Zgodnie z art. 24 i 32 RODO administrator zobowiązany jest do wdrożenia odpowiednich środków technicznych i organizacyjnych służących ochronie danych osobowych, uwzględniając przy tym stan wiedzy technicznej, koszty wdrożenia, charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o
Opis Produkt obejmuje indywidualne przygotowanie przez prawnika dla sprzedawcy internetowego umowy powierzenia przetwarzania danych osobowych zgodnych z RODO (ogólnym rozporządzeniem o ochronie danych). Produkt skierowany jest do sprzedawców internetowych chcących dostosować swój sklep internetowy do wymogów stawianych przez RODO. W ramach zakupionego produktu otrzymasz usługę przygotowania dopasowanej umowy powierzenia przetwarzania danych osobowych zgodnej z rozporządzeniem RODO. Usługa jest standardowo realizowana w ciągu 5-9 dni roboczych od dnia otrzymania płatności. Produkt jest skierowany do standardowych sklepów internetowych, które mają siedzibę na terytorium Polski, nie przetwarzają danych wrażliwych oraz nie przekazują danych poza UE. Jeżeli zależy Ci na szybszej realizacji usługi lub innym zakresie, to skontaktuj się z nami i dostosujemy usługę do Twoich potrzeb. Nasi prawnicy są do Twojej dyspozycji! Zadzwoń lub napisz – chętnie pomożemy: 61 847 55 18 kontakt@ Rozporządzenie RODO, to dokładnie rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) Rozporządzenie RODO wskazuje szereg wymaganych informacji, które należy udostępnić osobie, której dane dotyczą. RODO ustala także zasady przetwarzania danych osobowych, którymi musimy się kierować przy ich przetwarzaniu, w tym wymogi dotyczące uzyskiwanej zgody na przetwarzanie danych osobowych. Przetwarzanie przez podmiot przetwarzający odbywa się na podstawie umowy lub innego instrumentu prawnego, które podlegają prawu Unii lub prawu państwa członkowskiego i wiążą podmiot przetwarzający i administratora, określają przedmiot i czas trwania przetwarzania, charakter i cel przetwarzania, rodzaj danych osobowych oraz kategorie osób, których dane dotyczą, obowiązki i prawa administratora. Ta umowa lub inny instrument prawny stanowią w szczególności, że podmiot przetwarzający: przetwarza dane osobowe wyłącznie na udokumentowane polecenie administratora – co dotyczy też przekazywania danych osobowych do państwa trzeciego lub organizacji międzynarodowej – chyba że obowiązek taki nakłada na niego prawo Unii lub prawo państwa członkowskiego, któremu podlega podmiot przetwarzający; w takim przypadku przed rozpoczęciem przetwarzania podmiot przetwarzający informuje administratora o tym obowiązku prawnym, o ile prawo to nie zabrania udzielania takiej informacji z uwagi na ważny interes publiczny; zapewnia, by osoby upoważnione do przetwarzania danych osobowych zobowiązały się do zachowania tajemnicy lub by podlegały odpowiedniemu ustawowemu obowiązkowi zachowania tajemnicy; podejmuje wszelkie środki wymagane na mocy art. 32; przestrzega warunków korzystania z usług innego podmiotu przetwarzającego, o których mowa w ust. 2 i 4; biorąc pod uwagę charakter przetwarzania, w miarę możliwości pomaga administratorowi poprzez odpowiednie środki techniczne i organizacyjne wywiązać się z obowiązku odpowiadania na żądania osoby, której dane dotyczą, w zakresie wykonywania jej praw określonych w rozdziale III; uwzględniając charakter przetwarzania oraz dostępne mu informacje, pomaga administratorowi wywiązać się z obowiązków określonych w art. 32–36; po zakończeniu świadczenia usług związanych z przetwarzaniem zależnie od decyzji administratora usuwa lub zwraca mu wszelkie dane osobowe oraz usuwa wszelkie ich istniejące kopie, chyba że prawo Unii lub prawo państwa członkowskiego nakazują przechowywanie danych osobowych; udostępnia administratorowi wszelkie informacje niezbędne do wykazania spełnienia obowiązków określonych w niniejszym artykule oraz umożliwia administratorowi lub audytorowi upoważnionemu przez administratora przeprowadzanie audytów, w tym inspekcji, i przyczynia się do nich. Chcesz się dowiedzieć więcej o samym RODO w sklepie internetowym? Zapraszamy do lektury wpisu na naszym blogu: Polityka prywatności sklepu internetowego zgodna z RODO – zmiany ważne dla Sprzedawców Internetowych Dlaczego warto skorzystać z naszych usług? Nasi prawnicy ciągle się doskonalą, a kontakt z blisko 4000 Sprzedawców internetowych pozwala im poznać najróżniejsze problemy prawne związane z prowadzeniem sklepu internetowego. Naszym celem jest znalezienie jak najlepszego rozwiązania dla naszych Klientów. Kim jesteśmy Jesteśmy zespołem prawników specjalizujących się w zagadnieniach prawa e-commerce, doradzając i pomagając w prowadzeniu sklepu internetowego zgodnie z prawem. Zajmujemy się również przygotowywaniem umów dla przedsiębiorców z branży e-handlu i IT. Przez 7 lat działalności w obsłudze sklepów internetowych, pomogliśmy już ponad 4 000 klientom zabezpieczyć swoje interesy pod kątem prawnym. Sprawdzone sklepy mogą liczyć na nadanie certyfikatu „Sklep Prokonsumencki”, którym wyróżniamy rzetelnych i profesjonalnych sprzedawców internetowych. Przed rozpoczęciem prac zawsze staramy się dobrze poznać potrzeby naszego Klienta, a w razie potrzeby doradzamy konieczność wprowadzenia zmian lub modyfikacji do przyjętego modelu prowadzenia sklepu, czy też serwisu. Naszą dewizą jest dbałość o spokój i bezpieczeństwo naszych Klientów tak, aby mogli się oni skupić na prowadzeniu swojego biznesu. Poznaj opinie sprzedawców internetowych o nas Stwierdzamy, że wybór serwisu był jak najbardziej trafny i przyczynił się do tego, że w sposób profesjonalny dbamy o prawa Konsumenta, co wpływa również na wizerunek naszej firmy. Rekomendujemy firmę Netlibre Sp. z jako solidnego partnera. Wojciech Lipka, Sklep ArtColor W imieniu SmartMedia Sp. z mam przyjemność polecić usługi firmy Netlibre Sp. z z siedzibą w Poznaniu właściciela marki „ (…) Zlecenie przygotowania regulaminu i polityki prywatności dla nowo otwieranego sklepu internetowego powierzone ww. firmie, zostało wykonane terminowo i profesjonalnie. Firmę możemy polecić jako profesjonalnego i solidnego wykonawcę. Bartosz Sobolewski, Sklep Polecam serwis jako profesjonalnego i rzetelnego partnera biznesowego. Nasza firma współpracowała z serwisem przy opracowywaniu regulaminu dla naszego sklepu internetowego. Współpraca przebiegła bez komplikacji i z zachowaniem najwyższego profesjonalizmowi. Dziękuję i polecam firmę jako godnego zaufania partnera biznesowego. Roman Godek, Sklep Chantal Nasi eksperci są regularnie cytowani w mediach
1. Procesor może powierzyć konkretne operacje przetwarzania danych osobowych wyłącznie po uzyskaniu uprzedniej pisemnej zgody Administratora innemu podmiotowi (Popdprocesorowi). 2. Procesor ma obowiązek zawarcia z Podprocesorem umowy powierzenia danych osobowych zgodnie z rozporządzeniem.

Z kim muszę podpisywać umowę powierzenia przetwarzania danych osobowych? (kurier, poczta, księgowa, operator płatności, hosting) W codziennej praktyce sklepy internetowe do realizacji swoich celów biznesowych bardzo często korzystają z usług firm zewnętrznych. W związku z tym pojawia się problem dostępu do danych i ich przetwarzania przez osoby trzecie. Sprzedawcy internetowi mają w związku z tym obowiązek zabezpieczenia danych osobowych swoich klientów przed ich bezprawnym wykorzystaniem poprzez spełnienie ustawowo określonych obowiązków. Zgodnie z ustawą o ochronie danych osobowych, administrator danych osobowych może powierzyć przetwarzanie danych innemu podmiotowi w drodze umowy zawartej na piśmie – czyli tzw. umowy powierzenia przetwarzania danych osobowych. Czym jest powierzenie danych? Przetwarzanie danych osobowych jest dopuszczalne tylko wtedy, gdy jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa, na co wskazuje bezpośrednio art. 23 ust. 1 pkt 2 ustawy o ochronie danych osobowych. Powierzenie przetwarzania danych uregulowane jest w art. 31 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych. Art. 31 ust. 1 Admi­ni­stra­tor da­nych może po­wie­rzyć in­nemu pod­mio­towi, w dro­dze umowy za­war­tej na pi­śmie, prze­twa­rza­nie da­nych. Polega ono na tym, że administrator danych powierza w drodze pisemnej umowy ich przetwarzanie – w całości lub w części – innemu podmiotowi. Oznacza to, że administrator nie musi sam wykonywać wszystkich czynności związanych z procesem przetwarzania danych osobowych. Najczęściej umowy powierzenia przetwarzania danych zawierane są np. w celu dochodzenia wierzytelności lub w związku ze zleceniem innemu podmiotowi realizacji części zadań administratora (tzw. outsourcing). W pewnym uproszczeniu chodzi o przekazanie in­nej fir­mie ze­branych przez administratora danych oso­bowych po to, by ta firma zro­biła coś z tymi nimi w jego imieniu i na jego rzecz. Czy przekazując dane zawsze je powierzam? Są sytuacje gdy prowadząc działalność administrator przekaże dane osobowe osobie trzeciej, która będzie je przetwarzać w swoim własnym imieniu i na swoją rzecz. W tej sytuacji będziemy mieli do czynienia z udostępnieniem danych – może to mieć miejsce np. w przypadku sprzedaży bazy danych. Udostępnienie jest przekazaniem danych innemu podmiotowi (odbiorcy danych), który staje się ich administratorem, zaś powierzenie polega na przetwarzaniu danych przez podmiot, który nie jest administratorem tych danych. Komu mogę powierzyć przetwarzanie danych osobowych? Hosting Duża część sklepów internetowych, ze względu na wysokie koszty, nie utrzymuje własnych serwerów, lecz wynajmuje od wyspecjalizowanych firm świadczących usługi hostingu. Wówczas dane osobowe klientów sklepu są przetwarzane przez inną firmę w jej systemie informatycznym. Definicja przetwarzania w ustawie o ochronie danych osobowych jest jednoznaczna: są to „jakiekolwiek operacje wykonywane na danych osobowych”, a wśród nich także „utrwalanie” i „przechowywanie”. Księgowość Prowadzenie dokumentacji księgowej nierozerwalnie wiąże się z przetwarzaniem danych osobowych klientów oraz osób zatrudnionych w sklepie internetowym. Wprawdzie zgodnie z ustawą o ochronie danych osobowych nie trzeba rejestrować zbiorów danych osobowych, które służą tylko do przetwarzania danych w celu wystawienia faktury, jednak wymogi dotyczące zabezpieczenia zbiorów danych osobowych, o których mowa w art. 36 ustawy, odnoszą się do wszystkich zbiorów, w których przetwarzane są dane osobowe. Art. 36. 1. Administrator danych jest obowiązany zastosować środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, a w szczególności powinien zabezpieczyć dane przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem. Obowiązek zabezpieczenia danych nie jest zatem uzależniony od celu przetwarzania, rodzaju podmiotu będącego administratorem, jak również przywilejów, do których należy zwolnienie administratorów danych z obowiązku rejestracji określonego typu zbiorów. Dlatego tak ważne by podpisując z firmą zewnętrzną umowę na obsługę księgową, sklep internetowy oraz biuro księgowe obok umowy określającej zasady współpracy w zakresie prowadzenia ksiąg rachunkowych, zawarli ze sobą odrębną umowę, której przedmiotem będzie powierzenie przetwarzania danych osobowych. Poczta Polska Jeśli e-sklep przekaże dane osobowe Poczcie Polskiej w celu realizacji usług pocztowych, Poczta będzie przetwarzać je zgodnie z art. 23 ust 1 pkt 2 ustawy o ochronie danych osobowych na podstawie ustawy Prawo Pocztowe i jest ich administratorem. Art. 23. ust 1. Przetwarzanie danych jest dopuszczalne tylko wtedy, gdy: osoba, której dane dotyczą, wyrazi na to zgodę, chyba że chodzi o usunięcie dotyczących jej danych, zezwalają na to przepisy prawa, jest niezbędne osobie, której dane dotyczą, w celu wywiązania się z umowy, której jest stroną, lub na jej życzenie w celu podjęcia niezbędnych działań przed zawarciem umowy, jest niezbędne do wykonania określonych prawem zadań realizowanych dla dobra publicznego, jest niezbędne do wypełnienia usprawiedliwionych celów administratorów danych, o których mowa w art. 3 ust. 2, a przetwarzanie danych nie narusza praw i wolności osoby, której dane dotyczą. Jednak w przypadku realizacji usług niestanowiących usług pocztowych, przekazanie Poczcie Polskiej danych osobowych klientów podmiotów zewnętrznych wymagać będzie podpisania umowy powierzenia zgodnie z art. 31 ww. ustawy. Wówczas dopiero Poczta Polska stanie się procesorem, tj. podmiotem, któremu administrator danych osobowych powierzył przetwarzanie danych osobowych w celu i zakresie przewidzianym w umowie. 1. [Prawo Pocztowe] Tajemnica pocztowa obejmuje informacje przekazywane w przesyłkach, informacje dotyczące realizacji przekazów pocztowych, dane dotyczące podmiotów korzystających z usług pocztowych oraz dane dotyczące faktu i okoliczności świadczenia usług pocztowych lub korzystania z tych usług. 2. Do zachowania tajemnicy pocztowej są obowiązani: operator; osoby, które z racji wykonywanej działalności mają dostęp do tajemnicy pocztowej. Kurier Firmy kurierskie jako podmioty świadczące usługi pocztowe nie posiadają statusu administratora danych, jaki nadaje Poczcie Polskiej ustawa Prawo Pocztowe, toteż powierzając dane kurierowi staje się on procesorem, a zatem niezbędne jest podpisanie umowy powierzenia przetwarzania danych osobowych z takimi podmiotami, w przypadku korzystania z ich usług. Operator płatności Sklepy internetowe często korzystają z firm obsługujących płatności elektroniczne. Firmy te jak np. PayU nie wymagają podpisywania umów papierowych, wymagają jedynie zaakceptowania regulaminu (w nim zawarte są zasady powierzania danych). np. § 16 regulaminu PAYU: DANE OSOBOWE 3. W związku z zawarta Umową, Partner powierza PayU przetwarzanie danych osobowych osób, które są umocowane do dokonywania czynności w imieniu Partnera lub do wykonywania wszystkich praw i obowiązków Partnera. 5. Powierzenie PayU przez Partnera przetwarzania danych osobowych osób, o których mowa w § 16 ust. 3 Regulaminu, następuje na czas trwania Umowy, następuje w celu świadczenia przez PayU usług w ramach Umowy (w tym usług płatniczych) oraz obejmuje dane osobowe niezbędne do realizacji tego celu. W przypadku płatności elektronicznych, do powierzenia najczęściej nie dojdzie, gdyż korzystając z nich to Klient sam wprowadza swoje dane osobowe na stronie pośrednika płatności. Dropshipping Sklepy internetowe coraz częściej korzystają z modelu dropshippingu opierającego się na wysyłce kupionego w e-sklepie towaru bezpośrednio z hurtowni. Decydując się na takie rozwiązanie należy podpisać z hurtownią umowę o powierzeniu przetwarzania danych osobowych, która ureguluje kwestie związane z przekazaniem danych w celu realizacji zamówień i która to zawiera informacje o przekazaniu danych przez sklep – hurtowni oraz nakłada na przetwarzającego obowiązki związane z zapewnieniem odpowiednich środków gwarantujących bezpieczeństwo danych. To tylko przykładowe z możliwych przykładów powierzenia przetwarzania danych w e-sklepie. Do powierzenia może dojść również w innych przypadkach np. podczas korzystania z opro­gra­mo­wa­nia w chmu­rze tzw. SaaS (do fak­tu­ro­wa­nia czy też sys­tem CRM) czy też chociażby w przypadku korzystania z usług ob­słu­gu­ją­cej new­slet­ter (np. FreshMail, MailChimp). Forma umowy powierzenia danych osobowych Umowa powierzenia przetwarzania danych osobowych powinna zostać zawarta na piśmie (ale jest to forma zastrzeżona dla celów dowodowych). Powinna ona określać przede wszystkim rodzaje operacji na danych osobowych i cel przetwarzania danych, a także prawa i obowiązki zarówno administratora danych, jak i procesora. Podsumowanie Korzystając z usług podmiotów zewnętrznych e-sklep powinien trzymać rękę na pulsie. W każdej z tych sytuacji bowiem może dojść do naruszenia bezpieczeństwa przetwarzania danych osobowych jego klientów. Wybierając sposób przekazania danych osobowych osobom trzecim, e-sklep powinien pamiętać o podstawowych różnicach pomiędzy udostępnieniem a powierzeniem przetwarzania danych i wszelkimi wynikającymi z tego konsekwencjami. W takich sytuacjach, będąc administratorem danych, e-sklep musi zawierać pisemne umowy o powierzeniu danych z podmiotami zewnętrznymi. Jest to szczególnie ważne z uwagi na fakt, iż jest on odpowiedzialny nie tylko za wypełnienie poszczególnych obowiązków wynikających z ustawy przez siebie samego, ale także przez podmiot, któremu te dane powierzył.

Zaloguj się do panelu klienta panel.cyberfolks.pl. Po lewej stronie w menu Umowy wybierz zakładkę RODO. Po prawej stronie kliknij + Nowa umowa RODO: Wybierz rodzaj umowy: Powierzenie – jeżeli Ty jesteś Administratorem Danych Osobowych (jeżeli są to Twoje zbiory danych osobowych). Podpowierzenia – jeżeli dane zostały Tobie
Umowa zawierana między administratorem a procesorem, czyli podmiotem przetwarzającym dane jest zdecydowanie najważniejszym ogniwem współpracy między nimi. Sprawdź naszą propozycję wzoru umowy powierzenia przetwarzania danych osobowych. Umowa powierzenia przetwarzania danych osobowych Błyskawiczny rozwój outsourcingu usług związanych z prowadzeniem działalności gospodarczej oraz wejście w życie przepisów ogólnego rozporządzenia 2016/679 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz. Urz. UE L 119 z r.) - dalej jako „RODO” spopularyzował umowę powierzenia przetwarzania danych osobowych, zawieraną z podmiotami świadczącymi usługi kadrowe, księgowe, serwisu IT, ochrony mienia i osób, obsługę w zakresie BHP, prowadzenia zewnętrznego archiwum, przeprowadzania konkursów przez agencję reklamową na zlecenie klienta i inne. Takie podmioty stają się, w świetle prawa, podmiotami przetwarzającymi dane osobowe w imieniu i na zlecenie administratora danych. Podmiot, któremu powierzane są dane do przetwarzania nie staje się ich administratorem (chociaż ponosi odpowiedzialność tak samo, jak administrator), a jedynie wykonuje operacje na należących do administratora danych, w sposób i w celu ściśle przez niego któremu dane powierzono nie ma prawa ich wykorzystywać, do własnych celów (w szczególności dodawać ich do własnej bazy klientów/marketingowej oraz dalej udostępniać/sprzedawać. Nie może również wykorzystywać ich do promocji własnych produktów i usług). Powierzaniu może podlegać dowolna czynność na danych - od gromadzenia, przez edycję, przechowywanie, usunięcie. Umowa zawierana między administratorem a procesorem, czyli podmiotem przetwarzającym dane jest zdecydowanie najważniejszym ogniwem współpracy między nimi. Kto może być podmiotem przetwarzającym dane na zlecenie administratora danych. Ogólne rozporządzenie o ochronie danych jednoznacznie precyzuje, kto może być procesorem, tj. podmiotem przetwarzającym dane osobowe. Podmiotem przetwarzającym dane może być zatem: osoba fizyczna lub prawna, organ publiczny, jednostka lub inny podmiot, który przetwarza dane osobowe w imieniu administratora. Elementy umowy powierzenia przetwarzania danych Przepisy RODO oznaczają dla administratorów danych osobowych nową rzeczywistość w aspekcie umów powierzenia przetwarzania i wskazują wprost elementy, które umowa taka powinna zawierać. Mowa tutaj o art. 28 RODO, określającym podstawowy katalog obowiązkowych zapisów umowy powierzenia. Niedostosowanie zapisów umowy do nowych wymagań może rodzić szereg negatywnych konsekwencji, między innymi w postaci wysokich kar pieniężnych - zarówno po stronie administratora, jak i podmiotu przetwarzającego. Przechodząc do zakresu przedmiotowego umowy powierzenia należy zauważyć, że jej treść powinna zawierać następujące elementy: Określenie administratora danych, Określenie podmiotu przetwarzającego dane na zlecenie administratora, przedmiot przetwarzania, czas trwania przetwarzania, charakter i cel przetwarzania, rodzaj powierzonych danych osobowych (tu należy wpisać konkretne kategorie danych osobowych, przy czym wskazać należy czy są to dane zwykłe czy szczególne kategorie danych czy też takie, które dotyczą wyroków skazujących i naruszeń prawa). kategorię osób, których dane dotyczą (np. jeśli przetwarzaniu podlegają dane pracowników i kontrahentów to każda z tych grup stanowi odrębną kategorię osób). obowiązki i prawa administratora, obowiązki podmiotu przetwarzającego. Wymienione powyżej elementy to minimum, które powinna zawierać każda umowa. Nie jest jednak wykluczone, aby zawrzeć w niej jeszcze dodatkowe elementy, które będą stanowić dodatkowe zabezpieczenie. Przykładowo może to być wprowadzenie kar umownych za naruszenia ochrony danych przez przedmiot przetwarzający, wprowadzenie zasad przeprowadzania audytów lub określenie sposobów zakończenia współpracy w przyszłości. Warto w umowie powierzenia zawrzeć zapis o tym, w jakim terminie podmiot przetwarzający poinformuje administratora danych o zaistniałym naruszeniu bezpieczeństwa przetwarzanych danych osobowych (jeżeli takie wystąpi). To o tyle istotne, że Administrator Danych zobowiązany jest zgłosić takie naruszenie do organu nadzorczego (Urzędu Ochrony Danych Osobowych) w ciągu 72 godzin od momentu jego stwierdzenia. Sprawdź naszą propozycję wzoru umowy powierzenia przetwarzania danych osobowych: Umowa powierzenia przetwarzania danych osobowych - wzór Oczywiście każda z sytuacji powierzenia będzie posiadała swoją specyfikę, wzór ten pomoże jednak w zrozumieniu najważniejszych elementów tej umowy. I jeszcze jedna ważna informacja: Umowa powierzenia przetwarzania danych osobowych powinna zostać sporządzona na piśmie. Możliwa jest również jej forma elektroniczna. Obowiązki administratora i podmiotu przetwarzającego W stosunku do poprzedniego stanu prawnego, nowością, którą wprowadziło RODO jest obowiązek spoczywający na administratorze danych, polegający na sprawdzeniu podmiotu, któremu mają zostać powierzone dane i dołożeniu szczególnej staranności przy jego wyborze. Zgodnie z art. 28 ust. 1 RODO administrator powinien korzystać wyłącznie z usług podmiotów, które zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi RODO i chroniło prawa osób, których dane dotyczą np. pracowników, klientów, kontrahentów. Podmiot przetwarzający musi zapewnić przynajmniej taki sam poziom ochrony jak administrator danych, dokonywać regularnego szacowania ryzyka oraz być w stanie zapewnić ciągłość działania. W szczególności procesor powinien: zapewnić zachowanie tajemnicy przetwarzanych danych osobowych, zagwarantować odpowiednie bezpieczeństwo ich przetwarzania (środki zapewnienie bezpieczeństwa mogą obejmować np. pseudonimizację i szyfrowanie danych osobowych, zapewnienie poufności, integralności, dostępności i odporności systemów i usług przetwa­rzania, przywracanie dostępności danych w razie incydentu fizycznego lub technicznego, regularne testowanie i ocenianie skuteczności ww. środków), udzielić pomocy administratorowi w wypełnianiu jego obowiązków względem osoby, której dane dotyczą lub Prezesa Urzędu Ochrony Danych Osobowych RODO wprowadza również obowiązek usunięcia lub zwrotu wszelkich danych osobowych, a także usunięcia wszelkich ich istniejących kopii przez podmiot przetwarzający po zakończeniu przez niego świadczenia usług związanych z przetwarzaniem, chyba że prawo Unii lub prawo państwa członkowskiego nakazuje przechowywanie danych osobowych. Audyty i kontrole u podmiotu przetwarzającego dane Administrator danych ma prawo do przeprowadzenia kontroli podmiotu przetwarzającego w zakresie zgodności jego działalności z przepisami RODO i obowiązującymi wymogami w zakresie ochrony praw osób, których dane są przetwarzane. Przeprowadzanie audytów i kontroli u kontrahentów, którym powierza się dane do przetwarzania, już teraz staje się coraz bardziej powszechnym zjawiskiem. W umowie powierzenia przetwarzania danych warto określić termin, w jakim Administrator danych powinien poinformować podmiot przetwarzający o planowej kontroli. Jednocześnie podmiot przetwarzający nie może korzystać z usług innego podmiotu przetwarzającego bez uprzedniej szczegółowej lub ogólnej pisemnej zgody administratora. Z jakimi podmiotami nie trzeba podpisywać umowy powierzenia przetwarzania danych Należy zaznaczyć, że umowy powierzenia nie trzeba podpisywać z podmiotami i instytucjami, które mogą otrzymywać dane osobowe od Administratora Danych na podstawie przepisów prawa (np. ZUS, Urząd Skarbowy, komornik, Policja, Prokuratura, etc.), ponieważ w tym przypadku mamy do czynienia z udostępnieniem danych osobowych, a nie ich powierzeniem. To o czym należy pamiętać w procesie podpisywania umowy powierzania danych osobowych i związanym z tym przekazywaniem danych to to, że przekazanie danych do powierzenia powinno nastąpić dopiero po zawarciu stosownej umowy, a nigdy wcześniej. Dalsze powierzenie przetwarzania danych osobowych Podmiot, któremu powierza się dane może, w pewnych sytuacjach, mieć potrzebę powierzyć te dane dalej, kolejnemu podmiotowi. Przykładem takiej sytuacji może być przekazanie przez biuro księgowe danych swoich klientów firmie, która dostarcza mu program informatyczny. Taką sytuację nazywamy podpowierzeniem. Możliwość dalszego powierzenia danych do przetwarzania przewiduje wprost samo rozporządzenie (art. 28 ust. 2 i 4). Dalsze powierzenie danych do przetwarzania następuje na podstawie umowy lub innego aktu prawnego, które podlegają prawu Unii lub prawu państwa członkowskiego. Może jednak wystąpić tylko pod warunkiem uzyskania szczególnej lub ogólnej pisemnej zgody administratora danych. Podmiot, któremu podmiot przetwarzający powierza dane do dalszego przetwarzania to tzw. podprocesor. Nałożone na niego obowiązki w zakresie ochrony danych osobowych pozostają takie same, jak te wymienione w umowie lub innym akcie prawnym między administratorem a podmiotem przetwarzającym. Taki „podprocesor” podlega w szczególności obowiązkowi zapewnienia wystarczających gwarancji wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie odpowiadało wymogom rozporządzenia RODO. Odpowiedzialność procesora wobec administratora za wypełnienie obowiązków, jakie wziął na siebie poprzez zawarcie z nim umowy, nie może być wyłączona poprzez zawarcie umowy o dalszym powierzeniu danych do przetwarzania. Jeżeli inny podmiot przetwarzający („podprocesor”) nie wywiąże się ze spoczywających na nim obowiązków ochrony danych, pełna odpowiedzialność za to obciąży procesora, który zawarł umowę z ADO. Umowa powierzenia przetwarzania danych osobowych - wzór

A oto kilka praktycznych przykładów z wyjaśnieniami dla przedsiębiorców, którzy stanęli przed wyzwaniem wdrożenia przepisów RODO w ich działalności. 1.Umowę powierzenia przetwarzania danych należy zawrzeć w przypadku przekazywania danych osobowych firmom outsourcingowym. Teza ta jest prawdziwa.

RODO zaostrzyło i uszczegółowiło wymagania stawiane przy powierzaniu danych osobowych innemu podmiotowi. Przepis art. 28 RODO określa podstawowy katalog obligatoryjnych zapisów, które musi posiadać umowa o powierzenie przetwarzania danych osobowych, jakie powinien zawrzeć administrator danych oraz podmiot przetwarzający. Umowa o powierzenie przetwarzania danych osobowych po 25 maja 2018 roku powinna być zgodna z wymaganiami RODO. Wiąże się to z dwoma następstwami. Po pierwsze, po dacie wejścia w życie RODO każdy administrator danych przy powierzaniu danych osobowych innemu podmiotowi ma obowiązek zawrzeć stosowną umowę. Po drugie, umowy o powierzenie danych osobowych zawarte przed 25 maja 2018 roku należy zmodyfikować (np. w formie aneksu) tak, aby spełniały wymogi RODO. Co mówi RODO? RODO nakład obowiązek na administratora danych, aby ten przed powierzeniem danych dokładnie sprawdził podmiot, któremu dane zostaną powierzone. Zgodnie z nowym rozporządzeniem, w przypadku „wycieku” danych osobowych z winy przetwarzającego, administrator odpowiada na równi z przetwarzającym dane. Wprowadzanie tej regulacji daje administratorowi danych uprawnienie do przeprowadzania kontroli podmiotu przetwarzającego w zakresie zgodności jego działalności z umową oraz z RODO. Kolejną nowością jest obowiązek usunięcia lub zwrotu przez podmiot przetwarzających wszelkich danych osobowych otrzymanych od administratora po zakończeniu umowy o powierzenie danych. Chodzi tu także o usunięcie wszelkie istniejące kopie danej bazy danych będącej w posiadaniu podmiotu przetwarzającego. Wyjątkiem są grupy danych wobec których prawo Unii lub prawo państwa członkowskiego nakazuje ich przechowywanie. Elementy umowy Umowa o powierzenie przetwarzania danych osobowych powinna zawierać takie elementy jak: dane administratora danych oraz podmiotu przetwarzającego; przedmiot przetwarzania – należy przez to rozumieć konkretne rodzaje danych jakie zostaną powierzone np. imiona, nazwiska, adresy zamieszkania, adresy email. czas na jaki została zawarta umowa powierzenia przetwarzania; cel w jakim administrator przekazał podmiotowi przetwarzającemu konkretną bazę danych; kategorię osób, których dane dotyczą – RODO określa je jako zbiory danych (np. zbiór danych kontrahentów, zbiór danych pracowników); rodzaj powierzonych danych osobowych (dane zwykłe lub wrażliwe). obowiązki i prawa administratora; obowiązki podmiotu przetwarzającego. Kiedy stosować umowę powierzenia? Umowa o powierzenie przetwarzania danych powinna być stosowana w każdym przypadku, kiedy administrator przekazuje firmie zewnętrznej jakiekolwiek dane osób postronnych. Mogą to być klienci, kontrahenci czy pracownicy firmy. Z szeregu przykładów należy wymienić te, które są najbardziej narażone na kontrolę UODO: usługi zewnętrznego biura księgowości lub księgowego. usługi zewnętrznego działu prawnego (np. stała współpraca z radcą prawnych) usługi firm audytowych (np. zewnętrzny audyt finansowy); obsługa BHP; korzystanie z usług zewnętrznego archiwum; korzystanie z usług firm hostingowych (wynajem przestrzeni na serwerze); Podstawa prawna: Rozporządzenie 2016/679 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych ( Żaneta Pilarska-Czeluśniak Dziennikarz i redaktor, od lat związana z branżą prawniczą i finansową.
Zgodnie z projektem kodeksu branżowego dla podmiotów medycznych w zakresie ochrony danych osobowych - www.rodowzdrowiu.pl (pkt 4.6.2.): „(…) nie jest zasadne na potrzeby realizacji celów zdrowotnych zawieranie z tym podmiotem jako przetwarzającym umowy powierzenia przetwarzania danych osobowych udostępnianych np. przez: (…)
Obecnie na rynku dość powszechnie można spotkać się z praktyką dążenia do zawarcia umowy powierzenia przetwarzania danych osobowych w każdym przypadku, gdy dane osobowe udostępnianie są pomiędzy dwoma firmami. Dążenie do zawarcia takiej umowy pojawia się jako uzupełnienie czy aneks do umowy głównej, regulującej współpracę obu firm. Czytaj także: RODO: osiem czynności w pracy, które zaczną być groźne Dotyczy to najczęściej sytuacji, gdy firma B świadczy dla firmy A określoną usługę. Usługi tej nie można zrealizować bez dostępu do określonych danych osobowych, dla których administratorem jest firma A. Stąd firma A udostępnia firmie B dane osobowe - np. swoich pracowników czy kontrahentów. W takiej sytuacji może rzeczywiście dochodzić do powierzenia danych osobowych firmie B przez firmę A. Ale nie zawsze. To nie jest sytuacja zerojedynkowa. Udostępnienie i przetwarzanie Zgodnie z definicją „przetwarzania" zamieszczoną w art. 4 RODO, przetwarzaniem danych osobowych są również różne rodzaje udostępniania (ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie). Jak każde inne przetwarzanie, udostępnianie danych osobowych na zewnątrz organizacji musi być oparte o jedną z przesłanek legalizacyjnych z art. 6 RODO i realizowane w zgodzie z innymi zasadami przetwarzania opisanymi w art. 5 RODO. Trzeba też pamiętać o prawidłowej realizacji obowiązku informacyjnego opisanego w art. 13 lub art. 14 RODO. W szczególności podmioty, którym dane są udostępniane, powinny być wymienione jako odbiorcy danych. Nie zawsze jednak udostępnianie będzie powierzeniem danych do przetwarzania w rozumieniu art. 28 RODO. Powierzenie danych osobowych do przetwarzania ma miejsce, gdy przetwarzanie danych udostępnionych „ma być dokonywane w imieniu administratora". Tak wyraźnie stanowi zdanie pierwsze art. 28 ust. 1 RODO. Przykład 1. Z powierzeniem danych osobowych do przetwarzania mamy do czynienia wtedy, gdy firma, która otrzymuje dane do przetwarzania, przetwarza je w celach, które określa firma udostępniająca dane osobowe. Firma B realizuje dla firmy A usługi w postaci wyliczenia wynagrodzeń dla pracowników i związanych z tym danin publicznych – podatków i składek na ubezpieczenie społeczne i zdrowotne. Firma A przekazuje dane osobowe swoich pracowników w celu naliczania wynagrodzeń. Firma B przetwarza dane osobowe w celach określonych przez firmę A. Gdyby nie doszło do tzw. outsourcingu usług, firma A musiałaby samodzielnie naliczać wynagrodzenia. Firma B nie przetwarza danych we własnych celach, realizuje ona cele przetwarzania firmy A. W takim przypadku mamy do czynienia z powierzeniem przetwarzania danych osobowych. Firma B jest w takim przypadku tzw. procesorem danych osobowych, dla których administratorem jest firma A. Przykład 2. Z udostępnieniem danych osobowych niebędącym powierzeniem, mamy do czynienia, gdy firma, która otrzymuje dane osobowe, przetwarza je w celach, które samodzielnie kształtuje – nie w celach własnych udostępniającego. Firma B otrzymuje od firmy A dane osobowe, aby móc świadczyć usługi ubezpieczeniowe dla pracowników firmy (ubezpieczenie grupowe). Firma B sama kształtuje cele przetwarzania danych osobowych. Dane przetwarzane są bowiem w celu zawarcia i realizacji polisy ubezpieczeniowej. Taki cel przetwarzania nie jest celem firmy A. Firma A zatem nie może powierzać danych do przetwarzania w tym celu. W takim przypadku nie mamy do czynienia z powierzeniem przetwarzania danych osobowych. Jest to udostępnienie danych osobowych pomiędzy dwoma administratorami danych osobowych, z których każdy realizuje swoje własne cele. Dostęp do platform online Stosunkowo często w relacjach z firmami świadczącymi masowo usługi dla pracowników firm, pojawia się kwestia dostępu do platform online usługodawców. Chodzi tu głównie o dostawców usług medycznych, ubezpieczeniowych lub benefitów pracowniczych. Co do zasady wymiana danych osobowych pomiędzy firmą będącą usługobiorcą a tego typu usługodawcą nie stanowi powierzenia danych do przetwarzania. Niemniej pewien wycinek współpracy może takiej umowy wymagać. Chodzi tu o dostęp pracowników usługobiorców do platform online usługodawców. Przykładem może być dostęp do portalu ubezpieczeniowego usługodawcy, w którym pracownik firmy – usługobiorcy – przetwarza dane pracowników w ramach zgłoszenia szkody. W zależności od charakteru przetwarzania może być w takim przypadku konieczne zawarcie umowy powierzenia obejmującej wycinek współpracy. Wtedy jednak, w tym wąskim wycinku, to usługodawca powierzałby dane osobowe do przetwarzania usługobiorcy. Wzajemne udostępnienia W relacjach pomiędzy firmami warto dbać o przejrzystość sytuacji prawnej. Kwestię wzajemnego udostępniania danych osobowych pomiędzy firmami, niebędącą powierzeniem danych osobowych do przetwarzania, można sformalizować, zawierając umowę regulującą aspekty tego udostępnienia. Umowa taka nie jest wprost uregulowana w RODO, niemniej jej zawarcie w żaden sposób nie pozostaje w sprzeczności z przepisami RODO i jest całkowicie dopuszczalne na gruncie zasady swobody umów wyrażonej w Kodeksie cywilnym. Umowa taka opisywać może zasady wzajemnego udostępnienia danych osobowych pomiędzy dwoma „równoległymi" administratorami danych. W umowie można nawiązać do okoliczności współpracy, określić zakres i cele udostępniania danych osobowych. Umowa może mieć charakter wyjaśniający i porządkujący wzajemne relacje w zakresie udostępnienia danych osobowych. Umowa może także regulować techniczne kwestie wymiany danych, uwzględniające w szczególności środki bezpieczeństwa przyjęte przez każdego z administratorów. Może to uwzględnić choćby konieczność szyfrowania wiadomości mejlowych, w których przesyłane są dane osobowe. Strony mogą także zapewnić się wzajemnie o legalności przetwarzania, w tym udostępniania danych osobowych, wskazując, że wykonały wobec osób, których dane są przetwarzane własne obowiązki informacyjne. Co więcej, w sytuacji, gdy byłoby to pożądane i dogodne dla stron, na podstawie postanowienia tego typu umowy można uregulować kwestię pomocy (pośrednictwa) w wykonywaniu obowiązków informacyjnych płynących z art. 14 RODO. Chodzi tutaj o obowiązek przekazania osobie, której dane są przetwarzane, określonych w tym przepisie informacji, w sytuacji, gdy administrator otrzymuje dane osobowe nie bezpośrednio od tej osoby. Kontrahent może być pośrednikiem w dostarczeniu klauzuli informacyjnej swojego partnera biznesowego do np. swoich pracowników. Skutki niewłaściwej umowy RODO nakłada szereg obowiązków na podmiot przetwarzający dane osobowe na zlecenie. Obowiązkom tym towarzyszą uprawnienia administratora powierzającego dane osobowe do przetwarzania. Sytuacja zbyt pochopnego zawierania umów powierzenia powoduje konieczność zupełnie niewłaściwego i niepotrzebnego obarczania się obowiązkami, za których nieprzestrzeganie grożą wysokie kary. Prowadzi to również do sytuacji absurdalnych. Jedną z nich jest możliwość kontroli przetwarzania danych osobowych przez powierzającego. W praktyce łączy się to z możliwością przeprowadzenia audytu w systemach przetwarzania danych osobowych procesora. Jest to sytuacja całkowicie nieprzystająca do rzeczywistości w przypadku zwykłej współpracy stron związanej jedynie z wymianą danych osobowych, niezbędnych do wykonania umowy wzajemnej. Szymon Szurgacz radca prawny w Sendero Tax & Legal Można zaobserwować tendencję zbyt pochopnego łączenia wymiany danych pomiędzy firmami z koniecznością zawarcia umowy powierzenia regulowanej przez art. 28 RODO. Zupełnie niesłusznie konieczność zawarcia takiej umowy traktuje się jako zasadę, warunek dalszej współpracy stron. Tymczasem obowiązek zawarcia umowy powierzenia nie pojawia się zawsze w przypadku, gdy partnerzy biznesowi udostępniają sobie nawzajem dane osobowe. Aktualizuje on się wyłącznie wtedy, gdy jeden z partnerów realizuje wyłącznie cele przetwarzania danych osobowych drugiego i na jego rzecz. Należy unikać zawierania umów powierzenia w sytuacjach, gdy nie ma do tego podstaw faktycznych. Może rodzić to negatywne skutki prawne i prowadzić do absurdalnych sytuacji.
przeszkolenie z zakresu ochrony danych osobowych i są niezbędne do w realizacji celu niniejszej Umowy. 4. Podmiot przetwarzający zobowiązuje się zapewnić, że osoby, które upoważnia do przetwarzania danych osobowych, w celu realizacji niniejszej Umowy, zobowiążą się do zachowania tajemnicy lub będą podlegały odpowiedniemu ustawowemu Z powodu wejścia w życie w dniu r. ogólnego Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE informujemy, iż z dniem 24 Maja 2018r. uległ zmianie Regulamin świadczenia usług drogą elektroniczną przez IBC oraz Polityka Prywatności. Nowy tekst Regulaminu dostępny jest na naszej stronie : Nowy tekst Polityki Prywatności dostępny jest na naszej stronie: Obowiązek informacyjny RODO dostępny jest na naszej stronie: oraz w procesie rejestracji konta Abonenta Umowa powierzenia przetwarzania danych osobowych W celu realizacji poszczególnych Usług hostingowych ( np. prowadzenia Sklepu www, gromadzenia w serwisie, bazie lub na poczcie danych osobowych swoich kontrahentów itp. ) niezbędne może być powierzenie przez Klienta IBC przetwarzania danych osobowych. W takich sytuacjach powierzenie przetwarzania danych osobowych będzie następowało na warunkach określonych w Regulaminie w dziale XIII Powierzenie przetwarzania danych osobowych §45 i 46 w formie elektronicznej i obejmuje wszystkie kategorie danych osobowych, które wprowadzisz do swojej Usługi. Dane osobowe są powierzone IBC na czas trwania umów wskazanych w Regulaminie. W takim przypadku aktywacji Umowy powierzenia przetwarzania danych osobowych należy dokonać w Panelu Klienta w zakładce: Moje dane, zgody i umowy, na stronie: Aktywacja możliwa jest tylko w przypadku konta Abonenta: firmowe. W przypadku jeśli posiadasz konto Abonenta: indywidualne i podlegasz jednocześnie, ze względu na charakter, zakres lub cel gromadzenia danych obowiązkowi RODO jako Administrator tych danych, załóż w IBC nowe konto Abonenta: firmowe, podając w tym celu w procesie rejestracji swój NIP. Aktywne dotąd usługi w drodze e-cesji mogą zostać przepięte na nowe konto. Powyższe może występować szczególnie w sytuacji prowadzenia działalności nierejestrowej (wprowadzonej Ustawą z dnia 6 marca 2018 r. - Przepisy wprowadzające ustawę - Prawo przedsiębiorców oraz inne ustawy dotyczące działalności gospodarczej), co wymagać też będzie utworzenia konta Abonenta: firmowe. Po aktywacji Umowy otrzymasz potwierdzenie emailowe z oznaczeniem daty, godziny i stanu ( umowa nieaktywna, umowa aktywna ) wraz z pełną treścią Regulaminu. Więcej informacji o sposobie aktywacji Umowy znajdziesz w dziale Help na naszej stronie: Rejestr domen polskich wprowadza nową politykę cenową dla zarządzanych przez siebie domen, zakłada ona… Informujemy o aktualizacji adresów podmiotów do których przekazywane są dane w Polityce Prywatności.… Na dzień 18 Maja w oknie czasowym 23:00 do 02:00 zaplanowano niezbędne prace techniczne zabezpieczeń… . 65 167 217 352 382 304 107 107

umowa powierzenia przetwarzania danych osobowych z pocztą polską rodo