Przepisy RODO wyróżniają również przekazanie danych osobowych w formie powierzenia przetwarzania danych osobowych. Zgodnie z art. 4 ust. 8 RODO, „podmiot przetwarzający” oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który przetwarza dane osobowe w imieniu administratora.
W związku z koniecznością przeprowadzenia szkolenia BHP dla naszych pracowników planujemy skorzystać z usług firmy szkoleniowej. Zastanawiamy się jednak, jak prawidłowo określić rolę naszą i tej firmy w procesie przetwarzania danych osobowych. Czy pracodawca w każdym przypadku, gdy kieruje pracownika na szkolenie (BHP, podnoszące kwalifikacje), powinien zawrzeć z firmą szkoleniową umowę powierzenia, o której mowa w art. 28 ust. 3 RODO? W celu ustalenia, czy w danej sytuacji mamy do czynienia z odrębnym administratorem, czy jednak istnieje konieczność zawarcia umowy powierzenia, należy przede wszystkim dokonać analizy okoliczności faktycznych z uwzględnieniem zadań określonych podmiotów wynikających z przepisów prawa oraz zawartej pomiędzy nimi umowy. Trzeba brać pod uwagę, jak w szczegółach realizowane są obowiązki przeprowadzenia szkolenia w konkretnym przypadku i jak pracodawca i firma szkoleniowa uzgodniły swoje role oraz zadania w zakresie przetwarzania danych, a także na ile samodzielnie i w jakich celach podmioty te przetwarzają dane w celach związanych ze szkoleniem. W wielu przypadkach, gdy następuje przekazanie realizacji zadania innemu podmiotowi, który realizuje je (także w zakresie przetwarzania danych) w sposób niezależny, samodzielnie decydując o sposobach i celach przetwarzania, a zadania i obowiązki tego podmiotu są dodatkowo dość szczegółowo określone w przepisach prawa, istnieją podstawy do uznania ich za odrębnych administratorów. Powierzenie przetwarzania powinno mieć natomiast miejsce wówczas, jeśli zewnętrzny podmiot przetwarza dane w imieniu administratora, w celach i w sposób przez niego określony. W niektórych przypadkach warto zwrócić uwagę na rozwiązanie określone w art. 26 RODO, tj. instytucję współadministrowania. Zgodnie z art. 94 pkt 4 ustawy Kodeks pracy, pracodawca jest obowiązany w szczególności zapewniać bezpieczne i higieniczne warunki pracy oraz prowadzić systematyczne szkolenie pracowników w zakresie bezpieczeństwa i higieny pracy. Natomiast zgodnie z brzmieniem § 4 ust. 1 rozporządzenia Ministra Gospodarki i Pracy z dnia 27 lipca 2004 r. w sprawie szkolenia w dziedzinie bezpieczeństwa i higieny pracy, szkolenie może być organizowane i prowadzone przez pracodawców lub, na ich zlecenie, przez jednostki organizacyjne prowadzące działalność szkoleniową w dziedzinie bezpieczeństwa i higieny pracy. Pracodawca może zatem realizować obowiązek nałożony na niego w art. 94 pkt 4 Kodeksu pracy samodzielnie lub za pośrednictwem firmy zewnętrznej (korzystając z jej usług). Firma zewnętrzna w procesie przetwarzania może występować w roli organizatora szkolenia, o którym mowa w § 4 pkt 1 rozporządzenia Ministra Gospodarki i Pracy z dnia 27 lipca 2004 r. w sprawie szkolenia w dziedzinie bezpieczeństwa i higieny pracy. W § 5 pkt. 1-6 tego rozporządzenia zostały określone obowiązki organizatora szkolenia. Należy do nich zapewnienie: programu poszczególnych rodzajów szkolenia opracowanego dla określonych grup stanowisk; programu szkolenia instruktorów w zakresie metod prowadzenia instruktażu - w przypadku prowadzenia takiego szkolenia; wykładowców i instruktorów posiadających zasób wiedzy, doświadczenie zawodowe i przygotowanie dydaktyczne zapewniające właściwą realizację programów szkolenia; odpowiednich warunków lokalowych do prowadzenia działalności szkoleniowej; wyposażenie dydaktyczne niezbędne do właściwej realizacji programów szkolenia; właściwy przebieg szkolenia oraz prowadzenia dokumentacji w postaci programów szkolenia, dzienników zajęć, protokołów przebiegu egzaminów i rejestru wydanych zaświadczeń. Jednostka organizacyjna prowadząca działalność szkoleniową w dziedzinie bezpieczeństwa i higieny pracy, realizując nałożone na nią w ww. rozporządzeniu obowiązki, przetwarza dane pracownika w związku ze sporządzaniem protokołów z przebiegu egzaminów i rejestru wydanych zaświadczeń oraz w zakresie nawiązania współpracy (zawarcia stosownych umów) z wykładowcami i instruktorami posiadającymi zasób wiedzy, doświadczenie zawodowe i przygotowanie dydaktyczne zapewniające właściwą realizację programów szkolenia (§ 5 pkt. 3 i 6 ww. rozporządzenia Ministra Gospodarki i Pracy). W tym zakresie zasadnie można uznać, że przetwarza dane jako administrator w rozumieniu przepisów o ochronie danych osobowych. Odnosząc się do zagadnienia, kto jest administratorem w przypadku „szkoleń podnoszących kwalifikacje pracowników”, wskazuję, że również w tym wypadku należy dokonać analizy, kto podejmuje decyzje w zakresie kluczowych kwestii dla danego procesu przetwarzania. Na przykład, rola pracodawcy, który kieruje swoich pracowników na szkolenie, może ograniczać się tylko do rozdysponowania formularzy przygotowanych przez firmę, która oferuje szkolenie, a wszystkie kluczowe decyzje co do procesu przetwarzania danych należą do firmy szkoleniowej. Warto nadmienić, że pomocą w dokonywaniu oceny ról poszczególnych podmiotów są Wytyczne Europejskiej Rady Ochrony Danych w sprawie pojęć administratora i podmiotu przetwarzającego na gruncie RODO ( Warto zwrócić uwagę na schemat zamieszczony w załączniku nr 1 (Annex 1, str. 46), zawierający pytania ułatwiające dokonywanie tej oceny. 2020-10-15 Podmiot udostępniający: Departament Orzecznictwa i Legislacji Wytworzył informację: Monika Młotkiewicz 2020-10-15 Wprowadził‚ informację: Edyta Madziar 2020-10-15 11:10:28 Ostatnio modyfikował: Edyta Madziar 2020-10-15 12:26:10
wskazania jakie postępowania weryfikacyjne podmiotu przetwarzającego pod kątem spełnienia przez niego wymogów rozporządzenia 2016/679 przeprowadził administrator przed zawarciem umowy powierzenia przetwarzania danych, a także, czy Spółka realizowała prawo kontroli z art. 28 ust. 3 lit. h rozporządzenia 2016/679;
Tytułem wstępu Jeśli nadajesz przesyłkę za pośrednictwem serwisu w związku z wykonywaną działalnością, w szczególności gospodarczą lub zawodową (np. w ramach sklepu internetowego lub fundacji) to Ty jesteś administratorem danych osobowych osób, które wskazujesz w formularzu zamówienia. Serwis jest podmiotem przetwarzającym te dane. W związku z art. 28 ust. 3 RODO jesteśmy zobowiązani do zawarcia umowy powierzenia przetwarzania danych – Ty jako administrator danych osobowych, a administrator serwisu – jako podmiot przetwarzający dane osobowe. Niniejszą umowę możemy zawrzeć w formie elektronicznej (pozwala na to art. 28 ust. 9 RODO). Umowa powierzenia przetwarzania danych osobowych (dalej jako: Umowa powierzenia) zawarta pomiędzy: 1. Użytkownikiem Serwisu który zakłada konto lub składa zamówienie/a za pomocą Serwisu w ramach wykonywanej działalności, zwanym dalej: Administratorem lub Użytkownikiem a 2. Kurierovo Sp. z ograniczoną odpowiedzialnością Sp. komandytowa z siedzibą w Łukowie, przy ul. Sochacz 16a, 21-400 Łuków, wpisaną do Rejestru Przedsiębiorców Krajowego Rejestru Sądowego, prowadzonego przez Sąd Rejonowy Lublin-Wschód w Lublinie, z siedzibą w Świdniku, VI Wydział Gospodarczy Krajowego Rejestru Sądowego, pod nr KRS: 0000826879, REGON: 385468101, NIP: 8252188154, zwaną dalej: „Kurierovo” lub Podmiot przetwarzający. Użytkownik i Kurierovo dalej zwani są łącznie „Stronami”, a każdy z osobna „Stroną”. §1 Oświadczenia – Kurierovo 1. Kurierovo oświadcza, że jest administratorem danych osobowych. §2 Definicje 1. Administrator – administrator danych osobowych w rozumieniu art. 4 pkt 7 RODO. 2. Dane osobowe – dane osobowe w rozumieniu art. 4 pkt 1 RODO, określone w § 3 ust. 2 Umowy powierzenia. 3. Naruszenie ochrony danych osobowych – naruszenie ochrony danych osobowych w rozumieniu art. 4 pkt 12 RODO. 4. Podmiot przetwarzający – podmiot przetwarzający w rozumieniu art. 4 pkt 8 RODO. 5. Przetwarzanie – przetwarzanie danych osobowych w rozumieniu art. 4 pkt 2 RODO. 6. Serwis – serwis którego administratorem jest Kurierovo Sp. z ograniczoną odpowiedzialnością Sp. komandytowa z siedzibą w Łukowie przy ul. Sochacz 16a, 21-400 Łuków, wpisana do Rejestru Przedsiębiorców Krajowego Rejestru Sądowego, prowadzonego przez Sąd Rejonowy Lublin-Wschód w Lublinie, z siedzibą w Świdniku, VI Wydział Gospodarczy Krajowego Rejestru Sądowego, pod nr KRS: 0000826879, REGON: 385468101, NIP: 8252188154. 7. RODO – Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych). 8. Umowa pośrednictwa – Umowa pośrednictwa w doręczaniu przesyłek, którą Kurierovo zawiera z Użytkownikiem Serwisu 9. Usługi – usługi związane z pośrednictwem przez Kurierovo w doręczeniu przesyłek, nadawanych przez Administratora za pośrednictwem Serwisu §3 Przedmiot umowy 1. Umowa powierzenia określa warunki Przetwarzania przez Kurierovo w imieniu Administratora Danych osobowych określonych w ust. 2 poniżej w zakresie Usług wykonywanych przez Kurierovo na podstawie Umowy pośrednictwa. 2. Użytkownik, składając zamówienie w Serwisie powierza Kurierovo następujące dane osobowe osób trzecich: rodzaj danych osobowych: dane zwykłe, tj. imię i nazwisko, dane teleadresowe, takie jak: adres, numer telefonu, e-mail; kategorie osób, których dane dotyczą: adresaci przesyłek zlecanych przez Użytkownika. §4 Przetwarzanie danych osobowych 1. Podmiot przetwarzający będzie przetwarzał dane osobowe powierzone przez Administratora wyłącznie w celu, w zakresie i na warunkach określonych w Umowie powierzenia. Podmiot przetwarzający zobowiązuje się, że nie będzie modyfikował, usuwał ani wykorzystywał powierzonych mu do Przetwarzania Danych osobowych w jakikolwiek inny sposób niż na potrzeby świadczenia Usług na rzecz Administratora. 2. Podmiot przetwarzający będzie przetwarzał dane osobowe powierzone przez Administratora w zakresie świadczenia Usługi w formie elektronicznej, w systemie informatycznym Kurierovo oraz w formie papierowej (druki księgowe ). 3. Strony uzgadniają, że dane osobowe powierzone przez Administratora będą przetwarzane zgodnie z poleceniami Administratora przez które rozumie się każdorazowe zlecenie przesyłki za pomocą Serwisu §5 Okres przetwarzania 1. Dane osobowe powierzone przez Administratora danych będą przetwarzane przez Kurierovo w okresie wykonywania Usługi, z zastrzeżeniem następujących ustępów. 2. Po rozwiązaniu lub wygaśnięciu Umowy pośrednictwa, Podmiot przetwarzający usuwa lub zwraca Administratorowi Dane osobowe i usuwa ich kopie. Przez rozwiązanie lub wygaśnięcie Umowy pośrednictwa dla potrzeb niniejszej Umowy powierzenia rozumie się wygaśnięcie wszystkich obowiązków Kurierovo, z którymi wiąże się przetwarzanie Danych osobowych. 3. Z uwagi jednak na możliwość zaistnienia sporu pomiędzy Stronami, związanego z realizacją Umowy pośrednictwa lub Umowy powierzenia – Kurierovo usunie Dane osobowe oraz ich kopie po upływie okresu niezbędnego do ustalenia, dochodzenia lub obrony roszczeń wynikających lub mogących wynikać z Umowy współpracy lub Umowy powierzenia. §6 Obowiązki Podmiotu przetwarzającego 1. Strony zobowiązują się do wykonywania zobowiązania z najwyższą starannością zawodową, w tym do przestrzegania Umowy powierzenia i właściwych przepisów prawa mających zastosowanie do Przetwarzania danych osobowych, w szczególności zobowiązują się do przestrzegania obowiązków Stron wynikających z RODO. 2. Podmiot przetwarzający, uwzględniając charakter przetwarzania oraz dostępne mu informacje, pomaga Administratorowi danych wywiązać się z obowiązków określonych w art. 32–36 RODO. 3. Podmiot przetwarzający podejmuje środki organizacyjne i techniczne właściwe zgodnie z art. 32 RODO do przetwarzania Danych osobowych powierzonych przez Administratora w zakresie usług świadczonych zgodnie z Umową pośrednictwa w celu zabezpieczenia powierzonych do przetwarzania Danych osobowych w należyty, odpowiedni do zagrożeń sposób. 4. W zakresie pomocy Administratorowi przy realizacji obowiązku dokonywania zgłoszenia Naruszenia ochrony danych osobowych do organu nadzorczego oraz zawiadamiania o Naruszeniu ochrony Danych osobowych osób, których dane dotyczą, o których mowa w art. 28 ust. 3 lit. f) RODO, uwzględniając charakter Przetwarzania danych oraz dostępne mu informacje Podmiot przetwarzający zobowiązany jest do: zgłoszenia Administratorowi danych podejrzenia naruszenia lub stwierdzenia Naruszenia ochrony danych osobowych nie później niż w terminie 36 (słownie: trzydziestu sześciu) godzin od chwili powzięcia informacji o podejrzeniu naruszenia lub stwierdzeniu Naruszenia ochrony danych osobowych w związku z wykonywaniem Umowy powierzenia na adres email wskazany w koncie/ zamówieniu Użytkownika; w zawiadomieniu o podejrzeniu naruszenia lub stwierdzeniu Naruszenia ochrony danych osobowych Podmiot przetwarzający jest zobowiązany wskazać: 1) okoliczności zdarzenia, 2) prawdopodobne przyczyny zdarzenia, 3) środki, jakie zostały zastosowane w związku ze zdarzeniem, w celu zminimalizowania negatywnych skutków — wraz z niezbędną dokumentacją; zapewnienia Administratorowi możliwości uczestniczenia w wyjaśnianiu okoliczności zdarzenia, w tym udzielenia informacji oraz wyjaśnień, jak również podjęcia innych działań, które umożliwią Administratorowi wywiązanie się z obowiązku notyfikacyjnego wobec Prezesa Urzędu Ochrony Danych Osobowych. 5. Podmiot przetwarzający oświadcza, że osobom zatrudnionym przy Przetwarzaniu powierzonych Danych osobowych nadane zostały upoważnienia do przetwarzania danych osobowych oraz że osoby te zostały zapoznane z przepisami o ochronie danych osobowych, w szczególności RODO oraz z odpowiedzialnością za ich nieprzestrzeganie. 6. Podmiot przetwarzający zapewnia, że osoby upoważnione przez Podmiot przetwarzający do Przetwarzania Danych osobowych powierzonych przez Administratora zobowiązały się do zachowania tajemnicy lub podlegają odpowiedniemu ustawowemu obowiązkowi zachowania tajemnicy. §7 Uprawnienia Administratora danych 1. Administrator jest upoważniony do przeprowadzenia audytu w celu weryfikacji przestrzegania Umowy powierzenia przez Kurierovo, bezpośrednio lub za pośrednictwem upoważnionego audytora, z zastrzeżeniem następujących warunków: 2. audyt będzie przeprowadzany nie częściej niż raz w roku kalendarzowym, a jego termin powinien być uzgodniony przez Strony, przy czym Użytkownik zgłosi zamiar przeprowadzenia audytu co najmniej 30 dni przed jego proponowanym terminem w formie pisemnej pod rygorem nieważności na adres wskazany w komparycji Umowy powierzenia lub wysyłając wiadomość email na adres […]; 3. audytorem Użytkownika nie może być podmiot prowadzący działalność konkurencyjną wobec Kurierovo; 4. audyt nie może obejmować informacji lub dokumentów dotyczących innych klientów/ użytkowników Kurierovo, ani zmierzać lub skutkować uzyskaniem dostępu Użytkownika do danych osobowych innych niż Dane osobowe Użytkownika lub do danych poufnych Kurierovo lub innych podmiotów powiązanych (współadministratorów z Kurierovo); 5. Kurierovo może uzależnić udział audytora lub wyznaczonego pracownika Użytkownika w audycie od uprzedniego zawarcia odpowiedniej umowy poufności z Kurierovo; 6. w czasie audytu Użytkownik i audytor mają obowiązek przestrzegania wewnętrznych procedur i polityk Kurierovo dotyczących bezpieczeństwa i poufności; 7. Administrator pokrywa koszty audytu. §8 Podpowierzenie 1. Administrator wyraża zgodę na wykorzystanie przez Podmiot przetwarzający innych podmiotów przetwarzających (dalej jako: Podwykonawcy) do dalszego przetwarzania danych w ramach świadczenia Usług, przy czym każdy Podwykonawca Kurierovo zapewnia niezbędne gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych w celu zapewnienia zgodności przetwarzania z przepisami ochrony danych osobowych, w szczególności z RODO. 2. Podmiot przetwarzający ponosi pełną odpowiedzialność, jeżeli Podwykonawca nie wywiąże się ze spoczywających na nim obowiązków ochrony danych. 3. Podmiot przetwarzający zawarł lub zawrze umowy powierzenia przetwarzania danych osobowych z Podwykonawcami. 4. Podmiot przetwarzający utrzymuje listę Podwykonawców, na której znajdują się w szczególności: firmy kurierskie odpowiedzialne za realizację Usługi, firmy odpowiedzialne za kontakt w związku z realizacją Usługi, hostingodawcy Podmiotu przetwarzającego oraz firmy IT odpowiedzialne za serwisowanie platformy Kurierovo. 5. W przypadku zastąpienia podwykonawców lub dodania nowych podwykonawców, Kurierovo poinformuje o tym Administratora z dwutygodniowym wyprzedzeniem drogą mailową na adres Użytkownika wskazany w koncie lub złożonym zamówieniu. Administrator ma prawo do zgłoszenia sprzeciwu odnośnie do tych zmian w ciągu 5 dni roboczych – brak zgłoszenia sprzeciwu w tym terminie traktowany jest jako akceptacja Podwykonawcy. 6. Podmiot przetwarzający zobowiązuje się współpracować wyłącznie z takimi podwykonawcami, którzy zapewniają wdrożenie takich środków technicznych i organizacyjnych, aby Przetwarzanie odpowiadało wymogom RODO. 7. Podmiot przetwarzający zawrze z każdym podwykonawcą, który będzie przetwarzał Dane osobowe stosowną umowę, nakładającą na podwykonawcę odpowiednie obowiązki ochrony danych osobowych. 8. Jeżeli podwykonawca Kurierovo nie wywiąże się ze spoczywających na nim obowiązków ochrony danych osobowych Administratora, Podmiot przetwarzający ponosi wobec Administratora odpowiedzialność za niewypełnienie obowiązków przez Podwykonawcę tak jak za własne działania i zaniechania. §9 Odpowiedzialność Stron Umowy 1. Użytkownik odpowiada za prawidłowe wykonywanie obowiązków Administratora zgodnie z RODO, i innymi właściwymi przepisami ochrony danych osobowych, jak też niniejszą Umową powierzenia. W szczególności, Użytkownik zobowiązany jest do wypełnienia obowiązku informacyjnego wynikającego z art. 13 RODO wobec swoich klientów, których dane powierza do przetwarzania Podmiotowi przetwarzającemu, w tym do poinformowania ich, że podmiotem przetwarzającym ich dane jest Kurierovo. 2. Administrator zapewnia, że Dane osobowe są przetwarzane zgodnie z prawem, w tym zgodnie z zasadami wynikającymi z RODO, w szczególności, że dane są przetwarzane w minimalnym zakresie (Administrator nie przetwarza więcej danych niż jest to wymagane do jego celów). 3. Administrator gwarantuje, że w momencie przekazania Danych osobowych do Przetwarzania istnieje ku temu ważna podstawa prawna, co na każde żądanie Podmiotu przetwarzającego wykaże poprzez wskazanie podstawy prawnej przetwarzania i jej należyte udokumentowanie. 4. Postanowienia §9 pozostają w mocy po rozwiązaniu lub wygaśnięciu Umowy powierzenia. 5. Całkowite i maksymalne zobowiązanie Kurierovo w związku z wykonywaniem Umowy powierzenia jest ograniczone do kwoty 10 tys. zł § 10 Postanowienia końcowe 1. Strony uzgadniają, że właściwe dla Umowy powierzenia będzie prawo obowiązujące w Polsce, zaś do rozstrzygania sporów właściwy będzie sąd powszechny właściwy dla siedziby Kurierovo w dniu zawarcia niniejszej Umowy. 2. W sprawach nieuregulowanych w niniejszej Umowie powierzenia zastosowanie będzie miało RODO oraz właściwe przepisy prawa polskiego. 3. Umowa powierzenia jest w mocy tak długo, jak Podmiot przetwarzający przetwarza Dane osobowe w imieniu Administratora, zgodnie z §5, niezależnie od trwania Umowy pośrednictwa.
Każdy administrator danych osobowych zobowiązany jest do zabezpieczenia poufności danych, które przetwarza. RODO zobowiązuje go do wdrożenia środków technicznych i organizacyjnych które będą zapewniały gromadzonym danym bezpieczeństwo adekwatne do ich wagi oraz skali zagrożeń, na które mogą być one narażone. Temu celowi służyć może m.in. zobowiązanie do zachowania
Zgodnie z Rozporządzeniem o Ochronie Danych Osobowych (RODO), każdy administrator danych, powinien zawrzeć umowę Powierzenia Przetwarzania Danych Osobowych (umowa PPDO). W związku z tym, jeśli posiadasz w usługę, w ramach której przetwarzasz dane osobowe, musisz zawrzeć z stosowną umowę. Umowa taka zawierana jest między klientem, a bezpłatnie. W tym celu, skorzystaj z generatora umów dostępnego w Panelu Klienta, a po poprawnym jej wygenerowaniu, poczekaj na jej akceptację po stronie Aby wygenerować nową umowę, przejdź na stronę (1), wpisz dane logowania (2), czyli login do Panelu Klienta i hasło, a następnie kliknij przycisk ZALOGUJ SIĘ (3). Po zweryfikowaniu poprawności loginu i hasła system przeniesie Cię do drugiego etapu procedury uwierzytelnienia, w którym otrzymasz wiadomość e-mail lub SMS z kodem jednorazowym. Ten kod należy wpisać w specjalnym oknie weryfikacyjnym, a następnie ponownie kliknąć przycisk ZALOGUJ SIĘ. Dowiedz się więcej o autoryzacji dwuetapowej podczas logowania do Panelu Klienta tutaj. Po zalogowaniu, przejdź do zakładki Moje dane → umowa powierzenia przetwarzania danych osobowych (1), kliknij przycisk Generuj umowę (2) i postąp zgodnie z wyświetlanymi instrukcjami. Dowiedz się szczegółowo, jak zawrzeć umowę PPDO z
Dzisiejsza ustawa o ochronie danych osobowych reguluje kwestie powierzenia danych w artykule 31. Regulację tę można podsumować następująco: umowa powierzenia musi być zawarta na piśmie (z drobnymi wyjątkami dotyczącymi organów państwowych, samorządowych) podmiot przetwarzający może przetwarzać dane wyłącznie w celu i zakresie
"Językowe SOS. Rozmówki ukraińsko-polsko-angielsko-niemieckie" to nowa publikacja zrealizowana przez Wydział Humanistyczny Uniwersytetu Szczecińskiego. Opracował ją zespół autorów pod merytoryczną opieką prof. dr hab. Ewy Kołodziejek. Rozmówki mają pomóc w codziennych sytuacjach, np. u lekarza, w aptece, w sklepie, w restauracji, na poczcie, w urzędzie, w środkach lokomocji, w mieście. Pomogą znaleźć odpowiednie słowa, by się przywitać, pożegnać, przedstawić, podziękować, przeprosić czy określić czas. Pozwolą też nawiązać kontakt przy poszukiwaniu pracy albo gdy zdarzy się wypadek. Publikacja została sfinansowana ze środków Gminy Miasta Szczecin. Można ją pobrać ze strony Uniwersytetu, w zakładce "US dla Ukrainy".
Powierzenie przetwarzania danych osobowych. Administrator powierza Podmiotowi przetwarzającemu, w trybie art. 28 rozporządzenia dane osobowe do przetwarzania w imieniu i na rzecz Administratora, na zasadach i w celu określonym w niniejszej Umowie.
Z kim muszę podpisywać umowę powierzenia przetwarzania danych osobowych? (kurier, poczta, księgowa, operator płatności, hosting) W codziennej praktyce sklepy internetowe do realizacji swoich celów biznesowych bardzo często korzystają z usług firm zewnętrznych. W związku z tym pojawia się problem dostępu do danych i ich przetwarzania przez osoby trzecie. Sprzedawcy internetowi mają w związku z tym obowiązek zabezpieczenia danych osobowych swoich klientów przed ich bezprawnym wykorzystaniem poprzez spełnienie ustawowo określonych obowiązków. Zgodnie z ustawą o ochronie danych osobowych, administrator danych osobowych może powierzyć przetwarzanie danych innemu podmiotowi w drodze umowy zawartej na piśmie – czyli tzw. umowy powierzenia przetwarzania danych osobowych. Czym jest powierzenie danych? Przetwarzanie danych osobowych jest dopuszczalne tylko wtedy, gdy jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa, na co wskazuje bezpośrednio art. 23 ust. 1 pkt 2 ustawy o ochronie danych osobowych. Powierzenie przetwarzania danych uregulowane jest w art. 31 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych. Art. 31 ust. 1 Administrator danych może powierzyć innemu podmiotowi, w drodze umowy zawartej na piśmie, przetwarzanie danych. Polega ono na tym, że administrator danych powierza w drodze pisemnej umowy ich przetwarzanie – w całości lub w części – innemu podmiotowi. Oznacza to, że administrator nie musi sam wykonywać wszystkich czynności związanych z procesem przetwarzania danych osobowych. Najczęściej umowy powierzenia przetwarzania danych zawierane są np. w celu dochodzenia wierzytelności lub w związku ze zleceniem innemu podmiotowi realizacji części zadań administratora (tzw. outsourcing). W pewnym uproszczeniu chodzi o przekazanie innej firmie zebranych przez administratora danych osobowych po to, by ta firma zrobiła coś z tymi nimi w jego imieniu i na jego rzecz. Czy przekazując dane zawsze je powierzam? Są sytuacje gdy prowadząc działalność administrator przekaże dane osobowe osobie trzeciej, która będzie je przetwarzać w swoim własnym imieniu i na swoją rzecz. W tej sytuacji będziemy mieli do czynienia z udostępnieniem danych – może to mieć miejsce np. w przypadku sprzedaży bazy danych. Udostępnienie jest przekazaniem danych innemu podmiotowi (odbiorcy danych), który staje się ich administratorem, zaś powierzenie polega na przetwarzaniu danych przez podmiot, który nie jest administratorem tych danych. Komu mogę powierzyć przetwarzanie danych osobowych? Hosting Duża część sklepów internetowych, ze względu na wysokie koszty, nie utrzymuje własnych serwerów, lecz wynajmuje od wyspecjalizowanych firm świadczących usługi hostingu. Wówczas dane osobowe klientów sklepu są przetwarzane przez inną firmę w jej systemie informatycznym. Definicja przetwarzania w ustawie o ochronie danych osobowych jest jednoznaczna: są to „jakiekolwiek operacje wykonywane na danych osobowych”, a wśród nich także „utrwalanie” i „przechowywanie”. Księgowość Prowadzenie dokumentacji księgowej nierozerwalnie wiąże się z przetwarzaniem danych osobowych klientów oraz osób zatrudnionych w sklepie internetowym. Wprawdzie zgodnie z ustawą o ochronie danych osobowych nie trzeba rejestrować zbiorów danych osobowych, które służą tylko do przetwarzania danych w celu wystawienia faktury, jednak wymogi dotyczące zabezpieczenia zbiorów danych osobowych, o których mowa w art. 36 ustawy, odnoszą się do wszystkich zbiorów, w których przetwarzane są dane osobowe. Art. 36. 1. Administrator danych jest obowiązany zastosować środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, a w szczególności powinien zabezpieczyć dane przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem. Obowiązek zabezpieczenia danych nie jest zatem uzależniony od celu przetwarzania, rodzaju podmiotu będącego administratorem, jak również przywilejów, do których należy zwolnienie administratorów danych z obowiązku rejestracji określonego typu zbiorów. Dlatego tak ważne by podpisując z firmą zewnętrzną umowę na obsługę księgową, sklep internetowy oraz biuro księgowe obok umowy określającej zasady współpracy w zakresie prowadzenia ksiąg rachunkowych, zawarli ze sobą odrębną umowę, której przedmiotem będzie powierzenie przetwarzania danych osobowych. Poczta Polska Jeśli e-sklep przekaże dane osobowe Poczcie Polskiej w celu realizacji usług pocztowych, Poczta będzie przetwarzać je zgodnie z art. 23 ust 1 pkt 2 ustawy o ochronie danych osobowych na podstawie ustawy Prawo Pocztowe i jest ich administratorem. Art. 23. ust 1. Przetwarzanie danych jest dopuszczalne tylko wtedy, gdy: osoba, której dane dotyczą, wyrazi na to zgodę, chyba że chodzi o usunięcie dotyczących jej danych, zezwalają na to przepisy prawa, jest niezbędne osobie, której dane dotyczą, w celu wywiązania się z umowy, której jest stroną, lub na jej życzenie w celu podjęcia niezbędnych działań przed zawarciem umowy, jest niezbędne do wykonania określonych prawem zadań realizowanych dla dobra publicznego, jest niezbędne do wypełnienia usprawiedliwionych celów administratorów danych, o których mowa w art. 3 ust. 2, a przetwarzanie danych nie narusza praw i wolności osoby, której dane dotyczą. Jednak w przypadku realizacji usług niestanowiących usług pocztowych, przekazanie Poczcie Polskiej danych osobowych klientów podmiotów zewnętrznych wymagać będzie podpisania umowy powierzenia zgodnie z art. 31 ww. ustawy. Wówczas dopiero Poczta Polska stanie się procesorem, tj. podmiotem, któremu administrator danych osobowych powierzył przetwarzanie danych osobowych w celu i zakresie przewidzianym w umowie. 1. [Prawo Pocztowe] Tajemnica pocztowa obejmuje informacje przekazywane w przesyłkach, informacje dotyczące realizacji przekazów pocztowych, dane dotyczące podmiotów korzystających z usług pocztowych oraz dane dotyczące faktu i okoliczności świadczenia usług pocztowych lub korzystania z tych usług. 2. Do zachowania tajemnicy pocztowej są obowiązani: operator; osoby, które z racji wykonywanej działalności mają dostęp do tajemnicy pocztowej. Kurier Firmy kurierskie jako podmioty świadczące usługi pocztowe nie posiadają statusu administratora danych, jaki nadaje Poczcie Polskiej ustawa Prawo Pocztowe, toteż powierzając dane kurierowi staje się on procesorem, a zatem niezbędne jest podpisanie umowy powierzenia przetwarzania danych osobowych z takimi podmiotami, w przypadku korzystania z ich usług. Operator płatności Sklepy internetowe często korzystają z firm obsługujących płatności elektroniczne. Firmy te jak np. PayU nie wymagają podpisywania umów papierowych, wymagają jedynie zaakceptowania regulaminu (w nim zawarte są zasady powierzania danych). np. § 16 regulaminu PAYU: DANE OSOBOWE 3. W związku z zawarta Umową, Partner powierza PayU przetwarzanie danych osobowych osób, które są umocowane do dokonywania czynności w imieniu Partnera lub do wykonywania wszystkich praw i obowiązków Partnera. 5. Powierzenie PayU przez Partnera przetwarzania danych osobowych osób, o których mowa w § 16 ust. 3 Regulaminu, następuje na czas trwania Umowy, następuje w celu świadczenia przez PayU usług w ramach Umowy (w tym usług płatniczych) oraz obejmuje dane osobowe niezbędne do realizacji tego celu. W przypadku płatności elektronicznych, do powierzenia najczęściej nie dojdzie, gdyż korzystając z nich to Klient sam wprowadza swoje dane osobowe na stronie pośrednika płatności. Dropshipping Sklepy internetowe coraz częściej korzystają z modelu dropshippingu opierającego się na wysyłce kupionego w e-sklepie towaru bezpośrednio z hurtowni. Decydując się na takie rozwiązanie należy podpisać z hurtownią umowę o powierzeniu przetwarzania danych osobowych, która ureguluje kwestie związane z przekazaniem danych w celu realizacji zamówień i która to zawiera informacje o przekazaniu danych przez sklep – hurtowni oraz nakłada na przetwarzającego obowiązki związane z zapewnieniem odpowiednich środków gwarantujących bezpieczeństwo danych. To tylko przykładowe z możliwych przykładów powierzenia przetwarzania danych w e-sklepie. Do powierzenia może dojść również w innych przypadkach np. podczas korzystania z oprogramowania w chmurze tzw. SaaS (do fakturowania czy też system CRM) czy też chociażby w przypadku korzystania z usług obsługującej newsletter (np. FreshMail, MailChimp). Forma umowy powierzenia danych osobowych Umowa powierzenia przetwarzania danych osobowych powinna zostać zawarta na piśmie (ale jest to forma zastrzeżona dla celów dowodowych). Powinna ona określać przede wszystkim rodzaje operacji na danych osobowych i cel przetwarzania danych, a także prawa i obowiązki zarówno administratora danych, jak i procesora. Podsumowanie Korzystając z usług podmiotów zewnętrznych e-sklep powinien trzymać rękę na pulsie. W każdej z tych sytuacji bowiem może dojść do naruszenia bezpieczeństwa przetwarzania danych osobowych jego klientów. Wybierając sposób przekazania danych osobowych osobom trzecim, e-sklep powinien pamiętać o podstawowych różnicach pomiędzy udostępnieniem a powierzeniem przetwarzania danych i wszelkimi wynikającymi z tego konsekwencjami. W takich sytuacjach, będąc administratorem danych, e-sklep musi zawierać pisemne umowy o powierzeniu danych z podmiotami zewnętrznymi. Jest to szczególnie ważne z uwagi na fakt, iż jest on odpowiedzialny nie tylko za wypełnienie poszczególnych obowiązków wynikających z ustawy przez siebie samego, ale także przez podmiot, któremu te dane powierzył.
. 80 581 454 15 159 771 766 102
umowa powierzenia przetwarzania danych osobowych z pocztą polską rodo
