Umowa powierzenia przetwarzania danych (DPA) — kiedy jest wymagana w e-commerce

Czym jest umowa powierzenia przetwarzania danych (DPA)

Umowa powierzenia (Data Processing Agreement, DPA) to umowa między administratorem danych (Ty — właściciel sklepu) a procesorem (podmiot przetwarzający dane w Twoim imieniu). Wymaga jej art. 28 ust. 3 RODO.

Bez DPA przekazywanie danych klientów podwykonawcy jest nielegalne — nawet jeśli korzystasz z popularnych narzędzi SaaS.

Kto w ekosystemie sklepu internetowego jest procesorem

Typowi procesorzy w e-commerce:

| Procesor | Jakie dane przetwarza |

|---|---|

| Hosting (home.pl, OVH) | Wszystkie dane sklepu |

| Operator płatności (PayU, Stripe) | Dane płatnicze, transakcje |

| Kurier (InPost, DPD) | Adres, telefon, imię |

| E-mail marketing (Mailchimp, GetResponse) | E-mail, imię, historia |

| Analityka (Google Analytics) | IP, zachowanie |

| CRM / helpdesk (Zendesk, Freshdesk) | Korespondencja, dane klientów |

| Księgowość (wFirma, Fakturownia) | Faktury, NIP, adresy |

| Platforma sklepu (Shopify, Shoper) | Wszystkie dane klientów |

Każdy z nich wymaga umowy powierzenia — albo własnej, albo ich standardowej (Terms of Service z klauzulą DPA).

Co musi zawierać umowa powierzenia (art. 28 RODO)

Obowiązkowe elementy DPA: przedmiot i czas trwania przetwarzania, charakter i cel, rodzaj danych i kategorie osób, obowiązki administratora, przetwarzanie wyłącznie na udokumentowane polecenie, poufność, środki bezpieczeństwa, zasady pod-procesorów, pomoc w realizacji praw osób, usunięcie danych po zakończeniu umowy, audyt i informowanie o naruszeniach.

DPA a regulamin SaaS — gdzie szukać umowy

Większość popularnych narzędzi ma DPA wbudowane w regulamin:

• Google — Google Ads Data Processing Terms (akceptacja w ustawieniach)
• PayU / Stripe — DPA w Terms of Service
• Mailchimp — Data Processing Addendum
• Shopify — DPA dostępne w panelu admina

Musisz świadomie zaakceptować te umowy — samo korzystanie z usługi nie wystarczy, jeśli DPA wymaga osobnej akceptacji.

Pod-procesorzy — łańcuch odpowiedzialności

Procesor może angażować pod-procesorów (np. hosting korzysta z AWS). Wymagania:

• Procesor musi mieć Twoją zgodę na pod-procesorów (ogólną lub szczegółową)
• Procesor musi informować o zmianach listy pod-procesorów
• Procesor ponosi odpowiedzialność za działania pod-procesora

Sprawdź listy pod-procesorów u swoich dostawców — powinny być publicznie dostępne.

Transfer danych poza EOG

Jeśli procesor przechowuje dane poza EOG (np. Google w USA, Mailchimp w USA):

• Wymagane Standardowe Klauzule Umowne (SCC) — art. 46 RODO
• Dodatkowa ocena ryzyka transferu (post-Schrems II)
• Informacja w polityce prywatności o transferze

Co grozi za brak DPA

• Kara UODO — przetwarzanie bez umowy powierzenia to naruszenie art. 28
• Odpowiedzialność solidarna — administrator i procesor odpowiadają wspólnie za szkody (art. 82 RODO)
• Brak podstawy do przekazania danych — każde przekazanie danych kurierowi bez DPA jest nielegalne

Rejestr czynności przetwarzania a DPA

W rejestrze czynności przetwarzania (RCP) musisz odnotować każdego procesora — nazwę, cel, kategorie danych, transfer poza EOG. RCP + DPA to para dokumentów, które UODO sprawdza razem.

Gotowa umowa powierzenia

Jeśli korzystasz z mniej popularnych podwykonawców (freelancerzy, agencje, custom software), potrzebujesz własnej umowy powierzenia. Wzór DPA zgodny z art. 28 RODO znajdziesz w komplecie dokumentów na gotowyregulamin.pl/gotowe-pisma — razem z regulaminem, polityką prywatności i RCP za 149 zł.