square mask on article list

Audyt prawny usług chmurowych – czego nie pokazują certyfikaty dostawcy?

Audyt prawny usług chmurowych i analiza ryzyk kontraktowych

Twój zespół IT przedstawił certyfikat ISO 27001 dostawcy chmury, raport SOC 2 oraz potwierdzenie CSA STAR. Z perspektywy inżyniera wszystko gra. Wybraliście sprawdzonego dostawcę, który przeszedł audyt bezpieczeństwa. Problem polega na tym, że te dokumenty nie odpowiadają na pytania, które w razie incydentu zadadzą Ci klienci, organ nadzorczy lub Twoi inwestorzy: kto poniesie koszt wycieku danych, czy umowa spełnia wymogi RODO i co stanie się z Twoimi danymi przy zakończeniu współpracy. Audyt prawny chmury bada inne obszary niż audyt techniczny dostawcy  i to one często decydują o tym, czy compliance chmury obliczeniowej w Twojej firmie jest realny, czy tylko deklarowany.

W tym artykule pokazujemy, czego nie obejmuje standardowy audyt chmurowy, jakie luki prawne pozostawia oraz co powinien zawierać audyt prawny usług chmurowych z perspektywy klienta. Wyjaśniamy różnice między zgodnością techniczną a regulacyjną, omawiamy wymogi RODO dla chmury obliczeniowej w 2026 roku oraz wskazujemy, kiedy warto przeprowadzić niezależny audyt umowy chmurowej.

 

Sprawdź : Audyt prawny usług chmurowych

 

Spis treści
1. Dlaczego certyfikat ISO 27001 nie chroni Twojej firmy przed ryzykiem prawnym?
2. Jakie ryzyka pomija standardowy audyt chmurowy?
3. Co powinien obejmować audyt prawny usług chmurowych?
4. RODO i cloud computing – za co odpowiada klient, a za co dostawca?
4.1. Powierzenie przetwarzania (art. 28 RODO)
4.2. Transfer danych do państw trzecich
4.3. DPIA przy migracji
5. Kiedy warto przeprowadzić audyt umowy chmurowej?
6. FAQ – audyt prawny chmury i zgodność z RODO
6.1. Czy certyfikat ISO 27001 dostawcy zwalnia mnie z audytu prawnego umowy?
6.2. Jak często powinienem przeprowadzać audyt zgodności chmury?
6.3. Czym różni się audyt prawny od audytu technicznego dostawcy?
7. Dlaczego certyfikat dostawcy nie wystarcza – podsumowanie

Dlaczego certyfikat ISO 27001 nie chroni Twojej firmy przed ryzykiem prawnym?

Standardowy audyt chmurowy potwierdza, że dostawca wdrożył środki techniczne i organizacyjne na poziomie zgodnym z wybranym standardem branżowym. Najczęściej są to: SOC 2 Type II (w obszarze Trust Services Criteria: bezpieczeństwo, dostępność, integralność, poufność, prywatność), ISO 27001, ISO 27017 (specyficznie dla chmury), ISO 27018 (przetwarzanie danych osobowych w chmurze) oraz CSA STAR.

Z punktu widzenia Twojego zespołu IT te dokumenty są ważne i mogą być wystarczające. Z punktu widzenia odpowiedzialności prawnej Twojej firmy, to już nie do końca. Audyt techniczny bada, jak dostawca chroni dane na swoich serwerach. Nie bada, jak rozkłada się odpowiedzialność w razie incydentu, czy konkretna umowa spełnia wymogi RODO ani co stanie się, gdy zechcesz odejść do innego dostawcy.

Audyt prawny chmury to zupełnie inny rodzaj badania. Nie ocenia infrastruktury dostawcy, tylko Twoją pozycję prawną wynikającą z konkretnej umowy. Sprawdza, czy klauzule kontraktowe odpowiednio rozkładają ryzyka, czy zapewniają zgodność z RODO, ustawą o krajowym systemie cyberbezpieczeństwa (nowelizacja wprowadzająca NIS 2 obowiązuje od kwietnia 2026 r.) oraz DORA czy wytycznymi KNF.

Bezpieczeństwo prawne cloud computing w Twojej firmie nie wynika automatycznie z bezpieczeństwa technicznego dostawcy. Certyfikat ISO 27001 nie rozstrzyga, czy w razie incydentu skutecznie wyegzekwujesz odszkodowanie, czy odzyskasz dane przy zakończeniu umowy, ani czy konkretna konfiguracja usługi spełnia wymogi krajowego organu nadzorczego.

 

Sprawdź : audyt prawny umów IT

 

Jakie ryzyka pomija standardowy audyt chmurowy?

Standardowy audyt chmurowy nie obejmuje obszarów, które z perspektywy klienta mają charakter krytyczny. Te obszary leżą poza zakresem metodyki audytowej dostawcy, ale w razie sporu lub kontroli regulatora to one zadecydują o Twojej pozycji.

Najważniejsze obszary pomijane przez certyfikaty techniczne:

  • Prawo właściwe dla umów chmurowych i jurysdykcja – standardowe umowy wskazują często prawo USA (stan Kalifornii) lub prawo irlandzkie oraz sądy zagraniczne. Egzekwowanie roszczeń przez polskiego klienta w takiej jurysdykcji jest kosztowne i czasochłonne, a w niektórych przypadkach praktycznie niemożliwe.
  • Klauzule odpowiedzialności – cap kwotowy odpowiedzialności dostawcy zwykle ograniczony do opłat z ostatnich dwunastu miesięcy, wyłączenie szkód pośrednich i utraconych korzyści. W świetle art. 471 i 472 Kodeksu cywilnego klauzule te podlegają ocenie sądu, ale praktyka pokazuje, że w obrocie B2B granice wyłączenia odpowiedzialności są dosyć szerokie.
  • Transfer danych do państw trzecich – po wyroku Schrems II (sprawa C-311/18 TSUE) sam fakt zawarcia Standardowych Klauzul Umownych nie wystarcza. Wymagana jest ocena ryzyka transferu (Transfer Impact Assessment) oraz wdrożenie środków uzupełniających. Audyt techniczny dostawcy tej oceny nie zastąpi.
  • Lokalizacja danych chmurowych – deklaracje dostawcy o regionie przechowywania danych zwykle są wiarygodne, ale musisz zweryfikować, czy obejmują również backupy, dane telemetryczne, logi diagnostyczne oraz dane przetwarzane w trybie wsparcia technicznego. To częsty obszar zaniedbań i bardzo istotny w przypadku klientów z sektora finansowego i DORA. 
  • Łańcuch podprocesorów – dostawcy globalni korzystają z dziesiątek podmiotów trzecich. Mapowanie tego łańcucha, ocena lokalizacji każdego z nich i mechanizmów transferu danych to typowy obszar audytu prawnego, nie technicznego. Ciągłość łańcucha dostawa obecnie bardzo istotna, gdy dostarczasz usługi do sektora finansowego z uwagi na DORA lub podmiotu objętego NIS 2. 
  • Audyt zgodności chmury w wymiarze regulacyjnym – uprawnienia audytowe Twojej firmy oraz organów nadzorczych (KNF, UODO) są zwykle ograniczone w standardowych umowach. W sektorach regulowanych może to stanowić problem zgodności z prawem. Zasadniczo wąskie klauzule audytowe powodują, że nadzór jest iluzoryczny, a to nie spełnia wymogów regulacyjnych RODO i DORA. 
  • Klauzule modyfikacji umowy – większość kontraktów chmurowych przewiduje jednostronne prawo dostawcy do zmiany warunków świadczenia, klauzul umownych czy katalogu podprocesorów. Skala tych uprawnień wymaga zawsze oceny, a z praktyki można wskazać, że są to kwestie, w których dostawca najłatwiej ustępuje w negocjacjach. 

W praktyce umów takich dostawców jak: AWS, Azure, części tych obszarów nie da się zmienić w drodze negocjacji. Można jednak świadomie wybrać, które ryzyka jesteś w stanie zaakceptować, a które zaadresować inaczej (np. przez zabezpieczenia operacyjne, polisy ubezpieczeniowe lub). Bez audytu prawnego nie podejmujesz tej decyzji świadomie, ale na podstawie domysłu.

 

Co powinien obejmować audyt prawny usług chmurowych?

Audyt prawny usług chmurowych PaaS, SaaS lub IaaS obejmuje analizę wszystkich kluczowych obszarów kontraktowych z Twojej perspektywy. Nie zastępuje audytu technicznego dostawcy, ale go uzupełnia. W praktyce dobry audyt prawny umowy chmurowej powinien odpowiedzieć na konkretne pytania.

Standardowy zakres audytu prawnego umowy z dostawcą chmury:

  • Prawo właściwe i jurysdykcja – w jakim systemie prawnym będziesz dochodzić roszczeń i czy realnie da się to zrobić.
  • Klauzule odpowiedzialności – ile wynosi cap kwotowy i czy jest on rynkowy, za jakie szkody dostawa nie odpowiada.
  • Umowa SLA – parametry reakcji i czasy napraw, czy przewidziano kary umowne,.
  • Data Processing Addendum (DPA) – zgodność z art. 28 RODO, terminy notyfikacji o naruszeniach, prawa audytowe, zarządzanie podprocesorami.
  • Mechanizmy transferu do państw trzecich – SCC, decyzja o adekwatności (np. Data Privacy Framework dla USA), BCR. Plus przeprowadzona ocena ryzyka transferu.
  • Klauzule audytu – prawa Twojej firmy i organów nadzorczych do audytu dostawcy, zakres dokumentów udostępnianych i jaki jest tego koszt (raporty SOC 2, certyfikaty).
  • Klauzule exit – format danych, terminy zwrotu, retencja, obowiązki dostawcy w zakresie wsparcia migracji.
  • Zgodność sektorowa – dla banków, ubezpieczycieli i firm finansowych: DORA i wytyczne KNF; dla podmiotów kluczowych: ustawa o KSC i NIS2.

 

 Sprawdź : Umowy SLA

 

RODO i cloud computing – za co odpowiada klient, a za co dostawca?

Certyfikaty ISO potwierdzają środki bezpieczeństwa po stronie dostawcy. Nie weryfikują jednak, czy konkretne wdrożenie w Twojej firmie spełnia wymogi RODO. To dość częsty punkt nieporozumień między działem IT a działem prawnym.

Zgodność RODO usługi chmurowe 2026 wymaga po Twojej stronie szeregu działań, których dostawca nie wykona za Ciebie. Niezależnie od tego, jak dobry jest jego certyfikat.

Powierzenie przetwarzania (art. 28 RODO)

Każda umowa chmurowa, w której dostawca przetwarza dane osobowe Twojej firmy, wymaga umowy powierzenia spełniającej minimalne wymogi art. 28 RODO. Standardowe DPA dostawców globalnych zwykle te wymogi spełniają, ale różnią się znacząco w obszarach: prawa do audytu (najczęściej ograniczonego do otrzymania dokumentacji), terminu notyfikacji o naruszeniach (najczęściej bez podania terminu kiedy nastąpi notyfikacja), zakresu współpracy przy realizacji praw osób, których dane dotyczą.

Transfer danych do państw trzecich

Jeżeli dane osobowe są przetwarzane poza Europejskim Obszarem Gospodarczym, konieczne jest zapewnienie odpowiedniego mechanizmu transferu zgodnie z rozdziałem V RODO. Naruszenie bezpieczeństwa danych chmura w połączeniu z wadliwą podstawą transferu generuje ryzyko regulacyjne nieproporcjonalnie wyższe niż samo naruszenie. To warto przeanalizować zanim umowa zostanie podpisana.

DPIA przy migracji

Migracja krytycznych systemów do chmury – zwłaszcza obejmująca dane wrażliwe lub na dużą skalę – w wielu przypadkach wymaga oceny skutków dla ochrony danych w trybie art. 35 RODO. Audyt techniczny dostawcy może być jednym ze źródeł danych do takiej oceny, ale jej przeprowadzenie i udokumentowanie spoczywa na Tobie jako administratorze.

RODO w chmurze obliczeniowej to jeden z elementów szerszej zgodności regulacyjnej cloud computing. Zgodność regulacyjna cloud computing obejmuje również ustawę o KSC, DORA i Data Act, każdy z tych aktów nakłada na Ciebie obowiązki, których nie wypełni żaden certyfikat dostawcy.

 

Kiedy warto przeprowadzić audyt umowy chmurowej?

 

Z mojej praktyki wynika, że są trzy momenty, w których audyt prawny umowy chmurowej daje największy zwrot z inwestycji. Czwarty moment, a najczęstszy w praktyce jest niestety najmniej opłacalny.

  • Przed podpisaniem nowej umowy z dostawcą chmury – to optymalny moment. Możesz negocjować kluczowe klauzule, wybrać między alternatywnymi dostawcami, dostosować architekturę do exit planu. Po zawarciu umowy pole manewru drastycznie się zawęża.
  • Przy aneksowaniu istniejącej umowy – zwłaszcza w 2026 roku, gdy Data Act stosowany od 12 września 2025 r. zmienił obowiązki dostawców. Wiele klauzul w obowiązujących umowach jest dziś sprzecznych z Data Act i wymaga aktualizacji.
  • Przed migracją do innego dostawcy lub wyjściem z usługi – by zabezpieczyć prawnie proces migracji, sprawdzić obowiązki notyfikacyjne i uniknąć utraty danych.
  • Po incydencie (najmniej opłacalny moment) – audyt umowy w warunkach kryzysu jest możliwy, ale rzadko prowadzi do istotnej zmiany pozycji. W tym momencie audyt zwykle służy raczej dokumentowaniu odpowiedzialności niż jej ograniczeniu.

Praktyka rynku pokazuje, że większość polskich firm średniej wielkości nie przeprowadza audytu prawnego umowy chmurowej przed jej zawarciem, a polega tylko na ocenie technicznej działu IT i wymaganiach biznesowych produktu. To w porządku, dopóki nie ma incydentu, sporu lub kontroli regulatora.

Jeżeli rozważasz migrację do chmury, aneksujesz umowę z istniejącym dostawcą lub przygotowujesz się do exitu, audyt prawny umowy może realnie zmienić Twoją pozycję negocjacyjną i ograniczyć ryzyko. 

 

FAQ – audyt prawny chmury i zgodność z RODO

 

Czy certyfikat ISO 27001 dostawcy zwalnia mnie z audytu prawnego umowy?

Nie. Certyfikat ISO 27001 potwierdza, że dostawca wdrożył system zarządzania bezpieczeństwem informacji. Nie zastępuje analizy klauzul kontraktowych Twojej umowy, które regulują odpowiedzialność, exit, transfer danych i zgodność z RODO. To dwa różne wymiary tego samego ryzyka.

Jak często powinienem przeprowadzać audyt zgodności chmury?

Przy istotnych zmianach umowy lub przy wejściu w życie nowych regulacji (np. Data Act we wrześniu 2025 r.).

Czym różni się audyt prawny od audytu technicznego dostawcy?

Audyt techniczny ocenia infrastrukturę i środki bezpieczeństwa dostawcy. Audyt prawny ocenia pozycję prawną Twojej firmy wynikającą z umowy z tym dostawcą. Pierwszy odpowiada na pytanie 'czy serwery są bezpieczne’. Drugi – 'kto poniesie koszt, gdy mimo to dojdzie do incydentu’.

Dlaczego certyfikat dostawcy nie wystarcza – podsumowanie

Standardowy audyt chmurowy nie zastępuje audytu prawnego umowy z dostawcą. Compliance chmury obliczeniowej wymaga odrębnej weryfikacji klauzul kontraktowych, mechanizmów transferu danych i zgodności regulacyjnej cloud computing. Ochrona danych osobowych chmura SaaS różni się znacząco między dostawcami, a same certyfikaty nie wystarczają do oceny.

Jeśli przygotowujesz się do migracji, aneksujesz umowę lub planujesz wyjście od obecnego dostawcy, audyt prawny przed podjęciem decyzji obniża ryzyko sporu wielokrotnie. To usługa, która się zwraca zwykle już w pierwszej rundzie negocjacji klauzul umownych. 

Zobacz inne artykuły

button aquamarine icon image Zobacz wszystkie
button aquamarine icon image Zobacz wszystkie

Zapisz się na newsletter




    Podając adres e-mail wyrażasz zgodę na otrzymywanie newslettera. Administratorem danych osobowych jest
    Łochowski.Legal, ul. Skawińska 15/6, 31-066 Kraków. W każdej chwili możesz zrezygnować z otrzymywania
    newslettera. Wycofanie zgody nie wpływa na ważność przetwarzania, które miało miejsce do tej chwili. Więcej informacji znajdziesz w Polityka prywatności.

    square mask on contact form