# Umowa powierzenia przetwarzania danych przy rejestracji na wydarzenie – co musi zawierać i dlaczego jest niezbędna?
Rejestracja uczestników na wydarzenie wiąże się z pozyskiwaniem i przetwarzaniem danych osobowych – od imienia i nazwiska, przez adres e-mail, aż po preferencje dietetyczne czy dane płatnicze. Jeśli organizator korzysta z zewnętrznej platformy rejestracyjnej, musi uregulować zasady przetwarzania tych danych w formie umowy powierzenia. Bez niej ryzykuje nie tylko naruszenie RODO, ale też wysokie kary finansowe. Sprawdź, co musi zawierać DPA przy rejestracji na wydarzenie i dlaczego jest absolutnie niezbędna.
> **TL;DR**
> **Umowa powierzenia przetwarzania danych (DPA) to obowiązkowy dokument przy korzystaniu z zewnętrznych narzędzi do rejestracji na wydarzenia. Określa zasady przetwarzania danych uczestników przez podmiot przetwarzający (np. platformę rejestracyjną). Brak DPA grozi karami UODO – nawet do 20 mln EUR lub 4% rocznego obrotu. Obowiązkowe elementy wynikają z art. 28 RODO: przedmiot, cel i czas przetwarzania, rodzaj danych, kategorie osób, obowiązki stron, środki bezpieczeństwa. myEvent oferuje gotową umowę DPA zgodną z RODO oraz infrastrukturę w EOG.**
## Czym jest umowa powierzenia przetwarzania danych (DPA) i kiedy jest wymagana podczas organizacji wydarzenia?
**Umowa powierzenia przetwarzania danych** (Data Processing Agreement, DPA) to pisemne porozumienie regulowane art. 28 RODO, które określa zasady, na jakich podmiot przetwarzający (ang. *processor*) przetwarza dane osobowe w imieniu administratora (ang. *controller*). Administrator to organizator wydarzenia, który decyduje o celach i środkach przetwarzania. Podmiotem przetwarzającym może być dostawca platformy rejestracyjnej, agencja eventowa, firma cateringowa, drukarnia identyfikatorów czy aplikacja mobilna dla uczestników.
DPA jest wymagana zawsze, gdy organizator powierza przetwarzanie danych osobowych podmiotowi zewnętrznemu. W praktyce oznacza to, że **już przy wyborze [systemu do rejestracji uczestników](https://blog.myevent.pl/system-rejestracji-na-konferencje-7-krytycznych-funkcji) trzeba zweryfikować, czy dostawca oferuje gotową umowę DPA**. Bez niej każde przekazanie danych – od formularza zapisów po rozsyłanie potwierdzeń e-mail – odbywa się niezgodnie z prawem.
Kluczowe jest również to, że DPA musi zostać podpisana **przed rozpoczęciem przetwarzania danych**. Nie wystarczy dopiąć jej formalności w trakcie lub po wydarzeniu – to jedno z częstszych uchybień wykrywanych podczas kontroli Prezesa UODO.
## Obowiązkowe elementy umowy powierzenia według art. 28 RODO
Art. 28 ust. 3 RODO wymienia elementy, które obligatoryjnie musi zawierać umowa powierzenia przetwarzania danych. Przy rejestracji na wydarzenie oznacza to konieczność precyzyjnego określenia zakresu danych, czasu ich przetwarzania oraz wzajemnych obowiązków stron.
### Przedmiot, czas, charakter i cel przetwarzania
DPA musi jasno wskazywać, **po co** i **jak długo** dane będą przetwarzane. W przypadku rejestracji na wydarzenie cel to najczęściej: umożliwienie zapisu uczestników, obsługa płatności, wysyłka potwierdzeń i informacji organizacyjnych, generowanie identyfikatorów oraz realizacja check-inu na miejscu. Czas przetwarzania obejmuje okres przygotowań do wydarzenia, jego przebieg oraz rozliczenia po zakończeniu. Po tym czasie podmiot przetwarzający ma obowiązek usunąć lub zwrócić dane administratorowi.
### Rodzaj danych osobowych i kategorie osób
Przy rejestracji na wydarzenie przetwarzane są zazwyczaj:
| Kategoria danych | Przykłady |
| --- | --- |
| Dane identyfikacyjne | Imię, nazwisko |
| Dane kontaktowe | Adres e-mail, numer telefonu |
| Dane zawodowe | Firma, stanowisko |
| Dane płatnicze | Numer karty, dane przelewu |
| Dane wrażliwe (potencjalnie) | Preferencje dietetyczne (mogą ujawniać światopogląd lub stan zdrowia) |
| Dane behawioralne | Adres IP, historia logowania, wybrane sesje |
| Zgody | Zgoda marketingowa, zgoda na wizerunek, nagrania |
Kategorie osób objętych przetwarzaniem to przede wszystkim uczestnicy, prelegenci, sponsorzy, a w niektórych przypadkach także personel pomocniczy i wolontariusze. W kontekście ochrony tych danych warto zapoznać się z kwestią [bezpieczeństwa danych uczestników](https://blog.myevent.pl/bezpieczenstwo-danych-uczestnikow-myevent-rodo) i wymogów RODO.
### Obowiązki i prawa administratora oraz obowiązki podmiotu przetwarzającego
W DPA muszą zostać precyzyjnie rozdzielone role i odpowiedzialności:
- **Administrator (organizator)** odpowiada za zgodność z RODO, weryfikację celów przetwarzania, zapewnienie podstaw prawnych (zgody, uzasadniony interes), realizację praw osób, których dane dotyczą (dostęp, sprostowanie, usunięcie).
- **Podmiot przetwarzający (dostawca platformy)** jest zobowiązany do:
- przetwarzania danych wyłącznie na udokumentowane polecenie administratora,
- zapewnienia poufności wobec osób upoważnionych do przetwarzania,
- wdrożenia środków bezpieczeństwa z art. 32 RODO (np. szyfrowanie SSL/TLS, szyfrowanie haseł),
- wsparcia administratora w realizacji obowiązków dotyczących bezpieczeństwa i zgłaszania naruszeń,
- nieangażowania podwykonawców bez pisemnej zgody administratora,
- usunięcia lub zwrócenia danych po zakończeniu usługi.
> **Na co zwrócić uwagę przy weryfikacji DPA:**
> - Czy umowa dopuszcza podwykonawców i czy każdy z nich jest wymieniony z nazwy?
> - Czy podmiot przetwarzający zobowiązuje się do pomocy przy realizacji praw uczestnika?
> - Czy dane są przechowywane w EOG (Europejski Obszar Gospodarczy)?
> - Czy umowa przewiduje audyt u podmiotu przetwarzającego?
> - Czy po zakończeniu wydarzenia dane są trwale usuwane z serwerów dostawcy?
## Konsekwencje braku umowy powierzenia – kary i ryzyko
Brak DPA to nie tylko uchybienie formalne. Prezes Urzędu Ochrony Danych Osobowych (UODO) traktuje to jako naruszenie art. 28 RODO, które skutkuje odpowiedzialnością administracyjną.
W 2026 roku UODO nałożyło rekordową karę na Pocztę Polską w wysokości **27,1 mln zł** – jedną z przyczyn był właśnie brak odpowiednich umów powierzenia z podmiotami przetwarzającymi [1]. W sektorze eventowym przykładem może być kara dla **Sułkowickiego Ośrodka Kultury** w wysokości **2 500 zł** za brak DPA z dostawcą systemu do sprzedaży biletów [2]. Choć kwota wydaje się niska, ryzyko wzrasta przy większej skali przetwarzania.
Zgodnie z art. 83 RODO, maksymalna kara dla administratora (sektor prywatny) wynosi **20 mln EUR lub 4% rocznego obrotu** – w zależności od tego, która wartość jest wyższa. Dla organizacji non-profit i instytucji publicznych sankcje mogą sięgać do 10 mln EUR.
Ryzyko nie ogranicza się jednak do finansowych kar. W przypadku naruszenia danych uczestników (np. wycieku bazy rejestracyjnej) brak DPA uniemożliwia efektywne dochodzenie roszczeń od dostawcy platformy. Organizator ponosi wówczas pełną odpowiedzialność odszkodowawczą wobec poszkodowanych – zarówno finansową, jak i wizerunkową.
## Jakie pytania zadać dostawcy narzędzia do rejestracji w kontekście DPA?
Przed wyborem platformy rejestracyjnej warto przeprowadzić due diligence pod kątem ochrony danych. Wybór odpowiedniego narzędzia warto oprzeć na sprawdzonych kryteriach – pomocny może być artykuł o [profesjonalnej stronie rejestracyjnej dla uczestników](https://blog.myevent.pl/profesjonalna-strona-rejestracyjna-dla-uczestnikow-wydarzenia). Oto lista kluczowych pytań do potencjalnego dostawcy:
1. **Czy oferujecie gotową umowę powierzenia przetwarzania danych zgodną z art. 28 RODO?**
2. **Gdzie przechowujecie dane uczestników – w EOG czy poza nim?**
3. **Jakie środki techniczne i organizacyjne stosujecie do ochrony danych (szyfrowanie, zarządzanie dostępem, backup)?**
4. **Czy angażujecie podwykonawców w przetwarzanie danych? Jeśli tak – kim są i czy mają własne DPA?**
5. **Jak długo przechowujecie dane po zakończeniu wydarzenia i w jaki sposób je usuwacie?**
6. **Czy zapewniacie wsparcie przy realizacji praw uczestnika (wniosek o usunięcie danych, dostęp do danych itp.)?**
7. **Czy raportujecie naruszenia ochrony danych?**
8. **Czy umożliwiacie administratorowi przeprowadzenie audytu?**
Odpowiedź „tak” na pierwsze pytanie jest absolutnym minimum. Prawdziwie profesjonalny dostawca – jak myEvent – nie tylko oferuje gotową DPA, ale też udostępnia szczegółową dokumentację środków bezpieczeństwa i infrastrukturę w całości zlokalizowaną w EOG.
## Jak myEvent ułatwia spełnienie wymogów RODO?
myEvent od ponad 20 lat specjalizuje się w obsłudze wydarzeń stacjonarnych, online i hybrydowych na polskim rynku. Jako polska firma z siedzibą w Warszawie, rozumie specyfikę przepisów RODO i wymogi stawiane organizatorom wydarzeń.
Platforma myEvent oferuje rozwiązania, które bezpośrednio adresują obowiązki wynikające z art. 28 RODO:
- **Gotowa umowa powierzenia przetwarzania danych (DPA)** – zgodna z art. 28 RODO, przygotowana przez polskich prawników, gotowa do podpisu elektronicznego.
- **Własne Data Center w EOG** – wszystkie dane uczestników pozostają na serwerach w Europejskim Obszarze Gospodarczym, co eliminuje ryzyko przekazywania danych do państw trzecich.
- **Szyfrowanie SSL/TLS** – pełne szyfrowanie transmisji danych pomiędzy uczestnikiem a platformą.
- **Szyfrowanie haseł** – hasła użytkowników przechowywane są w formie zaszyfrowanej, niedostępnej dla osób nieupoważnionych.
- **Skalowalność i niezawodność** – obsługa do 1200 rejestracji na godzinę, bezawaryjna praca 24/7/365, ponad 2 Petabajty danych w bezpiecznej infrastrukturze.
- **Kompleksowość w jednym miejscu** – rejestracja, obsługa płatności, komunikacja z uczestnikami, aplikacja eventowa i check-in na miejscu – wszystko w ramach jednego systemu, co ogranicza liczbę podmiotów przetwarzających i upraszcza zarządzanie DPA. To właśnie przykład [kompleksowej obsługi wydarzenia](https://blog.myevent.pl/kompleksowa-obsluga-wydarzenia-myevent) w praktyce.
Organizator wydarzenia otrzymuje nie tylko narzędzie, ale i pełne wsparcie compliance – bez konieczności samodzielnego przygotowywania umów czy weryfikowania podwykonawców.
## FAQ
**1. Czy muszę podpisać DPA z każdym dostawcą usług przy wydarzeniu?**
Tak. Umowa powierzenia jest wymagana z każdym podmiotem, który przetwarza dane osobowe w imieniu organizatora – platformą rejestracyjną, agencją eventową, firmą cateringową (jeśli ma dostęp do listy uczestników), drukarnią identyfikatorów, aplikacją mobilną dla uczestników itd.
**2. Czy mogę podpisać DPA po rozpoczęciu rejestracji uczestników?**
Nie. DPA musi obowiązywać przed rozpoczęciem przetwarzania danych. Podpisanie jej w trakcie lub po wydarzeniu to naruszenie art. 28 RODO, które może skutkować karą.
**3. Jakie dane uczestnika są najczęściej przetwarzane przez platformę rejestracyjną?**
Imię, nazwisko, adres e-mail, nazwa firmy, stanowisko, numer telefonu, preferencje dietetyczne, dane płatnicze, adres IP oraz zgody marketingowe i zgody na wizerunek.
**4. Czy preferencje dietetyczne uczestników to dane wrażliwe?**
Tak, w wielu przypadkach mogą one ujawniać informacje o światopoglądzie (dieta religijna) lub stanie zdrowia (dieta bezglutenowa, alergie). Należy je traktować jako dane szczególnej kategorii, o ile organizator zbiera je dobrowolnie i wyraźnie informuje o celu przetwarzania.
**5. Jak długo mogę przechowywać dane uczestników po wydarzeniu?**
Zgodnie z zasadą ograniczenia czasu przechowywania – tylko tak długo, jak wymaga tego cel przetwarzania. W przypadku wydarzeń standardem jest okres od 30 dni do 12 miesięcy po zakończeniu (np. dla celów rozliczeniowych). Po tym czasie dane należy usunąć.
**6. Czy mogę samodzielnie przygotować DPA, czy muszę korzystać z gotowego wzoru?**
Możesz przygotować DPA samodzielnie, ale musi ona spełniać wszystkie wymogi art. 28 RODO. W praktyce bezpieczniejszym rozwiązaniem jest skorzystanie z gotowej umowy przygotowanej przez dostawcę platformy – jak w przypadku myEvent – która jest już prawnie zweryfikowana i zgodna z przepisami.
**7. Jakie kary grożą za brak DPA przy rejestracji na wydarzenie?**
Kary administracyjne do 20 mln EUR lub 4% rocznego obrotu (sektor prywatny), do 10 mln EUR (sektor publiczny). Dodatkowo – odpowiedzialność odszkodowawcza za szkody wyrządzone uczestnikom w przypadku naruszenia danych.
## Podsumowanie
Umowa powierzenia przetwarzania danych to nie formalność, a fundament legalnego przetwarzania danych uczestników wydarzenia. Bez niej organizator naraża się na kary finansowe, utratę zaufania i odpowiedzialność odszkodowawczą. Pamiętaj o trzech kluczowych zasadach:
1. **Sprawdź DPA przed wyborem platformy** – gotowa umowa zgodna z art. 28 RODO to must-have, a nie benefit.
2. **Zweryfikuj infrastrukturę dostawcy** – dane uczestników powinny pozostać w EOG, transmisje muszą być szyfrowane, a hasła chronione.
3. **Postaw na kompleksowość** – im mniej zewnętrznych podmiotów przetwarzających, tym łatwiej zarządzać zgodnością RODO.
**myEvent oferuje gotową umowę powierzenia danych, własne Data Center w EOG oraz kompleksową obsługę rejestracji na wydarzenia stacjonarne, online i hybrydowe.** Skontaktuj się z nami, aby poznać szczegóły i bez ryzyka rozpocząć rejestrację na swoje kolejne wydarzenie.
### Źródła
1. Kara UODO dla Poczty Polskiej – 27,1 mln zł za naruszenia RODO (uodo.gov.pl)
2. Decyzja UODO w sprawie Sułkowickiego Ośrodka Kultury – brak DPA przy sprzedaży biletów (uodo.gov.pl)