Logowanie do Panelu Klienta Aby zalogować się do Panelu Klienta, przejdź na stronę (1), wpisz dane logowania (2), czyli login do Panelu Klienta i hasło, a następnie kliknij przycisk ZALOGUJ SIĘ (3). Po zweryfikowaniu poprawności loginu i hasła system przeniesie Cię do drugiego etapu procedury uwierzytelnienia, w którym otrzymasz wiadomość e-mail lub SMS z kodem jednorazowym. Ten kod należy wpisać w specjalnym oknie weryfikacyjnym (4), a następnie kliknąć przycisk ZALOGUJ SIĘ (5). Po udanym logowaniu do Panelu Klienta otrzymasz od nas wiadomość e-mail z informacją potwierdzającą to logowanie. Umowa Powierzenia Przetwarzania Danych Osobowych Każdy administrator danych, który powierza swoje dane osobowe, powinien, zgodnie z wymogami RODO, zawrzeć umowę Powierzenia Przetwarzania Danych Osobowych. Aby to zrobić, przejdź w Panelu Klienta do zakładki Moje dane → umowa powierzenia przetwarzania danych osobowych (1) i kliknij przycisk Generuj umowę (2). Wyświetlony zostanie generator umów podzielony na kilka sekcji: DANE IDENTYFIKACYJNE UMOWY – zawiera dane, na jakie zawarta zostanie umowa. Są one (1) pobierane automatycznie z zakładki Moje dane → zmiana danych i dostępnej tam karty DANE IDENTYFIKACYJNE. Przed zawarciem umowy upewnij się, że dane te są poprawne, a w razie konieczności, skoryguj je (Sprawdź: Jak zmienić dane do faktury?). Wyjątek, w pobieranych danych, stanowi imię i nazwisko w polu reprezentowany przez (2). Te dane, pobierane są z zakładki Moje dane → zmiana danych i dostępnej tam karty OSOBA KONTAKTOWA. Przed wygenerowaniem umowy upewnij się, że imię i nazwisko tej osoby, podane w Panelu, zgodne jest z pozostałymi danymi, na jakie Panel został zarejestrowany, a w przypadku firmy, że jest to osoba upoważniona do jej reprezentowania. W razie konieczności, zmień dane na właściwe (Sprawdź: Moje dane). Przykładowo, jeśli osobą kontaktową w Panelu jest pracownik firmy, który zajmuje się informatyczną obsługą posiadanych w usług, przed wygenerowaniem umowy, należy tymczasowo zmienić jego imię i nazwisko w Panelu, na dane właściciela lub współwłaściciela firmy, którzy upoważnieni są do jej reprezentowania zgodnie z dokumentami rejestrowymi. Po wygenerowaniu umowy i jej akceptacji przez możliwa będzie ponowna zmiana danych osoby kontaktowej, na poprzednie. DANE POWIERZANE DO PRZETWARZANIA – zawiera zakres danych, które zostaną powierzone i będą w ramach umowy przetwarzane. Zaznacz kategorie danych (1), które chcesz powierzyć, a jeśli nie są one widoczne na liście, kliknij odnośnik Dodaj inne dane (2) i wpisz właściwy rodzaj danych (3). Jeśli chcesz dodać więcej kategorii, każdą wpisz w nowym wierszu, używając odnośnika dodawania. DANE SZCZEGÓLNYCH KATEGORII – zawiera możliwość wybrania, czy powierzyć przetwarzanie danych szczególnych kategorii, a jeśli tak, to w jakim zakresie. Jeśli nie chcesz powierzać takich danych, zaznacz opcję Administrator Danych oświadcza, że nie powierza (1). Jeśli jednak chcesz powierzyć takie dane, zaznacz checkbox przy drugiej opcji i wybierz kategorie powierzanych danych szczególnych (2). ADRES KONTAKTOWY KLIENTA (POCZTA E-MAIL) – zawiera adres e-mail, na który przesyłana będzie korespondencja związana z zawarciem, wykonywaniem lub zmianą Umowy. Adres ten (1) pobierany jest z zakładki Moje dane → zmiana danych i dostępnej tam karty OSOBA KONTAKTOWA. Jest to adres wpisany jako pierwszy. Przed zawarciem umowy, sprawdź, czy adres ten jest prawidłowy, a w razie konieczności, dokonaj jego zmiany (Sprawdź: Jak zmienić kontaktowy adres e-mail w Panelu Klienta?). Po uzupełnieniu formularza i weryfikacji wprowadzanych w nim danych, kliknij poniżej przycisk WYGENERUJ PODGLĄD UMOWY (2). Zapoznaj się w wygenerowanym podglądem umowy i ponownie zweryfikuj zawarte w niej dane. Jeśli chcesz je zmienić, kliknij na samym dole przycisk EDYCJA DANYCH (1). Jeśli wszystkie dane i treść umowy są zgodne, kliknij przycisk AKCEPTUJĘ WARUNKI UMOWY (2). Otrzymasz komunikat potwierdzający złożenie wniosku. Zostanie on automatycznie przekazany do weryfikacji przez Po kliknięciu przycisku LISTA UMÓW, wyświetlony zostanie ich wykaz. Aby sprawdzić w dowolnej chwili status złożonego wniosku, przejdź do zakładki Moje dane → umowa powierzenia przetwarzania danych osobowych (1). Zobaczysz tutaj numer umowy (2), jej status (3), a jeśli zostanie już ona zawarta, to sprawdzisz daty rozpoczęcia i zakończenia jej obowiązywania (4). Poniżej numeru umowy znajduje się również odnośnik Szczegóły (5), dzięki któremu sprawdzisz dodatkowe informacje jej dotyczące. Po kliknięciu odnośnika Szczegóły, wyświetlone zostaną dodatkowe informacje jej dotyczące. W sekcji UMOWA (1), znajdziesz numer umowy, daty rozpoczęcia i zakończenia jej obowiązywania oraz status. W sekcji DANE POWIERZANE DO PRZETWARZANIA (2) sprawdzisz, jaki zakres danych do przetwarzania został wybrany. W sekcji DANE SZCZEGÓLNYCH KATEGORII (3) zweryfikujesz, czy powierzone zostały dane szczególne, a jeśli tak, zobaczysz jakich kategorii. Jeśli chcesz anulować złożony wniosek, kliknij przycisk ANULUJ (4). Status umowy, po potwierdzeniu anulowania wniosku, zostanie zmieniony na odrzucona. Jeśli chcesz pobrać aktywną umowę, przejdź do zakładki Moje dane → umowa powierzenia przetwarzania danych osobowych (1), a następnie kliknij odnośnik Pobierz (2), widoczny poniżej numeru aktywnej umowy i zapisz plik z umową. Możesz również kliknąć odnośnik Szczegóły (3), a następnie kliknąć odnośnik Pobierz, który widoczny będzie pod numerem umowy na stronie zawierającej jej szczegóły. Jeśli na zawartej już umowie chcesz zmienić zakres przetwarzanych danych, podmiot będący Administratorem danych lub dane Administratora, wygeneruj wniosek o nową umowę. Po jej obustronnym zaakceptowaniu, nowa umowa zastąpi dotychczasową. Aby wypowiedzieć umowę, przejdź do zakładki Moje dane → umowa powierzenia przetwarzania danych osobowych, a następnie kliknij odnośnik Szczegóły, znajdujący się poniżej numeru aktywnej umowy. Na stronie szczegółów umowy, kliknij przycisk WYPOWIEDZENIE, widoczny na samym dole strony. Jeśli zgłosisz wypowiedzenie umowy, pamiętaj o obowiązku zaprzestania przetwarzania danych w terminie 30 dni lub o konieczności zawarcia nowej umowy Powierzenia Przetwarzania Danych Osobowych. Powiadomienie o upływie terminu zakończenia umowy zostanie przesłane na adresy e-mail osoby kontaktowej, zdefiniowane w Panelu. Jeśli Twój wniosek o zawarcie umowy PPDO został odrzucony, skontaktuj się z Działem Obsługi Klienta wprowadź wymagane zmiany, a następnie ponownie wygeneruj i zaakceptuj podgląd umowy.

RODO | 16 marca 2020 Wiele osób, interesując się tematem ochrony danych osobowych, spotkało się z informacją o obowiązkach związanych z zawarciem umowy powierzenia przetwarzania danych osobowych. Czym jest taka umowa i kto powinien ją podpisać, aby nie łamać przepisów RODO?Co to za umowa?Mówiąc najprościej, przedmiotem omawianej umowy jest uregulowanie kwestii powierzenia innej osobie przetwarzania danych osobowych, których administratorem jesteśmy my, a więc takich, które nasi klienci lub inne osoby nam przekazały. Zatem jeśli mamy potrzebę przekazania lub udostępnienia takich danych innej firmie lub osobie z którą współpracujemy należy podpisać z nimi umowę o powierzeniu danych osobowych. Obowiązek podpisania umowy nakłada art. 28 ust. 3 RODO, według którego:Przetwarzanie przez podmiot przetwarzający odbywa się na podstawie umowy lub innego instrumentu prawnego, które podlegają prawu Unii lub prawu państwa członkowskiego i wiążą podmiot przetwarzający i administratora, określają przedmiot i czas trwania przetwarzania, charakter i cel przetwarzania, rodzaj danych osobowych oraz kategorie osób, których dane dotyczą, obowiązki i prawa administratora. (…)Z kim musimy podpisać taką umowę?Umowę o powierzeniu przetwarzania danych jesteśmy zobligowani podpisać z każdym podmiotem, któremu przekazujemy dostęp do zbioru danych osobowych. Obecnie ciężko wyobrazić sobie funkcjonowanie firmy bez współpracy z innymi podmiotami, które będą miały dostęp do przetwarzanych danych. Przykładowo taka sytuacja będzie mieć miejsce, jeśli zlecamy firmie zewnętrznej obsługę księgową lub wykupujemy hosting dla naszej strony internetowej. Inne przykłady to obsługa newslettera lub fanpage dla naszych klientów przez zewnętrzną firmę marketingową, wysyłka mailingu, przekazanie komputera do serwisu itp. W każdym z podanych przypadków przekazujemy dane osobowe naszych klientów czy użytkowników zewnętrznej firmie, która ma potencjalną możliwość dostępu do tych danych. Jak podpisać taką umowę?Doradza się, aby umowę podpisać pisemnie albo poprzez podpis elektroniczny, ewentualnie w formie akceptacji regulaminu, którego częścią będzie właśnie taka umowa (jest to praktyka np. firm hostingowych). Czy w ogóle warto podpisywać umowę o powierzeniu danych?Po pierwsze, obowiązek ten nakłada na nas Rozporządzenie o Ochronie Danych Osobowych RODO. Po drugie, prawidłowo skonstruowana umowa ochroni nas w sytuacji, gdyby z winy zewnętrznego współpracownika dane wyciekły lub zostały skradzione. Co powinna zawierać taka umowa?Niezbędne elementy takiej umowy to:oznaczenie stron,rodzaj danych osobowych oraz kategorie osób, których dane dotyczą,przedmiot i czas trwania przetwarzania,charakter i cel przetwarzania,obowiązki i prawa administratora,na jaki czas zawieramy umowę,data sporządzenia, by zawrzeć w treści umowy klauzule o tym, że podmiot przetwarzający zobowiązuje się przetwarzać dane wyłącznie w granicach objętych w umowie, posiada odpowiednie środki, by dane te zabezpieczyć oraz, że bierze odpowiedzialność za zawinione podpisania umowy powierzenia przetwarzania danych osobowych należy dochować nie tylko ze względu na taki obowiązek nałożony przez przepisy RODO, ale też ze względu na ewentualne ryzyko wycieku danych z winy podmiotu, któremu powierzamy przetwarzanie. Brak umowy z pewnością będzie okolicznością obciążającą administratora danych osobowych. Posiadanie umowy może natomiast w sposób zrównoważony określić zasady odpowiedzialności w takich sytuacjach.

W związku z koniecznością przeprowadzenia szkolenia BHP dla naszych pracowników planujemy skorzystać z usług firmy szkoleniowej. Zastanawiamy się jednak, jak prawidłowo określić rolę naszą i tej firmy w procesie przetwarzania danych osobowych. Czy pracodawca w każdym przypadku, gdy kieruje pracownika na szkolenie (BHP, podnoszące kwalifikacje), powinien zawrzeć z firmą szkoleniową umowę powierzenia, o której mowa w art. 28 ust. 3 RODO? W celu ustalenia, czy w danej sytuacji mamy do czynienia z odrębnym administratorem, czy jednak istnieje konieczność zawarcia umowy powierzenia, należy przede wszystkim dokonać analizy okoliczności faktycznych z uwzględnieniem zadań określonych podmiotów wynikających z przepisów prawa oraz zawartej pomiędzy nimi umowy. Trzeba brać pod uwagę, jak w szczegółach realizowane są obowiązki przeprowadzenia szkolenia w konkretnym przypadku i jak pracodawca i firma szkoleniowa uzgodniły swoje role oraz zadania w zakresie przetwarzania danych, a także na ile samodzielnie i w jakich celach podmioty te przetwarzają dane w celach związanych ze szkoleniem. W wielu przypadkach, gdy następuje przekazanie realizacji zadania innemu podmiotowi, który realizuje je (także w zakresie przetwarzania danych) w sposób niezależny, samodzielnie decydując o sposobach i celach przetwarzania, a zadania i obowiązki tego podmiotu są dodatkowo dość szczegółowo określone w przepisach prawa, istnieją podstawy do uznania ich za odrębnych administratorów. Powierzenie przetwarzania powinno mieć natomiast miejsce wówczas, jeśli zewnętrzny podmiot przetwarza dane w imieniu administratora, w celach i w sposób przez niego określony. W niektórych przypadkach warto zwrócić uwagę na rozwiązanie określone w art. 26 RODO, tj. instytucję współadministrowania. Zgodnie z art. 94 pkt 4 ustawy Kodeks pracy, pracodawca jest obowiązany w szczególności zapewniać bezpieczne i higieniczne warunki pracy oraz prowadzić systematyczne szkolenie pracowników w zakresie bezpieczeństwa i higieny pracy. Natomiast zgodnie z brzmieniem § 4 ust. 1 rozporządzenia Ministra Gospodarki i Pracy z dnia 27 lipca 2004 r. w sprawie szkolenia w dziedzinie bezpieczeństwa i higieny pracy, szkolenie może być organizowane i prowadzone przez pracodawców lub, na ich zlecenie, przez jednostki organizacyjne prowadzące działalność szkoleniową w dziedzinie bezpieczeństwa i higieny pracy. Pracodawca może zatem realizować obowiązek nałożony na niego w art. 94 pkt 4 Kodeksu pracy samodzielnie lub za pośrednictwem firmy zewnętrznej (korzystając z jej usług). Firma zewnętrzna w procesie przetwarzania może występować w roli organizatora szkolenia, o którym mowa w § 4 pkt 1 rozporządzenia Ministra Gospodarki i Pracy z dnia 27 lipca 2004 r. w sprawie szkolenia w dziedzinie bezpieczeństwa i higieny pracy. W § 5 pkt. 1-6 tego rozporządzenia zostały określone obowiązki organizatora szkolenia. Należy do nich zapewnienie: programu poszczególnych rodzajów szkolenia opracowanego dla określonych grup stanowisk; programu szkolenia instruktorów w zakresie metod prowadzenia instruktażu - w przypadku prowadzenia takiego szkolenia; wykładowców i instruktorów posiadających zasób wiedzy, doświadczenie zawodowe i przygotowanie dydaktyczne zapewniające właściwą realizację programów szkolenia; odpowiednich warunków lokalowych do prowadzenia działalności szkoleniowej; wyposażenie dydaktyczne niezbędne do właściwej realizacji programów szkolenia; właściwy przebieg szkolenia oraz prowadzenia dokumentacji w postaci programów szkolenia, dzienników zajęć, protokołów przebiegu egzaminów i rejestru wydanych zaświadczeń. Jednostka organizacyjna prowadząca działalność szkoleniową w dziedzinie bezpieczeństwa i higieny pracy, realizując nałożone na nią w ww. rozporządzeniu obowiązki, przetwarza dane pracownika w związku ze sporządzaniem protokołów z przebiegu egzaminów i rejestru wydanych zaświadczeń oraz w zakresie nawiązania współpracy (zawarcia stosownych umów) z wykładowcami i instruktorami posiadającymi zasób wiedzy, doświadczenie zawodowe i przygotowanie dydaktyczne zapewniające właściwą realizację programów szkolenia (§ 5 pkt. 3 i 6 ww. rozporządzenia Ministra Gospodarki i Pracy). W tym zakresie zasadnie można uznać, że przetwarza dane jako administrator w rozumieniu przepisów o ochronie danych osobowych. Odnosząc się do zagadnienia, kto jest administratorem w przypadku „szkoleń podnoszących kwalifikacje pracowników”, wskazuję, że również w tym wypadku należy dokonać analizy, kto podejmuje decyzje w zakresie kluczowych kwestii dla danego procesu przetwarzania. Na przykład, rola pracodawcy, który kieruje swoich pracowników na szkolenie, może ograniczać się tylko do rozdysponowania formularzy przygotowanych przez firmę, która oferuje szkolenie, a wszystkie kluczowe decyzje co do procesu przetwarzania danych należą do firmy szkoleniowej. Warto nadmienić, że pomocą w dokonywaniu oceny ról poszczególnych podmiotów są Wytyczne Europejskiej Rady Ochrony Danych w sprawie pojęć administratora i podmiotu przetwarzającego na gruncie RODO ( Warto zwrócić uwagę na schemat zamieszczony w załączniku nr 1 (Annex 1, str. 46), zawierający pytania ułatwiające dokonywanie tej oceny. 2020-10-15 Podmiot udostępniający: Departament Orzecznictwa i Legislacji Wytworzył informację: Monika Młotkiewicz 2020-10-15 Wprowadził‚ informację: Edyta Madziar 2020-10-15 11:10:28 Ostatnio modyfikował: Edyta Madziar 2020-10-15 12:26:10

Opis Produkt obejmuje indywidualne przygotowanie przez prawnika dla sprzedawcy internetowego umowy powierzenia przetwarzania danych osobowych zgodnych z RODO (ogólnym rozporządzeniem o ochronie danych). Produkt skierowany jest do sprzedawców internetowych chcących dostosować swój sklep internetowy do wymogów stawianych przez RODO. W ramach zakupionego produktu otrzymasz usługę przygotowania dopasowanej umowy powierzenia przetwarzania danych osobowych zgodnej z rozporządzeniem RODO. Usługa jest standardowo realizowana w ciągu 5-9 dni roboczych od dnia otrzymania płatności. Produkt jest skierowany do standardowych sklepów internetowych, które mają siedzibę na terytorium Polski, nie przetwarzają danych wrażliwych oraz nie przekazują danych poza UE. Jeżeli zależy Ci na szybszej realizacji usługi lub innym zakresie, to skontaktuj się z nami i dostosujemy usługę do Twoich potrzeb. Nasi prawnicy są do Twojej dyspozycji! Zadzwoń lub napisz – chętnie pomożemy: 61 847 55 18 kontakt@ Rozporządzenie RODO, to dokładnie rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) Rozporządzenie RODO wskazuje szereg wymaganych informacji, które należy udostępnić osobie, której dane dotyczą. RODO ustala także zasady przetwarzania danych osobowych, którymi musimy się kierować przy ich przetwarzaniu, w tym wymogi dotyczące uzyskiwanej zgody na przetwarzanie danych osobowych. Przetwarzanie przez podmiot przetwarzający odbywa się na podstawie umowy lub innego instrumentu prawnego, które podlegają prawu Unii lub prawu państwa członkowskiego i wiążą podmiot przetwarzający i administratora, określają przedmiot i czas trwania przetwarzania, charakter i cel przetwarzania, rodzaj danych osobowych oraz kategorie osób, których dane dotyczą, obowiązki i prawa administratora. Ta umowa lub inny instrument prawny stanowią w szczególności, że podmiot przetwarzający: przetwarza dane osobowe wyłącznie na udokumentowane polecenie administratora – co dotyczy też przekazywania danych osobowych do państwa trzeciego lub organizacji międzynarodowej – chyba że obowiązek taki nakłada na niego prawo Unii lub prawo państwa członkowskiego, któremu podlega podmiot przetwarzający; w takim przypadku przed rozpoczęciem przetwarzania podmiot przetwarzający informuje administratora o tym obowiązku prawnym, o ile prawo to nie zabrania udzielania takiej informacji z uwagi na ważny interes publiczny; zapewnia, by osoby upoważnione do przetwarzania danych osobowych zobowiązały się do zachowania tajemnicy lub by podlegały odpowiedniemu ustawowemu obowiązkowi zachowania tajemnicy; podejmuje wszelkie środki wymagane na mocy art. 32; przestrzega warunków korzystania z usług innego podmiotu przetwarzającego, o których mowa w ust. 2 i 4; biorąc pod uwagę charakter przetwarzania, w miarę możliwości pomaga administratorowi poprzez odpowiednie środki techniczne i organizacyjne wywiązać się z obowiązku odpowiadania na żądania osoby, której dane dotyczą, w zakresie wykonywania jej praw określonych w rozdziale III; uwzględniając charakter przetwarzania oraz dostępne mu informacje, pomaga administratorowi wywiązać się z obowiązków określonych w art. 32–36; po zakończeniu świadczenia usług związanych z przetwarzaniem zależnie od decyzji administratora usuwa lub zwraca mu wszelkie dane osobowe oraz usuwa wszelkie ich istniejące kopie, chyba że prawo Unii lub prawo państwa członkowskiego nakazują przechowywanie danych osobowych; udostępnia administratorowi wszelkie informacje niezbędne do wykazania spełnienia obowiązków określonych w niniejszym artykule oraz umożliwia administratorowi lub audytorowi upoważnionemu przez administratora przeprowadzanie audytów, w tym inspekcji, i przyczynia się do nich. Chcesz się dowiedzieć więcej o samym RODO w sklepie internetowym? Zapraszamy do lektury wpisu na naszym blogu: Polityka prywatności sklepu internetowego zgodna z RODO – zmiany ważne dla Sprzedawców Internetowych Dlaczego warto skorzystać z naszych usług? Nasi prawnicy ciągle się doskonalą, a kontakt z blisko 4000 Sprzedawców internetowych pozwala im poznać najróżniejsze problemy prawne związane z prowadzeniem sklepu internetowego. Naszym celem jest znalezienie jak najlepszego rozwiązania dla naszych Klientów. Kim jesteśmy Jesteśmy zespołem prawników specjalizujących się w zagadnieniach prawa e-commerce, doradzając i pomagając w prowadzeniu sklepu internetowego zgodnie z prawem. Zajmujemy się również przygotowywaniem umów dla przedsiębiorców z branży e-handlu i IT. Przez 7 lat działalności w obsłudze sklepów internetowych, pomogliśmy już ponad 4 000 klientom zabezpieczyć swoje interesy pod kątem prawnym. Sprawdzone sklepy mogą liczyć na nadanie certyfikatu „Sklep Prokonsumencki”, którym wyróżniamy rzetelnych i profesjonalnych sprzedawców internetowych. Przed rozpoczęciem prac zawsze staramy się dobrze poznać potrzeby naszego Klienta, a w razie potrzeby doradzamy konieczność wprowadzenia zmian lub modyfikacji do przyjętego modelu prowadzenia sklepu, czy też serwisu. Naszą dewizą jest dbałość o spokój i bezpieczeństwo naszych Klientów tak, aby mogli się oni skupić na prowadzeniu swojego biznesu. Poznaj opinie sprzedawców internetowych o nas Stwierdzamy, że wybór serwisu był jak najbardziej trafny i przyczynił się do tego, że w sposób profesjonalny dbamy o prawa Konsumenta, co wpływa również na wizerunek naszej firmy. Rekomendujemy firmę Netlibre Sp. z jako solidnego partnera. Wojciech Lipka, Sklep ArtColor W imieniu SmartMedia Sp. z mam przyjemność polecić usługi firmy Netlibre Sp. z z siedzibą w Poznaniu właściciela marki „ (…) Zlecenie przygotowania regulaminu i polityki prywatności dla nowo otwieranego sklepu internetowego powierzone ww. firmie, zostało wykonane terminowo i profesjonalnie. Firmę możemy polecić jako profesjonalnego i solidnego wykonawcę. Bartosz Sobolewski, Sklep Polecam serwis jako profesjonalnego i rzetelnego partnera biznesowego. Nasza firma współpracowała z serwisem przy opracowywaniu regulaminu dla naszego sklepu internetowego. Współpraca przebiegła bez komplikacji i z zachowaniem najwyższego profesjonalizmowi. Dziękuję i polecam firmę jako godnego zaufania partnera biznesowego. Roman Godek, Sklep Chantal Nasi eksperci są regularnie cytowani w mediach

Biura rachunkowe często nie zdają sobie sprawy z konieczności ochrony danych osobowych pozyskanych od swoich klientów. Przepisy o ochronie danych osobowych nakładają bowiem wiele obowiązków. Ponadto nakładają duże sankcje pieniężne dla podmiotów niestosujących się do ochrony danych osobowych i nierespektujących wprowadzonych regulacji. Prowadząc biuro rachunkowe, warto przygotować się do właściwej ochrony danych osobowych. Czy każdemu potrzebna jest umowa powierzenia przetwarzania danych osobowych w biurze rachunkowym? Dane osobowe przetwarzane w biurze rachunkowym Dane osobowe przetwarzane w biurze rachunkowym mają źródło w powierzonych przez klientów dokumentach pracowniczych, umowach, fakturach czy wyciągach bankowych. Do kategorii przetwarzanych przez biura rachunkowe danych osobowych i zbiorów danych zawierających informacje gospodarcze, a nawet tajemnicę handlową mogącą zawierać klauzulę poufności, w szczególności należą dane o wielkości transakcji klienta, dane jego kontrahentów, dane jego pracowników czy jego samego. Dane osobowe umożliwiające zidentyfikowanie osoby, to dane takie jak numery PESEL czy dane z kopii dowodów osobistych. Niewłaściwe zabezpieczenie danych osobowych przez udostępnianie ich osobom postronnym czy przetwarzanie danych przez pracowników bez oparcia o właściwą politykę bezpieczeństwa informacji naraża biura rachunkowe na dużą odpowiedzialność materialną. Biuro rachunkowe jest zobowiązane zabezpieczyć pozyskane dane. Przetwarzanie ich musi odbywać się zgodnie z umową oraz przy praktykowaniu nawyków takich jak aktualizowanie wewnętrznych regulacji (regulaminów) w tym zakresie, inwentaryzację sprzętu i oprogramowania, okresowe analizy, minimalizowanie ryzyka dostępu do danych osób niepowołanych, dbanie o posiadanie stosownych uprawnień przez osoby przetwarzające dane, szkolenia, monitorowanie dostępu, utworzenie zasad gwarantujących bezpieczną pracę, zgłaszanie incydentów oraz przeprowadzanie okresowych audytów. Należy pamiętać, że klient przekazujący dane osobowe dla biura rachunkowego pozostaje administratorem tych danych. To on jest zobowiązany do zachowania staranności w celu ochrony danych swoich kontrahentów. Biuro rachunkowe ma za to zadanie dokładać wszelkiej staranności, żeby przetwarzanie danych było zgodne z przepisami prawa. Właściwym zabezpieczeniem obu stron - klienta i biura rachunkowego, określającym ich prawa i obowiązki w sprawie ochrony danych osobowych, jest umowa powierzenia przetwarzania danych osobowych. Umowa powierzenia przetwarzania danych osobowych w biurze rachunkowym Biuro rachunkowe przetwarza dane na podstawie zawartej z klientem umowy powierzenia przetwarzania danych osobowych. Umowa powierzenia może być załącznikiem do obowiązującej w biurze rachunkowym polityki bezpieczeństwa oraz występować obok właściwej umowy o świadczenie usług księgowych. Podpisywana jest więc między biurem rachunkowym a klientem, który chce skorzystać z usług biura rachunkowego, powierzając mu wszystkie dokumenty potrzebne do prowadzenia jego spraw, a które zawierają zwykłe i wrażliwe dane osobowe. Oprócz elementów oczywistych w umowie, takich jak określenie miejsca i daty jej zawarcia, wskazania stron jako zleceniodawcy-klienta i wykonawcy-biura rachunkowego, podpisów - należy zadbać o właściwie sformułowane postanowień umowy ze względu na jej przedmiot - ochronę danych osobowych. Przedmiot umowy powierzenia przetwarzania danych osobowych w biurze rachunkowym Ważnym elementem umowy jest oświadczenie klienta - osoby prowadzącej działalność gospodarczą (przedsiębiorcy) - w tym przypadku zleceniodawcy dla biura rachunkowego o fakcie, że jest on administratorem danych osobowych na podstawie ustawy. To on deklaruje, że przetwarza dane zgodnie z obowiązującymi przepisami. Potwierdza on, że cel umowy jest bezpośrednio związany z jego działalnością gospodarczą lub zawodową. Na podstawie tej umowy określa, że powierza zgromadzone dane osobowe wykonawcy, którym jest biuro rachunkowe, które zobowiązuje się do przetwarzania powierzonych mu danych w celach wyłącznie określonych w tej umowie. Jest to przedmiot, esencja umowy powierzenia przetwarzania danych osobowych. Zakres umowy i cel powierzenia przetwarzania danych osobowych w biurze rachunkowym Jak zostało wspomniane powyżej, przedmiotem umowy jest zgodne z obowiązującymi przepisami prawa korzystanie z powierzonych przez klienta danych osobowych. Celem powierzenia danych jest prawidłowe świadczenie usług przez biuro rachunkowe. Udostępnienie przez klienta danych i przekazanie ich często odbywa się za pośrednictwem systemu informatycznego. Należy pamiętać o uwzględnieniu tego sposobu w umowie. Należy też wskazać, że wtedy biuro rachunkowe może przechowywać powierzone dane. Oświadczenie biura rachunkowego o niekorzystaniu z powierzonych danych w innych celach niż umowne to kolejna ważne postanowienie umowy. Klient może określić, że powierzenie danych osobowych następuje z wyłączeniem pewnych danych. Prawa i obowiązki stron umowy powierzenia przetwarzania danych osobowych w biurze rachunkowym Obie strony zobowiązują się w umowie do przestrzegania przepisów o ochronie danych osobowych i przepisów aktów wykonawczych do tej ustawy. Biuro rachunkowe zobowiązuje się stosować środki techniczne i organizacyjne, które mają zapewnić ochronę przetwarzania danych powierzonych przez klienta. Najważniejszym aspektem jest nieudostępnianie danych osobom nieupoważnionym i niwelowanie zagrożenia, że ktokolwiek przejmie dane, będąc nieuprawnionym. Istotna jest również ochrona przed uszkodzeniem lub zniszczeniem danych. Możliwe jest wskazanie w umowie, że biuro rachunkowe może powierzyć przetwarzanie powierzonych danych innym podmiotom, na co klient wyraża zgodę. Biuro rachunkowe musi ponadto zadbać, by wybrany przez siebie dostawca usług informatycznych był renomowany, co ma zagwarantować maksymalny stopień ochrony danych osobowych. Podmioty odpowiedzialne za przetwarzanie danych muszą być obecne w biurze rachunkowym i udostępniać klientowi dane na jego wniosek. W przypadku zmiany kompetentnych do tego podmiotów biuro rachunkowe jest zobowiązane poinformować klienta o tym fakcie. Podpowierzanie danych można przekazać tylko podmiotom gwarantującym należyte wypełnianie obowiązków, co należy zawrzeć w umowie. Okres obowiązywania umowy o powierzenie danych i jej rozwiązanie Datą zawarcia umowy jest dzień podpisania umowy przez biuro rachunkowym z klientem. Określony czas, wskazujący datę od - do, będzie okresem świadczenia usług księgowych. Od chwili zawarcia umowy do czasu, na który została zawarta obowiązują jej postanowienia. Biuro rachunkowe musi przechowywać dane osobowe przez wskazany w umowie okres, nawet po rozwiązaniu umowy. Rozwiązanie umowy może nastąpić na podstawie przewidzianych przesłanek lub jeśli umowa świadczenia usług na to zezwala, to w każdym czasie. Wówczas wszystkie powierzone dane powinny zostać zwrócone. Odpowiedzialność stron za zobowiązania umowy Biuro rachunkowe jest odpowiedzialne za powierzone dane, ale w dalszym ciągu ich administratorem pozostaje klient. Biuro nie może dopuścić do udostępnienia danych osobom nieupoważnionym, przejęcia danych przez osobę nieuprawnioną czy do uszkodzenia i zniszczenia danych. Dodatkowe informacje jako postanowienia końcowe umowy powierzenia przetwarzania danych osobowych w biurze rachunkowym Warto zaznaczyć, że w sprawach spoza postanowień umownych zastosowanie mają przepisy o ochronie danych osobowych, regulaminy świadczenia usług w danym biurze rachunkowym oraz przepisy Kodeksu cywilnego. W końcowych postanowieniach można zawrzeć umowę prorogacyjną, czyli określenie konkretnego sądu (należy go wskazać), który będzie właściwy do rozstrzygnięcia ewentualnego sporu. Można zaznaczyć również możliwość wprowadzania zmian do umowy, ale należy podać, jaką formę musi przyjąć taka zmiana - najczęściej w umowach wskazuje się, aby wszelkie zmiany były wprowadzane w formie pisemnej pod rygorem nieważności.

Autor Justyna Kocur-Czarny Praktycznie każdy z nas korzysta z rozwiązań czy usług innych podmiotów. Usługi te są zarówno płatne, jak i nieodpłatne. Zakres wykorzystywanych aplikacji, zarówno w życiu prywatnym, jak i publicznym, jest bardzo szeroki. Większość firm posiada strony internetowe, korzysta z usług hostingu, utrzymaniu infrastruktury. Oprócz tego, wiele podmiotów korzysta z usług biur rachunkowych, usług doradczych czy marketingowych. Większość z nas chętnie też sięga po darmowe rozwiązania np. firmy Google. Bardzo często w trakcie współpracy z takimi podmiotami czy korzystania z ich narzędzi dochodzi do przekazania danych osobowych osób trzecich (np. naszych pracowników, klientów czy subskrybentów newslettera), albowiem dane osobowe są nierozerwalnie związane z naszą codziennością. Kiedy zawrzeć umowę powierzenia przetwarzania danych osobowych? W sytuacji korzystania z usług podmiotów trzecich, w trakcie których dochodzi do przetwarzania danych osobowych administrator, który chce skorzystać z usług takiego podwykonawcy powinien wraz podpisaniem umowy głównej, podpisać umowę powierzenia przetwarzania danych osobowych. Oczywiście postanowienia odnoszące się do ochrony danych mogą zostać ujęte w samej umowie głównej. Co więcej, należy pamiętać, że regulamin to także umowa. Odnoszę wrażenie, że wiele osób korzystających, w szczególności z bezpłatnych rozwiązań akceptuje regulaminy podmiotów, z których usług/aplikacji/narzędzi chce skorzystać. Czy jednak czyta regulaminy albo warunki świadczenia usług? Myślę, że znajdą się tacy, którzy niestety nie czytają. Dlaczego jest to takie ważne? Jeżeli Ty jako administrator danych osobowych korzystasz z usług podmiotów trzecich, to musisz spełnić obowiązki informacyjne wobec osoby, których dane osobowe przetwarzasz. Inaczej rzecz ujmując, poinformować osobę, że oprócz Ciebie, ktoś jeszcze będzie miał styczność z jej danymi osobowymi (zob. art. 13 RODO). Oprócz tego, jako administrator danych osobowych przed skorzystaniem z określonych usług, powinieneś dokonać odpowiedniego wyboru swojego podwykonawcy. Kontrahent powinien spełniać wymagania ustalone przepisami RODO. Ciężar odpowiedzialności za dokonanie odpowiedniego wyboru podmiotu przetwarzającego spoczywa na administratorze (art. 28 ust. 1 RODO). Wybór dostawcy usług Zdarza się także, zwłaszcza gdy korzystamy z usług „giganta”, że usługodawca uzależnia możliwość skorzystania z bezpłatnego rozwiązania pod warunkiem umieszczenia odpowiednich postanowień w swojej klauzuli informacyjnej. Co więcej, uznaje się, że nawet brak równości stron w relacji pomiędzy małym administratorem a dużym usługodawcą, który będzie pełnił rolę podmiotu przetwarzającego, nie będzie uznawane za wystarczający powód (usprawiedliwienie) za wybór kontrahenta, który nie spełnia wymagań RODO. Co ważne administrator decydując się na skorzystanie z podmiotu zewnętrznego nadal decyduje o celu i sposobie przetwarzania danych osobowych, zaś wybrany przez niego podmiot przetwarzający jest uprawniony wyłącznie do dokonania powierzonych czynności, z którymi wiąże się także przetwarzanie danych osobowych w sposób i celu określonym przez administratora. (fragment motywu nr 81 RODO) Administrator powinien, powierzając podmiotowi przetwarzającemu czynności przetwarzania, korzystać z usług wyłącznie podmiotów przetwarzających, które zapewniają wystarczające gwarancje – w szczególności, jeżeli chodzi o wiedzę fachową, wiarygodność i zasoby – wdrożenia środków technicznych i organizacyjnych odpowiadających wymogom RODO, w tym wymogom bezpieczeństwa przetwarzania. Podstawy powierzenia danych osobowych RODO dopuszcza dwie alternatywne podstawy powierzenia przetwarzania danych osobowych. Jedną z nich jest umowa. Stronami umowy są administrator i podmiot przetwarzający (podmiot działający na zlecenie administratora). W praktyce umowa ta nazywana jest umową powierzenia danych osobowych czy też umową o powierzeniu przetwarzania danych osobowych. Są to najczęściej stosowane nazwy tej umowy, choć można się spotkać z terminami jak: umowa o powierzeniu danych, umowa z procesorem, umowa powierzenia, regulamin ochrony danych itp. Bez znaczenia jest nazwa umowy, najważniejsze, by umowa posiadała elementy wynikające z RODO. Elementy umowy powierzenia przetwarzania danych Do elementów, które zalicza się: przedmiot przetwarzania; czas trwania przetwarzania; charakter i cel przetwarzania, rodzaj danych osobowych, kategorie osób, których dane dotyczą obowiązki i prawa administratora zobowiązania podmiotu przetwarzającego. Oczywiście, to w interesie administratora leży uwzględnienie w umowie pkt 7, czyli obowiązków podmiotu przetwarzającego, do których należy zaliczyć: działanie wyłącznie na udokumentowanie polecenie administratora; zagwarantowanie, że osoby upoważnione do przetwarzania zobowiążą się do zachowania tajemnicy, chyba że podlegają one takiemu obowiązkowi z mocy przepisów ustawowych; wdrożenie odpowiednich środków technicznych i organizacyjnych; przestrzeganie warunków korzystania z usług innego podmiotu przetwarzającego; wsparcie administratora w realizacji praw podmiotów danych (osób, których dane osobowe są przetwarzane) wsparcie administratora w realizacji obowiązków odnoszących się do bezpieczeństwa przetwarzania, zgłaszania naruszeń ochrony danych organowi nadzorczemu, zawiadamiania osoby, której dane dotyczą, o naruszeniu ochrony danych osobowych, oceny skutków dla ochrony danych oraz uprzednich konsultacji; umożliwienie poddania się kontroli (audytów) prowadzonej przez administratora w celu wykazania spełnienia nałożonych na podmiot przetwarzający w umowie obowiązków oraz współdziałania w czasie jej trwania; określone postępowanie z danymi osobowymi po zakończeniu przetwarzania. Oczywiście, to w interesie administratora leży uwzględnienie w umowie pkt 7, czyli obowiązków podmiotu przetwarzającego, do których należy zaliczyć: działanie wyłącznie na udokumentowanie polecenie administratora; zagwarantowanie, że osoby upoważnione do przetwarzania zobowiążą się do zachowania tajemnicy, chyba że podlegają one takiemu obowiązkowi z mocy przepisów ustawowych; wdrożenie odpowiednich środków technicznych i organizacyjnych; przestrzeganie warunków korzystania z usług innego podmiotu przetwarzającego; wsparcie administratora w realizacji praw podmiotów danych (osób, których dane osobowe są przetwarzane) wsparcie administratora w realizacji obowiązków odnoszących się do bezpieczeństwa przetwarzania, zgłaszania naruszeń ochrony danych organowi nadzorczemu, zawiadamiania osoby, której dane dotyczą, o naruszeniu ochrony danych osobowych, oceny skutków dla ochrony danych oraz uprzednich konsultacji; umożliwienie poddania się kontroli (audytów) prowadzonej przez administratora w celu wykazania spełnienia nałożonych na podmiot przetwarzający w umowie obowiązków oraz współdziałania w czasie jej trwania; określone postępowanie z danymi osobowymi po zakończeniu przetwarzania. Powyższe elementy stanowią minimum jakie musi spełniać przedmiotowa umowa, co jednak nie wyklucza uregulowania innych kwestii odnoszących się do procesu przetwarzania danych osobowych w relacji administrator – podmiot przetwarzający, np. ustalenie rozkładu odpowiedzialności za niewykonanie lub nienależyte wykonanie umowy, szczegółowe określenie sposobu kontroli, możliwości rozwiązania stosunku prawnego itp. Należy również pamiętać, że administrator nie może nakładać na podmiot przetwarzający niezgodnych z przepisami prawa obowiązków czy poleceń. W przypadku, gdy w ocenie podmiotu przetwarzającego wydane przez administratora polecenie stanowi naruszenie RODO lub innych przepisów Unii lub państwa członkowskiego o ochronie danych, podmiot przetwarzający jest zobowiązany niezwłocznie poinformować o tym administratora (art. 28 ust. 3 lit. 4 RODO). Umowa powierzenia przetwarzania danych osobowych musi mieć formę pisemną, przy czym zgodnie z art. 28 ust. 9 RODO, wymóg pisemności spełnia również forma elektroniczna w rozumieniu RODO. Dzięki możliwości skorzystania z takiej formy, istnieje możliwość zawarcia skutecznej umowy powierzenia przetwarzania danych osobowych w drodze akceptacji regulaminu, czy samodzielnego jej wygenerowania na platformie podmiotu przetwarzającego i tak najczęściej się dzieje. Źródła: Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. U. UE z 2016 r., L 119/1 ze zm.). Grupa Robocza Art. 29, Opinia 1/2010 w sprawie pojęć „administrator danych” i „przetwarzający”, przyjęta 16 lutego 2010 r. (WP 169), r. N. Stojanowska, Outsourcing usług w kancelarii komorniczej a RODO, r. Przedsiębiorco! Chcesz być na bieżąco z przepisami? Zapisz się na newsletter Pobierz darmową NOTATKĘ WIZUALNĄpt. "Obowiązek Informacyjny z art. 13 RODO w 13 krokach".

Obecnie na rynku dość powszechnie można spotkać się z praktyką dążenia do zawarcia umowy powierzenia przetwarzania danych osobowych w każdym przypadku, gdy dane osobowe udostępnianie są pomiędzy dwoma firmami. Dążenie do zawarcia takiej umowy pojawia się jako uzupełnienie czy aneks do umowy głównej, regulującej współpracę obu firm. Czytaj także: RODO: osiem czynności w pracy, które zaczną być groźne Dotyczy to najczęściej sytuacji, gdy firma B świadczy dla firmy A określoną usługę. Usługi tej nie można zrealizować bez dostępu do określonych danych osobowych, dla których administratorem jest firma A. Stąd firma A udostępnia firmie B dane osobowe - np. swoich pracowników czy kontrahentów. W takiej sytuacji może rzeczywiście dochodzić do powierzenia danych osobowych firmie B przez firmę A. Ale nie zawsze. To nie jest sytuacja zerojedynkowa. Udostępnienie i przetwarzanie Zgodnie z definicją „przetwarzania" zamieszczoną w art. 4 RODO, przetwarzaniem danych osobowych są również różne rodzaje udostępniania (ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie). Jak każde inne przetwarzanie, udostępnianie danych osobowych na zewnątrz organizacji musi być oparte o jedną z przesłanek legalizacyjnych z art. 6 RODO i realizowane w zgodzie z innymi zasadami przetwarzania opisanymi w art. 5 RODO. Trzeba też pamiętać o prawidłowej realizacji obowiązku informacyjnego opisanego w art. 13 lub art. 14 RODO. W szczególności podmioty, którym dane są udostępniane, powinny być wymienione jako odbiorcy danych. Nie zawsze jednak udostępnianie będzie powierzeniem danych do przetwarzania w rozumieniu art. 28 RODO. Powierzenie danych osobowych do przetwarzania ma miejsce, gdy przetwarzanie danych udostępnionych „ma być dokonywane w imieniu administratora". Tak wyraźnie stanowi zdanie pierwsze art. 28 ust. 1 RODO. Przykład 1. Z powierzeniem danych osobowych do przetwarzania mamy do czynienia wtedy, gdy firma, która otrzymuje dane do przetwarzania, przetwarza je w celach, które określa firma udostępniająca dane osobowe. Firma B realizuje dla firmy A usługi w postaci wyliczenia wynagrodzeń dla pracowników i związanych z tym danin publicznych – podatków i składek na ubezpieczenie społeczne i zdrowotne. Firma A przekazuje dane osobowe swoich pracowników w celu naliczania wynagrodzeń. Firma B przetwarza dane osobowe w celach określonych przez firmę A. Gdyby nie doszło do tzw. outsourcingu usług, firma A musiałaby samodzielnie naliczać wynagrodzenia. Firma B nie przetwarza danych we własnych celach, realizuje ona cele przetwarzania firmy A. W takim przypadku mamy do czynienia z powierzeniem przetwarzania danych osobowych. Firma B jest w takim przypadku tzw. procesorem danych osobowych, dla których administratorem jest firma A. Przykład 2. Z udostępnieniem danych osobowych niebędącym powierzeniem, mamy do czynienia, gdy firma, która otrzymuje dane osobowe, przetwarza je w celach, które samodzielnie kształtuje – nie w celach własnych udostępniającego. Firma B otrzymuje od firmy A dane osobowe, aby móc świadczyć usługi ubezpieczeniowe dla pracowników firmy (ubezpieczenie grupowe). Firma B sama kształtuje cele przetwarzania danych osobowych. Dane przetwarzane są bowiem w celu zawarcia i realizacji polisy ubezpieczeniowej. Taki cel przetwarzania nie jest celem firmy A. Firma A zatem nie może powierzać danych do przetwarzania w tym celu. W takim przypadku nie mamy do czynienia z powierzeniem przetwarzania danych osobowych. Jest to udostępnienie danych osobowych pomiędzy dwoma administratorami danych osobowych, z których każdy realizuje swoje własne cele. Dostęp do platform online Stosunkowo często w relacjach z firmami świadczącymi masowo usługi dla pracowników firm, pojawia się kwestia dostępu do platform online usługodawców. Chodzi tu głównie o dostawców usług medycznych, ubezpieczeniowych lub benefitów pracowniczych. Co do zasady wymiana danych osobowych pomiędzy firmą będącą usługobiorcą a tego typu usługodawcą nie stanowi powierzenia danych do przetwarzania. Niemniej pewien wycinek współpracy może takiej umowy wymagać. Chodzi tu o dostęp pracowników usługobiorców do platform online usługodawców. Przykładem może być dostęp do portalu ubezpieczeniowego usługodawcy, w którym pracownik firmy – usługobiorcy – przetwarza dane pracowników w ramach zgłoszenia szkody. W zależności od charakteru przetwarzania może być w takim przypadku konieczne zawarcie umowy powierzenia obejmującej wycinek współpracy. Wtedy jednak, w tym wąskim wycinku, to usługodawca powierzałby dane osobowe do przetwarzania usługobiorcy. Wzajemne udostępnienia W relacjach pomiędzy firmami warto dbać o przejrzystość sytuacji prawnej. Kwestię wzajemnego udostępniania danych osobowych pomiędzy firmami, niebędącą powierzeniem danych osobowych do przetwarzania, można sformalizować, zawierając umowę regulującą aspekty tego udostępnienia. Umowa taka nie jest wprost uregulowana w RODO, niemniej jej zawarcie w żaden sposób nie pozostaje w sprzeczności z przepisami RODO i jest całkowicie dopuszczalne na gruncie zasady swobody umów wyrażonej w Kodeksie cywilnym. Umowa taka opisywać może zasady wzajemnego udostępnienia danych osobowych pomiędzy dwoma „równoległymi" administratorami danych. W umowie można nawiązać do okoliczności współpracy, określić zakres i cele udostępniania danych osobowych. Umowa może mieć charakter wyjaśniający i porządkujący wzajemne relacje w zakresie udostępnienia danych osobowych. Umowa może także regulować techniczne kwestie wymiany danych, uwzględniające w szczególności środki bezpieczeństwa przyjęte przez każdego z administratorów. Może to uwzględnić choćby konieczność szyfrowania wiadomości mejlowych, w których przesyłane są dane osobowe. Strony mogą także zapewnić się wzajemnie o legalności przetwarzania, w tym udostępniania danych osobowych, wskazując, że wykonały wobec osób, których dane są przetwarzane własne obowiązki informacyjne. Co więcej, w sytuacji, gdy byłoby to pożądane i dogodne dla stron, na podstawie postanowienia tego typu umowy można uregulować kwestię pomocy (pośrednictwa) w wykonywaniu obowiązków informacyjnych płynących z art. 14 RODO. Chodzi tutaj o obowiązek przekazania osobie, której dane są przetwarzane, określonych w tym przepisie informacji, w sytuacji, gdy administrator otrzymuje dane osobowe nie bezpośrednio od tej osoby. Kontrahent może być pośrednikiem w dostarczeniu klauzuli informacyjnej swojego partnera biznesowego do np. swoich pracowników. Skutki niewłaściwej umowy RODO nakłada szereg obowiązków na podmiot przetwarzający dane osobowe na zlecenie. Obowiązkom tym towarzyszą uprawnienia administratora powierzającego dane osobowe do przetwarzania. Sytuacja zbyt pochopnego zawierania umów powierzenia powoduje konieczność zupełnie niewłaściwego i niepotrzebnego obarczania się obowiązkami, za których nieprzestrzeganie grożą wysokie kary. Prowadzi to również do sytuacji absurdalnych. Jedną z nich jest możliwość kontroli przetwarzania danych osobowych przez powierzającego. W praktyce łączy się to z możliwością przeprowadzenia audytu w systemach przetwarzania danych osobowych procesora. Jest to sytuacja całkowicie nieprzystająca do rzeczywistości w przypadku zwykłej współpracy stron związanej jedynie z wymianą danych osobowych, niezbędnych do wykonania umowy wzajemnej. Szymon Szurgacz radca prawny w Sendero Tax & Legal Można zaobserwować tendencję zbyt pochopnego łączenia wymiany danych pomiędzy firmami z koniecznością zawarcia umowy powierzenia regulowanej przez art. 28 RODO. Zupełnie niesłusznie konieczność zawarcia takiej umowy traktuje się jako zasadę, warunek dalszej współpracy stron. Tymczasem obowiązek zawarcia umowy powierzenia nie pojawia się zawsze w przypadku, gdy partnerzy biznesowi udostępniają sobie nawzajem dane osobowe. Aktualizuje on się wyłącznie wtedy, gdy jeden z partnerów realizuje wyłącznie cele przetwarzania danych osobowych drugiego i na jego rzecz. Należy unikać zawierania umów powierzenia w sytuacjach, gdy nie ma do tego podstaw faktycznych. Może rodzić to negatywne skutki prawne i prowadzić do absurdalnych sytuacji.

Tytułem wstępu Jeśli nadajesz przesyłkę za pośrednictwem serwisu w związku z wykonywaną działalnością, w szczególności gospodarczą lub zawodową (np. w ramach sklepu internetowego lub fundacji) to Ty jesteś administratorem danych osobowych osób, które wskazujesz w formularzu zamówienia. Serwis jest podmiotem przetwarzającym te dane. W związku z art. 28 ust. 3 RODO jesteśmy zobowiązani do zawarcia umowy powierzenia przetwarzania danych – Ty jako administrator danych osobowych, a administrator serwisu – jako podmiot przetwarzający dane osobowe. Niniejszą umowę możemy zawrzeć w formie elektronicznej (pozwala na to art. 28 ust. 9 RODO). Umowa powierzenia przetwarzania danych osobowych (dalej jako: Umowa powierzenia) zawarta pomiędzy: 1. Użytkownikiem Serwisu który zakłada konto lub składa zamówienie/a za pomocą Serwisu w ramach wykonywanej działalności, zwanym dalej: Administratorem lub Użytkownikiem a 2. Kurierovo Sp. z ograniczoną odpowiedzialnością Sp. komandytowa z siedzibą w Łukowie, przy ul. Sochacz 16a, 21-400 Łuków, wpisaną do Rejestru Przedsiębiorców Krajowego Rejestru Sądowego, prowadzonego przez Sąd Rejonowy Lublin-Wschód w Lublinie, z siedzibą w Świdniku, VI Wydział Gospodarczy Krajowego Rejestru Sądowego, pod nr KRS: 0000826879, REGON: 385468101, NIP: 8252188154, zwaną dalej: „Kurierovo” lub Podmiot przetwarzający. Użytkownik i Kurierovo dalej zwani są łącznie „Stronami”, a każdy z osobna „Stroną”. §1 Oświadczenia – Kurierovo 1. Kurierovo oświadcza, że jest administratorem danych osobowych. §2 Definicje 1. Administrator – administrator danych osobowych w rozumieniu art. 4 pkt 7 RODO. 2. Dane osobowe – dane osobowe w rozumieniu art. 4 pkt 1 RODO, określone w § 3 ust. 2 Umowy powierzenia. 3. Naruszenie ochrony danych osobowych – naruszenie ochrony danych osobowych w rozumieniu art. 4 pkt 12 RODO. 4. Podmiot przetwarzający – podmiot przetwarzający w rozumieniu art. 4 pkt 8 RODO. 5. Przetwarzanie – przetwarzanie danych osobowych w rozumieniu art. 4 pkt 2 RODO. 6. Serwis – serwis którego administratorem jest Kurierovo Sp. z ograniczoną odpowiedzialnością Sp. komandytowa z siedzibą w Łukowie przy ul. Sochacz 16a, 21-400 Łuków, wpisana do Rejestru Przedsiębiorców Krajowego Rejestru Sądowego, prowadzonego przez Sąd Rejonowy Lublin-Wschód w Lublinie, z siedzibą w Świdniku, VI Wydział Gospodarczy Krajowego Rejestru Sądowego, pod nr KRS: 0000826879, REGON: 385468101, NIP: 8252188154. 7. RODO – Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych). 8. Umowa pośrednictwa – Umowa pośrednictwa w doręczaniu przesyłek, którą Kurierovo zawiera z Użytkownikiem Serwisu 9. Usługi – usługi związane z pośrednictwem przez Kurierovo w doręczeniu przesyłek, nadawanych przez Administratora za pośrednictwem Serwisu §3 Przedmiot umowy 1. Umowa powierzenia określa warunki Przetwarzania przez Kurierovo w imieniu Administratora Danych osobowych określonych w ust. 2 poniżej w zakresie Usług wykonywanych przez Kurierovo na podstawie Umowy pośrednictwa. 2. Użytkownik, składając zamówienie w Serwisie powierza Kurierovo następujące dane osobowe osób trzecich: rodzaj danych osobowych: dane zwykłe, tj. imię i nazwisko, dane teleadresowe, takie jak: adres, numer telefonu, e-mail; kategorie osób, których dane dotyczą: adresaci przesyłek zlecanych przez Użytkownika. §4 Przetwarzanie danych osobowych 1. Podmiot przetwarzający będzie przetwarzał dane osobowe powierzone przez Administratora wyłącznie w celu, w zakresie i na warunkach określonych w Umowie powierzenia. Podmiot przetwarzający zobowiązuje się, że nie będzie modyfikował, usuwał ani wykorzystywał powierzonych mu do Przetwarzania Danych osobowych w jakikolwiek inny sposób niż na potrzeby świadczenia Usług na rzecz Administratora. 2. Podmiot przetwarzający będzie przetwarzał dane osobowe powierzone przez Administratora w zakresie świadczenia Usługi w formie elektronicznej, w systemie informatycznym Kurierovo oraz w formie papierowej (druki księgowe ). 3. Strony uzgadniają, że dane osobowe powierzone przez Administratora będą przetwarzane zgodnie z poleceniami Administratora przez które rozumie się każdorazowe zlecenie przesyłki za pomocą Serwisu §5 Okres przetwarzania 1. Dane osobowe powierzone przez Administratora danych będą przetwarzane przez Kurierovo w okresie wykonywania Usługi, z zastrzeżeniem następujących ustępów. 2. Po rozwiązaniu lub wygaśnięciu Umowy pośrednictwa, Podmiot przetwarzający usuwa lub zwraca Administratorowi Dane osobowe i usuwa ich kopie. Przez rozwiązanie lub wygaśnięcie Umowy pośrednictwa dla potrzeb niniejszej Umowy powierzenia rozumie się wygaśnięcie wszystkich obowiązków Kurierovo, z którymi wiąże się przetwarzanie Danych osobowych. 3. Z uwagi jednak na możliwość zaistnienia sporu pomiędzy Stronami, związanego z realizacją Umowy pośrednictwa lub Umowy powierzenia – Kurierovo usunie Dane osobowe oraz ich kopie po upływie okresu niezbędnego do ustalenia, dochodzenia lub obrony roszczeń wynikających lub mogących wynikać z Umowy współpracy lub Umowy powierzenia. §6 Obowiązki Podmiotu przetwarzającego 1. Strony zobowiązują się do wykonywania zobowiązania z najwyższą starannością zawodową, w tym do przestrzegania Umowy powierzenia i właściwych przepisów prawa mających zastosowanie do Przetwarzania danych osobowych, w szczególności zobowiązują się do przestrzegania obowiązków Stron wynikających z RODO. 2. Podmiot przetwarzający, uwzględniając charakter przetwarzania oraz dostępne mu informacje, pomaga Administratorowi danych wywiązać się z obowiązków określonych w art. 32–36 RODO. 3. Podmiot przetwarzający podejmuje środki organizacyjne i techniczne właściwe zgodnie z art. 32 RODO do przetwarzania Danych osobowych powierzonych przez Administratora w zakresie usług świadczonych zgodnie z Umową pośrednictwa w celu zabezpieczenia powierzonych do przetwarzania Danych osobowych w należyty, odpowiedni do zagrożeń sposób. 4. W zakresie pomocy Administratorowi przy realizacji obowiązku dokonywania zgłoszenia Naruszenia ochrony danych osobowych do organu nadzorczego oraz zawiadamiania o Naruszeniu ochrony Danych osobowych osób, których dane dotyczą, o których mowa w art. 28 ust. 3 lit. f) RODO, uwzględniając charakter Przetwarzania danych oraz dostępne mu informacje Podmiot przetwarzający zobowiązany jest do: zgłoszenia Administratorowi danych podejrzenia naruszenia lub stwierdzenia Naruszenia ochrony danych osobowych nie później niż w terminie 36 (słownie: trzydziestu sześciu) godzin od chwili powzięcia informacji o podejrzeniu naruszenia lub stwierdzeniu Naruszenia ochrony danych osobowych w związku z wykonywaniem Umowy powierzenia na adres email wskazany w koncie/ zamówieniu Użytkownika; w zawiadomieniu o podejrzeniu naruszenia lub stwierdzeniu Naruszenia ochrony danych osobowych Podmiot przetwarzający jest zobowiązany wskazać: 1) okoliczności zdarzenia, 2) prawdopodobne przyczyny zdarzenia, 3) środki, jakie zostały zastosowane w związku ze zdarzeniem, w celu zminimalizowania negatywnych skutków — wraz z niezbędną dokumentacją; zapewnienia Administratorowi możliwości uczestniczenia w wyjaśnianiu okoliczności zdarzenia, w tym udzielenia informacji oraz wyjaśnień, jak również podjęcia innych działań, które umożliwią Administratorowi wywiązanie się z obowiązku notyfikacyjnego wobec Prezesa Urzędu Ochrony Danych Osobowych. 5. Podmiot przetwarzający oświadcza, że osobom zatrudnionym przy Przetwarzaniu powierzonych Danych osobowych nadane zostały upoważnienia do przetwarzania danych osobowych oraz że osoby te zostały zapoznane z przepisami o ochronie danych osobowych, w szczególności RODO oraz z odpowiedzialnością za ich nieprzestrzeganie. 6. Podmiot przetwarzający zapewnia, że osoby upoważnione przez Podmiot przetwarzający do Przetwarzania Danych osobowych powierzonych przez Administratora zobowiązały się do zachowania tajemnicy lub podlegają odpowiedniemu ustawowemu obowiązkowi zachowania tajemnicy. §7 Uprawnienia Administratora danych 1. Administrator jest upoważniony do przeprowadzenia audytu w celu weryfikacji przestrzegania Umowy powierzenia przez Kurierovo, bezpośrednio lub za pośrednictwem upoważnionego audytora, z zastrzeżeniem następujących warunków: 2. audyt będzie przeprowadzany nie częściej niż raz w roku kalendarzowym, a jego termin powinien być uzgodniony przez Strony, przy czym Użytkownik zgłosi zamiar przeprowadzenia audytu co najmniej 30 dni przed jego proponowanym terminem w formie pisemnej pod rygorem nieważności na adres wskazany w komparycji Umowy powierzenia lub wysyłając wiadomość email na adres […]; 3. audytorem Użytkownika nie może być podmiot prowadzący działalność konkurencyjną wobec Kurierovo; 4. audyt nie może obejmować informacji lub dokumentów dotyczących innych klientów/ użytkowników Kurierovo, ani zmierzać lub skutkować uzyskaniem dostępu Użytkownika do danych osobowych innych niż Dane osobowe Użytkownika lub do danych poufnych Kurierovo lub innych podmiotów powiązanych (współadministratorów z Kurierovo); 5. Kurierovo może uzależnić udział audytora lub wyznaczonego pracownika Użytkownika w audycie od uprzedniego zawarcia odpowiedniej umowy poufności z Kurierovo; 6. w czasie audytu Użytkownik i audytor mają obowiązek przestrzegania wewnętrznych procedur i polityk Kurierovo dotyczących bezpieczeństwa i poufności; 7. Administrator pokrywa koszty audytu. §8 Podpowierzenie 1. Administrator wyraża zgodę na wykorzystanie przez Podmiot przetwarzający innych podmiotów przetwarzających (dalej jako: Podwykonawcy) do dalszego przetwarzania danych w ramach świadczenia Usług, przy czym każdy Podwykonawca Kurierovo zapewnia niezbędne gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych w celu zapewnienia zgodności przetwarzania z przepisami ochrony danych osobowych, w szczególności z RODO. 2. Podmiot przetwarzający ponosi pełną odpowiedzialność, jeżeli Podwykonawca nie wywiąże się ze spoczywających na nim obowiązków ochrony danych. 3. Podmiot przetwarzający zawarł lub zawrze umowy powierzenia przetwarzania danych osobowych z Podwykonawcami. 4. Podmiot przetwarzający utrzymuje listę Podwykonawców, na której znajdują się w szczególności: firmy kurierskie odpowiedzialne za realizację Usługi, firmy odpowiedzialne za kontakt w związku z realizacją Usługi, hostingodawcy Podmiotu przetwarzającego oraz firmy IT odpowiedzialne za serwisowanie platformy Kurierovo. 5. W przypadku zastąpienia podwykonawców lub dodania nowych podwykonawców, Kurierovo poinformuje o tym Administratora z dwutygodniowym wyprzedzeniem drogą mailową na adres Użytkownika wskazany w koncie lub złożonym zamówieniu. Administrator ma prawo do zgłoszenia sprzeciwu odnośnie do tych zmian w ciągu 5 dni roboczych – brak zgłoszenia sprzeciwu w tym terminie traktowany jest jako akceptacja Podwykonawcy. 6. Podmiot przetwarzający zobowiązuje się współpracować wyłącznie z takimi podwykonawcami, którzy zapewniają wdrożenie takich środków technicznych i organizacyjnych, aby Przetwarzanie odpowiadało wymogom RODO. 7. Podmiot przetwarzający zawrze z każdym podwykonawcą, który będzie przetwarzał Dane osobowe stosowną umowę, nakładającą na podwykonawcę odpowiednie obowiązki ochrony danych osobowych. 8. Jeżeli podwykonawca Kurierovo nie wywiąże się ze spoczywających na nim obowiązków ochrony danych osobowych Administratora, Podmiot przetwarzający ponosi wobec Administratora odpowiedzialność za niewypełnienie obowiązków przez Podwykonawcę tak jak za własne działania i zaniechania. §9 Odpowiedzialność Stron Umowy 1. Użytkownik odpowiada za prawidłowe wykonywanie obowiązków Administratora zgodnie z RODO, i innymi właściwymi przepisami ochrony danych osobowych, jak też niniejszą Umową powierzenia. W szczególności, Użytkownik zobowiązany jest do wypełnienia obowiązku informacyjnego wynikającego z art. 13 RODO wobec swoich klientów, których dane powierza do przetwarzania Podmiotowi przetwarzającemu, w tym do poinformowania ich, że podmiotem przetwarzającym ich dane jest Kurierovo. 2. Administrator zapewnia, że Dane osobowe są przetwarzane zgodnie z prawem, w tym zgodnie z zasadami wynikającymi z RODO, w szczególności, że dane są przetwarzane w minimalnym zakresie (Administrator nie przetwarza więcej danych niż jest to wymagane do jego celów). 3. Administrator gwarantuje, że w momencie przekazania Danych osobowych do Przetwarzania istnieje ku temu ważna podstawa prawna, co na każde żądanie Podmiotu przetwarzającego wykaże poprzez wskazanie podstawy prawnej przetwarzania i jej należyte udokumentowanie. 4. Postanowienia §9 pozostają w mocy po rozwiązaniu lub wygaśnięciu Umowy powierzenia. 5. Całkowite i maksymalne zobowiązanie Kurierovo w związku z wykonywaniem Umowy powierzenia jest ograniczone do kwoty 10 tys. zł § 10 Postanowienia końcowe 1. Strony uzgadniają, że właściwe dla Umowy powierzenia będzie prawo obowiązujące w Polsce, zaś do rozstrzygania sporów właściwy będzie sąd powszechny właściwy dla siedziby Kurierovo w dniu zawarcia niniejszej Umowy. 2. W sprawach nieuregulowanych w niniejszej Umowie powierzenia zastosowanie będzie miało RODO oraz właściwe przepisy prawa polskiego. 3. Umowa powierzenia jest w mocy tak długo, jak Podmiot przetwarzający przetwarza Dane osobowe w imieniu Administratora, zgodnie z §5, niezależnie od trwania Umowy pośrednictwa.

Z kim muszę podpisywać umowę powierzenia przetwarzania danych osobowych? (kurier, poczta, księgowa, operator płatności, hosting) W codziennej praktyce sklepy internetowe do realizacji swoich celów biznesowych bardzo często korzystają z usług firm zewnętrznych. W związku z tym pojawia się problem dostępu do danych i ich przetwarzania przez osoby trzecie. Sprzedawcy internetowi mają w związku z tym obowiązek zabezpieczenia danych osobowych swoich klientów przed ich bezprawnym wykorzystaniem poprzez spełnienie ustawowo określonych obowiązków. Zgodnie z ustawą o ochronie danych osobowych, administrator danych osobowych może powierzyć przetwarzanie danych innemu podmiotowi w drodze umowy zawartej na piśmie – czyli tzw. umowy powierzenia przetwarzania danych osobowych. Czym jest powierzenie danych? Przetwarzanie danych osobowych jest dopuszczalne tylko wtedy, gdy jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa, na co wskazuje bezpośrednio art. 23 ust. 1 pkt 2 ustawy o ochronie danych osobowych. Powierzenie przetwarzania danych uregulowane jest w art. 31 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych. Art. 31 ust. 1 Administrator danych może powierzyć innemu podmiotowi, w drodze umowy zawartej na piśmie, przetwarzanie danych. Polega ono na tym, że administrator danych powierza w drodze pisemnej umowy ich przetwarzanie – w całości lub w części – innemu podmiotowi. Oznacza to, że administrator nie musi sam wykonywać wszystkich czynności związanych z procesem przetwarzania danych osobowych. Najczęściej umowy powierzenia przetwarzania danych zawierane są np. w celu dochodzenia wierzytelności lub w związku ze zleceniem innemu podmiotowi realizacji części zadań administratora (tzw. outsourcing). W pewnym uproszczeniu chodzi o przekazanie innej firmie zebranych przez administratora danych osobowych po to, by ta firma zrobiła coś z tymi nimi w jego imieniu i na jego rzecz. Czy przekazując dane zawsze je powierzam? Są sytuacje gdy prowadząc działalność administrator przekaże dane osobowe osobie trzeciej, która będzie je przetwarzać w swoim własnym imieniu i na swoją rzecz. W tej sytuacji będziemy mieli do czynienia z udostępnieniem danych – może to mieć miejsce np. w przypadku sprzedaży bazy danych. Udostępnienie jest przekazaniem danych innemu podmiotowi (odbiorcy danych), który staje się ich administratorem, zaś powierzenie polega na przetwarzaniu danych przez podmiot, który nie jest administratorem tych danych. Komu mogę powierzyć przetwarzanie danych osobowych? Hosting Duża część sklepów internetowych, ze względu na wysokie koszty, nie utrzymuje własnych serwerów, lecz wynajmuje od wyspecjalizowanych firm świadczących usługi hostingu. Wówczas dane osobowe klientów sklepu są przetwarzane przez inną firmę w jej systemie informatycznym. Definicja przetwarzania w ustawie o ochronie danych osobowych jest jednoznaczna: są to „jakiekolwiek operacje wykonywane na danych osobowych”, a wśród nich także „utrwalanie” i „przechowywanie”. Księgowość Prowadzenie dokumentacji księgowej nierozerwalnie wiąże się z przetwarzaniem danych osobowych klientów oraz osób zatrudnionych w sklepie internetowym. Wprawdzie zgodnie z ustawą o ochronie danych osobowych nie trzeba rejestrować zbiorów danych osobowych, które służą tylko do przetwarzania danych w celu wystawienia faktury, jednak wymogi dotyczące zabezpieczenia zbiorów danych osobowych, o których mowa w art. 36 ustawy, odnoszą się do wszystkich zbiorów, w których przetwarzane są dane osobowe. Art. 36. 1. Administrator danych jest obowiązany zastosować środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, a w szczególności powinien zabezpieczyć dane przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem. Obowiązek zabezpieczenia danych nie jest zatem uzależniony od celu przetwarzania, rodzaju podmiotu będącego administratorem, jak również przywilejów, do których należy zwolnienie administratorów danych z obowiązku rejestracji określonego typu zbiorów. Dlatego tak ważne by podpisując z firmą zewnętrzną umowę na obsługę księgową, sklep internetowy oraz biuro księgowe obok umowy określającej zasady współpracy w zakresie prowadzenia ksiąg rachunkowych, zawarli ze sobą odrębną umowę, której przedmiotem będzie powierzenie przetwarzania danych osobowych. Poczta Polska Jeśli e-sklep przekaże dane osobowe Poczcie Polskiej w celu realizacji usług pocztowych, Poczta będzie przetwarzać je zgodnie z art. 23 ust 1 pkt 2 ustawy o ochronie danych osobowych na podstawie ustawy Prawo Pocztowe i jest ich administratorem. Art. 23. ust 1. Przetwarzanie danych jest dopuszczalne tylko wtedy, gdy: osoba, której dane dotyczą, wyrazi na to zgodę, chyba że chodzi o usunięcie dotyczących jej danych, zezwalają na to przepisy prawa, jest niezbędne osobie, której dane dotyczą, w celu wywiązania się z umowy, której jest stroną, lub na jej życzenie w celu podjęcia niezbędnych działań przed zawarciem umowy, jest niezbędne do wykonania określonych prawem zadań realizowanych dla dobra publicznego, jest niezbędne do wypełnienia usprawiedliwionych celów administratorów danych, o których mowa w art. 3 ust. 2, a przetwarzanie danych nie narusza praw i wolności osoby, której dane dotyczą. Jednak w przypadku realizacji usług niestanowiących usług pocztowych, przekazanie Poczcie Polskiej danych osobowych klientów podmiotów zewnętrznych wymagać będzie podpisania umowy powierzenia zgodnie z art. 31 ww. ustawy. Wówczas dopiero Poczta Polska stanie się procesorem, tj. podmiotem, któremu administrator danych osobowych powierzył przetwarzanie danych osobowych w celu i zakresie przewidzianym w umowie. 1. [Prawo Pocztowe] Tajemnica pocztowa obejmuje informacje przekazywane w przesyłkach, informacje dotyczące realizacji przekazów pocztowych, dane dotyczące podmiotów korzystających z usług pocztowych oraz dane dotyczące faktu i okoliczności świadczenia usług pocztowych lub korzystania z tych usług. 2. Do zachowania tajemnicy pocztowej są obowiązani: operator; osoby, które z racji wykonywanej działalności mają dostęp do tajemnicy pocztowej. Kurier Firmy kurierskie jako podmioty świadczące usługi pocztowe nie posiadają statusu administratora danych, jaki nadaje Poczcie Polskiej ustawa Prawo Pocztowe, toteż powierzając dane kurierowi staje się on procesorem, a zatem niezbędne jest podpisanie umowy powierzenia przetwarzania danych osobowych z takimi podmiotami, w przypadku korzystania z ich usług. Operator płatności Sklepy internetowe często korzystają z firm obsługujących płatności elektroniczne. Firmy te jak np. PayU nie wymagają podpisywania umów papierowych, wymagają jedynie zaakceptowania regulaminu (w nim zawarte są zasady powierzania danych). np. § 16 regulaminu PAYU: DANE OSOBOWE 3. W związku z zawarta Umową, Partner powierza PayU przetwarzanie danych osobowych osób, które są umocowane do dokonywania czynności w imieniu Partnera lub do wykonywania wszystkich praw i obowiązków Partnera. 5. Powierzenie PayU przez Partnera przetwarzania danych osobowych osób, o których mowa w § 16 ust. 3 Regulaminu, następuje na czas trwania Umowy, następuje w celu świadczenia przez PayU usług w ramach Umowy (w tym usług płatniczych) oraz obejmuje dane osobowe niezbędne do realizacji tego celu. W przypadku płatności elektronicznych, do powierzenia najczęściej nie dojdzie, gdyż korzystając z nich to Klient sam wprowadza swoje dane osobowe na stronie pośrednika płatności. Dropshipping Sklepy internetowe coraz częściej korzystają z modelu dropshippingu opierającego się na wysyłce kupionego w e-sklepie towaru bezpośrednio z hurtowni. Decydując się na takie rozwiązanie należy podpisać z hurtownią umowę o powierzeniu przetwarzania danych osobowych, która ureguluje kwestie związane z przekazaniem danych w celu realizacji zamówień i która to zawiera informacje o przekazaniu danych przez sklep – hurtowni oraz nakłada na przetwarzającego obowiązki związane z zapewnieniem odpowiednich środków gwarantujących bezpieczeństwo danych. To tylko przykładowe z możliwych przykładów powierzenia przetwarzania danych w e-sklepie. Do powierzenia może dojść również w innych przypadkach np. podczas korzystania z oprogramowania w chmurze tzw. SaaS (do fakturowania czy też system CRM) czy też chociażby w przypadku korzystania z usług obsługującej newsletter (np. FreshMail, MailChimp). Forma umowy powierzenia danych osobowych Umowa powierzenia przetwarzania danych osobowych powinna zostać zawarta na piśmie (ale jest to forma zastrzeżona dla celów dowodowych). Powinna ona określać przede wszystkim rodzaje operacji na danych osobowych i cel przetwarzania danych, a także prawa i obowiązki zarówno administratora danych, jak i procesora. Podsumowanie Korzystając z usług podmiotów zewnętrznych e-sklep powinien trzymać rękę na pulsie. W każdej z tych sytuacji bowiem może dojść do naruszenia bezpieczeństwa przetwarzania danych osobowych jego klientów. Wybierając sposób przekazania danych osobowych osobom trzecim, e-sklep powinien pamiętać o podstawowych różnicach pomiędzy udostępnieniem a powierzeniem przetwarzania danych i wszelkimi wynikającymi z tego konsekwencjami. W takich sytuacjach, będąc administratorem danych, e-sklep musi zawierać pisemne umowy o powierzeniu danych z podmiotami zewnętrznymi. Jest to szczególnie ważne z uwagi na fakt, iż jest on odpowiedzialny nie tylko za wypełnienie poszczególnych obowiązków wynikających z ustawy przez siebie samego, ale także przez podmiot, któremu te dane powierzył.

Artykuł stworzony w ramach projektu #ForumBK – RODO w grupach kapitałowych [English abstract at the bottom of the page]Przekazywanie danych osobowych pomiędzy podmiotami należącymi do grupy kapitałowej niejednokrotnie traktowane jest „po macoszemu”. Często wydaje się bowiem, że skoro między spółkami istnieje więź oparta na mniej lub bardziej bliskich relacjach biznesowych, to powinny one móc swobodnie wymieniać się informacjami, w tym danymi osobowymi. Podejście to nie jest jednak prawidłowe, jako że RODO wymusza ustalenie ról podmiotów uczestniczących w procesie przetwarzania danych osobowych. Przykładowo, wymiana danych osobowych między spółkami może następować w modelu administrator – administrator. W takim wypadku wzajemne udostępnianie danych osobowych może następować np. w oparciu o uzasadniony interes prawny spółek (możliwość taka wskazana jest w motywie 48 preambuły RODO). Niewykluczone jednak, iż relacje występujące pomiędzy poszczególnymi spółkami w grupie uzasadniać będą konieczność powierzenia przetwarzania danych przetwarzania, czyli co?Na początek warto zwrócić uwagę na to, iż „powierzenie przetwarzania danych osobowych” nie otrzymało definicji legalnej w RODO (pojęcie to nie występuje w ogóle w wersji angielskiej rozporządzenia). „Zamiast” tego, rozporządzenie określa kim jest administrator danych oraz podmiot przetwarzający (tzw. procesor), charakteryzując drugiego z nich jako „osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który przetwarza dane osobowe w imieniu administratora”.Dla przyznania danemu podmiotowi statusu podmiotu przetwarzającego, kluczowe znaczenie ma przetwarzanie przez niego danych osobowych w imieniu administratora. Podmiot przetwarzający (procesor) nie będzie bowiem samodzielnie ustalać celów i sposobów przetwarzania. Będzie on przetwarzał dane „w ramach podstaw obranych przez [administratora] celów, sposobów, o których ten pierwszy zdecydował”[1].Powierzenie przetwarzania – kiedy?Wypada zatem zadać sobie pytanie, kiedy relacje występujące pomiędzy dwoma spółkami w grupie kapitałowej będą kształtować się w ten sposób, że jedna z nich przetwarza dane osobowe w imieniu drugiej. Najczęściej taka sytuacja będzie występować w przypadku spółek obsługujących inne podmioty w grupie, przykładowo w zakresie działalności księgowej, czy wsparcia systemów informatycznych (tzw. centrów usług wspólnych).Istotna w ramach omawianej tematyki jest również kwestia, czy podmiotem przetwarzającym może być spółka matka. Łatwo wyobrazić sobie sytuację, w której spółka dominująca przetwarzać będzie dane osobowe pochodzące z innych spółek należących do grupy kapitałowej, np. w zakresie prowadzenia bazy wszystkich pracowników, czy klientów spółki – matki jako podmiotu przetwarzającego może jednak budzić pewne wątpliwości, biorąc pod uwagę wpływ jaki spółka ta ma na pozostałe podmioty należące do grupy kapitałowej. Wątpliwości te na pierwszy rzut oka może pogłębiać lektura przepisów pierwszej kolejności należy zaznaczyć, iż RODO nie posługuje się pojęciem „grupy kapitałowej”, a „grupy przedsiębiorstw”, definiowanej jako „przedsiębiorstwo sprawujące kontrolę oraz przedsiębiorstwa przez nie kontrolowane” (art. 4 pkt 19) RODO). Pojęcia te nie są tożsame, jednakże często stosowane są zamienne. Główna różnica polega na tym, że w przypadku grupy kapitałowej nacisk kładziony jest na powiązania kapitałowe pomiędzy spółkami[2], natomiast w przypadku grupy przedsiębiorstw na pierwszy plan wysuwa się element kontroli, wniosek potwierdza lektura preambuły RODO. W motywie 37 wskazano bowiem, iż „przedsiębiorstwo sprawujące kontrolę powinno być przedsiębiorstwem, które może wywierać dominujący wpływ na pozostałe przedsiębiorstwa ze względu na przykład na strukturę właścicielską, udział finansowy lub przepisy regulujące jego działalność, lub też uprawnienia do nakazywania wdrożenia przepisów o ochronie danych osobowych”.Szczególnie interesująca jest ostatnia część cytowanego fragmentu. Nakazywanie wdrożenia przepisów o ochronie danych osobowych przywodzi na myśl pozycję administratora, chociażby z tego względu, iż zgodnie z przepisami RODO jest on uprawniony do wydawania procesorowi poleceń. A contrario, uprawnienia takie nie przysługują procesorowi względem by się mogło, iż już sam prawodawca rozstrzygnął kwestię statusu spółki-matki (przedsiębiorstwa sprawującego kontrolę). W praktyce jednak, z uwagi na możliwość prowadzenia przez spółkę-matkę działalności usługowej względem pozostałych podmiotów należących do grupy, niewykluczone jest występowanie przez nią w roli procesora, np. w przypadku świadczenia usług hostingu na rzecz pozostałych podmiotów w grupie. Możliwe jest także łączenie dwóch ról, w przypadku gdy z jednej strony spółka-matka świadczyć będzie usługi na rzecz pozostałych podmiotów, a jednocześnie będzie „uwłaszczać się” na pozyskanych od nich danych (np. w zakresie prowadzonej na poziomie centralnym działalności marketingowej).Jednocześnie trzeba pamiętać, iż w każdym wypadku ustalenie statusu podmiotu należącego do grupy kapitałowej – niezależnie od tego, czy chodzi o spółkę-matkę, czy też spółkę „szeregową” – powinno opierać się na analizie stanu faktycznego związanego z przetwarzaniem danych osobowych. Jak wskazuje Grupa Robocza Art. 29:”należy przyjrzeć się konkretnym operacjom przetwarzania i zrozumieć, kto je określa, odpowiadając na pierwszym etapie na pytania «dlaczego dane przetwarzanie ma miejsce? Kto jest rozpoczął»?”[3].Powierzenie przetwarzania – jak?W przypadku ustalenia, iż dana spółka występuje w ramach grupy kapitałowej w roli procesora, konieczne jest uregulowanie zasad powierzenia jej przez spółkę-administratora przetwarzania należących do niej danych pierwszej kolejności, administrator powinien zweryfikować, czy spółka, której zamierza powierzyć dane osobowe do przetwarzania zapewnia wystarczające gwarancje wdrożenia odpowiednich środków organizacyjnych i technicznych, by przetwarzanie spełniało wymogi RODO i chroniło prawa osób, których dane dotyczą (art. 28 ust. 1 RODO).W przypadku grup kapitałowych wzajemne weryfikowanie się poszczególnych spółek może wydawać się absurdalne, w szczególności w przypadku tych grup, w których współpraca spółek jest bliska. Na pierwszy plan wkraczają tutaj zasady compliance przyjęte w spółkach[4]. W przypadku wprowadzenia na poziomie całej grupy kapitałowej jednolitych zasad ochrony danych osobowych weryfikacja spółek przetwarzających dane osobowe w imieniu innych należących do grupy może stać się „formalnością”.Samo powierzenie przetwarzania, zgodnie z art. 28 ust. 3 RODO, może przybrać jedną z dwóch postaci:zawarcia między podmiotami umowy powierzenia przetwarzania danych osobowych lubposłużenie tzw. „innym instrumentem prawnym”.Wymogi umowy powierzenia przetwarzania danych osobowych określone zostały w przytoczonym powyżej artykule. W praktyce, umowy takie, zawierane pomiędzy spółkami należącymi do grupy kapitałowej są mniej rygorystyczne niż umowy zawierane z podmiotami zewnętrznymi. W szczególności dotyczy to zasad korzystania z dalszych podmiotów przetwarzających (ogólna zgoda z możliwością wyrażenia sprzeciwu przez administratora w przypadku zmiany wskazanych podmiotów w miejsce wymogu uzyskiwania każdorazowej szczegółowej zgody) oraz wymogów związanych z zasadami ochrony danych (wskazane powyżej stosowanie jednolitych standardów w ramach grupy).Większym problemem może być potencjalnie duża liczba umów, jaka będzie musiała być zawarta pomiędzy spółkami. W szczególności dotyczy to tworzenia w ramach grupy kapitałowej spółek będących centrami usług wspólnych, odpowiedzialnych za świadczenie na rzecz innych spółek określonego rodzaju usług, jak np. wspomniane powyżej wsparcie perspektywie powyższego, kuszące może wydawać się posłużenie się konstrukcją przytoczonego już „innego instrumentu prawnego”. Wybór ten nie jest zależny jednak od swobodnej decyzji podmiotów uczestniczących w przetwarzaniu danych osobowych. W piśmiennictwie podkreśla się, że „inny instrument prawny” stanowi czynność prawną inną od umowy. Będzie nim w szczególności akt prawny[5]. Co do zasady konstrukcja ta nie znajdzie więc zastosowania do powierzenia przetwarzania danych osobowych pomiędzy spółkami w ramach grupy kapitałowej. Brak jest bowiem aktu prawnego, który regulowałby szczegółowo zasady przetwarzania danych osobowych w ramach grupy kapitałowej, czy też przepisu pozwalającego na uregulowanie zasad przetwarzania danych osobowych w grupie kapitałowej dokumentem przyjętym np. przez spółkę-matkę, które mogłyby zostać uznane za inny instrument jednak na uwadze, iż umowa zawierana pomiędzy spółką obsługującą inne spółki z grupy będzie zbliżona w treści, rozważyć można zawarcie umowy wielostronnej, tj. jednej umowy regulującej przetwarzanie przez spółkę-procesora danych osobowych kilku spółek-administratorów. Nadto, inaczej niż na gruncie uprzednio obowiązującej ustawy o ochronie danych osobowych, RODO nie wymaga, aby umowa została zawarta w formie pisemnej. Zgodnie z art. 28 ust. 9 RODO umowa winna mieć formę pisemną, w tym elektroniczną. Tę drugą zaś należy rozumieć inaczej niż formę elektroniczną wskazaną w Kodeksie cywilnym[6], zrównując ją z postacią elektroniczną, czyli polską formą dokumentową[7].Słowo na koniecPowierzenie przetwarzania danych osobowych wewnątrz grupy kapitałowej wbrew pozorom nie stanowi konstrukcji czysto teoretycznej. W szczególności, coraz częstsza praktyka przenoszenia części zadań, które dotychczas były wykonywane przez podmioty zewnętrzne względem spółek (outsourcing wewnętrzny), pociąga za sobą konieczność adekwatnego uregulowania związanego z tym przetwarzania danych przypadku uznania, że w danych okolicznościach faktycznych zachodzi konieczność powierzenia przetwarzania, niezbędne będzie zawarcie umowy powierzenia przetwarzania danych osobowych, zgodnej z wymogami określonymi w art. 28 ust. 3 RODO. Pewnym ułatwieniem jest w tym wypadku możliwość zawarcia umowy w formie dokumentowej. Obowiązek zawarcia ww. umowy nie powinien być ignorowany. Oprócz znanych i (nie)lubianych konsekwencji związanych z brakiem umowy, w postaci ryzyka nałożenia wysokiej administracyjnej kary pieniężnej, należy mieć także na uwadze możliwość zakwalifikowania działań niedoszłego procesora jako działań administratora danych osobowych i ponoszenia związanej z tym odpowiedzialności (art. 28 ust. 10 RODO).[1] M. Sakowska-Baryła (red.), Ogólne rozporządzenie o ochronie danych osobowych. Komentarz, Warszawa 2018[2] (data dostępu: r.)[3] Opinia Grupy Roboczej Art. 29 nr 1/2010 w sprawie pojęć „administrator danych” i „przetwarzający” ( data dostępu: r.)[4] Kwestia compliance w grupach kapitałowych będzie przedmiotem artykułu z cyklu ForumBK, jaki ukaże się w dniu M. Sakowska-Baryła (red.), Ogólne rozporządzenie o ochronie danych osobowych. Komentarz, Warszawa 2018[6]Art. 78[1] § 1: Do zachowania elektronicznej formy czynności prawnej wystarcza złożenie oświadczenia woli w postaci elektronicznej i opatrzenie go kwalifikowanym podpisem elektronicznym.[7] Por. np. rozważania dot. formy umowy powierzenia przetwarzane P. Litwiński (red.), Rozporządzenie UE w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i swobodnym przepływem takich danych. Komentarz, Warszawa 2018***AbstractArticle published as part of the #ForumBK project – GDPR in capital groupsThe transfer of personal data between entities belonging to a group of companies may be based on a number of grounds, depending on the status of individual entities participating in the processing. For instance, one company may process personal data on behalf of another company. Such a situation occurs most often in the case of a company created to render services to other companies belonging to the group. Nevertheless, in each case, determining the status of the entity participating in the processing of personal data should be based on an analysis of the facts related to the processing. Processing of the personal data by a processor within the group of companies is governed by a data processing agreement. Before conclusion of such an agreement, the data controller should verify the processor; in group of companies, this entails verifying whether the processor provides sufficient guarantees to implement appropriate data protection measures which may involve the adoption of uniform data protection standards in the group. Data processing agreement may be concluded in an electronic form.

Umowa zawierana między administratorem a procesorem, czyli podmiotem przetwarzającym dane jest zdecydowanie najważniejszym ogniwem współpracy między nimi. Sprawdź naszą propozycję wzoru umowy powierzenia przetwarzania danych osobowych. Umowa powierzenia przetwarzania danych osobowych Błyskawiczny rozwój outsourcingu usług związanych z prowadzeniem działalności gospodarczej oraz wejście w życie przepisów ogólnego rozporządzenia 2016/679 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz. Urz. UE L 119 z r.) - dalej jako „RODO” spopularyzował umowę powierzenia przetwarzania danych osobowych, zawieraną z podmiotami świadczącymi usługi kadrowe, księgowe, serwisu IT, ochrony mienia i osób, obsługę w zakresie BHP, prowadzenia zewnętrznego archiwum, przeprowadzania konkursów przez agencję reklamową na zlecenie klienta i inne. Takie podmioty stają się, w świetle prawa, podmiotami przetwarzającymi dane osobowe w imieniu i na zlecenie administratora danych. Podmiot, któremu powierzane są dane do przetwarzania nie staje się ich administratorem (chociaż ponosi odpowiedzialność tak samo, jak administrator), a jedynie wykonuje operacje na należących do administratora danych, w sposób i w celu ściśle przez niego któremu dane powierzono nie ma prawa ich wykorzystywać, do własnych celów (w szczególności dodawać ich do własnej bazy klientów/marketingowej oraz dalej udostępniać/sprzedawać. Nie może również wykorzystywać ich do promocji własnych produktów i usług). Powierzaniu może podlegać dowolna czynność na danych - od gromadzenia, przez edycję, przechowywanie, usunięcie. Umowa zawierana między administratorem a procesorem, czyli podmiotem przetwarzającym dane jest zdecydowanie najważniejszym ogniwem współpracy między nimi. Kto może być podmiotem przetwarzającym dane na zlecenie administratora danych. Ogólne rozporządzenie o ochronie danych jednoznacznie precyzuje, kto może być procesorem, tj. podmiotem przetwarzającym dane osobowe. Podmiotem przetwarzającym dane może być zatem: osoba fizyczna lub prawna, organ publiczny, jednostka lub inny podmiot, który przetwarza dane osobowe w imieniu administratora. Elementy umowy powierzenia przetwarzania danych Przepisy RODO oznaczają dla administratorów danych osobowych nową rzeczywistość w aspekcie umów powierzenia przetwarzania i wskazują wprost elementy, które umowa taka powinna zawierać. Mowa tutaj o art. 28 RODO, określającym podstawowy katalog obowiązkowych zapisów umowy powierzenia. Niedostosowanie zapisów umowy do nowych wymagań może rodzić szereg negatywnych konsekwencji, między innymi w postaci wysokich kar pieniężnych - zarówno po stronie administratora, jak i podmiotu przetwarzającego. Przechodząc do zakresu przedmiotowego umowy powierzenia należy zauważyć, że jej treść powinna zawierać następujące elementy: Określenie administratora danych, Określenie podmiotu przetwarzającego dane na zlecenie administratora, przedmiot przetwarzania, czas trwania przetwarzania, charakter i cel przetwarzania, rodzaj powierzonych danych osobowych (tu należy wpisać konkretne kategorie danych osobowych, przy czym wskazać należy czy są to dane zwykłe czy szczególne kategorie danych czy też takie, które dotyczą wyroków skazujących i naruszeń prawa). kategorię osób, których dane dotyczą (np. jeśli przetwarzaniu podlegają dane pracowników i kontrahentów to każda z tych grup stanowi odrębną kategorię osób). obowiązki i prawa administratora, obowiązki podmiotu przetwarzającego. Wymienione powyżej elementy to minimum, które powinna zawierać każda umowa. Nie jest jednak wykluczone, aby zawrzeć w niej jeszcze dodatkowe elementy, które będą stanowić dodatkowe zabezpieczenie. Przykładowo może to być wprowadzenie kar umownych za naruszenia ochrony danych przez przedmiot przetwarzający, wprowadzenie zasad przeprowadzania audytów lub określenie sposobów zakończenia współpracy w przyszłości. Warto w umowie powierzenia zawrzeć zapis o tym, w jakim terminie podmiot przetwarzający poinformuje administratora danych o zaistniałym naruszeniu bezpieczeństwa przetwarzanych danych osobowych (jeżeli takie wystąpi). To o tyle istotne, że Administrator Danych zobowiązany jest zgłosić takie naruszenie do organu nadzorczego (Urzędu Ochrony Danych Osobowych) w ciągu 72 godzin od momentu jego stwierdzenia. Sprawdź naszą propozycję wzoru umowy powierzenia przetwarzania danych osobowych: Umowa powierzenia przetwarzania danych osobowych - wzór Oczywiście każda z sytuacji powierzenia będzie posiadała swoją specyfikę, wzór ten pomoże jednak w zrozumieniu najważniejszych elementów tej umowy. I jeszcze jedna ważna informacja: Umowa powierzenia przetwarzania danych osobowych powinna zostać sporządzona na piśmie. Możliwa jest również jej forma elektroniczna. Obowiązki administratora i podmiotu przetwarzającego W stosunku do poprzedniego stanu prawnego, nowością, którą wprowadziło RODO jest obowiązek spoczywający na administratorze danych, polegający na sprawdzeniu podmiotu, któremu mają zostać powierzone dane i dołożeniu szczególnej staranności przy jego wyborze. Zgodnie z art. 28 ust. 1 RODO administrator powinien korzystać wyłącznie z usług podmiotów, które zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi RODO i chroniło prawa osób, których dane dotyczą np. pracowników, klientów, kontrahentów. Podmiot przetwarzający musi zapewnić przynajmniej taki sam poziom ochrony jak administrator danych, dokonywać regularnego szacowania ryzyka oraz być w stanie zapewnić ciągłość działania. W szczególności procesor powinien: zapewnić zachowanie tajemnicy przetwarzanych danych osobowych, zagwarantować odpowiednie bezpieczeństwo ich przetwarzania (środki zapewnienie bezpieczeństwa mogą obejmować np. pseudonimizację i szyfrowanie danych osobowych, zapewnienie poufności, integralności, dostępności i odporności systemów i usług przetwarzania, przywracanie dostępności danych w razie incydentu fizycznego lub technicznego, regularne testowanie i ocenianie skuteczności ww. środków), udzielić pomocy administratorowi w wypełnianiu jego obowiązków względem osoby, której dane dotyczą lub Prezesa Urzędu Ochrony Danych Osobowych RODO wprowadza również obowiązek usunięcia lub zwrotu wszelkich danych osobowych, a także usunięcia wszelkich ich istniejących kopii przez podmiot przetwarzający po zakończeniu przez niego świadczenia usług związanych z przetwarzaniem, chyba że prawo Unii lub prawo państwa członkowskiego nakazuje przechowywanie danych osobowych. Audyty i kontrole u podmiotu przetwarzającego dane Administrator danych ma prawo do przeprowadzenia kontroli podmiotu przetwarzającego w zakresie zgodności jego działalności z przepisami RODO i obowiązującymi wymogami w zakresie ochrony praw osób, których dane są przetwarzane. Przeprowadzanie audytów i kontroli u kontrahentów, którym powierza się dane do przetwarzania, już teraz staje się coraz bardziej powszechnym zjawiskiem. W umowie powierzenia przetwarzania danych warto określić termin, w jakim Administrator danych powinien poinformować podmiot przetwarzający o planowej kontroli. Jednocześnie podmiot przetwarzający nie może korzystać z usług innego podmiotu przetwarzającego bez uprzedniej szczegółowej lub ogólnej pisemnej zgody administratora. Z jakimi podmiotami nie trzeba podpisywać umowy powierzenia przetwarzania danych Należy zaznaczyć, że umowy powierzenia nie trzeba podpisywać z podmiotami i instytucjami, które mogą otrzymywać dane osobowe od Administratora Danych na podstawie przepisów prawa (np. ZUS, Urząd Skarbowy, komornik, Policja, Prokuratura, etc.), ponieważ w tym przypadku mamy do czynienia z udostępnieniem danych osobowych, a nie ich powierzeniem. To o czym należy pamiętać w procesie podpisywania umowy powierzania danych osobowych i związanym z tym przekazywaniem danych to to, że przekazanie danych do powierzenia powinno nastąpić dopiero po zawarciu stosownej umowy, a nigdy wcześniej. Dalsze powierzenie przetwarzania danych osobowych Podmiot, któremu powierza się dane może, w pewnych sytuacjach, mieć potrzebę powierzyć te dane dalej, kolejnemu podmiotowi. Przykładem takiej sytuacji może być przekazanie przez biuro księgowe danych swoich klientów firmie, która dostarcza mu program informatyczny. Taką sytuację nazywamy podpowierzeniem. Możliwość dalszego powierzenia danych do przetwarzania przewiduje wprost samo rozporządzenie (art. 28 ust. 2 i 4). Dalsze powierzenie danych do przetwarzania następuje na podstawie umowy lub innego aktu prawnego, które podlegają prawu Unii lub prawu państwa członkowskiego. Może jednak wystąpić tylko pod warunkiem uzyskania szczególnej lub ogólnej pisemnej zgody administratora danych. Podmiot, któremu podmiot przetwarzający powierza dane do dalszego przetwarzania to tzw. podprocesor. Nałożone na niego obowiązki w zakresie ochrony danych osobowych pozostają takie same, jak te wymienione w umowie lub innym akcie prawnym między administratorem a podmiotem przetwarzającym. Taki „podprocesor” podlega w szczególności obowiązkowi zapewnienia wystarczających gwarancji wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie odpowiadało wymogom rozporządzenia RODO. Odpowiedzialność procesora wobec administratora za wypełnienie obowiązków, jakie wziął na siebie poprzez zawarcie z nim umowy, nie może być wyłączona poprzez zawarcie umowy o dalszym powierzeniu danych do przetwarzania. Jeżeli inny podmiot przetwarzający („podprocesor”) nie wywiąże się ze spoczywających na nim obowiązków ochrony danych, pełna odpowiedzialność za to obciąży procesora, który zawarł umowę z ADO. Umowa powierzenia przetwarzania danych osobowych - wzór

Umowa o powierzeniu przetwarzania danych osobowych UMOWA POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH § 1. Zawarcie umowy Z chwilą kliknięcia przycisku „Akceptuję umowę” dochodzi do zawarcia niniejszej umowy (zwanej dalej „Umową”) pomiędzy podmiotem, który reprezentuje osoba akceptująca umowę (np. szkołą, spółką albo bezpośrednio osobą akceptującą umowę), zwaną dalej „Administratorem”, a spółką Gdańskie Wydawnictwo Oświatowe spółka z ograniczoną odpowiedzialnością spółka komandytowa z siedzibą w Gdańsku, al. Grunwaldzka 413, 80-309 Gdańsk, zarejestrowaną w rejestrze przedsiębiorców prowadzonym przy Sądzie Rejonowym Gdańsk-Północ w Gdańsku, VII Wydział Gospodarczy KRS pod numerem KRS 0000537551, posiadającą nr REGON: 190409115 oraz NIP: 584-10-00-656, zwaną dalej „Procesorem”. Osoba, która kliknęła przycisk „Akceptuję umowę”, oświadcza jednocześnie, iż: jest w prawidłowy sposób upoważniona przez Administratora do zawarcia Umowy albo występuje we własnym imieniu jako Administrator; zapoznała się z treścią Umowy i akceptuje jej postanowienia. Procesor nie ponosi odpowiedzialności za działania osoby, która zawarła Umowę w imieniu Administratora, pomimo braku prawidłowego umocowania. Procesor posiada informacje identyfikujące Administratora potrzebne do zawarcia Umowy (np. nazwę szkoły i jej adres) w swojej bazie danych, w związku z czym nie jest konieczne uzupełnianie informacji identyfikujących Administratora bezpośrednio w treści niniejszej Umowy, a wystarczające jest kliknięcie przycisku „Akceptuję umowę”, który jest opatrzony hiperlinkiem indywidualnie generowanym dla każdego podmiotu, któremu Procesor proponuje zawarcie Umowy. § 2. Zakres i cel umowy Umowa zostaje zawarta w związku z usługami świadczonymi drogą elektroniczną przez Procesora, takich jak Lepsza Szkoła, Matlandia i inne Aplikacje GWO (zgodnie z zaakceptowanymi przez Administratora regulaminami poszczególnych usług) zwanych dalej łącznie „Usługami”, w ramach których dochodzi lub może dochodzić do przekazania Procesorowi przez Administratora danych osobowych w celu ich przetwarzania przez Procesora. Zawarcie Umowy jest związane z koniecznością wykonania obowiązków Administratora oraz Procesora wynikających z przepisów rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE ( dalej zwanego „RODO”. Do powierzenia przetwarzania danych Procesorowi przez Administratora wystarczające jest zawarcie jednorazowo niniejszej Umowy, pomimo korzystania z różnych Usług przez Administratora. Brak zawarcia Umowy lub jej późniejsze rozwiązanie może skutkować brakiem możliwości pełnego korzystania z Usług przez Administratora i inne osoby, które uzyskują dostęp do Usług. Administrator na mocy Umowy powierza Procesorowi przetwarzanie następujących danych: dane osobowe uczniów, w skład których wchodzą: imię i nazwisko, klasa, placówka szkolna, w której się uczy, wyniki rozwiązywanych testów, nr IP, login, adres e-mail oraz inne dane, które mogą być potrzebne do realizacji Usługi; dane osobowe nauczycieli (pracowników Administratora), w skład których wchodzą: imię i nazwisko, klasy, w których uczy nauczyciel, miejsce zatrudnienia, nauczany przedmiot, nr IP, login, adres e-mail oraz inne dane, które mogą być potrzebne do realizacji Usługi; dane osobowe innych osób, które mogą korzystać z Usług, w skład których wchodzą: imię i nazwisko, miejsce zatrudnienia, nr IP, login, adres e-mail oraz inne dane, które mogą być potrzebne do realizacji Usługi. Czynności przetwarzania danych osobowych, do których wykonywania Administrator upoważnia Procesora, mogą obejmować przechowywanie, modyfikowanie, uzupełnianie, aktualizację, pobieranie, przeglądanie, wykorzystywanie, udostępnianie, łączenie, ograniczanie, usuwanie lub niszczenie, archiwizowanie danych, w tym także w sposób zautomatyzowany. Administrator oświadcza, iż jest administratorem powierzanych danych osobowych w rozumieniu RODO i spełnił wszelkie warunki legalności przetwarzania danych osobowych. Administrator zapewnia, że posiadane przez niego i przekazywane Procesorowi do przetwarzania dane osobowe zostały zgromadzone i udostępnione Procesorowi zgodnie z prawem, w tym w szczególności, że Administrator posiada podstawę prawną do ich przetwarzania oraz do powierzenia ich przetwarzania w zakresie opisanym w Umowie (np. posiada odpowiednią zgodę na przetwarzanie danych wyrażoną przez uprawnioną do tego osobę). Procesor będzie przetwarzał dane osobowe w związku ze świadczeniem Usług, z których korzysta Administrator, w celu umożliwienia pełnego korzystania z nich, przez czas korzystania z Usług zgodnie z regulaminami poszczególnych Usług. Dane będą przetwarzane przez Procesora wyłącznie ze względu na to, iż Administrator chce korzystać z Usług, w ramach których dochodzi lub może dochodzić do przetwarzania danych osobowych, na udokumentowane polecenie Administratora. Administrator jest zobowiązany do niezwłocznego informowania Procesora o utracie prawa do przetwarzania danych, których przetwarzanie powierzył Procesorowi, wzywając do zaniechania przetwarzania i usunięcia tych danych. § 3. Obowiązki Procesora Procesor zapewnia, że – zgodnie z wymaganiami RODO – dane osobowe powierzone przez Administratora będą przetwarzane za pomocą odpowiednich środków technicznych lub organizacyjnych w sposób zapewniający odpowiednie ich bezpieczeństwo, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem. Dla zapewnienia prawidłowości przetwarzania danych osobowych Procesor wdrożył w swojej działalności m. in. zgodną z RODO politykę bezpieczeństwa danych osobowych, a także upoważnił i w odpowiedni sposób przeszkolił swoich pracowników w związku z przetwarzaniem danych osobowych. Procesor zobowiązuje się do przetwarzania danych osobowych powierzonych przez Administratora zgodnie z postanowieniami Umowy oraz regulaminów poszczególnych Usług, które są świadczone na rzecz Administratora. Procesor: dopuści do przetwarzania danych osobowych jedynie osoby działające z jego upoważnienia oraz których dostęp do danych osobowych jest niezbędny do wykonania Usług, w związku z którymi przetwarzane są dane osobowe, zapewni, aby osoby mające dostęp do danych osobowych zobowiązane były do zachowania tajemnicy w zakresie przetwarzania danych osobowych, zaznajomi osoby upoważnione do przetwarzania danych osobowych z przepisami dotyczącymi ochrony danych osobowych i odpowiedzialnością za ochronę tych danych przed niepowołanym dostępem, nieuzasadnioną modyfikacją, zniszczeniem, nielegalnym ujawnieniem lub pozyskaniem danych osobowych. Uwzględniając stan wiedzy technicznej, koszt wdrożenia systemu informatycznego oraz charakter, zakres, kontekst i cele przetwarzania danych osobowych oraz ryzyko naruszenia praw osób, których dane dotyczą, Procesor wdrożył odpowiednie środki techniczne i organizacyjne, aby przetwarzanym danym osobowym zapewnić stopień bezpieczeństwa odpowiadający – z uwzględnieniem prawdopodobieństwa wystąpienia i wagi zagrożenia – ryzyku naruszenia praw lub wolności podmiotów danych w wyniku wykonywania niniejszej Umowy. Ponadto, Procesor - uwzględniając charakter wykonywanych czynności przetwarzania danych osobowych oraz dostępne Stronom informacje dotyczące danych osobowych powierzonych Procesorowi do przetwarzania na podstawie Umowy: w miarę możliwości pomaga Administratorowi wywiązać się z obowiązku odpowiadania na żądania osoby, której dane dotyczą w zakresie wykonywania jej praw określonych w Rozdziale III RODO, udziela Administratorowi pomocy w wywiązaniu się z obowiązków wymienionych w art. 32?36 RODO, na żądanie Administratora, przekaże Administratorowi wszelkie znajdujące się w dyspozycji Procesora informacje w zakresie niezbędnym do wykazania spełnienia obowiązków określonych w art. 28 RODO, umożliwi Administratorowi lub działającej w jego imieniu osobie trzeciej, przeprowadzenie kontroli sposobu wywiązania się z wyżej wymienionych obowiązków, w tym również przez współdziałanie w przeprowadzeniu kontroli – na warunkach określonych w § 5. Obowiązki pomocy opisane w ust. 5 powyżej będą wykonywane przez Procesora w sytuacji, gdy Administrator nie ma możliwości wykonania danej czynności samodzielnie (we własnym zakresie) lub przy współdziałaniu ze strony osób trzecich innych niż Procesor oraz wyłącznie w zakresie obiektywnie niezbędnym dla umożliwienia Administratorowi wywiązania się przez niego z obowiązków wynikających z przepisów prawa. W innych przypadkach ww. obowiązki pomocy wykonywane będą przez Procesora w sposób i na warunkach odrębnie uzgodnionych przez Strony. W przypadku stwierdzenia naruszenia ochrony danych osobowych przetwarzanych na zlecenie Administratora, Procesor, zgodnie z przyjętą przez niego procedurą, poinformuje o tym Administratora niezwłocznie, nie później niż w terminie 36 godzin od stwierdzenia naruszenia; powiadomienie nastąpi przez przesłanie wiadomości za pośrednictwem poczty elektronicznej na adres Administratora. Procesor zobowiązuje się powiadamiać Administratora niezwłocznie, nie później niż w ciągu 3 dni roboczych od wystąpienia zdarzenia, o: wszelkich żądaniach ujawnienia powierzonych przez Administratora danych osobowych, zgłaszanych przez organy władzy publicznej, przed ich ujawnieniem, chyba że jest to z innych względów zabronione; wszczęciu kontroli przez organ nadzorczy zajmujący się ochroną danych osobowych w związku z powierzeniem przez Administratora Procesorowi przetwarzania danych osobowych, a także o wszelkich decyzjach lub postanowieniach administracyjnych wydanych wobec Procesora w związku z powyższym; wszczętych lub toczących się postępowaniach administracyjnych, sądowych lub przygotowawczych związanych z powierzeniem przez Administratora Procesorowi przetwarzania danych osobowych, a także o wszelkich decyzjach, postanowieniach lub orzeczeniach wydanych wobec Procesora w związku z powyższym; wszelkich incydentach dotyczących przetwarzania przez Procesora danych osobowych powierzonych przez Administratora, w tym uzyskania przypadkowego lub nieupoważnionego dostępu do powierzonych danych osobowych, przypadkach zmiany, utraty, uszkodzenia lub zniszczenia powierzonych danych osobowych. § 4. Zasady dalszego powierzenia przetwarzania danych Administrator upoważnia Procesora do dalszego powierzenia przetwarzania danych osobowych objętych Umową, zewnętrznym podmiotom trzecim, spełniającym warunki RODO i Umowy, w celu wykonania Umowy i regulaminów świadczenia poszczególnych Usług. W szczególności dotyczy to zgody na dalsze powierzenie przetwarzania danych podwykonawcom (np. podmiotom świadczącym usługi informatyczne i dostarczające infrastrukturę teleinformatyczną Procesorowi). Procesor ponosi pełną odpowiedzialność wobec Administratora za realizację obowiązków i zadań przez zewnętrzny podmiot trzeci. Procesor może przekazać powierzone dane do państwa trzeciego wyłącznie na pisemne polecenie Administratora, chyba że obowiązek taki nakłada na Procesora prawo Unii Europejskiej lub prawo państwa członkowskiego UE, któremu podlega Procesor. W takim przypadku przed rozpoczęciem przetwarzania Procesor informuje Administratora o tym obowiązku, jeśli prawo nie zabrania udzielenia takiej informacji ze względu na ważny interes publiczny. Jeżeli do wykonania w imieniu Administratora konkretnych czynności przetwarzania Procesor korzysta z usług innego podmiotu przetwarzającego, na ten inny podmiot przetwarzający nałożone zostają – na mocy umowy lub innego aktu prawnego, które podlegają prawu Unii Europejskiej lub prawu państwa członkowskiego – te same obowiązki ochrony danych jak w Umowie, w szczególności obowiązek zapewnienia wystarczających gwarancji wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie odpowiadało wymogom RODO. Jeżeli ten inny podmiot przetwarzający nie wywiąże się ze spoczywających na nim obowiązków ochrony danych, pełna odpowiedzialność wobec Administratora za wypełnienie obowiązków tego innego podmiotu przetwarzającego spoczywa na Procesorze. § 5. Prawo do kontroli Administrator ma prawo do kontroli Procesora w celu stwierdzenia, czy środki zastosowane przy przetwarzaniu danych w związku z Umową spełniają postanowienia Umowy oraz RODO. Procesor na pisemny wniosek Administratora przekaże mu informacje dotyczące przetwarzania przez niego danych osobowych, w ciągu 14 dni roboczych od otrzymania wniosku. W przypadku konieczności przeprowadzenia przez Administratora audytów, w tym inspekcji, Administrator jest zobowiązany do uzgodnienia z Procesorem zasad przeprowadzenia tych działań z odpowiednim wyprzedzeniem, to jest na co najmniej 30 dni roboczych przed planowanym audytem lub inspekcją. Administrator wskaże wówczas Procesorowi dokładny zakres, termin oraz osoby upoważnione przez Administratora do przeprowadzenia kontroli. Jeżeli przeprowadzenie kontroli przetwarzania nie będzie możliwe w terminie wskazanym przez Administratora w zawiadomieniu, o którym mowa w zdaniu poprzednim (z uzasadnionych przyczyn, w szczególności z uwagi na liczbę kontroli zgłoszonych przez innych klientów Procesora), Procesor poinformuje Administratora o pierwszym możliwym terminie przeprowadzenia kontroli; informacja taka zostanie przekazana za pośrednictwem poczty elektronicznej lub pocztą tradycyjną. § 6. Odpowiedzialność Procesor jest odpowiedzialny względem Administratora za zgodność z Umową przetwarzania danych osobowych, których przetwarzanie Administrator powierzył Procesorowi na mocy niniejszej Umowy. Procesor ponosi odpowiedzialność jedynie za poniesione przez Administratora rzeczywiste straty wynikłe z niewykonania lub nienależytego wykonywania niniejszej Umowy, będącego następstwem okoliczności, za które Procesor ponosi odpowiedzialność - przy czym całkowita odpowiedzialność Procesora z wszelkich tytułów wynikających z niniejszej Umowy w całym okresie jej obowiązywania nie może przekroczyć kwoty stanowiącej wartość netto przychodów Procesora z tytułu świadczenia Usług na rzecz Administratora, w związku z którymi przetwarzane są dane osobowe, osiągniętych przez Procesora w okresie ostatniego roku poprzedzającego zaistnienie naruszenia. Procesor nie ponosi odpowiedzialności za jakiekolwiek korzyści, jakie Administrator mógłby osiągnąć gdyby mu szkody nie wyrządzono. Wszelka dalej idąca odpowiedzialność Procesora za szkody, jakie może ponieść Administrator w związku z niewykonaniem lub nienależytym wykonywaniem niniejszej Umowy, jest wyłączona. W przypadku wszczęcia jakiegokolwiek postępowania administracyjnego lub sądowego w związku z przetwarzaniem danych przez Administratora i powierzeniem ich przetwarzania na mocy Umowy Procesorowi, Administrator niezwłocznie, to jest w terminie nie dłuższym niż 3 dni robocze od powzięcia wiadomości o ww. postępowaniu, poinformuje o tym Procesora na piśmie. Procesor będzie w miarę możliwości brał udział w wyjaśnianiu sprawy w celu zminimalizowania sankcji, które może zastosować organ nadzoru; w tym celu Procesor w szczególności będzie udzielał organowi wyjaśnień (ustnych lub pisemnych) i proponował środki zaradcze. § 7. Czas obowiązywania umowy i przetwarzania danych Umowa będzie obowiązywała w sposób ciągły do czasu zakończenia korzystania przez Administratora z Usług. W przypadku zakończenia korzystania z poszczególnych Usług świadczonych przez Procesora na rzecz Administratora zgodnie z regulaminami poszczególnych Usług, Procesor będzie zobowiązany do zaniechania przetwarzania, a w konsekwencji do usunięcia danych powierzonych do przetwarzania przez Administratora w ramach danej Usługi. § 8. Poufność Procesor zobowiązuje się do zachowania w poufności wszystkich danych osobowych, których przetwarzanie powierza Administrator w ramach niniejszej Umowy. Procesor oświadcza, że dane osobowe powierzone do przetwarzania przez Administratora nie będą ujawniane, z wyjątkiem powierzenia ich dalszego przetwarzania w myśl § 4 Umowy oraz z wyjątkiem, gdy obowiązek ich ujawnienia będzie wynikał z Umowy lub przepisów obowiązujących Procesora (np. w wyniku zapytania złożonego przez organy wymiaru sprawiedliwości). Strony zobowiązują się do podjęcia wszelkich uzasadnionych działań dla zapewnienia poufności form porozumiewania się między sobą, tak aby zminimalizować ryzyko naruszenia zasad ochrony danych osobowych, w tym ich ujawnienia, w szczególności podczas ich wzajemnego przekazywania sobie oraz przechowywania. § 9. Postanowienia końcowe Postanowienia Umowy zastępują wszelkie porozumienia objęte jej zakresem (tzn. dotyczące powierzenia przetwarzania danych osobowych), a które do dnia r. mogły wynikać z regulaminów poszczególnych Usług świadczonych przez Procesora na rzecz Administratora. Sądem właściwym do rozpatrywania sporów związanych z Umową jest sąd właściwy dla siedziby Procesora. W zakresie nieuregulowanym w niniejszej umowie zastosowanie znajdują przepisy RODO oraz Kodeksu Cywilnego.

Եнамուኹ ዟνе	Խкаβጇδа ፍηам еፔըዔыхо
Кабυզ мυхичωщатв увсо	Наскоገу ечуዷ
Ιщιчθкፑδе ιህևкт чሄπω	Чоպիδաгаք եμወшιγ
Ащαዙе ο	Еդጹቩեሦ итυсноψ
Бեռичиտ ուлиጳап	ጰовс իзዙր խսዙቱሄጠο