Sygnaliści

Umowa powierzenia przyjmowania zgłoszeń wewnętrznych podmiotowi zewnętrznemu

Wzór umowy z zewnętrznym podmiotem (np. kancelarią) obsługującym kanał zgłoszeń w imieniu pracodawcy. Zawiera klauzule RODO i poufności.

DOCX aktualizacja: 17 maja 2026 Wymaga konta
Dla kogo Pracodawcy, HR, compliance officer
Zakres Sygnaliści

INSTRUKCJA WYPEŁNIENIA

Do czego służy: To umowa powierzenia przetwarzania danych osobowych (tzw. umowa powierzenia w rozumieniu RODO). Zawiera ją firma lub instytucja (Administrator), która zleca przyjmowanie i obsługę zgłoszeń sygnalistów zewnętrznemu wykonawcy - np. kancelarii prawnej, wyspecjalizowanej firmie lub dostawcy platformy do zgłoszeń (Podmiot przetwarzający). Określa, jak ten wykonawca ma chronić dane sygnalistów i osób wskazanych w zgłoszeniach.

Kiedy się go używa: Zawiera się ją zanim podmiot zewnętrzny zacznie odbierać jakiekolwiek zgłoszenia. Ustawa o ochronie sygnalistów wyraźnie dopuszcza powierzenie przyjmowania zgłoszeń wewnętrznych podmiotowi zewnętrznemu - ale tylko przy zachowaniu wymogów RODO i przy zapewnieniu poufności tożsamości sygnalisty. Umowa powinna być podpisana równolegle z umową główną (np. umową o świadczenie usługi obsługi zgłoszeń).

Podstawa prawna: art. 28 RODO (rozporządzenie 2016/679); art. 25 ust. 1 pkt 2 ustawy z dnia 14 czerwca 2024 r. o ochronie sygnalistów (Dz.U. z 2024 r. poz. 928) - dopuszczalność powierzenia obsługi zgłoszeń podmiotowi zewnętrznemu; art. 8 i art. 27 tej ustawy - obowiązek zachowania poufności tożsamości sygnalisty. Stan prawny na 2025/2026 r.

Jak wypełnić - krok po kroku:

  1. Nr umowy - własne oznaczenie porządkowe, np. 1/2026/Sygnal. Pomaga odnaleźć umowę w dokumentacji.
  2. Data i miejsce zawarcia - dzień podpisania (format dd-mm-rrrr) i miejscowość, w której umowa jest zawierana (zwykle siedziba Administratora).
  3. Dane Administratora - pełna nazwa firmy/instytucji zlecającej, zgodnie z KRS lub CEIDG, wraz z adresem i numerami rejestrowymi. To podmiot, u którego działa procedura zgłoszeń wewnętrznych.
  4. Osoba reprezentująca Administratora - imię, nazwisko i funkcja osoby uprawnionej do podpisania umowy (np. prezes zarządu, pełnomocnik). Sprawdź sposób reprezentacji w KRS.
  5. Dane Podmiotu przetwarzającego - pełna nazwa zewnętrznego wykonawcy zgodnie z rejestrem, adres, numery rejestrowe.
  6. Osoba reprezentująca Podmiot przetwarzający - imię, nazwisko i funkcja osoby podpisującej po stronie wykonawcy.
  7. Adres do zgłaszania incydentów (pkt III.11) - adres e-mail lub dane osoby, której Podmiot przetwarzający ma zgłaszać naruszenia ochrony danych (najczęściej inspektor ochrony danych - IOD - lub inna osoba odpowiedzialna). Wpisz konkretny, działający kanał.
  8. Załącznik Nr 1 - wykaz środków organizacyjnych i technicznych. To osobny dokument (wzór nr 45) - musi być wypełniony przez Podmiot przetwarzający i dołączony do umowy.
  9. Podpisy - po jednym podpisie każdej ze stron pod umową, na obu egzemplarzach.

Na co uważać / typowe błędy:

  • Umowa nie zwalnia Administratora z odpowiedzialności wobec sygnalistów - Administrator nadal odpowiada za to, komu i jak powierza dane.
  • Sprawdź, czy Podmiot przetwarzający faktycznie zapewnia poufność tożsamości sygnalisty (wymóg ustawowy, nie tylko RODO).
  • Załącznik Nr 1 nie może być pusty - bez wykazu środków bezpieczeństwa umowa jest niekompletna.
  • Dalsze powierzenie (podpowierzenie) wymaga pisemnej zgody Administratora - nie pomijaj tego punktu.
  • Sporządź dwa jednobrzmiące egzemplarze, po jednym dla każdej strony. Zmiany umowy tylko na piśmie pod rygorem nieważności.
  • Po zakończeniu współpracy wyegzekwuj protokół potwierdzający usunięcie danych (termin 7 dni).

WZÓR

UMOWA POWIERZENIA PRZYJMOWANIA ZGŁOSZEŃ WEWNĘTRZNYCH PODMIOTOWI ZEWNĘTRZNEMU

Nr umowy: [ ……………….. ] (wpisz: własne oznaczenie porządkowe, np. 1/2026/Sygnal)

Umowa zawarta w dniu [ ……………….. ] (wpisz: data podpisania w formacie dd-mm-rrrr) w [ ……………….. ] (wpisz: miejscowość zawarcia umowy) pomiędzy:

[ ……………….. ] (wpisz: pełna nazwa podmiotu powierzającego zgodnie z KRS/CEIDG, adres, NIP, KRS/REGON)

zwaną dalej “Administratorem”, którą reprezentuje [ ……………….. ] (wpisz: imię, nazwisko i funkcja osoby uprawnionej do reprezentacji),

a

[ ……………….. ] (wpisz: pełna nazwa podmiotu zewnętrznego, któremu powierzane jest przyjmowanie zgłoszeń wewnętrznych, zgodnie z KRS/CEIDG, adres, NIP, KRS/REGON)

zwaną dalej “Podmiotem przetwarzającym”, którą reprezentuje [ ……………….. ] (wpisz: imię, nazwisko i funkcja osoby uprawnionej do reprezentacji).

I. Powierzenie przetwarzania danych osobowych

Administrator powierza Podmiotowi przetwarzającemu do przetwarzania dane osobowe, w trybie określonym w art. 28 ust. 3 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (dalej: RODO), w związku z zawarciem niniejszej umowy powierzenia obsługi przyjmowania zgłoszeń wewnętrznych podmiotowi zewnętrznemu. Zawarcie takiej umowy przewiduje art. 25 ust. 1 pkt 2 ustawy z dnia 14 czerwca 2024 r. o ochronie sygnalistów (Dz.U. z 2024 r. poz. 928).

II. Zapewnienia Podmiotu przetwarzającego

  1. Podmiot przetwarzający zobowiązuje się, przy przetwarzaniu danych osobowych powierzonych niniejszą umową, do stosowania odpowiednich środków technicznych i organizacyjnych zapewniających stopień bezpieczeństwa odpowiadający ryzyku związanemu z przetwarzaniem danych osobowych, o których mowa w art. 32 RODO.

  2. Podmiot przetwarzający określa stosowane środki organizacyjne i techniczne, o których mowa w ust. 1, w Załączniku Nr 1 do niniejszej umowy.

III. Obowiązki Podmiotu przetwarzającego

  1. Podmiot przetwarzający przetwarza dane osobowe wyłącznie na udokumentowane polecenie lub instrukcje Administratora, włączając w to przekazywanie danych osobowych do państwa trzeciego lub organizacji międzynarodowej - chyba że obowiązek taki nakłada na Podmiot przetwarzający prawo Unii Europejskiej lub prawo krajowe państwa członkowskiego Unii Europejskiej, któremu Podmiot przetwarzający podlega. W tym ostatnim przypadku, przed rozpoczęciem przetwarzania Podmiot przetwarzający informuje Administratora o tym obowiązku prawnym, o ile prawo to nie zabrania udzielania takiej informacji z uwagi na ważny interes publiczny.

  2. Jeżeli Podmiot przetwarzający poweźmie wątpliwości co do zgodności z prawem wydawanych przez Administratora poleceń lub instrukcji, niezwłocznie informuje Administratora o stwierdzonej wątpliwości, pod rygorem utraty możliwości dochodzenia roszczeń przeciwko Administratorowi z tego tytułu. Podmiot przetwarzający dokumentuje okoliczność poinformowania Administratora o powziętych wątpliwościach.

  3. Podmiot przetwarzający zobowiązuje się do dołożenia należytej staranności przy przetwarzaniu powierzonych danych osobowych.

  4. Podmiot przetwarzający prowadzi rejestr kategorii czynności przetwarzania danych osobowych, o którym mowa w art. 30 ust. 2 RODO, dokonywanych w imieniu Administratora.

  5. Dostęp do powierzonych danych osobowych mogą uzyskać wyłącznie osoby upoważnione na piśmie, przy założeniu, że dostęp tych osób jest niezbędny do wykonania niniejszej umowy i wynikających z niej zadań. Podmiot przetwarzający udokumentuje na żądanie Administratora udzielenie upoważnień we wskazanej formie.

  6. Podmiot przetwarzający zapewnia zachowanie w tajemnicy (o której mowa w art. 28 ust. 3 lit. b RODO) przetwarzanych danych przez osoby, które upoważnia do przetwarzania danych osobowych w celu realizacji niniejszej umowy, zarówno w trakcie ich zatrudnienia w Podmiocie przetwarzającym, jak i po jego ustaniu.

  7. Podmiot przetwarzający po zakończeniu świadczenia usług związanych z przetwarzaniem usuwa wszelkie dane osobowe i ich istniejące kopie, chyba że prawo Unii Europejskiej lub prawo krajowe państwa członkowskiego Unii Europejskiej, któremu Podmiot przetwarzający podlega, nakazują przechowywanie danych osobowych. W terminie nie dłuższym niż 7 dni od zakończenia niniejszej umowy, bez wezwania Administratora, po usunięciu danych osobowych i ich kopii, Podmiot przetwarzający przekaże Administratorowi protokół potwierdzający wykonanie tego obowiązku.

  8. W miarę możliwości Podmiot przetwarzający pomaga Administratorowi w niezbędnym zakresie wywiązywać się z obowiązku odpowiadania na żądania osoby, której dane dotyczą, oraz wywiązywania się z obowiązków określonych w art. 32-36 RODO.

  9. Podmiot przetwarzający współpracuje z Administratorem w zakresie wykonywania żądań osób, których dane dotyczą, z zastrzeżeniem, że nie realizuje samodzielnie wniosków tych osób (np. w zakresie dostępu do danych osobowych). Wszelkie działania w tym zakresie są dopuszczalne po uzgodnieniu z Administratorem.

  10. Podmiot przetwarzający informuje Administratora, w terminie nie dłuższym niż 3 dni robocze od otrzymania żądania osoby, której dane osobowe powierzono, o każdym takim żądaniu. Jednocześnie przekazuje wszystkie informacje, którymi dysponuje, dotyczące przedmiotu żądania.

  11. Podmiot przetwarzający informuje Administratora o incydentach, które mogłyby doprowadzić do naruszenia ochrony danych. Przekazanie informacji powinno nastąpić bez zbędnej zwłoki, nie później niż w ciągu 24 godzin od stwierdzenia takiego zdarzenia lub podejrzenia, na adres: [ ……………….. ] (wpisz: adres e-mail lub dane osoby odpowiedzialnej za ocenę naruszeń, np. inspektora ochrony danych).

  12. Podmiot przetwarzający, realizując obowiązek określony w ust. 11, przekazuje Administratorowi wszelkie niezbędne informacje, w szczególności o: charakterze naruszenia (kategorie i przybliżona liczba osób oraz wpisów danych, których dotyczy naruszenie), możliwych konsekwencjach naruszenia, działaniach podjętych w celu usunięcia naruszenia i zabezpieczenia danych osobowych oraz wdrożonych procedurach eliminujących takie zdarzenia w przyszłości.

  13. Podmiot przetwarzający niezwłocznie zawiadamia Administratora o każdym żądaniu udostępnienia danych osobowych, w tym żądaniach właściwych organów państwowych, chyba że z przepisów prawa wynika zakaz informowania o takim żądaniu.

IV. Prawo kontroli

  1. Administrator realizuje prawo kontroli w celu oceny, czy środki organizacyjne i techniczne zastosowane przez Podmiot przetwarzający przy przetwarzaniu i zabezpieczeniu powierzonych danych osobowych odpowiadają postanowieniom niniejszej umowy. Kontrola może obejmować w szczególności zakres upoważnień do przetwarzania danych osobowych, liczbę osób upoważnionych i zasady odwoływania upoważnień.

  2. Administrator uprzedzi Podmiot przetwarzający o zamiarze przeprowadzenia kontroli na 7 dni kalendarzowych wcześniej.

  3. Podmiot przetwarzający udzieli odpowiedzi na każde pytanie Administratora dotyczące przetwarzania powierzonych danych osobowych oraz przedstawi niezbędne informacje lub dokumenty, zależnie od żądania Administratora.

  4. Podmiot przetwarzający usunie uchybienia stwierdzone przez Administratora podczas kontroli, w terminie wskazanym przez Administratora.

V. Dalsze powierzenie danych do przetwarzania

Podmiot przetwarzający jest zobowiązany do niekorzystania z usług innego podmiotu przetwarzającego bez uprzedniej szczegółowej pisemnej zgody Administratora.

VI. Odpowiedzialność

  1. Jeżeli do Administratora zostaną skierowane przez osoby trzecie roszczenia cywilnoprawne lub zostaną wszczęte wobec niego przez organy publiczne (w tym właściwe organy nadzorcze) postępowania z powodu naruszenia przez Podmiot przetwarzający obowiązków wynikających z umowy, RODO lub innych przepisów o ochronie danych osobowych, Podmiot przetwarzający zwolni Administratora z ponoszenia odpowiedzialności cywilnoprawnej lub naprawi szkodę poniesioną z tego tytułu przez Administratora.

  2. Podmiot przetwarzający odpowiada także za szkody wynikłe z udostępnienia lub wykorzystania danych osobowych niezgodnie z treścią umowy, a w szczególności za udostępnienie osobom nieuprawnionym powierzonych danych osobowych związanych ze zgłoszeniem sygnalisty.

  3. Podmiot przetwarzający poinformuje Administratora o każdym postępowaniu dotyczącym przetwarzania przez Podmiot przetwarzający danych osobowych powierzonych niniejszą umową. Dotyczy to w szczególności postępowań administracyjnych i sądowych, wydanych decyzji, rozstrzygnięć i orzeczeń dotyczących przetwarzania tych danych, a także wszelkich kontroli w zakresie przetwarzania tych danych u Podmiotu przetwarzającego, włączając w to kontrole prowadzone przez Prezesa Urzędu Ochrony Danych Osobowych.

VII. Czas trwania umowy

Niniejsza umowa obowiązuje od dnia jej zawarcia przez okres obowiązywania umowy głównej.

VIII. Rozwiązanie umowy

  1. Niniejsza umowa została zawarta na czas obowiązywania umowy głównej, z zachowaniem jednomiesięcznego okresu wypowiedzenia przypadającego na koniec miesiąca kalendarzowego.

  2. Administrator może rozwiązać umowę ze skutkiem natychmiastowym w przypadku istotnego naruszenia przez Podmiot przetwarzający jej postanowień.

IX. Postanowienia końcowe

  1. Niniejsza umowa wchodzi w życie z dniem jej podpisania przez obie strony i ma zastosowanie do wszystkich danych osobowych powierzonych Podmiotowi przetwarzającemu mocą niniejszej umowy.

  2. Niniejsza umowa zastępuje, w zakresie powierzenia przetwarzania danych osobowych, do których ma zastosowanie, wszelkie wcześniejsze umowy i porozumienia zawarte pomiędzy stronami.

  3. Wszelkie zmiany niniejszej umowy wymagają formy pisemnej pod rygorem nieważności.

  4. We wszelkich sprawach nieobjętych umową stosuje się przepisy prawa polskiego.

  5. Umowa została sporządzona w dwóch jednobrzmiących egzemplarzach, po jednym dla każdej ze stron.

Podpisy:

…………………………………….. ……………………………………..

(Administrator) (Podmiot przetwarzający)

🔒
Czytaj dalej po zalogowaniu

Pełny dostęp do dokumentu jest bezpłatny dla zarejestrowanych użytkowników BizNews Academy.

Zaloguj się lub załóż konto

Rejestracja jest bezpłatna i zajmuje 30 sekund.

Bezpłatny dla konta BizNews
Zaloguj się, aby pobrać Zapytaj o szczegóły

Dokumenty premium są bezpłatne dla zalogowanych użytkowników.

BizNews Academy · Biblioteka premium · biznewsacademy.pl
Fedaris sp. z o.o. · ul. Długa 29, 00-238 Warszawa