Umowy głównej.

§ 1.Strony Umowy

Niniejsza Umowa powierzenia przetwarzania danych osobowych (dalej: Umowa powierzenia) zawarta zostaje między:

[NAZWA KLIENTA], z siedzibą pod adresem [ADRES], NIP: [NIP], REGON: [REGON], reprezentowanym przez [OSOBA REPREZENTUJĄCA], zwanym dalej "Administratorem",

a

MICHAŁ ŚMIGIELSKI, prowadzącym działalność gospodarczą pod firmą RZESSSKI SOFTWARE MICHAŁ ŚMIGIELSKI, z siedzibą pod adresem ul. Droga Graniczna 18, 86-300 Grudziądz, NIP: 876-243-22-74, REGON: 380196980, zwanym dalej "Procesorem",

w związku z zawarciem między stronami Umowy o świadczenie usług opieki informatycznej z dnia [DATA] (dalej: "Umowa główna").

§ 2.Definicje

Pojęcia użyte w Umowie powierzenia mają następujące znaczenie:

RODORozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych
Dane osoboweWszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej w rozumieniu art. 4 pkt 1 RODO
PrzetwarzanieKażda operacja na Danych osobowych w rozumieniu art. 4 pkt 2 RODO
AdministratorStrona Umowy powierzenia decydująca o celach i sposobach Przetwarzania (Klient Zero Awarii)
ProcesorStrona Umowy powierzenia przetwarzająca Dane osobowe w imieniu Administratora (Zero Awarii)
PodprocesorPodmiot, któremu Procesor powierza dalsze Przetwarzanie Danych osobowych za zgodą Administratora
NaruszenieNaruszenie ochrony danych osobowych w rozumieniu art. 4 pkt 12 RODO
Organ nadzorczyPrezes Urzędu Ochrony Danych Osobowych (PUODO)

§ 3.Przedmiot powierzenia

3.1. Administrator powierza Procesorowi Przetwarzanie Danych osobowych w zakresie i w celu określonym w niniejszej Umowie powierzenia oraz w Umowie głównej.

3.2. Procesor zobowiązuje się Przetwarzać Dane osobowe wyłącznie:

  • na udokumentowane polecenie Administratora,
  • w zakresie niezbędnym do wykonania Umowy głównej,
  • z zachowaniem przepisów RODO oraz obowiązujących przepisów prawa polskiego.

3.3. Procesor nie wykorzystuje powierzonych Danych osobowych do własnych celów i nie przekazuje ich osobom trzecim poza zakresem określonym w Umowie powierzenia.

3.4. Szczegółowy wykaz kategorii Danych osobowych oraz osób, których dane dotyczą, zawarty jest w Załączniku nr 1.

§ 4.Zakres i charakter przetwarzania

4.1. Charakter Przetwarzania: Procesor wykonuje czynności administracyjne, techniczne i organizacyjne związane z opieką informatyczną nad systemami Administratora.

4.2. Cel Przetwarzania: Świadczenie usług opieki informatycznej zgodnie z wybranym Pakietem określonym w Umowie głównej.

4.3. Rodzaj operacji: Przeglądanie, kopiowanie, modyfikowanie, archiwizowanie, usuwanie, odtwarzanie z kopii zapasowych, zabezpieczanie, monitorowanie.

4.4. Sposób Przetwarzania: W formie elektronicznej, z wykorzystaniem systemów informatycznych Administratora oraz infrastruktury Procesora.

4.5. Miejsce Przetwarzania: Wyłącznie na terytorium Europejskiego Obszaru Gospodarczego (EOG). Przekazanie Danych poza EOG wymaga uprzedniej pisemnej zgody Administratora oraz zapewnienia odpowiednich gwarancji zgodnych z rozdziałem V RODO.

§ 5.Czas trwania powierzenia

5.1. Umowa powierzenia obowiązuje przez cały okres trwania Umowy głównej.

5.2. Postanowienia dotyczące poufności, zwrotu i usunięcia Danych oraz odpowiedzialności pozostają w mocy również po zakończeniu Umowy powierzenia.

§ 6.Obowiązki Procesora

Procesor zobowiązuje się do:

  • Przetwarzania Danych osobowych wyłącznie na udokumentowane polecenie Administratora,
  • zapewnienia, aby osoby upoważnione do Przetwarzania Danych osobowych zobowiązały się do zachowania tajemnicy lub podlegały odpowiedniemu ustawowemu obowiązkowi zachowania tajemnicy,
  • wdrożenia odpowiednich środków technicznych i organizacyjnych zapewniających bezpieczeństwo Przetwarzania zgodnie z art. 32 RODO (szczegółowo opisanych w Załączniku nr 2),
  • nie korzystania z usług innego Podprocesora bez uprzedniej szczegółowej lub ogólnej pisemnej zgody Administratora (szczegóły w § 8),
  • biorąc pod uwagę charakter Przetwarzania, w miarę możliwości pomagania Administratorowi w wywiązaniu się z obowiązku odpowiadania na żądania osoby, której dane dotyczą,
  • uwzględniając charakter Przetwarzania i dostępne informacje, pomagania Administratorowi w wywiązaniu się z obowiązków określonych w art. 32–36 RODO,
  • po zakończeniu Przetwarzania, zwrotu wszystkich Danych osobowych Administratorowi lub ich usunięcia (zgodnie z § 11),
  • udostępniania Administratorowi wszelkich informacji niezbędnych do wykazania spełnienia obowiązków określonych w art. 28 RODO,
  • umożliwienia Administratorowi przeprowadzania audytów (zgodnie z § 12).

Procesor niezwłocznie informuje Administratora, jeżeli w jego opinii polecenie Administratora stanowi naruszenie RODO lub innych przepisów o ochronie danych.

§ 7.Środki bezpieczeństwa

7.1. Procesor stosuje odpowiednie środki techniczne i organizacyjne zapewniające stopień bezpieczeństwa odpowiadający ryzyku naruszenia praw lub wolności osób fizycznych, zgodnie z art. 32 RODO.

7.2. Szczegółowy wykaz środków bezpieczeństwa stanowi Załącznik nr 2 do Umowy powierzenia.

7.3. Procesor regularnie testuje, mierzy i ocenia skuteczność stosowanych środków bezpieczeństwa.

7.4. Strony zgodnie potwierdzają, że stosowane środki bezpieczeństwa odpowiadają ryzyku związanemu z kategoriami przetwarzanych Danych osobowych i celem ich Przetwarzania.

§ 8.Podpowierzenie (Podprocesorzy)

8.1. Administrator wyraża ogólną zgodę na korzystanie przez Procesora z Podprocesorów na potrzeby świadczenia usług objętych Umową główną.

8.2. Aktualna lista Podprocesorów zawarta jest w Załączniku nr 3.

8.3. O zamiarze zaangażowania nowego Podprocesora lub zastąpienia dotychczasowego, Procesor poinformuje Administratora z wyprzedzeniem co najmniej 14 dni. Administrator może w tym terminie zgłosić uzasadniony sprzeciw. W przypadku braku porozumienia Administrator ma prawo wypowiedzieć Umowę główną z zachowaniem 30-dniowego okresu wypowiedzenia.

8.4. Procesor zapewnia, że każdy Podprocesor zostaje zobowiązany do przestrzegania obowiązków równoważnych z określonymi w niniejszej Umowie powierzenia, w drodze odrębnej umowy lub innego aktu prawnego.

8.5. Procesor ponosi pełną odpowiedzialność wobec Administratora za działania i zaniechania swoich Podprocesorów.

§ 9.Pomoc dla Administratora

9.1. Procesor pomaga Administratorowi poprzez odpowiednie środki techniczne i organizacyjne w wywiązaniu się z obowiązków:

  • odpowiadania na żądania osób, których dane dotyczą (art. 12–22 RODO),
  • zapewnienia bezpieczeństwa Przetwarzania (art. 32 RODO),
  • zgłaszania Naruszeń organowi nadzorczemu (art. 33 RODO),
  • zawiadamiania osób, których dane dotyczą, o Naruszeniu (art. 34 RODO),
  • przeprowadzania ocen skutków dla ochrony danych (art. 35 RODO),
  • uprzednich konsultacji z organem nadzorczym (art. 36 RODO).

9.2. Pomoc świadczona jest w zakresie współmiernym do charakteru i celów Przetwarzania oraz informacji dostępnych Procesorowi.

§ 10.Zgłaszanie naruszeń ochrony danych

10.1. Procesor zobowiązuje się powiadomić Administratora o stwierdzeniu Naruszenia ochrony Danych osobowych niezwłocznie, nie później niż w terminie 24 godzin od jego wykrycia.

10.2. Zgłoszenie Naruszenia obejmuje:

  • opis charakteru Naruszenia, w tym (w miarę możliwości) kategorie i przybliżoną liczbę osób, których dane dotyczą, oraz kategorie i przybliżoną liczbę wpisów Danych osobowych objętych Naruszeniem,
  • dane kontaktowe osoby udzielającej dalszych informacji,
  • opis możliwych konsekwencji Naruszenia,
  • opis środków zastosowanych lub proponowanych w celu zaradzenia Naruszeniu i zminimalizowania jego skutków.

10.3. Zgłoszenie kierowane jest e-mailem na adres kontaktowy Administratora wskazany w Umowie głównej, ze skutecznym potwierdzeniem odbioru. W razie potrzeby Procesor podejmuje również kontakt telefoniczny.

10.4. Procesor współpracuje z Administratorem w trakcie postępowania wyjaśniającego oraz – jeżeli jest to wymagane – w zakresie zgłoszenia Naruszenia organowi nadzorczemu lub osobom, których dane dotyczą.

§ 11.Zwrot i usunięcie danych po zakończeniu powierzenia

11.1. Po zakończeniu świadczenia usług związanych z Przetwarzaniem (rozwiązanie lub wygaśnięcie Umowy głównej), w zależności od decyzji Administratora wyrażonej w terminie 30 dni, Procesor:

  • zwraca Administratorowi wszystkie Dane osobowe w formacie elektronicznym uzgodnionym przez strony, lub
  • usuwa wszystkie Dane osobowe i potwierdza Administratorowi ich usunięcie protokolarnie.

11.2. W braku stanowiska Administratora w terminie 30 dni od zakończenia Umowy głównej Procesor przystępuje do usuwania Danych osobowych po uprzednim ponownym powiadomieniu Administratora.

11.3. Procesor ma prawo zachować Dane osobowe, jeżeli ich dalsze Przetwarzanie wynika z obowiązku prawnego (np. dane na fakturach przechowywane zgodnie z przepisami podatkowymi). W takim przypadku Procesor informuje Administratora o podstawie prawnej i zakresie zachowanych Danych.

11.4. Zwrot lub usunięcie Danych następuje w terminie 30 dni od decyzji Administratora.

§ 12.Audyt i kontrola

12.1. Administrator ma prawo do weryfikacji spełniania przez Procesora obowiązków wynikających z Umowy powierzenia poprzez:

  • żądanie informacji i wyjaśnień,
  • audyt prowadzony osobiście lub przez upoważnionego audytora.

12.2. O zamiarze przeprowadzenia audytu Administrator informuje Procesora z wyprzedzeniem co najmniej 14 dni roboczych. Audyt prowadzony jest w godzinach pracy, w sposób minimalizujący zakłócenia działalności Procesora.

12.3. Audyt prowadzony jest na koszt Administratora. Wyjątek stanowi sytuacja, w której audyt wykaże istotne naruszenie obowiązków przez Procesora — wówczas koszty audytu pokrywa Procesor.

12.4. Strony uzgadniają, że Procesor może spełnić obowiązek audytowy poprzez przekazanie aktualnych raportów z audytów zewnętrznych, certyfikatów lub innych dokumentów potwierdzających zgodność z normami bezpieczeństwa (np. ISO 27001, SOC 2), jeżeli takimi dysponuje.

12.5. Audytor jest zobowiązany do zachowania w tajemnicy wszystkich informacji uzyskanych w trakcie audytu.

§ 13.Odpowiedzialność

13.1. Strony ponoszą odpowiedzialność za szkody wyrządzone drugiej stronie naruszeniem postanowień Umowy powierzenia lub przepisów RODO na zasadach ogólnych Kodeksu cywilnego.

13.2. Łączna odpowiedzialność Procesora z tytułu naruszenia Umowy powierzenia, w tym z tytułu utraconych korzyści Administratora oraz kar nałożonych przez organ nadzorczy, ograniczona jest do wysokości dwunastokrotności miesięcznego wynagrodzenia należnego Procesorowi za Pakiet obowiązujący w dniu wystąpienia szkody, z zastrzeżeniem przypadków winy umyślnej Procesora oraz bezwzględnie obowiązujących przepisów RODO.

13.3. Procesor posiada ubezpieczenie odpowiedzialności cywilnej z tytułu prowadzonej działalności gospodarczej, obejmujące również szkody związane z naruszeniem ochrony danych osobowych.

§ 14.Postanowienia końcowe

14.1. W sprawach nieuregulowanych Umową powierzenia zastosowanie mają przepisy RODO, ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych oraz Kodeksu cywilnego.

14.2. W razie sprzeczności między postanowieniami Umowy powierzenia a Umowy głównej w zakresie Przetwarzania Danych osobowych — pierwszeństwo mają postanowienia Umowy powierzenia.

14.3. Zmiany Umowy powierzenia wymagają formy dokumentowej (e-mail) lub pisemnej pod rygorem nieważności, z zastrzeżeniem zmian Załączników, które mogą być aktualizowane przez Procesora w trybie określonym w niniejszej Umowie.

14.4. Spory wynikające z Umowy powierzenia strony będą rozstrzygać polubownie. W przypadku braku porozumienia sądem właściwym jest sąd powszechny właściwy dla siedziby Procesora.

14.5. Umowa powierzenia sporządzona została w dwóch jednobrzmiących egzemplarzach po jednym dla każdej ze stron, lub w formie elektronicznej z potwierdzonym odbiorem.

Administrator

data, miejsce, podpis

Procesor

data, miejsce, podpis

Zał. 1Wykaz danych osobowych i kategorii osób

A. Kategorie osób, których dane dotyczą

  • pracownicy Administratora,
  • współpracownicy Administratora (osoby na umowach cywilnoprawnych, B2B),
  • klienci i kontrahenci Administratora,
  • osoby kontaktujące się z Administratorem (np. przez formularz, e-mail).

B. Kategorie danych osobowych

Kategoria osóbZakres danych
Pracownicy i współpracownicy imię, nazwisko, służbowy adres e-mail, stanowisko, dane kontaktowe służbowe, login do systemów, identyfikatory pracownicze
Klienci i kontrahenci imię, nazwisko, firma, NIP/REGON, adres siedziby, adres e-mail, numer telefonu, dane do faktur
Osoby kontaktujące się imię, nazwisko, adres e-mail, numer telefonu, treść korespondencji

C. Dane szczególnych kategorii (art. 9 i 10 RODO)

Strony deklarują, że w standardowym zakresie współpracy nie są przetwarzane dane szczególnych kategorii (m.in. dane o stanie zdrowia, biometryczne, dotyczące wyroków skazujących). Jeżeli pojawi się taka potrzeba, wymaga to odrębnego aneksu do Umowy powierzenia.

Zał. 2Środki techniczne i organizacyjne (TOM)

Procesor wdraża i utrzymuje następujące środki bezpieczeństwa:

A. Środki techniczne

  • szyfrowanie połączeń sieciowych (TLS 1.2 lub nowszy) dla całej komunikacji,
  • szyfrowanie danych w spoczynku (at rest) na nośnikach przechowujących kopie zapasowe,
  • uwierzytelnianie dwuskładnikowe (2FA) we wszystkich systemach mających dostęp do Danych Administratora,
  • menedżer haseł z szyfrowaniem zero-knowledge do zarządzania poświadczeniami,
  • regularne kopie zapasowe danych w geograficznie oddzielonej lokalizacji na terenie EOG,
  • testy odtwarzania z kopii zapasowych przeprowadzane przynajmniej raz na 6 miesięcy,
  • monitoring i logowanie zdarzeń w systemach administracyjnych,
  • aktualizacje oprogramowania i poprawek bezpieczeństwa zgodnie z dobrymi praktykami,
  • zabezpieczenia antywirusowe i firewall na stacjach pracy oraz serwerach.

B. Środki organizacyjne

  • polityka bezpieczeństwa informacji wdrożona w firmie Procesora,
  • zobowiązanie do zachowania poufności podpisane przez Procesora i ewentualnych współpracowników,
  • zasada minimalnego dostępu (dostęp tylko do niezbędnych Danych w niezbędnym zakresie),
  • procedura zgłaszania incydentów bezpieczeństwa,
  • regularne przeglądy uprawnień dostępowych (co najmniej raz na 6 miesięcy),
  • natychmiastowe odbieranie dostępów po zakończeniu współpracy z osobą uprawnioną,
  • świadomość zagrożeń – stałe podnoszenie wiedzy w obszarze cyberbezpieczeństwa.

C. Środki zapewniające ciągłość działania

  • plan ciągłości działania (Business Continuity Plan) na wypadek awarii kluczowych systemów,
  • redundancja kluczowych usług u różnych dostawców infrastruktury,
  • plan odtworzenia po awarii (Disaster Recovery Plan).

Zał. 3Wykaz aktualnych podprocesorów

Procesor korzysta z następujących Podprocesorów w celu świadczenia usług na rzecz Administratora:

PodprocesorZakres usługiLokalizacja przetwarzania
[NAZWA DOSTAWCY HOSTINGU] Hosting strony zeroawarii.pl oraz infrastruktury wsparcia UE
[NAZWA DOSTAWCY VPS] (np. Hetzner Online GmbH) Wirtualne serwery wykorzystywane do świadczenia usług Niemcy / Finlandia (UE)
[NAZWA DOSTAWCY KOPII ZAPASOWYCH] Przechowywanie szyfrowanych kopii zapasowych UE
[NAZWA DOSTAWCY POCZTY] (np. Google Workspace) Obsługa firmowej poczty elektronicznej Procesora USA (EU-US Data Privacy Framework)
[BIURO KSIĘGOWE / KANCELARIA] Obsługa księgowa Procesora — wyłącznie dane finansowe Administratora Polska (UE)

Aktualizacja listy Podprocesorów następuje w trybie określonym w § 8 Umowy powierzenia. Bieżąca wersja Załącznika dostępna jest pod adresem zeroawarii.pl/umowa-powierzenia.