Wiesz co to umowa licencji?Przygotowujesz umowę licencyjną na oprogramowanie, aplikację mobilną lub treści cyfrowe i zastanawiasz się, jak zgodnie z RODO uregulować kwestię danych osobowych użytkowników? A może otrzymałeś pismo od PUODO kwestionujące zapisy w Twojej licencji? Według raportu Prezesa Urzędu Ochrony Danych Osobowych z 2025 roku, aż 73% kontrolowanych umów licencyjnych na oprogramowanie zawierało błędy w zakresie RODO. Najczęstsze problemy? Brak rozróżnienia ról (administrator vs procesor – 51% przypadków), nieprawidłowa klauzula informacyjna (44%) i brak odpowiednich zabezpieczeń technicznych (38%). Kary? Od 100 000 zł do 20 milionów euro lub 4% światowego obrotu.
Umowa licencyjna to szczególny rodzaj umowy – nie sprzedajesz własności oprogramowania, lecz udzielasz prawa do jego używania. Ale gdy to oprogramowanie przetwarza dane osobowe (CRM, system HR, platforma e-learningowa, aplikacja mobilna z rejestracją użytkowników), sytuacja staje się znacznie bardziej skomplikowana. Kto jest administratorem danych – licencjodawca czy licencjobiorca? A może obaj? Czy potrzebujesz umowy powierzenia przetwarzania? Jakie klauzule RODO muszą znaleźć się w licencji?
W 2026 roku wymogi są jeszcze bardziej rygorystyczne. Dyrektywa NIS2 nakłada dodatkowe obowiązki cyberbezpieczeństwa, AI Act wprowadza nowe wymogi dla systemów wykorzystujących sztuczną inteligencję, a PUODO regularnie kontroluje zgodność umów z RODO. Jeden błąd w rozgraniczeniu odpowiedzialności może oznaczać wielomilionową karę – albo co gorsza, wspólną i solidarną odpowiedzialność obu stron.
Ten artykuł to kompletny przewodnik po RODO w umowach licencyjnych – od określenia ról (administrator/procesor), przez obowiązkowe klauzule, po praktyczne wzory zapisów zgodnych z najnowszymi wymogami 2026.
Podstawy: Czym jest umowa licencyjna i dlaczego RODO jest kluczowe
Definicja umowy licencyjnej
Umowa licencyjna to umowa, na podstawie której właściciel praw autorskich (licencjodawca) udziela drugiej stronie (licencjobiorcy) upoważnienia do korzystania z utworu (np. oprogramowania) na określonych polach eksploatacji.
Typowe elementy umowy licencyjnej:
- Przedmiot licencji (oprogramowanie, aplikacja, baza danych)
- Zakres uprawnień (instalacja, użytkowanie, modyfikacja?)
- Pola eksploatacji (terytorium, czas, liczba użytkowników)
- Wynagrodzenie (jednorazowe, abonament, prowizja)
- Ograniczenia i zakazy
- Odpowiedzialność stron
Problem z RODO pojawia się gdy: Licencjonowane oprogramowanie przetwarza dane osobowe.
Przykłady oprogramowania wymagającego RODO w licencji
1. Systemy CRM (Customer Relationship Management):
- Salesforce, HubSpot, własne CRM
- Przetwarzają: dane klientów (imiona, emaile, telefony, historia zakupów)
2. Systemy HR (Human Resources):
- Oprogramowanie kadrowo-płacowe
- Przetwarzają: dane pracowników (PESEL, adresy, wynagrodzenia, daty urodzin)
3. Aplikacje mobilne z rejestracją:
- Aplikacje lojalnościowe, społecznościowe, e-commerce
- Przetwarzają: dane użytkowników (konta, loginy, geolokalizacja)
4. Platformy e-learningowe:
- Moodle, własne LMS
- Przetwarzają: dane uczniów/pracowników (postępy, oceny, certyfikaty)
5. Systemy analityczne:
- Google Analytics, Hotjar, własne narzędzia
- Przetwarzają: dane użytkowników stron (cookies, zachowania, IP)
6. Oprogramowanie medyczne:
- Systemy gabinetowe, szpitalne
- Przetwarzają: dane zdrowotne (szczególna kategoria – art. 9 RODO!)
Wniosek: Praktycznie każde współczesne oprogramowanie SaaS lub on-premise przetwarza jakieś dane osobowe → wymaga właściwego uregulowania RODO w umowie licencyjnej.
Kluczowe pytanie: Kto jest administratorem, a kto procesorem danych?
To najważniejsze rozstrzygnięcie w kontekście RODO. Od tego zależy podział odpowiedzialności i obowiązków.
Definicje z RODO
Administrator danych (data controller) – art. 4 pkt 7 RODO:
Osoba fizyczna lub prawna, która samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych.
Procesor danych (data processor) – art. 4 pkt 8 RODO:
Osoba fizyczna lub prawna, która przetwarza dane osobowe w imieniu administratora.
Scenariusz 1: Licencjobiorca = Administrator, Licencjodawca = Procesor
Najczęstszy model w SaaS (Software as a Service)
Przykład: Firma X (licencjobiorca) kupuje licencję na CRM w chmurze od firmy Y (licencjodawca/dostawca SaaS).
- Firma X decyduje, jakie dane klientów wprowadza do CRM i w jakim celu (zarządzanie relacjami)
- Firma Y tylko dostarcza narzędzie i przetwarza dane w imieniu firmy X (hosting, backup, utrzymanie)
Kto kim jest:
- Administrator: Firma X (licencjobiorca)
- Procesor: Firma Y (licencjodawca/dostawca SaaS)
Konsekwencje prawne:
- Firma X odpowiada za zgodność przetwarzania z RODO (podstawy prawne, klauzule informacyjne, prawa osób)
- Firma Y odpowiada za bezpieczeństwo danych (art. 32 RODO) i przetwarzanie tylko zgodnie z instrukcją X
- Wymagana: umowa powierzenia przetwarzania danych (art. 28 RODO) – może być częścią umowy licencyjnej lub osobny dokument
Scenariusz 2: Licencjodawca = Administrator, Licencjobiorca = Użytkownik
Model dla aplikacji konsumenckich
Przykład: Użytkownik instaluje aplikację mobilną Facebook (licencjobiorca = użytkownik końcowy), licencjodawca = Meta Platforms.
- Meta decyduje, jakie dane zbiera (geolokalizacja, kontakty, aktywność) i w jakim celu (reklamy, analityka)
- Użytkownik tylko korzysta z aplikacji
Kto kim jest:
- Administrator: Meta Platforms (licencjodawca)
- Procesor: Ewentualnie podwykonawcy Meta (serwery AWS, etc.)
- Osoba, której dane dotyczą: Użytkownik (licencjobiorca)
Konsekwencje prawne:
- Meta odpowiada za całość RODO (klauzule, podstawy prawne, bezpieczeństwo)
- Użytkownik ma prawa: dostępu, sprostowania, usunięcia, etc.
- NIE MA umowy powierzenia (użytkownik nie jest administratorem)
Scenariusz 3: Współadministratorzy (Joint Controllers)
Rzadszy, ale możliwy model
Przykład: Firma X (sklep online) integruje się z platformą płatności Y. Obie firmy wspólnie ustalają, jakie dane klientów są zbierane przy płatności i jak długo przechowywane.
Kto kim jest:
- Współadministratorzy: Firma X + Platforma Y
Konsekwencje prawne:
- Obie strony odpowiadają solidarnie za zgodność z RODO
- Wymagana: umowa o współadministrowaniu (art. 26 RODO) określająca podział obowiązków
- Użytkownik może dochodzić praw od każdej ze stron
Scenariusz 4: Licencja on-premise – Licencjobiorca = Samodzielny Administrator
Model tradycyjnego oprogramowania instalowanego lokalnie
Przykład: Firma X kupuje licencję na oprogramowanie kadrowe, które instaluje na własnym serwerze w swojej siedzibie.
- Firma X ma pełną kontrolę nad danymi (są na jej serwerze)
- Licencjodawca nie ma dostępu do danych
Kto kim jest:
- Administrator: Firma X (licencjobiorca)
- Procesor: BRAK (licencjodawca nie przetwarza danych, tylko dostarczył narzędzie)
Konsekwencje prawne:
- Firma X odpowiada za całość RODO samodzielnie
- Licencjodawca odpowiada tylko za to, aby oprogramowanie było technicznie zgodne z RODO (np. szyfrowanie, logi dostępu, możliwość eksportu danych)
- NIE MA umowy powierzenia (licencjodawca nie przetwarza)
Tabela podsumowująca – który model masz?
| Typ licencji | Administrator | Procesor | Umowa powierzenia? | Klauzula RODO w licencji? |
|---|---|---|---|---|
| SaaS w chmurze (CRM, HR, platforma) | Licencjobiorca | Licencjodawca | TAK (art. 28 RODO) | TAK (obowiązki procesora) |
| Aplikacja konsumencka (Facebook, gra mobilna) | Licencjodawca | Podwykonawcy licencjodawcy | NIE (użytkownik nie jest administratorem) | TAK (klauzula art. 13 dla użytkowników) |
| Współadministrowanie (integracje platform) | Licencjodawca + Licencjobiorca | Ewentualnie podwykonawcy | NIE (ale umowa art. 26!) | TAK (podział obowiązków) |
| On-premise (instalacja lokalna) | Licencjobiorca | BRAK | NIE | Opcjonalnie (wymogi techniczne oprogramowania) |
Model SaaS: Klauzule RODO w umowie licencyjnej z powierzeniem
To najczęstszy model w 2026 roku. Przeanalizujemy go szczegółowo.
Struktura umowy licencyjnej SaaS z RODO
UMOWA LICENCYJNA NA OPROGRAMOWANIE [NAZWA] W MODELU SaaS
zawarta w dniu __________ pomiędzy:
[LICENCJODAWCA] – administrator systemu, procesor danych
[LICENCJOBIORCA] – licencjobiorca, administrator danych osobowych
§ 1. Przedmiot umowy
§ 2. Zakres licencji
§ 3. Wynagrodzenie
§ 4. PRZETWARZANIE DANYCH OSOBOWYCH (RODO) ← TUTAJ
§ 5. Powierzenie przetwarzania danych (art. 28 RODO) ← TUTAJ
§ 6. Bezpieczeństwo danych
§ 7. Odpowiedzialność
§ 8. Czas trwania
§ 9. Postanowienia końcowe
§ 4. Przetwarzanie danych osobowych – ustalenie ról
§ 4. PRZETWARZANIE DANYCH OSOBOWYCH
1. DEFINICJE (zgodnie z RODO)
Administrator danych – osoba fizyczna lub prawna, która
samodzielnie lub wspólnie z innymi ustala cele i sposoby
przetwarzania danych osobowych (art. 4 pkt 7 RODO).
Procesor danych – osoba fizyczna lub prawna, która przetwarza
dane osobowe w imieniu administratora (art. 4 pkt 8 RODO).
Dane osobowe – wszelkie informacje o zidentyfikowanej lub
możliwej do zidentyfikowania osobie fizycznej (art. 4 pkt 1 RODO).
Przetwarzanie – operacja lub zestaw operacji wykonywanych
na danych osobowych (zbieranie, przechowywanie, modyfikacja,
usuwanie, etc.) – art. 4 pkt 2 RODO.
2. USTALENIE RÓL
a) LICENCJOBIORCA jest **Administratorem danych osobowych**
Licencjobiorca samodzielnie ustala:
- Jakie dane osobowe będą przetwarzane w Systemie
- W jakich celach (np. zarządzanie klientami, HR, marketing)
- Jak długo dane będą przechowywane
- Kto będzie miał dostęp (pracownicy Licencjobiorcy)
Licencjobiorca ponosi pełną odpowiedzialność za:
- Zgodność przetwarzania z RODO
- Posiadanie odpowiednich podstaw prawnych (art. 6 RODO)
- Udzielanie informacji osobom, których dane dotyczą (art. 13-14)
- Realizację praw osób (dostęp, sprostowanie, usunięcie, etc.)
- Zgłaszanie naruszeń ochrony danych do PUODO (jeśli wymagane)
b) LICENCJODAWCA jest **Procesorem danych osobowych**
Licencjodawca przetwarza dane osobowe wyłącznie:
- W imieniu i na rzecz Licencjobiorcy
- Zgodnie z udokumentowanymi instrukcjami Licencjobiorcy
- W zakresie niezbędnym do świadczenia usług (hosting,
backup, utrzymanie Systemu)
Licencjodawca ponosi odpowiedzialność za:
- Bezpieczeństwo danych (art. 32 RODO)
- Przetwarzanie tylko zgodnie z instrukcją
- Nieudostępnianie danych osobom trzecim bez zgody
- Pomoc Licencjobiorcy w realizacji praw osób
- Natychmiastowe zgłaszanie incydentów bezpieczeństwa
3. KATEGORIE DANYCH OSOBOWYCH
W ramach niniejszej Umowy mogą być przetwarzane następujące
kategorie danych osobowych (w zależności od wykorzystania
Systemu przez Licencjobiorcę):
a) Dane identyfikacyjne: imię, nazwisko, nr ID
b) Dane kontaktowe: adres email, nr telefonu, adres korespondencyjny
c) Dane zawodowe: stanowisko, firma, adres firmowy
d) Dane transakcyjne: historia zakupów, zamówienia, płatności
e) Dane techniczne: adres IP, cookies, logi dostępu
f) Dane behawioralne: aktywność w systemie, preferencje
UWAGA: System NIE jest przeznaczony do przetwarzania:
- Szczególnych kategorii danych (art. 9 RODO): dane o zdrowiu,
pochodzeniu rasowym, poglądach politycznych, religijnych, etc.
- Danych dotyczących wyroków skazujących (art. 10 RODO)
Jeśli Licencjobiorca zamierza przetwarzać powyższe dane,
wymaga to osobnego uzgodnienia i dodatkowych zabezpieczeń.
4. KATEGORIE OSÓB, KTÓRYCH DANE DOTYCZĄ
- Klienci Licencjobiorcy
- Pracownicy Licencjobiorcy
- Kontrahenci Licencjobiorcy
- Użytkownicy końcowi produktów/usług Licencjobiorcy
- Inne osoby, których dane Licencjobiorca wprowadzi do Systemu
§ 5. Powierzenie przetwarzania danych (art. 28 RODO)
To najważniejsza część! Art. 28 RODO wymaga pisemnej umowy powierzenia między administratorem a procesorem.
§ 5. POWIERZENIE PRZETWARZANIA DANYCH OSOBOWYCH
1. PODSTAWA PRAWNA
Niniejszy paragraf stanowi umowę powierzenia przetwarzania
danych osobowych w rozumieniu art. 28 RODO.
Licencjobiorca (Administrator) powierza Licencjodawcy (Procesor)
przetwarzanie danych osobowych w zakresie i na warunkach
określonych poniżej.
2. PRZEDMIOT I CZAS TRWANIA POWIERZENIA
Przedmiot: hosting, przechowywanie, backup i utrzymanie
techniczne danych osobowych wprowadzonych przez Licencjobiorcę
do Systemu.
Czas: okres obowiązywania Umowy licencyjnej + 30 dni
po jej zakończeniu (na potrzeby migracji danych).
3. CHARAKTER I CEL PRZETWARZANIA
Charakter przetwarzania:
- Przechowywanie danych na serwerach Licencjodawcy
- Automatyczne backup'y (codzienne, tygodniowe, miesięczne)
- Udostępnianie danych upoważnionym użytkownikom Licencjobiorcy
(przez interfejs Systemu)
- Aktualizacje i utrzymanie Systemu
- Wsparcie techniczne (na żądanie Licencjobiorcy)
Cel przetwarzania:
Umożliwienie Licencjobiorcy korzystania z Systemu zgodnie
z Umową licencyjną.
4. OBOWIĄZKI PROCESORA (LICENCJODAWCY)
Licencjodawca zobowiązuje się do:
a) **Przetwarzania wyłącznie zgodnie z instrukcją**
Przetwarzanie danych osobowych wyłącznie na udokumentowane
polecenie Licencjobiorcy, w tym w zakresie przekazywania
danych do państw trzecich lub organizacji międzynarodowych
(chyba że obowiązek taki wynika z prawa UE lub państwa
członkowskiego – wówczas obowiązek poinformowania
Licencjobiorcy przed przetwarzaniem).
Instrukcja Licencjobiorcy obejmuje:
- Korzystanie z funkcjonalności Systemu zgodnie z dokumentacją
- Zlecenia przesyłane przez email: support@licencjodawca.pl
- Zlecenia przekazywane przez dedykowany panel administratora
b) **Zachowanie poufności**
Zapewnienie, że osoby upoważnione do przetwarzania danych
osobowych:
- Zobowiązały się do zachowania poufności (umowa o poufności)
- Przeszły szkolenie z zakresu ochrony danych osobowych
- Mają dostęp tylko w zakresie niezbędnym (zasada "need to know")
c) **Wdrożenie odpowiednich środków bezpieczeństwa** (art. 32 RODO)
Szczegóły w § 6 poniżej.
d) **Podpowierzenie przetwarzania**
Licencjodawca może korzystać z innych procesorów
(podprocesorów) wyłącznie za uprzednią pisemną zgodą
Licencjobiorcy.
**Lista zatwierdzonych podprocesorów:**
- Amazon Web Services (AWS) – hosting serwerów (Irlandia)
- Google Cloud Platform – backup (Belgia)
- Zendesk – system zgłoszeń wsparcia technicznego (USA –
standardowe klauzule umowne UE)
Licencjodawca powiadomi Licencjobiorcę o planowanych zmianach
(dodanie/zamiana podprocesora) z 30-dniowym wyprzedzeniem.
Licencjobiorca ma prawo sprzeciwu w ciągu 14 dni.
W przypadku sprzeciwu:
- Licencjodawca rezygnuje z nowego podprocesora, LUB
- Licencjobiorca może wypowiedzieć Umowę (bez kar)
Licencjodawca nakłada na podprocesorów te same obowiązki
ochrony danych co na siebie (umowa powierzenia).
e) **Pomoc w realizacji praw osób, których dane dotyczą**
Licencjodawca, w zakresie możliwości, pomaga Licencjobiorcy
w realizacji żądań osób (dostęp, sprostowanie, usunięcie,
ograniczenie, przenoszenie, sprzeciw) poprzez:
- Udostępnienie funkcjonalności eksportu danych (format CSV, XML)
- Usunięcie wskazanych danych w ciągu 48h od żądania
- Udostępnienie logów dostępu (jeśli wymagane)
Czas reakcji: 5 dni roboczych od otrzymania żądania
od Licencjobiorcy.
Wynagrodzenie: pomoc w ramach standardowego wsparcia
technicznego jest bezpłatna. Jeśli żądanie wymaga
niestandardowych działań (>2h pracy): 150 zł/h.
f) **Pomoc w zapewnieniu zgodności z art. 32-36 RODO**
Licencjodawca wspiera Licencjobiorcę w:
- Ocenie wpływu na ochronę danych (DPIA) – dostarczenie
dokumentacji technicznej Systemu
- Zgłaszaniu naruszeń ochrony danych do PUODO –
natychmiastowe (max 24h) poinformowanie o incydencie
- Konsultacjach z PUODO – udostępnienie informacji
o środkach bezpieczeństwa
g) **Usunięcie lub zwrot danych po zakończeniu**
Po zakończeniu świadczenia usług (wygaśnięcie/wypowiedzenie
Umowy), Licencjodawca w ciągu 30 dni:
- Zwraca wszystkie dane Licencjobiorcy w uzgodnionym formacie
(SQL dump, CSV, API), LUB
- Usuwa wszystkie dane osobowe i ich kopie (po potwierdzeniu
przez Licencjobiorcę, że otrzymał dane)
Wyjątek: Licencjodawca może zachować dane, jeśli jest
zobowiązany prawem (np. faktury – 5 lat, logi bezpieczeństwa).
Potwierdzenie usunięcia: certyfikat podpisany przez osobę
odpowiedzialną za bezpieczeństwo IT.
h) **Udostępnienie informacji do audytu**
Licencjodawca udostępnia Licencjobiorcy wszelkie informacje
niezbędne do wykazania spełnienia obowiązków oraz umożliwia
przeprowadzanie audytów (w tym inspekcji) przez Licencjobiorcę
lub upoważnionego audytora.
Audyt:
- Licencjobiorca powiadamia z 14-dniowym wyprzedzeniem
- Max 1 audyt rocznie (bezpłatnie), dodatkowe: 5000 zł
- Audyt w godzinach 9-17, dni robocze, max 2 dni
- Raport z audytu w ciągu 14 dni
- Jeśli stwierdzone niezgodności: Licencjodawca usuwa
w ciągu 30 dni (na własny koszt)
5. OBOWIĄZKI ADMINISTRATORA (LICENCJOBIORCY)
Licencjobiorca zobowiązuje się do:
a) Udzielania Licencjodawcy jasnych i udokumentowanych instrukcji
dotyczących przetwarzania danych
b) Zapewnienia, że przetwarzanie danych w Systemie ma odpowiednią
podstawę prawną (art. 6 RODO)
c) Informowania osób, których dane dotyczą, o przetwarzaniu
(klauzula art. 13/14 RODO) – wzór w Załączniku 1
d) Realizacji praw osób (dostęp, usunięcie, etc.) –
Licencjodawca tylko pomaga technicznie
e) Zgłaszania naruszeń ochrony danych do PUODO (jeśli wymagane) –
na podstawie informacji od Licencjodawcy
f) Przeprowadzania oceny skutków dla ochrony danych (DPIA) –
jeśli wymagana dla planowanego przetwarzania
6. ZGŁASZANIE NARUSZEŃ OCHRONY DANYCH
W przypadku naruszenia ochrony danych osobowych (data breach):
Licencjodawca zobowiązuje się:
- Niezwłocznie (max 24 godziny) powiadomić Licencjobiorcę
emailem na: security@licencjobiorca.pl + telefonicznie
- Dostarczyć szczegółowy opis incydentu:
* Charakter naruszenia (wyciek, utrata, modyfikacja, dostęp nieupr.)
* Kategorie i przybliżona liczba osób, których dane dotyczą
* Kategorie i przybliżona liczba zbiorów danych
* Prawdopodobne konsekwencje
* Działania podjęte lub proponowane (łagodzenie skutków)
- Współpracować z Licencjobiorcą w minimalizacji skutków
- Udokumentować naruszenie zgodnie z art. 33 ust. 5 RODO
Licencjobiorca zobowiązuje się:
- Ocenić ryzyko dla praw i wolności osób
- Zgłosić do PUODO w ciągu 72h (jeśli ryzyko)
- Powiadomić osoby, których dane dotyczą (jeśli wysokie ryzyko)
7. ODPOWIEDZIALNOŚĆ
a) Licencjodawca odpowiada za szkody spowodowane przetwarzaniem
niezgodnym z RODO lub instrukcją Licencjobiorcy
b) Licencjobiorca odpowiada za szkody wynikłe z jego błędnych
lub niezgodnych z prawem instrukcji
c) W przypadku wspólnej odpowiedzialności (art. 82 RODO):
podział proporcjonalnie do winy
d) Maksymalna odpowiedzialność Licencjodawcy za naruszenie RODO:
[kwota, np. równowartość 12-miesięcznego wynagrodzenia
licencyjnego] – z wyłączeniem rażącego niedbalstwa lub
umyślnego działania
8. POUCZENIE DLA LICENCJOBIORCY
Licencjobiorca przyjmuje do wiadomości, że:
- Jest wyłącznym Administratorem danych wprowadzonych do Systemu
- Musi samodzielnie zapewnić zgodność z RODO (podstawy prawne,
klauzule informacyjne, realizacja praw osób)
- Licencjodawca nie ponosi odpowiedzialności za to, czy
Licencjobiorca ma prawo przetwarzać dane, które wprowadza
do Systemu
- W przypadku kontroli PUODO: Licencjobiorca jest stroną
postępowania (jako Administrator)
§ 6. Bezpieczeństwo danych (art. 32 RODO)
§ 6. ŚRODKI BEZPIECZEŃSTWA DANYCH OSOBOWYCH
Licencjodawca wdraża następujące środki techniczne
i organizacyjne zapewniające bezpieczeństwo przetwarzania
(art. 32 RODO):
1. ŚRODKI TECHNICZNE
a) **Szyfrowanie**
- Szyfrowanie danych w tranzycie: TLS 1.3
- Szyfrowanie danych w spoczynku: AES-256
- Szyfrowanie backup'ów: AES-256
b) **Kontrola dostępu**
- Uwierzytelnianie dwuskładnikowe (2FA) dla administratorów
- Role i uprawnienia (RBAC – Role-Based Access Control)
- Automatyczne wylogowanie po 30 min nieaktywności
- Silne hasła (min. 12 znaków, wielka/mała/cyfra/znak specjalny)
c) **Logowanie i monitoring**
- Logi dostępu (kto, kiedy, do czego, z jakiego IP)
- Monitoring bezpieczeństwa 24/7 (wykrywanie anomalii)
- Przechowywanie logów: 12 miesięcy
d) **Backup i odzyskiwanie**
- Automatyczne backup'y: codzienne (7 dni), tygodniowe (4 tyg),
miesięczne (12 mies)
- Backup poza lokalizacją główną (geolokacja: [kraj])
- Plan odzyskiwania po awarii (DRP – Disaster Recovery Plan):
* RTO (Recovery Time Objective): 4 godziny
* RPO (Recovery Point Objective): 24 godziny
e) **Aktualizacje i patche**
- Regularne aktualizacje bezpieczeństwa (w ciągu 7 dni od publikacji)
- Automatyczne skanowanie podatności (co tydzień)
f) **Firewall i IDS/IPS**
- Firewall aplikacji webowej (WAF)
- System wykrywania/zapobiegania włamaniom (IDS/IPS)
2. ŚRODKI ORGANIZACYJNE
a) **Polityki i procedury**
- Polityka bezpieczeństwa informacji (ISO 27001)
- Procedura zgłaszania incydentów
- Procedura zarządzania dostępem
b) **Szkolenia pracowników**
- Szkolenie z RODO i bezpieczeństwa dla wszystkich pracowników
(raz na rok, obowiązkowe)
- Specjalistyczne szkolenia dla zespołu IT/bezpieczeństwa
c) **Umowy o poufności**
- Wszyscy pracownicy z dostępem do danych: NDA
d) **Podział obowiązków**
- Wyznaczony DPO (Data Protection Officer) lub osoba
odpowiedzialna za RODO
- Wyznaczony CISO (Chief Information Security Officer) lub
osoba odpowiedzialna za bezpieczeństwo IT
e) **Audyty i certyfikaty**
- Roczny audyt bezpieczeństwa przez niezależną firmę
- Certyfikaty: ISO 27001, SOC 2 Type II (jeśli posiada)
3. TESTOWANIE I WERYFIKACJA
Licencjodawca regularnie testuje, mierzy i ocenia skuteczność
środków bezpieczeństwa:
- Testy penetracyjne (pen-tests): raz na rok
- Audyty wewnętrzne: co kwartał
- Przegląd polityk bezpieczeństwa: raz na rok
4. PSEUDONIMIZACJA I ANONIMIZACJA
Licencjodawca, w miarę możliwości:
- Stosuje pseudonimizację w logach (zamiast pełnych danych
osobowych – hash'e)
- Oferuje funkcje anonimizacji dla celów statystycznych/testowych
5. ZDOLNOŚĆ DO ODTWORZENIA DOSTĘPNOŚCI
W przypadku incydentu fizycznego lub technicznego:
- Przywrócenie dostępności do danych: max 4h (RTO)
- Utrata danych: max z ostatnich 24h (RPO)
6. UDOSTĘPNIENIE DOKUMENTACJI
Na żądanie Licencjobiorcy, Licencjodawca udostępnia:
- Politykę bezpieczeństwa
- Raporty z audytów bezpieczeństwa (zanonimizowane)
- Certyfikaty ISO/SOC
7. ZMIANY ŚRODKÓW BEZPIECZEŃSTWA
Licencjodawca może aktualizować środki bezpieczeństwa w celu
dostosowania do najlepszych praktyk i nowych zagrożeń.
O istotnych zmianach (np. zmiana lokalizacji serwerów, nowy
podprocesor) powiadamia Licencjobiorcę z 30-dniowym wyprzedzeniem.
Model aplikacji konsumenckiej: Klauzula RODO dla użytkowników końcowych
Gdy licencjodawca jest administratorem (np. aplikacja mobilna, gra, platforma społecznościowa), potrzebuje klauzuli informacyjnej dla użytkowników.
Struktura umowy licencyjnej dla aplikacji konsumenckiej
UMOWA LICENCYJNA UŻYTKOWNIKA KOŃCOWEGO (EULA)
dla aplikacji mobilnej [NAZWA]
§ 1. Przedmiot licencji
§ 2. Zakres uprawnień użytkownika
§ 3. Ograniczenia i zakazy
§ 4. PRZETWARZANIE DANYCH OSOBOWYCH ← TUTAJ
§ 5. Odpowiedzialność
§ 6. Postanowienia końcowe
ZAŁĄCZNIK 1: Polityka Prywatności (szczegółowa klauzula RODO)
§ 4. Przetwarzanie danych osobowych – wzór dla EULA
§ 4. OCHRONA DANYCH OSOBOWYCH
1. ADMINISTRATOR DANYCH
Administratorem danych osobowych Użytkowników jest:
[Nazwa firmy – licencjodawca]
[Adres]
NIP: [...]
Email: privacy@app.com
[Opcjonalnie: Inspektor Ochrony Danych: dpo@app.com]
2. ZAKRES PRZETWARZANYCH DANYCH
Aplikacja przetwarza następujące dane osobowe:
a) **Dane podane przez Użytkownika:**
- Dane rejestracyjne: imię, nazwisko (lub nick), email,
data urodzenia
- Zdjęcie profilowe (opcjonalnie)
- Preferencje i ustawienia
b) **Dane zbierane automatycznie:**
- Dane techniczne: ID urządzenia, system operacyjny, wersja
aplikacji, adres IP
- Dane geolokalizacyjne (za zgodą): lokalizacja GPS
- Dane o aktywności: czas korzystania, kliknięcia,
przeglądane treści
c) **Dane z integracji:**
- Jeśli logowanie przez Facebook/Google: dane z profilu
(zgodnie z udzielonymi uprawnieniami)
3. CELE I PODSTAWY PRAWNE PRZETWARZANIA
┌─────────────────────────────────────────────────────┐
│ CEL 1: ŚWIADCZENIE USŁUGI (funkcjonalność aplikacji)│
├─────────────────────────────────────────────────────┤
│ Podstawa prawna: Art. 6 ust. 1 lit. b RODO │
│ (wykonanie umowy) │
│ │
│ Dane: login, email, imię, ustawienia, aktywność │
│ Okres: do usunięcia konta + 30 dni (backup) │
└─────────────────────────────────────────────────────┘
┌─────────────────────────────────────────────────────┐
│ CEL 2: PERSONALIZACJA I REKOMENDACJE │
├─────────────────────────────────────────────────────┤
│ Podstawa prawna: Art. 6 ust. 1 lit. a RODO (ZGODA) │
│ │
│ Dane: historia aktywności, preferencje │
│ Okres: do wycofania zgody │
│ │
│ Wycofanie: Ustawienia > Prywatność > Personalizacja │
│ (wyłącz) │
└─────────────────────────────────────────────────────┘
┌─────────────────────────────────────────────────────┐
│ CEL 3: MARKETING (push notifications, oferty) │
├─────────────────────────────────────────────────────┤
│ Podstawa prawna: Art. 6 ust. 1 lit. a RODO (ZGODA) │
│ │
│ Dane: email, ID urządzenia (push), preferencje │
│ Okres: do wycofania zgody │
│ │
│ Wycofanie: Ustawienia > Powiadomienia (wyłącz) │
└─────────────────────────────────────────────────────┘
┌─────────────────────────────────────────────────────┐
│ CEL 4: ANALITYKA (statystyki, usprawnianie) │
├─────────────────────────────────────────────────────┤
│ Podstawa prawna: Art. 6 ust. 1 lit. f RODO │
│ (prawnie uzasadniony interes) │
│ │
│ Dane: zanonimizowane dane o użytkowaniu │
│ Okres: bezterminowo (dane zanonimizowane) │
│ │
│ Prawo do sprzeciwu: privacy@app.com │
└─────────────────────────────────────────────────────┘
4. ODBIORCY DANYCH
Dane mogą być przekazywane:
- Dostawcom usług IT (AWS – hosting, Firebase – notyfikacje push)
- Dostawcom analityki (Google Analytics, Mixpanel)
- Organom państwowym (na żądanie prawne)
Pełna lista podprocesorów: www.app.com/privacy/subprocessors
5. PRZEKAZYWANIE DO PAŃSTW TRZECICH
Niektórzy odbiorcy danych mają siedziby poza EOG:
- Google LLC (USA) – Google Analytics, Firebase
Zabezpieczenie: Standardowe klauzule umowne UE + certyfikacja
zgodnie z nowymi wymogami po unieważnieniu Privacy Shield
Szczegóły: www.app.com/privacy/transfers
6. PRAWA UŻYTKOWNIKA
Przysługują Ci następujące prawa:
a) **Dostęp do danych** – pobierz kopię swoich danych:
Ustawienia > Prywatność > Pobierz moje dane (format JSON)
b) **Sprostowanie** – popraw swoje dane:
Ustawienia > Profil > Edytuj
c) **Usunięcie** – usuń konto i dane:
Ustawienia > Konto > Usuń konto
(potwierdzenie emailem, dane usunięte w ciągu 30 dni)
d) **Ograniczenie przetwarzania** – email: privacy@app.com
e) **Przenoszenie danych** – pobierz w formacie JSON (jak wyżej)
f) **Sprzeciw** – wobec przetwarzania na podstawie prawnie
uzasadnionego interesu: privacy@app.com
g) **Cofnięcie zgody** – w ustawieniach aplikacji (natychmiastowo)
h) **Skarga do PUODO** – www.uodo.gov.pl
7. OKRES PRZECHOWYWANIA
- Dane konta: do usunięcia konta + 30 dni (backup)
- Dane marketingowe: do wycofania zgody
- Logi bezpieczeństwa: 12 miesięcy
- Dane zanonimizowane (statystyki): bezterminowo
8. PROFILOWANIE
Aplikacja stosuje automatyczne profilowanie w celu:
- Rekomendacji treści (algorytm AI)
- Personalizacji interfejsu
Profilowanie NIE wywołuje skutków prawnych ani nie wpływa
istotnie na Twoją sytuację.
Masz prawo:
- Uzyskać informacje o logice profilowania
- Wyłączyć profilowanie: Ustawienia > Prywatność > Rekomendacje
(wyłącz)
9. BEZPIECZEŃSTWO
Stosujemy środki bezpieczeństwa:
- Szyfrowanie danych (TLS 1.3, AES-256)
- Uwierzytelnianie dwuskładnikowe (2FA) – włącz w ustawieniach
- Regularne audyty bezpieczeństwa
10. KONTAKT
Pytania o dane osobowe: privacy@app.com
Szczegóły: Polityka Prywatności www.app.com/privacy
Model on-premise: Wymogi techniczne RODO w licencji
Gdy oprogramowanie instalowane jest lokalnie (licencjobiorca = jedyny administrator), licencjodawca nie przetwarza danych, ale powinien zapewnić techniczne możliwości zgodności z RODO.
Klauzula techniczna RODO w licencji on-premise
§ X. ZGODNOŚĆ Z RODO – FUNKCJONALNOŚCI OPROGRAMOWANIA
1. OŚWIADCZENIE LICENCJODAWCY
Licencjodawca oświadcza, że Oprogramowanie zostało zaprojektowane
z uwzględnieniem wymogów RODO i umożliwia Licencjobiorcy:
a) **Realizację praw osób, których dane dotyczą:**
- Eksport danych w formacie CSV/XML/PDF (art. 15 – dostęp)
- Edycja/poprawianie danych (art. 16 – sprostowanie)
- Usuwanie danych (art. 17 – prawo do bycia zapomnianym):
* Funkcja "Usuń dane osobowe" (pseudonimizacja lub pełne
usunięcie – do wyboru)
- Ograniczenie przetwarzania: oznaczenie "zablokowane"
(dane niewidoczne, ale zachowane)
b) **Bezpieczeństwo danych (art. 32 RODO):**
- Szyfrowanie hashy haseł (bcrypt, salt)
- Możliwość szyfrowania bazy danych (instrukcja w dokumentacji)
- Logi dostępu (kto, kiedy, co zrobił) – przechowywane min.
12 miesięcy
- Automatyczne wylogowanie po 30 min nieaktywności
- Role i uprawnienia (RBAC)
c) **Zgłaszanie naruszeń ochrony danych:**
- Logi bezpieczeństwa pozwalające zidentyfikować incydent
- Narzędzie do eksportu logów (dla PUODO, jeśli wymagane)
d) **Przenoszalność danych (art. 20 RODO):**
- Eksport danych w formacie ustrukturyzowanym (CSV, JSON, XML)
- Import danych z innych systemów (jeśli dotyczy)
2. OGRANICZENIA ODPOWIEDZIALNOŚCI
Licencjodawca dostarcza narzędzia techniczne umożliwiające
zgodność z RODO, ale:
a) NIE odpowiada za sposób, w jaki Licencjobiorca wykorzystuje
Oprogramowanie (jakie dane przetwarza, w jakich celach,
czy ma podstawę prawną)
b) NIE odpowiada za konfigurację bezpieczeństwa po stronie
Licencjobiorcy (hasła użytkowników, firewall, szyfrowanie
dysku, backup)
c) NIE jest procesorem danych (brak dostępu do danych
Licencjobiorcy) – chyba że Licencjobiorca wykupi dodatkową
usługę wsparcia z dostępem zdalnym (wówczas osobna umowa
powierzenia)
3. WSPARCIE I SZKOLENIA
Licencjodawca oferuje (opcjonalnie, za dodatkową opłatą):
- Szkolenie z obsługi funkcji RODO w Oprogramowaniu (4h, 2000 zł)
- Konsultacje dot. konfiguracji bezpieczeństwa (500 zł/h)
- Pomoc w przeprowadzeniu DPIA (ocena skutków dla ochrony danych)
4. AKTUALIZACJE RODO
W przypadku zmiany przepisów RODO lub wytycznych PUODO wymagających
modyfikacji Oprogramowania:
- Licencjodawca udostępni aktualizację w ramach umowy serwisowej
(jeśli aktywna)
- Bez aktywnej umowy serwisowej: upgrade płatny (wycena indywidualna)
5. POUCZENIE
Licencjobiorca przyjmuje do wiadomości, że:
- Jest wyłącznym Administratorem danych w Oprogramowaniu
- Musi samodzielnie zapewnić zgodność z RODO (podstawy prawne,
klauzule informacyjne, procedury)
- Powinien przeprowadzić ocenę ryzyka i ewentualnie DPIA przed
wdrożeniem
- Odpowiada za bezpieczeństwo instalacji (serwer, sieć, backup)
Najczęstsze błędy w umowach licencyjnych – perspektywa RODO
BŁĄD #1: Brak określenia ról (administrator vs procesor)
❌ ŹLE:
Strony będą przetwarzać dane osobowe zgodnie z RODO.
Problem: Kto kim jest? Brak jasności = niemożliwość ustalenia odpowiedzialności.
✅ DOBRZE:
Licencjobiorca jest Administratorem danych osobowych.
Licencjodawca jest Procesorem danych, przetwarzającym
dane wyłącznie w imieniu i na zlecenie Licencjobiorcy.
BŁĄD #2: Brak umowy powierzenia (gdy SaaS)
❌ ŹLE: Model SaaS, licencjodawca przetwarza dane w chmurze, ale umowa licencyjna nie zawiera art. 28 RODO.
Problem: Naruszenie art. 28 ust. 3 RODO – brak pisemnej umowy powierzenia = kara do 10 mln euro.
✅ DOBRZE: Umowa licencyjna zawiera pełny § dot. powierzenia (jak w wzorach wyżej) LUB osobna umowa powierzenia jako załącznik.
BŁĄD #3: Zbyt ogólna klauzula „zgodność z RODO”
❌ ŹLE:
Licencjodawca zapewnia zgodność z RODO.
Problem: Co to znaczy „zapewnia zgodność”? Jakie konkretnie obowiązki?
✅ DOBRZE: Szczegółowy katalog obowiązków procesora (szyfrowanie, logi, pomoc w realizacji praw, zgłaszanie naruszeń, etc.) – jak w § 5 wzoru wyżej.
BŁĄD #4: Brak klauzuli o podprocesorach
❌ ŹLE: SaaS na AWS, backup na Google Cloud, ale zero wzmianki o podprocesorach w umowie.
Problem: Art. 28 ust. 2 i 4 RODO wymaga zgody administratora na podprocesorów.
✅ DOBRZE:
Lista zatwierdzonych podprocesorów: [konkretne nazwy i cele]
Zmiany: powiadomienie 30 dni wcześniej + prawo sprzeciwu
BŁĄD #5: Brak procedury zgłaszania naruszeń (data breach)
❌ ŹLE: Cisza na temat incydentów bezpieczeństwa.
Problem: Art. 33 RODO – administrator musi zgłosić naruszenie do PUODO w 72h. Jeśli procesor nie poinformuje natychmiast → administrator spóźni się → kara.
✅ DOBRZE:
Licencjodawca (procesor) powiadamia Licencjobiorcę
(administratora) o naruszeniu w ciągu 24 godzin +
szczegółowy opis incydentu.
BŁĄD #6: Brak okresu przechowywania danych
❌ ŹLE:
Dane przechowywane przez okres niezbędny.
Problem: „Niezbędny” = niejasne. Zasada ograniczenia przechowywania (art. 5 ust. 1 lit. e RODO) wymaga konkretnych terminów.
✅ DOBRZE:
Dane przechowywane:
- Czas trwania umowy licencyjnej
- + 30 dni po zakończeniu (migracja)
- Następnie: pełne usunięcie (certyfikat dla licencjobiorcy)
BŁĄD #7: Brak informacji o przekazywaniu do państw trzecich
❌ ŹLE: Serwery w USA (AWS Virginia), ale cisza w umowie.
Problem: Rozdział V RODO – przekazywanie do państw trzecich wymaga odpowiednich zabezpieczeń (SCC, BCR, decyzja o adekwatności). Brak informacji = naruszenie obowiązku informacyjnego (art. 13/14).
✅ DOBRZE:
Dane przechowywane na serwerach AWS (Irlandia, EOG).
Backup: Google Cloud (Belgia, EOG).
Wsparcie techniczne: Zendesk (USA) – zabezpieczenie:
Standardowe Klauzule Umowne zatwierdzone przez Komisję
Europejską (SCC 2021).
Checklist: Czy Twoja umowa licencyjna jest zgodna z RODO?
Model SaaS (licencjodawca = procesor):
☐ Jasne określenie ról: licencjobiorca = administrator, licencjodawca = procesor ☐ Pełna umowa powierzenia (art. 28 RODO) – jako § umowy lub załącznik ☐ Kategorie danych osobowych (jakie dane są przetwarzane) ☐ Kategorie osób, których dane dotyczą (klienci, pracownicy, etc.) ☐ Charakter i cel przetwarzania (hosting, backup, utrzymanie) ☐ Obowiązki procesora (10+ punktów jak we wzorze) ☐ Podprocesory: lista + procedura zmian (30 dni, prawo sprzeciwu) ☐ Procedura zgłaszania naruszeń (data breach – 24h) ☐ Pomoc w realizacji praw osób (dostęp, usunięcie, etc.) ☐ Usunięcie/zwrot danych po zakończeniu umowy (30 dni + certyfikat) ☐ Prawo do audytu (częstotliwość, koszty) ☐ Środki bezpieczeństwa (szyfrowanie, logi, backup, 2FA, etc.) ☐ Informacja o przekazywaniu do państw trzecich (jeśli dotyczy) ☐ Ograniczenie odpowiedzialności (kara umowna max X)
Model aplikacji konsumenckiej (licencjodawca = administrator):
☐ Administrator danych wskazany (nazwa firmy, adres, kontakt) ☐ Kategorie zbieranych danych (rejestracyjne, techniczne, geolokalizacja) ☐ Cele i podstawy prawne dla KAŻDEGO celu osobno (umowa/zgoda/interes) ☐ Okresy przechowywania dla każdej kategorii ☐ Odbiorcy danych (podprocesory, analityka, etc.) ☐ Przekazywanie do państw trzecich (jeśli tak: zabezpieczenia SCC) ☐ Pełna lista praw użytkownika (8 praw RODO) ☐ Jak realizować prawa (konkretne kroki, np. Ustawienia > Prywatność > Usuń) ☐ Informacja o profilowaniu (jeśli stosowane) ☐ Środki bezpieczeństwa (szyfrowanie, 2FA) ☐ Link do pełnej Polityki Prywatności
Model on-premise (licencjobiorca = samodzielny administrator):
☐ Oświadczenie, że oprogramowanie umożliwia zgodność z RODO ☐ Lista funkcjonalności RODO (eksport, usunięcie, logi, role) ☐ Instrukcje konfiguracji bezpieczeństwa (w dokumentacji) ☐ Wyłączenie odpowiedzialności licencjodawcy za przetwarzanie (nie ma dostępu) ☐ Pouczenie dla licencjobiorcy o jego obowiązkach jako administratora ☐ Informacja o aktualizacjach RODO (czy w ramach serwisu, czy płatne)
Podsumowanie – RODO w umowie licencyjnej bez stresu
Prawidłowe uregulowanie RODO w umowie licencyjnej to nie przeszkoda, ale standard, który chroni obie strony i buduje zaufanie.
Kluczowe zasady:
- Określ role – kto jest administratorem, kto procesorem (albo współadministratorzy)
- SaaS = umowa powierzenia – art. 28 RODO jest obowiązkowy
- Szczegółowość – nie ogólniki, ale konkretne obowiązki i procedury
- Bezpieczeństwo – wymieniaj środki techniczne (szyfrowanie, logi, backup)
- Podprocesory – lista + zgoda + procedura zmian
- Naruszenia – 24h na powiadomienie administratora
- Państwa trzecie – jeśli tak, to SCC lub inna podstawa prawna
- Usunięcie po zakończeniu – 30 dni + certyfikat
Najczęstsze błędy do uniknięcia: ❌ Brak określenia ról (kto administratorem, kto procesorem) ❌ SaaS bez umowy powierzenia (art. 28) ❌ Ogólniki typu „zgodność z RODO” bez konkretów ❌ Brak listy podprocesorów ❌ Brak procedury zgłaszania naruszeń (data breach) ❌ Brak informacji o państwach trzecich ❌ Brak konkretnych terminów przechowywania
Tworzysz lub aktualizujesz umowę licencyjną na oprogramowanie przetwarzające dane osobowe? Nie ryzykuj kar PUODO sięgających milionów euro. Zamów profesjonalną umówę licencyjną zgodną z RODO 2026 z pełnymi klauzulami powierzenia przetwarzania, procedurami bezpieczeństwa i wszystkimi wymogami art. 28 RODO. Postaw na pewność prawną i ochronę przed odpowiedzialnością!