Ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych. Dyrektywa 95/46/WE Parlamentu Europejskiego i Rady (UE) z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych, uchylona 25 maja 2018 roku Rozporządzeniem (UE) 2016/679.
"Językowe SOS. Rozmówki ukraińsko-polsko-angielsko-niemieckie" to nowa publikacja zrealizowana przez Wydział Humanistyczny Uniwersytetu Szczecińskiego. Opracował ją zespół autorów pod merytoryczną opieką prof. dr hab. Ewy Kołodziejek. Rozmówki mają pomóc w codziennych sytuacjach, np. u lekarza, w aptece, w sklepie, w restauracji, na poczcie, w urzędzie, w środkach lokomocji, w mieście. Pomogą znaleźć odpowiednie słowa, by się przywitać, pożegnać, przedstawić, podziękować, przeprosić czy określić czas. Pozwolą też nawiązać kontakt przy poszukiwaniu pracy albo gdy zdarzy się wypadek. Publikacja została sfinansowana ze środków Gminy Miasta Szczecin. Można ją pobrać ze strony Uniwersytetu, w zakładce "US dla Ukrainy".Strona 1 z 10 Wzór UMOWA POWIERZENIA I DALSZEGO POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH pomiędzy: Narodowym Centrum Badań i Rozwoju z siedzibą w Warszawie (00-695 Warszawa), adres: ul. Nowogrodzka 47a, działającym na podstawie ustawy z dnia 30 kwietnia 2010 roku o
Z powodu wejścia w życie w dniu r. ogólnego Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE informujemy, iż z dniem 24 Maja 2018r. uległ zmianie Regulamin świadczenia usług drogą elektroniczną przez IBC oraz Polityka Prywatności. Nowy tekst Regulaminu dostępny jest na naszej stronie : Nowy tekst Polityki Prywatności dostępny jest na naszej stronie: Obowiązek informacyjny RODO dostępny jest na naszej stronie: oraz w procesie rejestracji konta Abonenta Umowa powierzenia przetwarzania danych osobowych W celu realizacji poszczególnych Usług hostingowych ( np. prowadzenia Sklepu www, gromadzenia w serwisie, bazie lub na poczcie danych osobowych swoich kontrahentów itp. ) niezbędne może być powierzenie przez Klienta IBC przetwarzania danych osobowych. W takich sytuacjach powierzenie przetwarzania danych osobowych będzie następowało na warunkach określonych w Regulaminie w dziale XIII Powierzenie przetwarzania danych osobowych §45 i 46 w formie elektronicznej i obejmuje wszystkie kategorie danych osobowych, które wprowadzisz do swojej Usługi. Dane osobowe są powierzone IBC na czas trwania umów wskazanych w Regulaminie. W takim przypadku aktywacji Umowy powierzenia przetwarzania danych osobowych należy dokonać w Panelu Klienta w zakładce: Moje dane, zgody i umowy, na stronie: Aktywacja możliwa jest tylko w przypadku konta Abonenta: firmowe. W przypadku jeśli posiadasz konto Abonenta: indywidualne i podlegasz jednocześnie, ze względu na charakter, zakres lub cel gromadzenia danych obowiązkowi RODO jako Administrator tych danych, załóż w IBC nowe konto Abonenta: firmowe, podając w tym celu w procesie rejestracji swój NIP. Aktywne dotąd usługi w drodze e-cesji mogą zostać przepięte na nowe konto. Powyższe może występować szczególnie w sytuacji prowadzenia działalności nierejestrowej (wprowadzonej Ustawą z dnia 6 marca 2018 r. - Przepisy wprowadzające ustawę - Prawo przedsiębiorców oraz inne ustawy dotyczące działalności gospodarczej), co wymagać też będzie utworzenia konta Abonenta: firmowe. Po aktywacji Umowy otrzymasz potwierdzenie emailowe z oznaczeniem daty, godziny i stanu ( umowa nieaktywna, umowa aktywna ) wraz z pełną treścią Regulaminu. Więcej informacji o sposobie aktywacji Umowy znajdziesz w dziale Help na naszej stronie: Rejestr domen polskich wprowadza nową politykę cenową dla zarządzanych przez siebie domen, zakłada ona… Informujemy o aktualizacji adresów podmiotów do których przekazywane są dane w Polityce Prywatności.… Na dzień 18 Maja w oknie czasowym 23:00 do 02:00 zaplanowano niezbędne prace techniczne zabezpieczeń…
Pracodawcy planując proces rekrutacyjny często korzystają z pomocy agencji rekrutacyjnych. I tutaj, aby być w zgodzie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (zwane dalej: RODO
Logowanie do Panelu Klienta Aby zalogować się do Panelu Klienta, przejdź na stronę (1), wpisz dane logowania (2), czyli login do Panelu Klienta i hasło, a następnie kliknij przycisk ZALOGUJ SIĘ (3). Po zweryfikowaniu poprawności loginu i hasła system przeniesie Cię do drugiego etapu procedury uwierzytelnienia, w którym otrzymasz wiadomość e-mail lub SMS z kodem jednorazowym. Ten kod należy wpisać w specjalnym oknie weryfikacyjnym (4), a następnie kliknąć przycisk ZALOGUJ SIĘ (5). Po udanym logowaniu do Panelu Klienta otrzymasz od nas wiadomość e-mail z informacją potwierdzającą to logowanie. Umowa Powierzenia Przetwarzania Danych Osobowych Każdy administrator danych, który powierza swoje dane osobowe, powinien, zgodnie z wymogami RODO, zawrzeć umowę Powierzenia Przetwarzania Danych Osobowych. Aby to zrobić, przejdź w Panelu Klienta do zakładki Moje dane → umowa powierzenia przetwarzania danych osobowych (1) i kliknij przycisk Generuj umowę (2). Wyświetlony zostanie generator umów podzielony na kilka sekcji: DANE IDENTYFIKACYJNE UMOWY – zawiera dane, na jakie zawarta zostanie umowa. Są one (1) pobierane automatycznie z zakładki Moje dane → zmiana danych i dostępnej tam karty DANE IDENTYFIKACYJNE. Przed zawarciem umowy upewnij się, że dane te są poprawne, a w razie konieczności, skoryguj je (Sprawdź: Jak zmienić dane do faktury?). Wyjątek, w pobieranych danych, stanowi imię i nazwisko w polu reprezentowany przez (2). Te dane, pobierane są z zakładki Moje dane → zmiana danych i dostępnej tam karty OSOBA KONTAKTOWA. Przed wygenerowaniem umowy upewnij się, że imię i nazwisko tej osoby, podane w Panelu, zgodne jest z pozostałymi danymi, na jakie Panel został zarejestrowany, a w przypadku firmy, że jest to osoba upoważniona do jej reprezentowania. W razie konieczności, zmień dane na właściwe (Sprawdź: Moje dane). Przykładowo, jeśli osobą kontaktową w Panelu jest pracownik firmy, który zajmuje się informatyczną obsługą posiadanych w usług, przed wygenerowaniem umowy, należy tymczasowo zmienić jego imię i nazwisko w Panelu, na dane właściciela lub współwłaściciela firmy, którzy upoważnieni są do jej reprezentowania zgodnie z dokumentami rejestrowymi. Po wygenerowaniu umowy i jej akceptacji przez możliwa będzie ponowna zmiana danych osoby kontaktowej, na poprzednie. DANE POWIERZANE DO PRZETWARZANIA – zawiera zakres danych, które zostaną powierzone i będą w ramach umowy przetwarzane. Zaznacz kategorie danych (1), które chcesz powierzyć, a jeśli nie są one widoczne na liście, kliknij odnośnik Dodaj inne dane (2) i wpisz właściwy rodzaj danych (3). Jeśli chcesz dodać więcej kategorii, każdą wpisz w nowym wierszu, używając odnośnika dodawania. DANE SZCZEGÓLNYCH KATEGORII – zawiera możliwość wybrania, czy powierzyć przetwarzanie danych szczególnych kategorii, a jeśli tak, to w jakim zakresie. Jeśli nie chcesz powierzać takich danych, zaznacz opcję Administrator Danych oświadcza, że nie powierza (1). Jeśli jednak chcesz powierzyć takie dane, zaznacz checkbox przy drugiej opcji i wybierz kategorie powierzanych danych szczególnych (2). ADRES KONTAKTOWY KLIENTA (POCZTA E-MAIL) – zawiera adres e-mail, na który przesyłana będzie korespondencja związana z zawarciem, wykonywaniem lub zmianą Umowy. Adres ten (1) pobierany jest z zakładki Moje dane → zmiana danych i dostępnej tam karty OSOBA KONTAKTOWA. Jest to adres wpisany jako pierwszy. Przed zawarciem umowy, sprawdź, czy adres ten jest prawidłowy, a w razie konieczności, dokonaj jego zmiany (Sprawdź: Jak zmienić kontaktowy adres e-mail w Panelu Klienta?). Po uzupełnieniu formularza i weryfikacji wprowadzanych w nim danych, kliknij poniżej przycisk WYGENERUJ PODGLĄD UMOWY (2). Zapoznaj się w wygenerowanym podglądem umowy i ponownie zweryfikuj zawarte w niej dane. Jeśli chcesz je zmienić, kliknij na samym dole przycisk EDYCJA DANYCH (1). Jeśli wszystkie dane i treść umowy są zgodne, kliknij przycisk AKCEPTUJĘ WARUNKI UMOWY (2). Otrzymasz komunikat potwierdzający złożenie wniosku. Zostanie on automatycznie przekazany do weryfikacji przez Po kliknięciu przycisku LISTA UMÓW, wyświetlony zostanie ich wykaz. Aby sprawdzić w dowolnej chwili status złożonego wniosku, przejdź do zakładki Moje dane → umowa powierzenia przetwarzania danych osobowych (1). Zobaczysz tutaj numer umowy (2), jej status (3), a jeśli zostanie już ona zawarta, to sprawdzisz daty rozpoczęcia i zakończenia jej obowiązywania (4). Poniżej numeru umowy znajduje się również odnośnik Szczegóły (5), dzięki któremu sprawdzisz dodatkowe informacje jej dotyczące. Po kliknięciu odnośnika Szczegóły, wyświetlone zostaną dodatkowe informacje jej dotyczące. W sekcji UMOWA (1), znajdziesz numer umowy, daty rozpoczęcia i zakończenia jej obowiązywania oraz status. W sekcji DANE POWIERZANE DO PRZETWARZANIA (2) sprawdzisz, jaki zakres danych do przetwarzania został wybrany. W sekcji DANE SZCZEGÓLNYCH KATEGORII (3) zweryfikujesz, czy powierzone zostały dane szczególne, a jeśli tak, zobaczysz jakich kategorii. Jeśli chcesz anulować złożony wniosek, kliknij przycisk ANULUJ (4). Status umowy, po potwierdzeniu anulowania wniosku, zostanie zmieniony na odrzucona. Jeśli chcesz pobrać aktywną umowę, przejdź do zakładki Moje dane → umowa powierzenia przetwarzania danych osobowych (1), a następnie kliknij odnośnik Pobierz (2), widoczny poniżej numeru aktywnej umowy i zapisz plik z umową. Możesz również kliknąć odnośnik Szczegóły (3), a następnie kliknąć odnośnik Pobierz, który widoczny będzie pod numerem umowy na stronie zawierającej jej szczegóły. Jeśli na zawartej już umowie chcesz zmienić zakres przetwarzanych danych, podmiot będący Administratorem danych lub dane Administratora, wygeneruj wniosek o nową umowę. Po jej obustronnym zaakceptowaniu, nowa umowa zastąpi dotychczasową. Aby wypowiedzieć umowę, przejdź do zakładki Moje dane → umowa powierzenia przetwarzania danych osobowych, a następnie kliknij odnośnik Szczegóły, znajdujący się poniżej numeru aktywnej umowy. Na stronie szczegółów umowy, kliknij przycisk WYPOWIEDZENIE, widoczny na samym dole strony. Jeśli zgłosisz wypowiedzenie umowy, pamiętaj o obowiązku zaprzestania przetwarzania danych w terminie 30 dni lub o konieczności zawarcia nowej umowy Powierzenia Przetwarzania Danych Osobowych. Powiadomienie o upływie terminu zakończenia umowy zostanie przesłane na adresy e-mail osoby kontaktowej, zdefiniowane w Panelu. Jeśli Twój wniosek o zawarcie umowy PPDO został odrzucony, skontaktuj się z Działem Obsługi Klienta wprowadź wymagane zmiany, a następnie ponownie wygeneruj i zaakceptuj podgląd umowy.
Ani obecnie, ani po 25 maja 2018 r. pracodawca nie musi pozyskiwać od osób, które zatrudnia, zgody na przekazanie ich danych do biura rachunkowego, które na jego zlecenie prowadzi rozliczenia kadrowo-płacowe. Musi mieć jedynie zawartą umowę powierzenia przetwarzania danych. Jej ważność po rozpoczeciu stosowania RODO, zależy od tego
Biura rachunkowe często nie zdają sobie sprawy z konieczności ochrony danych osobowych pozyskanych od swoich klientów. Przepisy o ochronie danych osobowych nakładają bowiem wiele obowiązków. Ponadto nakładają duże sankcje pieniężne dla podmiotów niestosujących się do ochrony danych osobowych i nierespektujących wprowadzonych regulacji. Prowadząc biuro rachunkowe, warto przygotować się do właściwej ochrony danych osobowych. Czy każdemu potrzebna jest umowa powierzenia przetwarzania danych osobowych w biurze rachunkowym? Dane osobowe przetwarzane w biurze rachunkowym Dane osobowe przetwarzane w biurze rachunkowym mają źródło w powierzonych przez klientów dokumentach pracowniczych, umowach, fakturach czy wyciągach bankowych. Do kategorii przetwarzanych przez biura rachunkowe danych osobowych i zbiorów danych zawierających informacje gospodarcze, a nawet tajemnicę handlową mogącą zawierać klauzulę poufności, w szczególności należą dane o wielkości transakcji klienta, dane jego kontrahentów, dane jego pracowników czy jego samego. Dane osobowe umożliwiające zidentyfikowanie osoby, to dane takie jak numery PESEL czy dane z kopii dowodów osobistych. Niewłaściwe zabezpieczenie danych osobowych przez udostępnianie ich osobom postronnym czy przetwarzanie danych przez pracowników bez oparcia o właściwą politykę bezpieczeństwa informacji naraża biura rachunkowe na dużą odpowiedzialność materialną. Biuro rachunkowe jest zobowiązane zabezpieczyć pozyskane dane. Przetwarzanie ich musi odbywać się zgodnie z umową oraz przy praktykowaniu nawyków takich jak aktualizowanie wewnętrznych regulacji (regulaminów) w tym zakresie, inwentaryzację sprzętu i oprogramowania, okresowe analizy, minimalizowanie ryzyka dostępu do danych osób niepowołanych, dbanie o posiadanie stosownych uprawnień przez osoby przetwarzające dane, szkolenia, monitorowanie dostępu, utworzenie zasad gwarantujących bezpieczną pracę, zgłaszanie incydentów oraz przeprowadzanie okresowych audytów. Należy pamiętać, że klient przekazujący dane osobowe dla biura rachunkowego pozostaje administratorem tych danych. To on jest zobowiązany do zachowania staranności w celu ochrony danych swoich kontrahentów. Biuro rachunkowe ma za to zadanie dokładać wszelkiej staranności, żeby przetwarzanie danych było zgodne z przepisami prawa. Właściwym zabezpieczeniem obu stron - klienta i biura rachunkowego, określającym ich prawa i obowiązki w sprawie ochrony danych osobowych, jest umowa powierzenia przetwarzania danych osobowych. Umowa powierzenia przetwarzania danych osobowych w biurze rachunkowym Biuro rachunkowe przetwarza dane na podstawie zawartej z klientem umowy powierzenia przetwarzania danych osobowych. Umowa powierzenia może być załącznikiem do obowiązującej w biurze rachunkowym polityki bezpieczeństwa oraz występować obok właściwej umowy o świadczenie usług księgowych. Podpisywana jest więc między biurem rachunkowym a klientem, który chce skorzystać z usług biura rachunkowego, powierzając mu wszystkie dokumenty potrzebne do prowadzenia jego spraw, a które zawierają zwykłe i wrażliwe dane osobowe. Oprócz elementów oczywistych w umowie, takich jak określenie miejsca i daty jej zawarcia, wskazania stron jako zleceniodawcy-klienta i wykonawcy-biura rachunkowego, podpisów - należy zadbać o właściwie sformułowane postanowień umowy ze względu na jej przedmiot - ochronę danych osobowych. Przedmiot umowy powierzenia przetwarzania danych osobowych w biurze rachunkowym Ważnym elementem umowy jest oświadczenie klienta - osoby prowadzącej działalność gospodarczą (przedsiębiorcy) - w tym przypadku zleceniodawcy dla biura rachunkowego o fakcie, że jest on administratorem danych osobowych na podstawie ustawy. To on deklaruje, że przetwarza dane zgodnie z obowiązującymi przepisami. Potwierdza on, że cel umowy jest bezpośrednio związany z jego działalnością gospodarczą lub zawodową. Na podstawie tej umowy określa, że powierza zgromadzone dane osobowe wykonawcy, którym jest biuro rachunkowe, które zobowiązuje się do przetwarzania powierzonych mu danych w celach wyłącznie określonych w tej umowie. Jest to przedmiot, esencja umowy powierzenia przetwarzania danych osobowych. Zakres umowy i cel powierzenia przetwarzania danych osobowych w biurze rachunkowym Jak zostało wspomniane powyżej, przedmiotem umowy jest zgodne z obowiązującymi przepisami prawa korzystanie z powierzonych przez klienta danych osobowych. Celem powierzenia danych jest prawidłowe świadczenie usług przez biuro rachunkowe. Udostępnienie przez klienta danych i przekazanie ich często odbywa się za pośrednictwem systemu informatycznego. Należy pamiętać o uwzględnieniu tego sposobu w umowie. Należy też wskazać, że wtedy biuro rachunkowe może przechowywać powierzone dane. Oświadczenie biura rachunkowego o niekorzystaniu z powierzonych danych w innych celach niż umowne to kolejna ważne postanowienie umowy. Klient może określić, że powierzenie danych osobowych następuje z wyłączeniem pewnych danych. Prawa i obowiązki stron umowy powierzenia przetwarzania danych osobowych w biurze rachunkowym Obie strony zobowiązują się w umowie do przestrzegania przepisów o ochronie danych osobowych i przepisów aktów wykonawczych do tej ustawy. Biuro rachunkowe zobowiązuje się stosować środki techniczne i organizacyjne, które mają zapewnić ochronę przetwarzania danych powierzonych przez klienta. Najważniejszym aspektem jest nieudostępnianie danych osobom nieupoważnionym i niwelowanie zagrożenia, że ktokolwiek przejmie dane, będąc nieuprawnionym. Istotna jest również ochrona przed uszkodzeniem lub zniszczeniem danych. Możliwe jest wskazanie w umowie, że biuro rachunkowe może powierzyć przetwarzanie powierzonych danych innym podmiotom, na co klient wyraża zgodę. Biuro rachunkowe musi ponadto zadbać, by wybrany przez siebie dostawca usług informatycznych był renomowany, co ma zagwarantować maksymalny stopień ochrony danych osobowych. Podmioty odpowiedzialne za przetwarzanie danych muszą być obecne w biurze rachunkowym i udostępniać klientowi dane na jego wniosek. W przypadku zmiany kompetentnych do tego podmiotów biuro rachunkowe jest zobowiązane poinformować klienta o tym fakcie. Podpowierzanie danych można przekazać tylko podmiotom gwarantującym należyte wypełnianie obowiązków, co należy zawrzeć w umowie. Okres obowiązywania umowy o powierzenie danych i jej rozwiązanie Datą zawarcia umowy jest dzień podpisania umowy przez biuro rachunkowym z klientem. Określony czas, wskazujący datę od - do, będzie okresem świadczenia usług księgowych. Od chwili zawarcia umowy do czasu, na który została zawarta obowiązują jej postanowienia. Biuro rachunkowe musi przechowywać dane osobowe przez wskazany w umowie okres, nawet po rozwiązaniu umowy. Rozwiązanie umowy może nastąpić na podstawie przewidzianych przesłanek lub jeśli umowa świadczenia usług na to zezwala, to w każdym czasie. Wówczas wszystkie powierzone dane powinny zostać zwrócone. Odpowiedzialność stron za zobowiązania umowy Biuro rachunkowe jest odpowiedzialne za powierzone dane, ale w dalszym ciągu ich administratorem pozostaje klient. Biuro nie może dopuścić do udostępnienia danych osobom nieupoważnionym, przejęcia danych przez osobę nieuprawnioną czy do uszkodzenia i zniszczenia danych. Dodatkowe informacje jako postanowienia końcowe umowy powierzenia przetwarzania danych osobowych w biurze rachunkowym Warto zaznaczyć, że w sprawach spoza postanowień umownych zastosowanie mają przepisy o ochronie danych osobowych, regulaminy świadczenia usług w danym biurze rachunkowym oraz przepisy Kodeksu cywilnego. W końcowych postanowieniach można zawrzeć umowę prorogacyjną, czyli określenie konkretnego sądu (należy go wskazać), który będzie właściwy do rozstrzygnięcia ewentualnego sporu. Można zaznaczyć również możliwość wprowadzania zmian do umowy, ale należy podać, jaką formę musi przyjąć taka zmiana - najczęściej w umowach wskazuje się, aby wszelkie zmiany były wprowadzane w formie pisemnej pod rygorem nieważności.
Polityka prywatności / Klauzula RODO jest dokumentem, w którym określane są kwestie związane z przetwarzaniem danych osobowych Kursanta przez Szkołę językową. Politykę prywatności umieszcza się na stronie WWW. Klauzula RODO dołączana jest do umowy lub okazywana przy okazji zbierana danych od Klienta.
RODO | 16 marca 2020 Wiele osób, interesując się tematem ochrony danych osobowych, spotkało się z informacją o obowiązkach związanych z zawarciem umowy powierzenia przetwarzania danych osobowych. Czym jest taka umowa i kto powinien ją podpisać, aby nie łamać przepisów RODO?Co to za umowa?Mówiąc najprościej, przedmiotem omawianej umowy jest uregulowanie kwestii powierzenia innej osobie przetwarzania danych osobowych, których administratorem jesteśmy my, a więc takich, które nasi klienci lub inne osoby nam przekazały. Zatem jeśli mamy potrzebę przekazania lub udostępnienia takich danych innej firmie lub osobie z którą współpracujemy należy podpisać z nimi umowę o powierzeniu danych osobowych. Obowiązek podpisania umowy nakłada art. 28 ust. 3 RODO, według którego:Przetwarzanie przez podmiot przetwarzający odbywa się na podstawie umowy lub innego instrumentu prawnego, które podlegają prawu Unii lub prawu państwa członkowskiego i wiążą podmiot przetwarzający i administratora, określają przedmiot i czas trwania przetwarzania, charakter i cel przetwarzania, rodzaj danych osobowych oraz kategorie osób, których dane dotyczą, obowiązki i prawa administratora. (…)Z kim musimy podpisać taką umowę?Umowę o powierzeniu przetwarzania danych jesteśmy zobligowani podpisać z każdym podmiotem, któremu przekazujemy dostęp do zbioru danych osobowych. Obecnie ciężko wyobrazić sobie funkcjonowanie firmy bez współpracy z innymi podmiotami, które będą miały dostęp do przetwarzanych danych. Przykładowo taka sytuacja będzie mieć miejsce, jeśli zlecamy firmie zewnętrznej obsługę księgową lub wykupujemy hosting dla naszej strony internetowej. Inne przykłady to obsługa newslettera lub fanpage dla naszych klientów przez zewnętrzną firmę marketingową, wysyłka mailingu, przekazanie komputera do serwisu itp. W każdym z podanych przypadków przekazujemy dane osobowe naszych klientów czy użytkowników zewnętrznej firmie, która ma potencjalną możliwość dostępu do tych danych. Jak podpisać taką umowę?Doradza się, aby umowę podpisać pisemnie albo poprzez podpis elektroniczny, ewentualnie w formie akceptacji regulaminu, którego częścią będzie właśnie taka umowa (jest to praktyka np. firm hostingowych). Czy w ogóle warto podpisywać umowę o powierzeniu danych?Po pierwsze, obowiązek ten nakłada na nas Rozporządzenie o Ochronie Danych Osobowych RODO. Po drugie, prawidłowo skonstruowana umowa ochroni nas w sytuacji, gdyby z winy zewnętrznego współpracownika dane wyciekły lub zostały skradzione. Co powinna zawierać taka umowa?Niezbędne elementy takiej umowy to:oznaczenie stron,rodzaj danych osobowych oraz kategorie osób, których dane dotyczą,przedmiot i czas trwania przetwarzania,charakter i cel przetwarzania,obowiązki i prawa administratora,na jaki czas zawieramy umowę,data sporządzenia, by zawrzeć w treści umowy klauzule o tym, że podmiot przetwarzający zobowiązuje się przetwarzać dane wyłącznie w granicach objętych w umowie, posiada odpowiednie środki, by dane te zabezpieczyć oraz, że bierze odpowiedzialność za zawinione podpisania umowy powierzenia przetwarzania danych osobowych należy dochować nie tylko ze względu na taki obowiązek nałożony przez przepisy RODO, ale też ze względu na ewentualne ryzyko wycieku danych z winy podmiotu, któremu powierzamy przetwarzanie. Brak umowy z pewnością będzie okolicznością obciążającą administratora danych osobowych. Posiadanie umowy może natomiast w sposób zrównoważony określić zasady odpowiedzialności w takich sytuacjach.
W takim przypadku konieczne jest zawarcie umowy podpowierzenia przetwarzania danych. Stroną takiej umowy nie jest jednak administrator, lecz procesor i podprocesor (dalszy procesor). Tak właśnie należy określić strony umowy powierzenia. kto odpowiada za podpowierzane dane.Tytułem wstępu Jeśli nadajesz przesyłkę za pośrednictwem serwisu w związku z wykonywaną działalnością, w szczególności gospodarczą lub zawodową (np. w ramach sklepu internetowego lub fundacji) to Ty jesteś administratorem danych osobowych osób, które wskazujesz w formularzu zamówienia. Serwis jest podmiotem przetwarzającym te dane. W związku z art. 28 ust. 3 RODO jesteśmy zobowiązani do zawarcia umowy powierzenia przetwarzania danych – Ty jako administrator danych osobowych, a administrator serwisu – jako podmiot przetwarzający dane osobowe. Niniejszą umowę możemy zawrzeć w formie elektronicznej (pozwala na to art. 28 ust. 9 RODO). Umowa powierzenia przetwarzania danych osobowych (dalej jako: Umowa powierzenia) zawarta pomiędzy: 1. Użytkownikiem Serwisu który zakłada konto lub składa zamówienie/a za pomocą Serwisu w ramach wykonywanej działalności, zwanym dalej: Administratorem lub Użytkownikiem a 2. Kurierovo Sp. z ograniczoną odpowiedzialnością Sp. komandytowa z siedzibą w Łukowie, przy ul. Sochacz 16a, 21-400 Łuków, wpisaną do Rejestru Przedsiębiorców Krajowego Rejestru Sądowego, prowadzonego przez Sąd Rejonowy Lublin-Wschód w Lublinie, z siedzibą w Świdniku, VI Wydział Gospodarczy Krajowego Rejestru Sądowego, pod nr KRS: 0000826879, REGON: 385468101, NIP: 8252188154, zwaną dalej: „Kurierovo” lub Podmiot przetwarzający. Użytkownik i Kurierovo dalej zwani są łącznie „Stronami”, a każdy z osobna „Stroną”. §1 Oświadczenia – Kurierovo 1. Kurierovo oświadcza, że jest administratorem danych osobowych. §2 Definicje 1. Administrator – administrator danych osobowych w rozumieniu art. 4 pkt 7 RODO. 2. Dane osobowe – dane osobowe w rozumieniu art. 4 pkt 1 RODO, określone w § 3 ust. 2 Umowy powierzenia. 3. Naruszenie ochrony danych osobowych – naruszenie ochrony danych osobowych w rozumieniu art. 4 pkt 12 RODO. 4. Podmiot przetwarzający – podmiot przetwarzający w rozumieniu art. 4 pkt 8 RODO. 5. Przetwarzanie – przetwarzanie danych osobowych w rozumieniu art. 4 pkt 2 RODO. 6. Serwis – serwis którego administratorem jest Kurierovo Sp. z ograniczoną odpowiedzialnością Sp. komandytowa z siedzibą w Łukowie przy ul. Sochacz 16a, 21-400 Łuków, wpisana do Rejestru Przedsiębiorców Krajowego Rejestru Sądowego, prowadzonego przez Sąd Rejonowy Lublin-Wschód w Lublinie, z siedzibą w Świdniku, VI Wydział Gospodarczy Krajowego Rejestru Sądowego, pod nr KRS: 0000826879, REGON: 385468101, NIP: 8252188154. 7. RODO – Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych). 8. Umowa pośrednictwa – Umowa pośrednictwa w doręczaniu przesyłek, którą Kurierovo zawiera z Użytkownikiem Serwisu 9. Usługi – usługi związane z pośrednictwem przez Kurierovo w doręczeniu przesyłek, nadawanych przez Administratora za pośrednictwem Serwisu §3 Przedmiot umowy 1. Umowa powierzenia określa warunki Przetwarzania przez Kurierovo w imieniu Administratora Danych osobowych określonych w ust. 2 poniżej w zakresie Usług wykonywanych przez Kurierovo na podstawie Umowy pośrednictwa. 2. Użytkownik, składając zamówienie w Serwisie powierza Kurierovo następujące dane osobowe osób trzecich: rodzaj danych osobowych: dane zwykłe, tj. imię i nazwisko, dane teleadresowe, takie jak: adres, numer telefonu, e-mail; kategorie osób, których dane dotyczą: adresaci przesyłek zlecanych przez Użytkownika. §4 Przetwarzanie danych osobowych 1. Podmiot przetwarzający będzie przetwarzał dane osobowe powierzone przez Administratora wyłącznie w celu, w zakresie i na warunkach określonych w Umowie powierzenia. Podmiot przetwarzający zobowiązuje się, że nie będzie modyfikował, usuwał ani wykorzystywał powierzonych mu do Przetwarzania Danych osobowych w jakikolwiek inny sposób niż na potrzeby świadczenia Usług na rzecz Administratora. 2. Podmiot przetwarzający będzie przetwarzał dane osobowe powierzone przez Administratora w zakresie świadczenia Usługi w formie elektronicznej, w systemie informatycznym Kurierovo oraz w formie papierowej (druki księgowe ). 3. Strony uzgadniają, że dane osobowe powierzone przez Administratora będą przetwarzane zgodnie z poleceniami Administratora przez które rozumie się każdorazowe zlecenie przesyłki za pomocą Serwisu §5 Okres przetwarzania 1. Dane osobowe powierzone przez Administratora danych będą przetwarzane przez Kurierovo w okresie wykonywania Usługi, z zastrzeżeniem następujących ustępów. 2. Po rozwiązaniu lub wygaśnięciu Umowy pośrednictwa, Podmiot przetwarzający usuwa lub zwraca Administratorowi Dane osobowe i usuwa ich kopie. Przez rozwiązanie lub wygaśnięcie Umowy pośrednictwa dla potrzeb niniejszej Umowy powierzenia rozumie się wygaśnięcie wszystkich obowiązków Kurierovo, z którymi wiąże się przetwarzanie Danych osobowych. 3. Z uwagi jednak na możliwość zaistnienia sporu pomiędzy Stronami, związanego z realizacją Umowy pośrednictwa lub Umowy powierzenia – Kurierovo usunie Dane osobowe oraz ich kopie po upływie okresu niezbędnego do ustalenia, dochodzenia lub obrony roszczeń wynikających lub mogących wynikać z Umowy współpracy lub Umowy powierzenia. §6 Obowiązki Podmiotu przetwarzającego 1. Strony zobowiązują się do wykonywania zobowiązania z najwyższą starannością zawodową, w tym do przestrzegania Umowy powierzenia i właściwych przepisów prawa mających zastosowanie do Przetwarzania danych osobowych, w szczególności zobowiązują się do przestrzegania obowiązków Stron wynikających z RODO. 2. Podmiot przetwarzający, uwzględniając charakter przetwarzania oraz dostępne mu informacje, pomaga Administratorowi danych wywiązać się z obowiązków określonych w art. 32–36 RODO. 3. Podmiot przetwarzający podejmuje środki organizacyjne i techniczne właściwe zgodnie z art. 32 RODO do przetwarzania Danych osobowych powierzonych przez Administratora w zakresie usług świadczonych zgodnie z Umową pośrednictwa w celu zabezpieczenia powierzonych do przetwarzania Danych osobowych w należyty, odpowiedni do zagrożeń sposób. 4. W zakresie pomocy Administratorowi przy realizacji obowiązku dokonywania zgłoszenia Naruszenia ochrony danych osobowych do organu nadzorczego oraz zawiadamiania o Naruszeniu ochrony Danych osobowych osób, których dane dotyczą, o których mowa w art. 28 ust. 3 lit. f) RODO, uwzględniając charakter Przetwarzania danych oraz dostępne mu informacje Podmiot przetwarzający zobowiązany jest do: zgłoszenia Administratorowi danych podejrzenia naruszenia lub stwierdzenia Naruszenia ochrony danych osobowych nie później niż w terminie 36 (słownie: trzydziestu sześciu) godzin od chwili powzięcia informacji o podejrzeniu naruszenia lub stwierdzeniu Naruszenia ochrony danych osobowych w związku z wykonywaniem Umowy powierzenia na adres email wskazany w koncie/ zamówieniu Użytkownika; w zawiadomieniu o podejrzeniu naruszenia lub stwierdzeniu Naruszenia ochrony danych osobowych Podmiot przetwarzający jest zobowiązany wskazać: 1) okoliczności zdarzenia, 2) prawdopodobne przyczyny zdarzenia, 3) środki, jakie zostały zastosowane w związku ze zdarzeniem, w celu zminimalizowania negatywnych skutków — wraz z niezbędną dokumentacją; zapewnienia Administratorowi możliwości uczestniczenia w wyjaśnianiu okoliczności zdarzenia, w tym udzielenia informacji oraz wyjaśnień, jak również podjęcia innych działań, które umożliwią Administratorowi wywiązanie się z obowiązku notyfikacyjnego wobec Prezesa Urzędu Ochrony Danych Osobowych. 5. Podmiot przetwarzający oświadcza, że osobom zatrudnionym przy Przetwarzaniu powierzonych Danych osobowych nadane zostały upoważnienia do przetwarzania danych osobowych oraz że osoby te zostały zapoznane z przepisami o ochronie danych osobowych, w szczególności RODO oraz z odpowiedzialnością za ich nieprzestrzeganie. 6. Podmiot przetwarzający zapewnia, że osoby upoważnione przez Podmiot przetwarzający do Przetwarzania Danych osobowych powierzonych przez Administratora zobowiązały się do zachowania tajemnicy lub podlegają odpowiedniemu ustawowemu obowiązkowi zachowania tajemnicy. §7 Uprawnienia Administratora danych 1. Administrator jest upoważniony do przeprowadzenia audytu w celu weryfikacji przestrzegania Umowy powierzenia przez Kurierovo, bezpośrednio lub za pośrednictwem upoważnionego audytora, z zastrzeżeniem następujących warunków: 2. audyt będzie przeprowadzany nie częściej niż raz w roku kalendarzowym, a jego termin powinien być uzgodniony przez Strony, przy czym Użytkownik zgłosi zamiar przeprowadzenia audytu co najmniej 30 dni przed jego proponowanym terminem w formie pisemnej pod rygorem nieważności na adres wskazany w komparycji Umowy powierzenia lub wysyłając wiadomość email na adres […]; 3. audytorem Użytkownika nie może być podmiot prowadzący działalność konkurencyjną wobec Kurierovo; 4. audyt nie może obejmować informacji lub dokumentów dotyczących innych klientów/ użytkowników Kurierovo, ani zmierzać lub skutkować uzyskaniem dostępu Użytkownika do danych osobowych innych niż Dane osobowe Użytkownika lub do danych poufnych Kurierovo lub innych podmiotów powiązanych (współadministratorów z Kurierovo); 5. Kurierovo może uzależnić udział audytora lub wyznaczonego pracownika Użytkownika w audycie od uprzedniego zawarcia odpowiedniej umowy poufności z Kurierovo; 6. w czasie audytu Użytkownik i audytor mają obowiązek przestrzegania wewnętrznych procedur i polityk Kurierovo dotyczących bezpieczeństwa i poufności; 7. Administrator pokrywa koszty audytu. §8 Podpowierzenie 1. Administrator wyraża zgodę na wykorzystanie przez Podmiot przetwarzający innych podmiotów przetwarzających (dalej jako: Podwykonawcy) do dalszego przetwarzania danych w ramach świadczenia Usług, przy czym każdy Podwykonawca Kurierovo zapewnia niezbędne gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych w celu zapewnienia zgodności przetwarzania z przepisami ochrony danych osobowych, w szczególności z RODO. 2. Podmiot przetwarzający ponosi pełną odpowiedzialność, jeżeli Podwykonawca nie wywiąże się ze spoczywających na nim obowiązków ochrony danych. 3. Podmiot przetwarzający zawarł lub zawrze umowy powierzenia przetwarzania danych osobowych z Podwykonawcami. 4. Podmiot przetwarzający utrzymuje listę Podwykonawców, na której znajdują się w szczególności: firmy kurierskie odpowiedzialne za realizację Usługi, firmy odpowiedzialne za kontakt w związku z realizacją Usługi, hostingodawcy Podmiotu przetwarzającego oraz firmy IT odpowiedzialne za serwisowanie platformy Kurierovo. 5. W przypadku zastąpienia podwykonawców lub dodania nowych podwykonawców, Kurierovo poinformuje o tym Administratora z dwutygodniowym wyprzedzeniem drogą mailową na adres Użytkownika wskazany w koncie lub złożonym zamówieniu. Administrator ma prawo do zgłoszenia sprzeciwu odnośnie do tych zmian w ciągu 5 dni roboczych – brak zgłoszenia sprzeciwu w tym terminie traktowany jest jako akceptacja Podwykonawcy. 6. Podmiot przetwarzający zobowiązuje się współpracować wyłącznie z takimi podwykonawcami, którzy zapewniają wdrożenie takich środków technicznych i organizacyjnych, aby Przetwarzanie odpowiadało wymogom RODO. 7. Podmiot przetwarzający zawrze z każdym podwykonawcą, który będzie przetwarzał Dane osobowe stosowną umowę, nakładającą na podwykonawcę odpowiednie obowiązki ochrony danych osobowych. 8. Jeżeli podwykonawca Kurierovo nie wywiąże się ze spoczywających na nim obowiązków ochrony danych osobowych Administratora, Podmiot przetwarzający ponosi wobec Administratora odpowiedzialność za niewypełnienie obowiązków przez Podwykonawcę tak jak za własne działania i zaniechania. §9 Odpowiedzialność Stron Umowy 1. Użytkownik odpowiada za prawidłowe wykonywanie obowiązków Administratora zgodnie z RODO, i innymi właściwymi przepisami ochrony danych osobowych, jak też niniejszą Umową powierzenia. W szczególności, Użytkownik zobowiązany jest do wypełnienia obowiązku informacyjnego wynikającego z art. 13 RODO wobec swoich klientów, których dane powierza do przetwarzania Podmiotowi przetwarzającemu, w tym do poinformowania ich, że podmiotem przetwarzającym ich dane jest Kurierovo. 2. Administrator zapewnia, że Dane osobowe są przetwarzane zgodnie z prawem, w tym zgodnie z zasadami wynikającymi z RODO, w szczególności, że dane są przetwarzane w minimalnym zakresie (Administrator nie przetwarza więcej danych niż jest to wymagane do jego celów). 3. Administrator gwarantuje, że w momencie przekazania Danych osobowych do Przetwarzania istnieje ku temu ważna podstawa prawna, co na każde żądanie Podmiotu przetwarzającego wykaże poprzez wskazanie podstawy prawnej przetwarzania i jej należyte udokumentowanie. 4. Postanowienia §9 pozostają w mocy po rozwiązaniu lub wygaśnięciu Umowy powierzenia. 5. Całkowite i maksymalne zobowiązanie Kurierovo w związku z wykonywaniem Umowy powierzenia jest ograniczone do kwoty 10 tys. zł § 10 Postanowienia końcowe 1. Strony uzgadniają, że właściwe dla Umowy powierzenia będzie prawo obowiązujące w Polsce, zaś do rozstrzygania sporów właściwy będzie sąd powszechny właściwy dla siedziby Kurierovo w dniu zawarcia niniejszej Umowy. 2. W sprawach nieuregulowanych w niniejszej Umowie powierzenia zastosowanie będzie miało RODO oraz właściwe przepisy prawa polskiego. 3. Umowa powierzenia jest w mocy tak długo, jak Podmiot przetwarzający przetwarza Dane osobowe w imieniu Administratora, zgodnie z §5, niezależnie od trwania Umowy pośrednictwa.
ku związanemu z przetwarzaniem danych osobowych, o których mowa w art. 32 RODO. 4. Podmiot przetwarzający przed rozpoczęciem przetwarzania danych osobowych przygotuje dokumentację opisującą sposób przetwarzania danych osobowych oraz środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych - zgodną z RODO.
Jako że zakładając konto we FreshMailu, stajesz się Administratorem Danych Osobowych, musisz działać zgodnie z wymogami ustawy RODO, która weszła w życie 25 maja 2018 roku, a tym samym podpisać z nami Umowę Powierzenia Przetwarzania Danych Osobowych. Pamiętaj, że bez tego kroku nie możesz wysyłać kampanii! Ponadto zaakceptowanie Umowy nie obliguje Cię do ponoszenia jakichkolwiek opłat. Jak zacząć? Po zalogowaniu na swoje konto we FreshMailu zobaczysz na stronie głównej zielony baner przypominający o konieczności wypełnienia umowy. Kliknij w żółty przycisk Uzupełnij dane: Poniżej przycisku znajdziesz również opcję Przypomnij mi jutro oraz Nie przypominaj mi nigdy, jednak gdy klikniesz w tę drugą, nie będziesz mógł wysyłać kampanii. Po kliknięciu w Uzupełnij dane przejdziesz do zakładki, która wyjaśnia, w jakim celu musisz wypełnić umowę oraz jakie konsekwencje mogą wyniknąć z jej niepodpisania. Co później? Gdy klikniesz Idę dalej! zostaniesz poproszony o zaznaczenie rodzaju umowy. Jeżeli konto zostało założone na osobę fizyczną, podaj swoje imię, nazwisko, e-mail, numer telefonu oraz pełny adres. W przypadku zaznaczenia firmy i po podaniu numeru NIP, a następnie kliknięciu Pobierz dane, wszystkie informacje o Twojej firmie zostaną zaciągnięte z Krajowego Rejestru Sądowego. Jeśli po pobraniu danych zauważysz błąd, skontaktuj się z Biurem Obsługi Klienta drogą mailową (pomoc@ i podaj poprawne dane, a dokonamy ich niezwłocznej zmiany. Po wypełnieniu pól umowy możesz ją podejrzeć poprzez kliknięcie Zobacz umowę. Zaakceptowanie UPPDO następuje w momencie przejrzenia jej całości za pomocą zielonej strzałki. Poniżej znajduje się również opcja pobrania jej na komputer w formacie PDF. Pamiętaj, że zaakceptowanie umowy staje się wiążące - sprawdź zatem, czy wszystkie podane przez Ciebie dane są poprawne! Jeśli chcesz ją jeszcze podejrzeć, przejdź do zakładki Moje umowy → Przeglądaj umowy. W tym miejscu możesz sprawdzić datę jej zaakceptowania, opis, wersję oraz status, a także opcję podglądu i pobrania w formacie PDF. Pamiętaj, że możesz także wypełnić Umowę Powierzenia Przetwarzania Danych Osobowych w wersji papierowej: w tym celu skontaktuj się z Biurem Obsługi Klienta, który wyśle Ci edytowalną wersję. Następnie skorzystaj z opcji Prześlij umowę, gdzie prześlesz podpisany skan. Taki plik musi zostać najpierw sprawdzony przez Biuro Obsługi Klienta i, jeśli wszystko jest w porządku, zostanie zaakceptowany, a następnie automatycznie znajdzie się w zakładce Przeglądaj umowy. Możesz również przesłać wersję papierową bezpośrednio do naszej firmy na adres: FreshMail Sp. z o. o. Al. 29 Listopada 155c 31-406 Kraków.
Temat: Poczta Polska - powierzenie, czy udostępnienie danych? Dziękuję za odpowiedzi, ale mam co do nich pewne wątpliwości. Prawo pocztowe daje podstawę do przetwarzania danych osobowych adresatów poczcie, ale ADO też musi mieć jakąś opartą na UODO podstawę do przekazania tych danych a tam innych opcji niż powierzenia i udostępnienie nie ma, więc moim zdaniem trzeba to jakoś
Autor Justyna Kocur-Czarny Praktycznie każdy z nas korzysta z rozwiązań czy usług innych podmiotów. Usługi te są zarówno płatne, jak i nieodpłatne. Zakres wykorzystywanych aplikacji, zarówno w życiu prywatnym, jak i publicznym, jest bardzo szeroki. Większość firm posiada strony internetowe, korzysta z usług hostingu, utrzymaniu infrastruktury. Oprócz tego, wiele podmiotów korzysta z usług biur rachunkowych, usług doradczych czy marketingowych. Większość z nas chętnie też sięga po darmowe rozwiązania np. firmy Google. Bardzo często w trakcie współpracy z takimi podmiotami czy korzystania z ich narzędzi dochodzi do przekazania danych osobowych osób trzecich (np. naszych pracowników, klientów czy subskrybentów newslettera), albowiem dane osobowe są nierozerwalnie związane z naszą codziennością. Kiedy zawrzeć umowę powierzenia przetwarzania danych osobowych? W sytuacji korzystania z usług podmiotów trzecich, w trakcie których dochodzi do przetwarzania danych osobowych administrator, który chce skorzystać z usług takiego podwykonawcy powinien wraz podpisaniem umowy głównej, podpisać umowę powierzenia przetwarzania danych osobowych. Oczywiście postanowienia odnoszące się do ochrony danych mogą zostać ujęte w samej umowie głównej. Co więcej, należy pamiętać, że regulamin to także umowa. Odnoszę wrażenie, że wiele osób korzystających, w szczególności z bezpłatnych rozwiązań akceptuje regulaminy podmiotów, z których usług/aplikacji/narzędzi chce skorzystać. Czy jednak czyta regulaminy albo warunki świadczenia usług? Myślę, że znajdą się tacy, którzy niestety nie czytają. Dlaczego jest to takie ważne? Jeżeli Ty jako administrator danych osobowych korzystasz z usług podmiotów trzecich, to musisz spełnić obowiązki informacyjne wobec osoby, których dane osobowe przetwarzasz. Inaczej rzecz ujmując, poinformować osobę, że oprócz Ciebie, ktoś jeszcze będzie miał styczność z jej danymi osobowymi (zob. art. 13 RODO). Oprócz tego, jako administrator danych osobowych przed skorzystaniem z określonych usług, powinieneś dokonać odpowiedniego wyboru swojego podwykonawcy. Kontrahent powinien spełniać wymagania ustalone przepisami RODO. Ciężar odpowiedzialności za dokonanie odpowiedniego wyboru podmiotu przetwarzającego spoczywa na administratorze (art. 28 ust. 1 RODO). Wybór dostawcy usług Zdarza się także, zwłaszcza gdy korzystamy z usług „giganta”, że usługodawca uzależnia możliwość skorzystania z bezpłatnego rozwiązania pod warunkiem umieszczenia odpowiednich postanowień w swojej klauzuli informacyjnej. Co więcej, uznaje się, że nawet brak równości stron w relacji pomiędzy małym administratorem a dużym usługodawcą, który będzie pełnił rolę podmiotu przetwarzającego, nie będzie uznawane za wystarczający powód (usprawiedliwienie) za wybór kontrahenta, który nie spełnia wymagań RODO. Co ważne administrator decydując się na skorzystanie z podmiotu zewnętrznego nadal decyduje o celu i sposobie przetwarzania danych osobowych, zaś wybrany przez niego podmiot przetwarzający jest uprawniony wyłącznie do dokonania powierzonych czynności, z którymi wiąże się także przetwarzanie danych osobowych w sposób i celu określonym przez administratora. (fragment motywu nr 81 RODO) Administrator powinien, powierzając podmiotowi przetwarzającemu czynności przetwarzania, korzystać z usług wyłącznie podmiotów przetwarzających, które zapewniają wystarczające gwarancje – w szczególności, jeżeli chodzi o wiedzę fachową, wiarygodność i zasoby – wdrożenia środków technicznych i organizacyjnych odpowiadających wymogom RODO, w tym wymogom bezpieczeństwa przetwarzania. Podstawy powierzenia danych osobowych RODO dopuszcza dwie alternatywne podstawy powierzenia przetwarzania danych osobowych. Jedną z nich jest umowa. Stronami umowy są administrator i podmiot przetwarzający (podmiot działający na zlecenie administratora). W praktyce umowa ta nazywana jest umową powierzenia danych osobowych czy też umową o powierzeniu przetwarzania danych osobowych. Są to najczęściej stosowane nazwy tej umowy, choć można się spotkać z terminami jak: umowa o powierzeniu danych, umowa z procesorem, umowa powierzenia, regulamin ochrony danych itp. Bez znaczenia jest nazwa umowy, najważniejsze, by umowa posiadała elementy wynikające z RODO. Elementy umowy powierzenia przetwarzania danych Do elementów, które zalicza się: przedmiot przetwarzania; czas trwania przetwarzania; charakter i cel przetwarzania, rodzaj danych osobowych, kategorie osób, których dane dotyczą obowiązki i prawa administratora zobowiązania podmiotu przetwarzającego. Oczywiście, to w interesie administratora leży uwzględnienie w umowie pkt 7, czyli obowiązków podmiotu przetwarzającego, do których należy zaliczyć: działanie wyłącznie na udokumentowanie polecenie administratora; zagwarantowanie, że osoby upoważnione do przetwarzania zobowiążą się do zachowania tajemnicy, chyba że podlegają one takiemu obowiązkowi z mocy przepisów ustawowych; wdrożenie odpowiednich środków technicznych i organizacyjnych; przestrzeganie warunków korzystania z usług innego podmiotu przetwarzającego; wsparcie administratora w realizacji praw podmiotów danych (osób, których dane osobowe są przetwarzane) wsparcie administratora w realizacji obowiązków odnoszących się do bezpieczeństwa przetwarzania, zgłaszania naruszeń ochrony danych organowi nadzorczemu, zawiadamiania osoby, której dane dotyczą, o naruszeniu ochrony danych osobowych, oceny skutków dla ochrony danych oraz uprzednich konsultacji; umożliwienie poddania się kontroli (audytów) prowadzonej przez administratora w celu wykazania spełnienia nałożonych na podmiot przetwarzający w umowie obowiązków oraz współdziałania w czasie jej trwania; określone postępowanie z danymi osobowymi po zakończeniu przetwarzania. Oczywiście, to w interesie administratora leży uwzględnienie w umowie pkt 7, czyli obowiązków podmiotu przetwarzającego, do których należy zaliczyć: działanie wyłącznie na udokumentowanie polecenie administratora; zagwarantowanie, że osoby upoważnione do przetwarzania zobowiążą się do zachowania tajemnicy, chyba że podlegają one takiemu obowiązkowi z mocy przepisów ustawowych; wdrożenie odpowiednich środków technicznych i organizacyjnych; przestrzeganie warunków korzystania z usług innego podmiotu przetwarzającego; wsparcie administratora w realizacji praw podmiotów danych (osób, których dane osobowe są przetwarzane) wsparcie administratora w realizacji obowiązków odnoszących się do bezpieczeństwa przetwarzania, zgłaszania naruszeń ochrony danych organowi nadzorczemu, zawiadamiania osoby, której dane dotyczą, o naruszeniu ochrony danych osobowych, oceny skutków dla ochrony danych oraz uprzednich konsultacji; umożliwienie poddania się kontroli (audytów) prowadzonej przez administratora w celu wykazania spełnienia nałożonych na podmiot przetwarzający w umowie obowiązków oraz współdziałania w czasie jej trwania; określone postępowanie z danymi osobowymi po zakończeniu przetwarzania. Powyższe elementy stanowią minimum jakie musi spełniać przedmiotowa umowa, co jednak nie wyklucza uregulowania innych kwestii odnoszących się do procesu przetwarzania danych osobowych w relacji administrator – podmiot przetwarzający, np. ustalenie rozkładu odpowiedzialności za niewykonanie lub nienależyte wykonanie umowy, szczegółowe określenie sposobu kontroli, możliwości rozwiązania stosunku prawnego itp. Należy również pamiętać, że administrator nie może nakładać na podmiot przetwarzający niezgodnych z przepisami prawa obowiązków czy poleceń. W przypadku, gdy w ocenie podmiotu przetwarzającego wydane przez administratora polecenie stanowi naruszenie RODO lub innych przepisów Unii lub państwa członkowskiego o ochronie danych, podmiot przetwarzający jest zobowiązany niezwłocznie poinformować o tym administratora (art. 28 ust. 3 lit. 4 RODO). Umowa powierzenia przetwarzania danych osobowych musi mieć formę pisemną, przy czym zgodnie z art. 28 ust. 9 RODO, wymóg pisemności spełnia również forma elektroniczna w rozumieniu RODO. Dzięki możliwości skorzystania z takiej formy, istnieje możliwość zawarcia skutecznej umowy powierzenia przetwarzania danych osobowych w drodze akceptacji regulaminu, czy samodzielnego jej wygenerowania na platformie podmiotu przetwarzającego i tak najczęściej się dzieje. Źródła: Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. U. UE z 2016 r., L 119/1 ze zm.). Grupa Robocza Art. 29, Opinia 1/2010 w sprawie pojęć „administrator danych” i „przetwarzający”, przyjęta 16 lutego 2010 r. (WP 169), r. N. Stojanowska, Outsourcing usług w kancelarii komorniczej a RODO, r. Przedsiębiorco! Chcesz być na bieżąco z przepisami? Zapisz się na newsletter Pobierz darmową NOTATKĘ WIZUALNĄpt. "Obowiązek Informacyjny z art. 13 RODO w 13 krokach".Zamów wzór umowy powierzenia zgodny z RODO. Wzór umowy powierzenia zgodny z RODO możesz zamówić w sklepie dostępnym na blogu Umowy w IT. Taki wzór umowy powierzenia przetwarzania danych osobowych może być wykorzystywany jako niezależna umowa lub też jako załącznik do umowy umowy głównej (np. umowy wdrożeniowej, SLA lub umowy o świadczenie usług programistycznych).
Z kim muszę podpisywać umowę powierzenia przetwarzania danych osobowych? (kurier, poczta, księgowa, operator płatności, hosting) W codziennej praktyce sklepy internetowe do realizacji swoich celów biznesowych bardzo często korzystają z usług firm zewnętrznych. W związku z tym pojawia się problem dostępu do danych i ich przetwarzania przez osoby trzecie. Sprzedawcy internetowi mają w związku z tym obowiązek zabezpieczenia danych osobowych swoich klientów przed ich bezprawnym wykorzystaniem poprzez spełnienie ustawowo określonych obowiązków. Zgodnie z ustawą o ochronie danych osobowych, administrator danych osobowych może powierzyć przetwarzanie danych innemu podmiotowi w drodze umowy zawartej na piśmie – czyli tzw. umowy powierzenia przetwarzania danych osobowych. Czym jest powierzenie danych? Przetwarzanie danych osobowych jest dopuszczalne tylko wtedy, gdy jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa, na co wskazuje bezpośrednio art. 23 ust. 1 pkt 2 ustawy o ochronie danych osobowych. Powierzenie przetwarzania danych uregulowane jest w art. 31 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych. Art. 31 ust. 1 Administrator danych może powierzyć innemu podmiotowi, w drodze umowy zawartej na piśmie, przetwarzanie danych. Polega ono na tym, że administrator danych powierza w drodze pisemnej umowy ich przetwarzanie – w całości lub w części – innemu podmiotowi. Oznacza to, że administrator nie musi sam wykonywać wszystkich czynności związanych z procesem przetwarzania danych osobowych. Najczęściej umowy powierzenia przetwarzania danych zawierane są np. w celu dochodzenia wierzytelności lub w związku ze zleceniem innemu podmiotowi realizacji części zadań administratora (tzw. outsourcing). W pewnym uproszczeniu chodzi o przekazanie innej firmie zebranych przez administratora danych osobowych po to, by ta firma zrobiła coś z tymi nimi w jego imieniu i na jego rzecz. Czy przekazując dane zawsze je powierzam? Są sytuacje gdy prowadząc działalność administrator przekaże dane osobowe osobie trzeciej, która będzie je przetwarzać w swoim własnym imieniu i na swoją rzecz. W tej sytuacji będziemy mieli do czynienia z udostępnieniem danych – może to mieć miejsce np. w przypadku sprzedaży bazy danych. Udostępnienie jest przekazaniem danych innemu podmiotowi (odbiorcy danych), który staje się ich administratorem, zaś powierzenie polega na przetwarzaniu danych przez podmiot, który nie jest administratorem tych danych. Komu mogę powierzyć przetwarzanie danych osobowych? Hosting Duża część sklepów internetowych, ze względu na wysokie koszty, nie utrzymuje własnych serwerów, lecz wynajmuje od wyspecjalizowanych firm świadczących usługi hostingu. Wówczas dane osobowe klientów sklepu są przetwarzane przez inną firmę w jej systemie informatycznym. Definicja przetwarzania w ustawie o ochronie danych osobowych jest jednoznaczna: są to „jakiekolwiek operacje wykonywane na danych osobowych”, a wśród nich także „utrwalanie” i „przechowywanie”. Księgowość Prowadzenie dokumentacji księgowej nierozerwalnie wiąże się z przetwarzaniem danych osobowych klientów oraz osób zatrudnionych w sklepie internetowym. Wprawdzie zgodnie z ustawą o ochronie danych osobowych nie trzeba rejestrować zbiorów danych osobowych, które służą tylko do przetwarzania danych w celu wystawienia faktury, jednak wymogi dotyczące zabezpieczenia zbiorów danych osobowych, o których mowa w art. 36 ustawy, odnoszą się do wszystkich zbiorów, w których przetwarzane są dane osobowe. Art. 36. 1. Administrator danych jest obowiązany zastosować środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, a w szczególności powinien zabezpieczyć dane przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem. Obowiązek zabezpieczenia danych nie jest zatem uzależniony od celu przetwarzania, rodzaju podmiotu będącego administratorem, jak również przywilejów, do których należy zwolnienie administratorów danych z obowiązku rejestracji określonego typu zbiorów. Dlatego tak ważne by podpisując z firmą zewnętrzną umowę na obsługę księgową, sklep internetowy oraz biuro księgowe obok umowy określającej zasady współpracy w zakresie prowadzenia ksiąg rachunkowych, zawarli ze sobą odrębną umowę, której przedmiotem będzie powierzenie przetwarzania danych osobowych. Poczta Polska Jeśli e-sklep przekaże dane osobowe Poczcie Polskiej w celu realizacji usług pocztowych, Poczta będzie przetwarzać je zgodnie z art. 23 ust 1 pkt 2 ustawy o ochronie danych osobowych na podstawie ustawy Prawo Pocztowe i jest ich administratorem. Art. 23. ust 1. Przetwarzanie danych jest dopuszczalne tylko wtedy, gdy: osoba, której dane dotyczą, wyrazi na to zgodę, chyba że chodzi o usunięcie dotyczących jej danych, zezwalają na to przepisy prawa, jest niezbędne osobie, której dane dotyczą, w celu wywiązania się z umowy, której jest stroną, lub na jej życzenie w celu podjęcia niezbędnych działań przed zawarciem umowy, jest niezbędne do wykonania określonych prawem zadań realizowanych dla dobra publicznego, jest niezbędne do wypełnienia usprawiedliwionych celów administratorów danych, o których mowa w art. 3 ust. 2, a przetwarzanie danych nie narusza praw i wolności osoby, której dane dotyczą. Jednak w przypadku realizacji usług niestanowiących usług pocztowych, przekazanie Poczcie Polskiej danych osobowych klientów podmiotów zewnętrznych wymagać będzie podpisania umowy powierzenia zgodnie z art. 31 ww. ustawy. Wówczas dopiero Poczta Polska stanie się procesorem, tj. podmiotem, któremu administrator danych osobowych powierzył przetwarzanie danych osobowych w celu i zakresie przewidzianym w umowie. 1. [Prawo Pocztowe] Tajemnica pocztowa obejmuje informacje przekazywane w przesyłkach, informacje dotyczące realizacji przekazów pocztowych, dane dotyczące podmiotów korzystających z usług pocztowych oraz dane dotyczące faktu i okoliczności świadczenia usług pocztowych lub korzystania z tych usług. 2. Do zachowania tajemnicy pocztowej są obowiązani: operator; osoby, które z racji wykonywanej działalności mają dostęp do tajemnicy pocztowej. Kurier Firmy kurierskie jako podmioty świadczące usługi pocztowe nie posiadają statusu administratora danych, jaki nadaje Poczcie Polskiej ustawa Prawo Pocztowe, toteż powierzając dane kurierowi staje się on procesorem, a zatem niezbędne jest podpisanie umowy powierzenia przetwarzania danych osobowych z takimi podmiotami, w przypadku korzystania z ich usług. Operator płatności Sklepy internetowe często korzystają z firm obsługujących płatności elektroniczne. Firmy te jak np. PayU nie wymagają podpisywania umów papierowych, wymagają jedynie zaakceptowania regulaminu (w nim zawarte są zasady powierzania danych). np. § 16 regulaminu PAYU: DANE OSOBOWE 3. W związku z zawarta Umową, Partner powierza PayU przetwarzanie danych osobowych osób, które są umocowane do dokonywania czynności w imieniu Partnera lub do wykonywania wszystkich praw i obowiązków Partnera. 5. Powierzenie PayU przez Partnera przetwarzania danych osobowych osób, o których mowa w § 16 ust. 3 Regulaminu, następuje na czas trwania Umowy, następuje w celu świadczenia przez PayU usług w ramach Umowy (w tym usług płatniczych) oraz obejmuje dane osobowe niezbędne do realizacji tego celu. W przypadku płatności elektronicznych, do powierzenia najczęściej nie dojdzie, gdyż korzystając z nich to Klient sam wprowadza swoje dane osobowe na stronie pośrednika płatności. Dropshipping Sklepy internetowe coraz częściej korzystają z modelu dropshippingu opierającego się na wysyłce kupionego w e-sklepie towaru bezpośrednio z hurtowni. Decydując się na takie rozwiązanie należy podpisać z hurtownią umowę o powierzeniu przetwarzania danych osobowych, która ureguluje kwestie związane z przekazaniem danych w celu realizacji zamówień i która to zawiera informacje o przekazaniu danych przez sklep – hurtowni oraz nakłada na przetwarzającego obowiązki związane z zapewnieniem odpowiednich środków gwarantujących bezpieczeństwo danych. To tylko przykładowe z możliwych przykładów powierzenia przetwarzania danych w e-sklepie. Do powierzenia może dojść również w innych przypadkach np. podczas korzystania z oprogramowania w chmurze tzw. SaaS (do fakturowania czy też system CRM) czy też chociażby w przypadku korzystania z usług obsługującej newsletter (np. FreshMail, MailChimp). Forma umowy powierzenia danych osobowych Umowa powierzenia przetwarzania danych osobowych powinna zostać zawarta na piśmie (ale jest to forma zastrzeżona dla celów dowodowych). Powinna ona określać przede wszystkim rodzaje operacji na danych osobowych i cel przetwarzania danych, a także prawa i obowiązki zarówno administratora danych, jak i procesora. Podsumowanie Korzystając z usług podmiotów zewnętrznych e-sklep powinien trzymać rękę na pulsie. W każdej z tych sytuacji bowiem może dojść do naruszenia bezpieczeństwa przetwarzania danych osobowych jego klientów. Wybierając sposób przekazania danych osobowych osobom trzecim, e-sklep powinien pamiętać o podstawowych różnicach pomiędzy udostępnieniem a powierzeniem przetwarzania danych i wszelkimi wynikającymi z tego konsekwencjami. W takich sytuacjach, będąc administratorem danych, e-sklep musi zawierać pisemne umowy o powierzeniu danych z podmiotami zewnętrznymi. Jest to szczególnie ważne z uwagi na fakt, iż jest on odpowiedzialny nie tylko za wypełnienie poszczególnych obowiązków wynikających z ustawy przez siebie samego, ale także przez podmiot, któremu te dane powierzył. 1) zostały przeszkolone przez Podmiot przetwarzający z tematyki ochrony danych osobowych; 2) posiadają indywidualne upoważnienia do przetwarzania danych, nadane przez PodmiotW dzisiejszych czasach znaczenie outsourcingu usług stale rośnie. Firmy najczęściej korzystają z usług informatycznych, kadrowych, księgowych i prawniczych. Taka forma współpracy często wiąże się z przekazaniem danych osobowych podmiotom zewnętrznym, stanowiącym formę powierzenia przetwarzania danych osobowych. Powierzenie przetwarzania danych osobowych Administrator danych może powierzyć przetwarzanie danych innemu podmiotowi w ramach zawartej umowy. Procesor zajmuje się przetwarzaniem danych jedynie w zakresie i celu określonym w umowie. Czy wiedzą Państwo co powinna zawierać taka umowa? Treść umowy Umowa powierzenia przetwarzania danych osobowych powinna określać: cel i zakres przetwarzania danych; dostępność powierzonych danych; informacje o danych przetwarzanych przez firmę zewnętrzną; zasady i formy kontroli oraz nadzoru nad przetwarzanymi danymi; ewentualną możliwość zlecenia zadań podwykonawcom; klauzulę, dotyczącą obowiązku dopuszczania do przetwarzania danych jedynie osób upoważnionych; zobowiązanie procesora do usunięcia powierzonych mu danych po zakończeniu czasu trwania umowy. W przypadku, gdy administrator zawarł umowę powierzenia, pozostaje on nadal osobą odpowiedzialną za przestrzeganie przepisów ustawy o ochronie danych osobowych. Fakt ten nie wyłącza jednak odpowiedzialności procesora za przetwarzanie danych niezgodnie z umową. Decyzja o podjęciu współpracy z firmą zewnętrzną powinna wiązać się ze starannym i dokładnym sprawdzeniem podmiotu, czy jest on w stanie zapewnić ochronę danych na jak najwyższym poziomie.usgYfA.
