square mask on article list

Jak negocjować odpowiedzialność i kary umowne w DPA?

Kary umowne i odpowiedzialność w umowie DPA
Spis treści
1. Kary umowne i limity odpowiedzialności w DPA – jak negocjować?
2. Umowa powierzenia danych – co naprawdę chroni administratora?
3. Kary umowne w DPA – jak ustalić ich wysokość?
4. Jak negocjować limity odpowiedzialności w DPA?
4.1. Ograniczenie odpowiedzialności procesora – co dopuszcza RODO?
5. Jakie klauzule warto negocjować w DPA?
5.1. Klauzula kary umownej za naruszenie obowiązku notyfikacji
5.2. Klauzula odpowiedzialności
5.3. Klauzula podprocesora
5.4. Klauzula audytu
6. Czy kara umowna w DPA działa niezależnie od kary UODO?
7. Najczęstsze błędy przy negocjowaniu DPA
8. Kiedy warto przeprowadzić audyt DPA?
9. FAQ – najczęściej zadawane pytania
9.1. Czy dostawca SaaS może wyłączyć kary umowne w DPA?
9.2. Jakie klauzule najlepiej chronią administratora danych?
9.3. Jak ustalić realistyczny cap odpowiedzialności w DPA?
10. Jak negocjować DPA bez blokowania kontraktu?

Kary umowne i limity odpowiedzialności w DPA – jak negocjować?

 

Twoja firma podpisuje umowę z dostawcą SaaS, który będzie przetwarzał dane osobowe Twoich klientów. Dział prawny przygotował Data Processing Addendum z wysokimi karami umownymi i nielimitowaną odpowiedzialnością procesora. Z perspektywy ochrony administratora to brzmi rozsądnie. Tylko że po dwóch tygodniach negocjacji dostawca odmówił podpisania, a Ty stoisz przed wyborem: zaakceptować jego standardową wersję z minimalnymi zabezpieczeniami albo szukać innego dostawcy. To typowy scenariusz, w którym brak realistycznego podejścia do limitów odpowiedzialności RODO blokuje kontrakt zamiast chronić dane.

W tym artykule pokazujemy, jak konstruować odpowiedzialność w umowie powierzenia, by realnie chroniła administratora bez odstraszania procesorów. Wyjaśniamy, jakie kary umowne RODO można ustanowić, jak negocjować limity odpowiedzialności w umowie DPA oraz pokazujemy konkretne propozycje brzmień klauzul, które możesz wykorzystać jako punkt wyjścia w negocjacjach z dostawcą usług. Tekst ma charakter praktyczny, znajdziesz w nim takie zagadnienia jak: kary umowne RODO, negocjowanie kontraktu, klauzule umowne RODO oraz wskazania, które zapisy realnie wzmacniają ochronę administratora danych.

Sprawdź : Audyt prawny usług chmurowych

 

Umowa powierzenia danych – co naprawdę chroni administratora?

Umowa powierzenia danych osobowych (Data Processing Agreement, DPA) to umowa, która reguluje warunki przetwarzania danych osobowych przez procesora w imieniu administratora. Jej minimum wymagane prawem definiuje art. 28 RODO. To minimum jest dobrze znane: cel i czas przetwarzania, charakter i kategorie danych, obowiązki i prawa administratora, zobowiązania procesora.

Czego art. 28 RODO nie reguluje, to wysokość kar umownych ani limitów odpowiedzialności procesora. Te kwestie są pozostawione swobodzie kontraktowej stron i to one decydują o tym, czy Twoja umowa powierzenia przetwarzania danych jest dla administratora realnym zabezpieczeniem, czy tylko formalnym dokumentem zgodnym z minimum.

Z punktu widzenia ochrony administratora danych klauzule odpowiedzialności procesora i kary umowne pełnią trzy funkcje. Po pierwsze, prewencyjną: procesor wiedzący, że za naruszenie zapłaci konkretną kwotę, bardziej rygorystycznie podchodzi do bezpieczeństwa. Po drugie, kompensacyjną: administrator danych osobowych może odzyskać część kosztów incydentu (kary UODO, odszkodowanie za naruszenie danych dochodzone przez podmioty danych, koszty obsługi prawnej). Po trzecie, dowodową: obecność właściwie skonstruowanych klauzul w DPA dokumentuje rozliczalność administratora w zakresie sprawowania nadzoru na procesorem. 

Realna ochrona administratora w umowie przetwarzania to nie tylko wysokość kar, ale przede wszystkim ich precyzja, dla jakich naruszeń, w jakich okolicznościach, z jakimi włączeniami. Sama klauzula ogólna typu „Procesor odpowiada za wszelkie szkody” w razie sporu okazuje się trudna do egzekwowania.

Zobacz : Umowa powierzenia przetwarzania danych osobowych

Kary umowne w DPA – jak ustalić ich wysokość?

Kary umowne w DPA mogą być zastrzeżone na szereg sytuacji. Kara umowna upraszcza ścieżkę dochodzenia roszczenia, zgodnie z art. 484 § 1 KC należy się niezależnie od wysokości poniesionej szkody. Choć jej główna funkcja nadal jest kompensacyjna, a uprawniony z tytułu kary umownej nie ma na niej zarabiać. 

Typowe sytuacje, na które zastrzega się kary umowne w DPA:

  • Naruszenie obowiązku notyfikacji o incydencie – brak lub opóźniona informacja o naruszeniu ochrony danych.
  • Wprowadzenie podprocesora bez wymaganej zgody administratora lub bez spełnienia warunków art. 28 RODO.
  • Brak współpracy przy realizacji praw osób, których dane dotyczą (art. 12–23 RODO).
  • Naruszenie obowiązku zachowania poufności lub udostępnienie danych osobie nieuprawnionej.
  • Brak współpracy podczas audytu lub kontroli prowadzonej przez administratora albo organ nadzorczy.
  • Nieusunięcie danych po zakończeniu świadczenia usług zgodnie z umową.

Wysokość kar umownych w DPA powinna być proporcjonalna do skali przetwarzania, charakteru danych oraz przewidywanego ryzyka administratora. Wysokości sztywne (np. 50 000 zł za każde naruszenie) sprawdzają się dla pojedynczych naruszeń, jak np. naruszenie obowiązku notyfikacji. Wysokości procentowe od wartości kontraktu lub od wartości wynagrodzenia rocznego działają lepiej dla naruszeń systemowych, jak np. nieusunięci danych po zakończeniu umowy. 

Z mojej praktyki wynika, że w typowych umowach SaaS kary umowne za naruszenia ustanawiane są w przedziale 10 000–50 000 zł za drobniejsze przewinienie, a za naruszenia o charakterze cięższym (np. naruszenie poufności) – 50 000–200 000 zł. Kary niewspółmierne (kilka milionów za pojedyncze naruszenie) często blokują podpisanie umowy lub zostają w toku negocjacji znacząco zredukowane.

Pytanie jak negocjować DPA z dostawcą usług wraca w większości projektów, w które jestem zaangażowany. Odpowiedzialność finansowa procesor danych RODO to obszary, które wymagają zbalansowania interesów obu stron. Standardowe DPA dostawców zwykle ustanawiają limity odpowiedzialności umownej równe rocznej wartości umowy głównej SaaS (cap kwotowy) z perspektywy administratora to często za mało, zwłaszcza jeśli skala przetwarzania jest istotna.

Jak negocjować limity odpowiedzialności w DPA?

Negocjowanie limitów odpowiedzialności DPA 2026 wymaga zbalansowania dwóch sprzecznych interesów. Z jednej strony Twoja firma jako administrator chce mieć możliwość dochodzenia roszczeń nieograniczoną capem. Z drugiej procesor (zwłaszcza dostawca SaaS) ma w standardowej umowie cap kwotowy ograniczony do opłat z ostatnich 12 miesięcy i nie zaakceptuje jego zniesienia w DPA, jeśli oznacza to nieograniczoną odpowiedzialność całkowitą.

Praktyka rynku pokazuje trzy modele negocjacji limitów. Pierwszy: cap DPA równy capowi głównej umowy SaaS. To najprostszy model, ale dla administratora często niewystarczający. Drugi: cap DPA wyższy niż cap główny (np. dwukrotność – tzw. supercap) z uzasadnieniem, że naruszenia ochrony danych generują większe szkody niż naruszenia funkcjonalności. Trzeci: cap DPA z wyłączeniem dla określonych kategorii naruszeń (np. nieograniczona odpowiedzialność za naruszenie poufności, rażące niedbalstwo, naruszenia umyślne).

Drugie model jest najczęściej akceptowalny dla obu stron. Dostawca zachowuje przewidywalność całkowitej odpowiedzialności, a administrator otrzymuje większą ochronę w sytuacjach najpoważniejszych. W trzecim modelu klauzule odpowiedzialności procesor administrator danych warto formułować w sposób, który wprost wymienia kategorie wyłączone spod limitu ograniczenia kwotowego.

Ograniczenie odpowiedzialności procesora – co dopuszcza RODO?

Na poziomie kontraktowym tak, strony mogą ustanowić limity odpowiedzialności. Trzeba jednak pamiętać o dwóch ograniczeniach. Po pierwsze, art. 82 RODO przewiduje samodzielną, ale solidarną odpowiedzialność administratora i procesora wobec osób, których dane dotyczą  i tej odpowiedzialności nie da się ograniczyć umownie wobec podmiotów danych. Po drugie, kary administracyjne nałożone przez UODO na administratora i procesora są odpowiedzialnością publicznoprawną. W przypadku nałożenia kary na administratora, procesor nie powinien za nie odpowiadać, chyba że jego działanie było bezpośrednim źródłem naruszenia.

Jakie klauzule warto negocjować w DPA?

Negocjowanie DPA ułatwia przygotowane stanowisko z konkretnymi propozycjami. Łatwiej negocjować poprawkę do gotowego zapisu niż rozwiązanie od zera. Oto cztery propozycje, które warto mieć na uwadze.

Klauzula kary umownej za naruszenie obowiązku notyfikacji

Propozycja: „W przypadku naruszenia przez Procesora obowiązku, który polega na poinformowaniu Administratora o naruszeniu ochrony danych w terminie nie dłuższym niż X godziny od wykrycia podejrzenia jego wystąpienia, Procesor zapłaci Administratorowi karę umowną w wysokości X zł za każde naruszenie. Zapłata kary umownej nie wyłącza prawa Administratora do dochodzenia odszkodowania uzupełniającego.”

Klauzula odpowiedzialności 

Propozycja: „Ograniczenie odpowiedzialności wynikające z [punkt X umowy głównej] nie ma zastosowania do szkód wynikłych z: (i) naruszenia obowiązku zachowania poufności, (ii) naruszenia umowy powierzenia przetwarzania, (iii) sytuacji, w której organ nadzoru nałożył na Administratora karę pieniężną z winy procesora.”

Klauzula podprocesora

Propozycja: „Procesor może powierzyć wykonanie części przetwarzania danych podprocesorowi wyłącznie po uzyskaniu uprzedniej pisemnej zgody Administratora, z zachowaniem wymogów art. 28 RODO. Naruszenie tego obowiązku powoduje prawo do nałożenia kary umownej w wysokości X zł za każdego nieautoryzowanego podprocesora oraz prawem Administratora do natychmiastowego wypowiedzenia umowy.”

Klauzula audytu

Propozycja: „Procesor zobowiązuje się do współpracy podczas audytu prowadzonego przez Administratora lub upoważnionego przez niego audytora, raz w roku kalendarzowym i dodatkowo w razie incydentu. Naruszenie tego obowiązku stanowi istotne naruszenie umowy, za które Procesor zapłaci karę umowną w wysokości 30 000 zł za każdą odmowę współpracy lub utrudnianie audytu.”

Czy kara umowna w DPA działa niezależnie od kary UODO?

Tak, to dwa odrębne reżimy odpowiedzialności. Kary umowne w DPA wynikają z umowy między administratorem a procesorem i są egzekwowane na zasadach Kodeksu cywilnego, najprościej: administrator pozywa procesora do sądu o zapłatę. Kary administracyjne UODO wynikają z art. 83 RODO, są nakładane przez organ nadzorczy w trybie postępowania administracyjnego i mogą być nałożone na obie strony niezależnie od ich roszczeń wzajemnych.

W praktyce oznacza to, że po incydencie administrator może równocześnie ponosić karę administracyjną UODO oraz dochodzić od procesora kar umownych z DPA i odszkodowania uzupełniającego. Naruszenie umowy powierzenia generuje zatem ryzyko finansowe procesor danych RODO o nieprzewidywalnym sumarycznym wymiarze, dlatego większość dostawców nalega na ograniczenie odpowiedzialności (cap kwotowy).

Z perspektywy ochrony interesów administratora warto pamiętać, że odpowiedzialność cywilna RODO procesora wobec administratora wynika nie tylko z DPA, ale również z ogólnych przepisów Kodeksu cywilnego (art. 471 i nast.). Brak klauzuli kary umownej w DPA nie oznacza braku odpowiedzialności procesora, oznacza tylko trudniejszą ścieżkę dochodzenia roszczeń (konieczność udowodnienia szkody i jej wysokości).

Najczęstsze błędy przy negocjowaniu DPA

Praktyka rynku ujawnia kilka powtarzających się błędów, które w razie incydentu istotnie pogarszają pozycję administratora. Większości z nich można uniknąć na etapie negocjacji.

  • Akceptacja standardowego DPA dostawcy bez negocjacji – typowe dla umów podpisywanych „na szybko”. To rezygnacja z możliwości ochrony administratora w obszarach, które realnie jej wymagają.
  • Niespójność z umową główną – cap odpowiedzialności w DPA różny od capa w umowie głównej, niejasny stosunek między nimi.
  • Niewspółmierność kar – kary za drobne naruszenia formalne wyższe niż cała wartość kontraktu odstraszają procesorów. Kary za poważne naruszenia w wysokości kilku tysięcy złotych nie mają funkcji prewencyjnej.
  • Brak klauzuli o relacji do odszkodowania – niejednoznaczne, czy kara umowna wyklucza odszkodowanie uzupełniające. Dla ochrony administratora warto wprost zachować prawo do uzupełniającego odszkodowania.

Negocjacje DPA często utykają nie z powodu istotnych różnic merytorycznych, lecz z powodu źle skonstruowanych oczekiwań co odpowiedzialności i kar umownych. Czas poświęcony na przygotowanie precyzyjnego stanowiska negocjacyjnego i wiedza o tym co jest standardem rynkowy znacznie skraca późniejsze rozmowy.

Kiedy warto przeprowadzić audyt DPA?

Z mojej praktyki wynika, że są trzy momenty, w których zaangażowanie prawnika daje największy zwrot. 

  • Przed wyborem dostawcy – audyt standardowych DPA kilku potencjalnych procesorów pozwala wybrać partnera, który oferuje najlepsze wyjściowe warunki ochrony danych.
  • Przed podpisaniem DPA – negocjacja konkretnych klauzul kar umownych RODO, limitów odpowiedzialności i mechanizmów audytu. Po podpisaniu możliwości modyfikacji są minimalne.
  • Po incydencie (najmniej opłacalny moment) – negocjacja klauzul w warunkach kryzysu rzadko prowadzi do istotnej zmiany pozycji.

Zabezpieczenie interesów administratora w DPA wymaga zarówno wiedzy regulacyjnej (RODO, KC, orzecznictwo TSUE i UODO), jak i znajomości praktyki rynkowej różnych typów dostawców. Wsparcie prawnika specjalizującego się w prawie ochrony danych zwykle zwraca się już w pierwszej negocjacji.

Jeśli przygotowujesz się do podpisania umowy z procesorem, aneksujesz obecne DPA lub renegocjujesz warunki po incydencie, audyt prawny umowy przed podjęciem decyzji obniża ryzyko sporu wielokrotnie.

FAQ – najczęściej zadawane pytania

Czy dostawca SaaS może wyłączyć kary umowne w DPA?

Tak, jak najbardziej. Negocjacje DPA to gra dwustronna, procesor może proponować obniżenie wysokości kar, miarkowanie w razie pierwszego naruszenia, wyłączenia dla określonych kategorii naruszeń lub. Praktyka rynku pokazuje, że administratorzy częściej akceptują mechanizmy elastyczne niż całkowite wyłączenie kar.

Jakie klauzule najlepiej chronią administratora danych?

Najsilniej chronią administratora: kary umowne za konkretne naruszenia art. 28 RODO, wyłączenia z capa odpowiedzialności dla naruszeń umyślnych i rażącego niedbalstwa, mechanizmy audytu z karami za odmowę współpracy, oraz prawo do natychmiastowego rozwiązania umowy w razie istotnego naruszenia. 

Jak ustalić realistyczny cap odpowiedzialności w DPA?

Proporcjonalność limitów wymaga zbalansowania trzech czynników: skali przetwarzania danych, charakteru danych (szczególne kategorie wymagają wyższych limitów) oraz wartości kontraktu głównego. Najczęściej akceptowanym modelem jest cap DPA równy lub wyższy niż cap głównej umowy z wyłączeniami dla kategorii najpoważniejszych naruszeń. 

Jak negocjować DPA bez blokowania kontraktu?

Odpowiedzialność w umowie powierzenia i kary umowne DPA to obszar, w którym dobre intencje (jak najwyższe kary, jak najszerszy zakres) często blokują osiągnięcie celu (realnej ochrony administratora). Sztuka negocjowania DPA polega na zbalansowaniu interesów obu stron, administratora, który chce zminimalizować ryzyko, oraz procesora, który potrzebuje przewidywalności kontraktowej.

Skuteczna umowa powierzenia danych osobowych zawiera kary umowne RODO proporcjonalne do naruszeń, limity odpowiedzialności z wyłączeniami dla najpoważniejszych przypadków, mechanizmy audytu, jasne zasady relacji do odszkodowania uzupełniającego oraz spięcie z umową główną. Jeśli stoisz przed negocjacją DPA – z perspektywy administratora lub procesora – audyt prawny przed podjęciem decyzji obniża ryzyko sporu wielokrotnie i znacznie skraca same negocjacje.

Zobacz : Prawnik IT

Zobacz inne artykuły

button aquamarine icon image Zobacz wszystkie
button aquamarine icon image Zobacz wszystkie

Zapisz się na newsletter




    Podając adres e-mail wyrażasz zgodę na otrzymywanie newslettera. Administratorem danych osobowych jest
    Łochowski.Legal, ul. Skawińska 15/6, 31-066 Kraków. W każdej chwili możesz zrezygnować z otrzymywania
    newslettera. Wycofanie zgody nie wpływa na ważność przetwarzania, które miało miejsce do tej chwili. Więcej informacji znajdziesz w Polityka prywatności.

    square mask on contact form