🌓 Umowa Powierzenia Przetwarzania Danych Osobowych Z Pocztą Polską Rodo

Urząd Ochrony Danych Osobowych nałożył karę w wysokości ponad 33 tys. zł na administratora, który utracił poufność danych osobowych. Ponadto nakazał mu zaprzestać powierzania przetwarzania danych podmiotowi, z którym współpracował na podstawie umowy zawierającej braki. Administrator i podmiot przetwarzający naruszyli przepisy RODO, bo nie wdrożyli odpowiednich środków To zależy. Zasadniczo to firma jako administrator danych osobowych odpowiada za cele i środki przetwarzania danych osobowych, a tym samym określa, co nam wolno, a czego nie, w odniesieniu do danych osobowych. Jednak jeżeli z uwagi na stosunek B2B pozostawiono nam dużą swobodę, pozwalając przykładowo korzystać z własnego komputera i zgodności przetwarzania z prawem lub zakończenia powierzenia przetwarzania danych osobowych. 6. Podmiot przetwarzający dopuści do przetwarzania powierzonych danych osobowych jedynie osoby działające z jego upoważnienia oraz których dostęp do danych osobowych jest niezbędny do wykonania usług określonych w danej umowie głównej. 7. UMOWA POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH ( „Umowa powierzenia”) zawarta we Wrocławiu, dnia [___] pomiędzy: Siecią Badawczą ŁUKASIEWICZ - PORT Polskim Ośrodkiem Rozwoju Technologii z siedzibą we Wrocławiu, przy ul. Stabłowickiej 147, 54-066 Wrocław, państwową osobą prawną działającą w formie instytutu Z treści art. 28 ust. 3 lit. e RODO wyraźnie wynika, że biorąc pod uwagę charakter przetwarzania, podmiot przetwarzający pomaga administratorowi, poprzez odpowiednie środki techniczne i organizacyjne, wywiązać się z obowiązku odpowiadania na żądania osoby, której dane dotyczą, w zakresie wykonywania jej praw. Rozporządzenie o ochronie danych osobowych (dalej również: RODO) kreuje szereg obowiązków po stronie administratorów danych osobowych. Jednym z takich obowiązków jest zawarcie umowy powierzenia danych osobowych. Umowa powierzenia danych osobowych jest umową cywilnoprawną – nienazwaną tzn. nie regulują jej odrębne przepisy kodeksu cywilnego. Umowa ta zawarta jest z . Biura rachunkowe często nie zdają sobie sprawy z konieczności ochrony danych osobowych pozyskanych od swoich klientów. Przepisy o ochronie danych osobowych nakładają bowiem wiele obowiązków. Ponadto nakładają duże sankcje pieniężne dla podmiotów niestosujących się do ochrony danych osobowych i nierespektujących wprowadzonych regulacji. Prowadząc biuro rachunkowe, warto przygotować się do właściwej ochrony danych osobowych. Czy każdemu potrzebna jest umowa powierzenia przetwarzania danych osobowych w biurze rachunkowym? Dane osobowe przetwarzane w biurze rachunkowym Dane osobowe przetwarzane w biurze rachunkowym mają źródło w powierzonych przez klientów dokumentach pracowniczych, umowach, fakturach czy wyciągach bankowych. Do kategorii przetwarzanych przez biura rachunkowe danych osobowych i zbiorów danych zawierających informacje gospodarcze, a nawet tajemnicę handlową mogącą zawierać klauzulę poufności, w szczególności należą dane o wielkości transakcji klienta, dane jego kontrahentów, dane jego pracowników czy jego samego. Dane osobowe umożliwiające zidentyfikowanie osoby, to dane takie jak numery PESEL czy dane z kopii dowodów osobistych. Niewłaściwe zabezpieczenie danych osobowych przez udostępnianie ich osobom postronnym czy przetwarzanie danych przez pracowników bez oparcia o właściwą politykę bezpieczeństwa informacji naraża biura rachunkowe na dużą odpowiedzialność materialną. Biuro rachunkowe jest zobowiązane zabezpieczyć pozyskane dane. Przetwarzanie ich musi odbywać się zgodnie z umową oraz przy praktykowaniu nawyków takich jak aktualizowanie wewnętrznych regulacji (regulaminów) w tym zakresie, inwentaryzację sprzętu i oprogramowania, okresowe analizy, minimalizowanie ryzyka dostępu do danych osób niepowołanych, dbanie o posiadanie stosownych uprawnień przez osoby przetwarzające dane, szkolenia, monitorowanie dostępu, utworzenie zasad gwarantujących bezpieczną pracę, zgłaszanie incydentów oraz przeprowadzanie okresowych audytów. Należy pamiętać, że klient przekazujący dane osobowe dla biura rachunkowego pozostaje administratorem tych danych. To on jest zobowiązany do zachowania staranności w celu ochrony danych swoich kontrahentów. Biuro rachunkowe ma za to zadanie dokładać wszelkiej staranności, żeby przetwarzanie danych było zgodne z przepisami prawa. Właściwym zabezpieczeniem obu stron - klienta i biura rachunkowego, określającym ich prawa i obowiązki w sprawie ochrony danych osobowych, jest umowa powierzenia przetwarzania danych osobowych. Umowa powierzenia przetwarzania danych osobowych w biurze rachunkowym Biuro rachunkowe przetwarza dane na podstawie zawartej z klientem umowy powierzenia przetwarzania danych osobowych. Umowa powierzenia może być załącznikiem do obowiązującej w biurze rachunkowym polityki bezpieczeństwa oraz występować obok właściwej umowy o świadczenie usług księgowych. Podpisywana jest więc między biurem rachunkowym a klientem, który chce skorzystać z usług biura rachunkowego, powierzając mu wszystkie dokumenty potrzebne do prowadzenia jego spraw, a które zawierają zwykłe i wrażliwe dane osobowe. Oprócz elementów oczywistych w umowie, takich jak określenie miejsca i daty jej zawarcia, wskazania stron jako zleceniodawcy-klienta i wykonawcy-biura rachunkowego, podpisów - należy zadbać o właściwie sformułowane postanowień umowy ze względu na jej przedmiot - ochronę danych osobowych. Przedmiot umowy powierzenia przetwarzania danych osobowych w biurze rachunkowym Ważnym elementem umowy jest oświadczenie klienta - osoby prowadzącej działalność gospodarczą (przedsiębiorcy) - w tym przypadku zleceniodawcy dla biura rachunkowego o fakcie, że jest on administratorem danych osobowych na podstawie ustawy. To on deklaruje, że przetwarza dane zgodnie z obowiązującymi przepisami. Potwierdza on, że cel umowy jest bezpośrednio związany z jego działalnością gospodarczą lub zawodową. Na podstawie tej umowy określa, że powierza zgromadzone dane osobowe wykonawcy, którym jest biuro rachunkowe, które zobowiązuje się do przetwarzania powierzonych mu danych w celach wyłącznie określonych w tej umowie. Jest to przedmiot, esencja umowy powierzenia przetwarzania danych osobowych. Zakres umowy i cel powierzenia przetwarzania danych osobowych w biurze rachunkowym Jak zostało wspomniane powyżej, przedmiotem umowy jest zgodne z obowiązującymi przepisami prawa korzystanie z powierzonych przez klienta danych osobowych. Celem powierzenia danych jest prawidłowe świadczenie usług przez biuro rachunkowe. Udostępnienie przez klienta danych i przekazanie ich często odbywa się za pośrednictwem systemu informatycznego. Należy pamiętać o uwzględnieniu tego sposobu w umowie. Należy też wskazać, że wtedy biuro rachunkowe może przechowywać powierzone dane. Oświadczenie biura rachunkowego o niekorzystaniu z powierzonych danych w innych celach niż umowne to kolejna ważne postanowienie umowy. Klient może określić, że powierzenie danych osobowych następuje z wyłączeniem pewnych danych. Prawa i obowiązki stron umowy powierzenia przetwarzania danych osobowych w biurze rachunkowym Obie strony zobowiązują się w umowie do przestrzegania przepisów o ochronie danych osobowych i przepisów aktów wykonawczych do tej ustawy. Biuro rachunkowe zobowiązuje się stosować środki techniczne i organizacyjne, które mają zapewnić ochronę przetwarzania danych powierzonych przez klienta. Najważniejszym aspektem jest nieudostępnianie danych osobom nieupoważnionym i niwelowanie zagrożenia, że ktokolwiek przejmie dane, będąc nieuprawnionym. Istotna jest również ochrona przed uszkodzeniem lub zniszczeniem danych. Możliwe jest wskazanie w umowie, że biuro rachunkowe może powierzyć przetwarzanie powierzonych danych innym podmiotom, na co klient wyraża zgodę. Biuro rachunkowe musi ponadto zadbać, by wybrany przez siebie dostawca usług informatycznych był renomowany, co ma zagwarantować maksymalny stopień ochrony danych osobowych. Podmioty odpowiedzialne za przetwarzanie danych muszą być obecne w biurze rachunkowym i udostępniać klientowi dane na jego wniosek. W przypadku zmiany kompetentnych do tego podmiotów biuro rachunkowe jest zobowiązane poinformować klienta o tym fakcie. Podpowierzanie danych można przekazać tylko podmiotom gwarantującym należyte wypełnianie obowiązków, co należy zawrzeć w umowie. Okres obowiązywania umowy o powierzenie danych i jej rozwiązanie Datą zawarcia umowy jest dzień podpisania umowy przez biuro rachunkowym z klientem. Określony czas, wskazujący datę od - do, będzie okresem świadczenia usług księgowych. Od chwili zawarcia umowy do czasu, na który została zawarta obowiązują jej postanowienia. Biuro rachunkowe musi przechowywać dane osobowe przez wskazany w umowie okres, nawet po rozwiązaniu umowy. Rozwiązanie umowy może nastąpić na podstawie przewidzianych przesłanek lub jeśli umowa świadczenia usług na to zezwala, to w każdym czasie. Wówczas wszystkie powierzone dane powinny zostać zwrócone. Odpowiedzialność stron za zobowiązania umowy Biuro rachunkowe jest odpowiedzialne za powierzone dane, ale w dalszym ciągu ich administratorem pozostaje klient. Biuro nie może dopuścić do udostępnienia danych osobom nieupoważnionym, przejęcia danych przez osobę nieuprawnioną czy do uszkodzenia i zniszczenia danych. Dodatkowe informacje jako postanowienia końcowe umowy powierzenia przetwarzania danych osobowych w biurze rachunkowym Warto zaznaczyć, że w sprawach spoza postanowień umownych zastosowanie mają przepisy o ochronie danych osobowych, regulaminy świadczenia usług w danym biurze rachunkowym oraz przepisy Kodeksu cywilnego. W końcowych postanowieniach można zawrzeć umowę prorogacyjną, czyli określenie konkretnego sądu (należy go wskazać), który będzie właściwy do rozstrzygnięcia ewentualnego sporu. Można zaznaczyć również możliwość wprowadzania zmian do umowy, ale należy podać, jaką formę musi przyjąć taka zmiana - najczęściej w umowach wskazuje się, aby wszelkie zmiany były wprowadzane w formie pisemnej pod rygorem nieważności. Z kim muszę podpisywać umowę powierzenia przetwarzania danych osobowych? (kurier, poczta, księgowa, operator płatności, hosting) W codziennej praktyce sklepy internetowe do realizacji swoich celów biznesowych bardzo często korzystają z usług firm zewnętrznych. W związku z tym pojawia się problem dostępu do danych i ich przetwarzania przez osoby trzecie. Sprzedawcy internetowi mają w związku z tym obowiązek zabezpieczenia danych osobowych swoich klientów przed ich bezprawnym wykorzystaniem poprzez spełnienie ustawowo określonych obowiązków. Zgodnie z ustawą o ochronie danych osobowych, administrator danych osobowych może powierzyć przetwarzanie danych innemu podmiotowi w drodze umowy zawartej na piśmie – czyli tzw. umowy powierzenia przetwarzania danych osobowych. Czym jest powierzenie danych? Przetwarzanie danych osobowych jest dopuszczalne tylko wtedy, gdy jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa, na co wskazuje bezpośrednio art. 23 ust. 1 pkt 2 ustawy o ochronie danych osobowych. Powierzenie przetwarzania danych uregulowane jest w art. 31 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych. Art. 31 ust. 1 Administrator danych może powierzyć innemu podmiotowi, w drodze umowy zawartej na piśmie, przetwarzanie danych. Polega ono na tym, że administrator danych powierza w drodze pisemnej umowy ich przetwarzanie – w całości lub w części – innemu podmiotowi. Oznacza to, że administrator nie musi sam wykonywać wszystkich czynności związanych z procesem przetwarzania danych osobowych. Najczęściej umowy powierzenia przetwarzania danych zawierane są np. w celu dochodzenia wierzytelności lub w związku ze zleceniem innemu podmiotowi realizacji części zadań administratora (tzw. outsourcing). W pewnym uproszczeniu chodzi o przekazanie innej firmie zebranych przez administratora danych osobowych po to, by ta firma zrobiła coś z tymi nimi w jego imieniu i na jego rzecz. Czy przekazując dane zawsze je powierzam? Są sytuacje gdy prowadząc działalność administrator przekaże dane osobowe osobie trzeciej, która będzie je przetwarzać w swoim własnym imieniu i na swoją rzecz. W tej sytuacji będziemy mieli do czynienia z udostępnieniem danych – może to mieć miejsce np. w przypadku sprzedaży bazy danych. Udostępnienie jest przekazaniem danych innemu podmiotowi (odbiorcy danych), który staje się ich administratorem, zaś powierzenie polega na przetwarzaniu danych przez podmiot, który nie jest administratorem tych danych. Komu mogę powierzyć przetwarzanie danych osobowych? Hosting Duża część sklepów internetowych, ze względu na wysokie koszty, nie utrzymuje własnych serwerów, lecz wynajmuje od wyspecjalizowanych firm świadczących usługi hostingu. Wówczas dane osobowe klientów sklepu są przetwarzane przez inną firmę w jej systemie informatycznym. Definicja przetwarzania w ustawie o ochronie danych osobowych jest jednoznaczna: są to „jakiekolwiek operacje wykonywane na danych osobowych”, a wśród nich także „utrwalanie” i „przechowywanie”. Księgowość Prowadzenie dokumentacji księgowej nierozerwalnie wiąże się z przetwarzaniem danych osobowych klientów oraz osób zatrudnionych w sklepie internetowym. Wprawdzie zgodnie z ustawą o ochronie danych osobowych nie trzeba rejestrować zbiorów danych osobowych, które służą tylko do przetwarzania danych w celu wystawienia faktury, jednak wymogi dotyczące zabezpieczenia zbiorów danych osobowych, o których mowa w art. 36 ustawy, odnoszą się do wszystkich zbiorów, w których przetwarzane są dane osobowe. Art. 36. 1. Administrator danych jest obowiązany zastosować środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, a w szczególności powinien zabezpieczyć dane przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem. Obowiązek zabezpieczenia danych nie jest zatem uzależniony od celu przetwarzania, rodzaju podmiotu będącego administratorem, jak również przywilejów, do których należy zwolnienie administratorów danych z obowiązku rejestracji określonego typu zbiorów. Dlatego tak ważne by podpisując z firmą zewnętrzną umowę na obsługę księgową, sklep internetowy oraz biuro księgowe obok umowy określającej zasady współpracy w zakresie prowadzenia ksiąg rachunkowych, zawarli ze sobą odrębną umowę, której przedmiotem będzie powierzenie przetwarzania danych osobowych. Poczta Polska Jeśli e-sklep przekaże dane osobowe Poczcie Polskiej w celu realizacji usług pocztowych, Poczta będzie przetwarzać je zgodnie z art. 23 ust 1 pkt 2 ustawy o ochronie danych osobowych na podstawie ustawy Prawo Pocztowe i jest ich administratorem. Art. 23. ust 1. Przetwarzanie danych jest dopuszczalne tylko wtedy, gdy: osoba, której dane dotyczą, wyrazi na to zgodę, chyba że chodzi o usunięcie dotyczących jej danych, zezwalają na to przepisy prawa, jest niezbędne osobie, której dane dotyczą, w celu wywiązania się z umowy, której jest stroną, lub na jej życzenie w celu podjęcia niezbędnych działań przed zawarciem umowy, jest niezbędne do wykonania określonych prawem zadań realizowanych dla dobra publicznego, jest niezbędne do wypełnienia usprawiedliwionych celów administratorów danych, o których mowa w art. 3 ust. 2, a przetwarzanie danych nie narusza praw i wolności osoby, której dane dotyczą. Jednak w przypadku realizacji usług niestanowiących usług pocztowych, przekazanie Poczcie Polskiej danych osobowych klientów podmiotów zewnętrznych wymagać będzie podpisania umowy powierzenia zgodnie z art. 31 ww. ustawy. Wówczas dopiero Poczta Polska stanie się procesorem, tj. podmiotem, któremu administrator danych osobowych powierzył przetwarzanie danych osobowych w celu i zakresie przewidzianym w umowie. 1. [Prawo Pocztowe] Tajemnica pocztowa obejmuje informacje przekazywane w przesyłkach, informacje dotyczące realizacji przekazów pocztowych, dane dotyczące podmiotów korzystających z usług pocztowych oraz dane dotyczące faktu i okoliczności świadczenia usług pocztowych lub korzystania z tych usług. 2. Do zachowania tajemnicy pocztowej są obowiązani: operator; osoby, które z racji wykonywanej działalności mają dostęp do tajemnicy pocztowej. Kurier Firmy kurierskie jako podmioty świadczące usługi pocztowe nie posiadają statusu administratora danych, jaki nadaje Poczcie Polskiej ustawa Prawo Pocztowe, toteż powierzając dane kurierowi staje się on procesorem, a zatem niezbędne jest podpisanie umowy powierzenia przetwarzania danych osobowych z takimi podmiotami, w przypadku korzystania z ich usług. Operator płatności Sklepy internetowe często korzystają z firm obsługujących płatności elektroniczne. Firmy te jak np. PayU nie wymagają podpisywania umów papierowych, wymagają jedynie zaakceptowania regulaminu (w nim zawarte są zasady powierzania danych). np. § 16 regulaminu PAYU: DANE OSOBOWE 3. W związku z zawarta Umową, Partner powierza PayU przetwarzanie danych osobowych osób, które są umocowane do dokonywania czynności w imieniu Partnera lub do wykonywania wszystkich praw i obowiązków Partnera. 5. Powierzenie PayU przez Partnera przetwarzania danych osobowych osób, o których mowa w § 16 ust. 3 Regulaminu, następuje na czas trwania Umowy, następuje w celu świadczenia przez PayU usług w ramach Umowy (w tym usług płatniczych) oraz obejmuje dane osobowe niezbędne do realizacji tego celu. W przypadku płatności elektronicznych, do powierzenia najczęściej nie dojdzie, gdyż korzystając z nich to Klient sam wprowadza swoje dane osobowe na stronie pośrednika płatności. Dropshipping Sklepy internetowe coraz częściej korzystają z modelu dropshippingu opierającego się na wysyłce kupionego w e-sklepie towaru bezpośrednio z hurtowni. Decydując się na takie rozwiązanie należy podpisać z hurtownią umowę o powierzeniu przetwarzania danych osobowych, która ureguluje kwestie związane z przekazaniem danych w celu realizacji zamówień i która to zawiera informacje o przekazaniu danych przez sklep – hurtowni oraz nakłada na przetwarzającego obowiązki związane z zapewnieniem odpowiednich środków gwarantujących bezpieczeństwo danych. To tylko przykładowe z możliwych przykładów powierzenia przetwarzania danych w e-sklepie. Do powierzenia może dojść również w innych przypadkach np. podczas korzystania z oprogramowania w chmurze tzw. SaaS (do fakturowania czy też system CRM) czy też chociażby w przypadku korzystania z usług obsługującej newsletter (np. FreshMail, MailChimp). Forma umowy powierzenia danych osobowych Umowa powierzenia przetwarzania danych osobowych powinna zostać zawarta na piśmie (ale jest to forma zastrzeżona dla celów dowodowych). Powinna ona określać przede wszystkim rodzaje operacji na danych osobowych i cel przetwarzania danych, a także prawa i obowiązki zarówno administratora danych, jak i procesora. Podsumowanie Korzystając z usług podmiotów zewnętrznych e-sklep powinien trzymać rękę na pulsie. W każdej z tych sytuacji bowiem może dojść do naruszenia bezpieczeństwa przetwarzania danych osobowych jego klientów. Wybierając sposób przekazania danych osobowych osobom trzecim, e-sklep powinien pamiętać o podstawowych różnicach pomiędzy udostępnieniem a powierzeniem przetwarzania danych i wszelkimi wynikającymi z tego konsekwencjami. W takich sytuacjach, będąc administratorem danych, e-sklep musi zawierać pisemne umowy o powierzeniu danych z podmiotami zewnętrznymi. Jest to szczególnie ważne z uwagi na fakt, iż jest on odpowiedzialny nie tylko za wypełnienie poszczególnych obowiązków wynikających z ustawy przez siebie samego, ale także przez podmiot, któremu te dane powierzył. Z powodu wejścia w życie w dniu r. ogólnego Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE informujemy, iż z dniem 24 Maja 2018r. uległ zmianie Regulamin świadczenia usług drogą elektroniczną przez IBC oraz Polityka Prywatności. Nowy tekst Regulaminu dostępny jest na naszej stronie : Nowy tekst Polityki Prywatności dostępny jest na naszej stronie: Obowiązek informacyjny RODO dostępny jest na naszej stronie: oraz w procesie rejestracji konta Abonenta Umowa powierzenia przetwarzania danych osobowych W celu realizacji poszczególnych Usług hostingowych ( np. prowadzenia Sklepu www, gromadzenia w serwisie, bazie lub na poczcie danych osobowych swoich kontrahentów itp. ) niezbędne może być powierzenie przez Klienta IBC przetwarzania danych osobowych. W takich sytuacjach powierzenie przetwarzania danych osobowych będzie następowało na warunkach określonych w Regulaminie w dziale XIII Powierzenie przetwarzania danych osobowych §45 i 46 w formie elektronicznej i obejmuje wszystkie kategorie danych osobowych, które wprowadzisz do swojej Usługi. Dane osobowe są powierzone IBC na czas trwania umów wskazanych w Regulaminie. W takim przypadku aktywacji Umowy powierzenia przetwarzania danych osobowych należy dokonać w Panelu Klienta w zakładce: Moje dane, zgody i umowy, na stronie: Aktywacja możliwa jest tylko w przypadku konta Abonenta: firmowe. W przypadku jeśli posiadasz konto Abonenta: indywidualne i podlegasz jednocześnie, ze względu na charakter, zakres lub cel gromadzenia danych obowiązkowi RODO jako Administrator tych danych, załóż w IBC nowe konto Abonenta: firmowe, podając w tym celu w procesie rejestracji swój NIP. Aktywne dotąd usługi w drodze e-cesji mogą zostać przepięte na nowe konto. Powyższe może występować szczególnie w sytuacji prowadzenia działalności nierejestrowej (wprowadzonej Ustawą z dnia 6 marca 2018 r. - Przepisy wprowadzające ustawę - Prawo przedsiębiorców oraz inne ustawy dotyczące działalności gospodarczej), co wymagać też będzie utworzenia konta Abonenta: firmowe. Po aktywacji Umowy otrzymasz potwierdzenie emailowe z oznaczeniem daty, godziny i stanu ( umowa nieaktywna, umowa aktywna ) wraz z pełną treścią Regulaminu. Więcej informacji o sposobie aktywacji Umowy znajdziesz w dziale Help na naszej stronie: Rejestr domen polskich wprowadza nową politykę cenową dla zarządzanych przez siebie domen, zakłada ona… Informujemy o aktualizacji adresów podmiotów do których przekazywane są dane w Polityce Prywatności.… Na dzień 18 Maja w oknie czasowym 23:00 do 02:00 zaplanowano niezbędne prace techniczne zabezpieczeń… Jako że zakładając konto we FreshMailu, stajesz się Administratorem Danych Osobowych, musisz działać zgodnie z wymogami ustawy RODO, która weszła w życie 25 maja 2018 roku, a tym samym podpisać z nami Umowę Powierzenia Przetwarzania Danych Osobowych. Pamiętaj, że bez tego kroku nie możesz wysyłać kampanii! Ponadto zaakceptowanie Umowy nie obliguje Cię do ponoszenia jakichkolwiek opłat. Jak zacząć? Po zalogowaniu na swoje konto we FreshMailu zobaczysz na stronie głównej zielony baner przypominający o konieczności wypełnienia umowy. Kliknij w żółty przycisk Uzupełnij dane: Poniżej przycisku znajdziesz również opcję Przypomnij mi jutro oraz Nie przypominaj mi nigdy, jednak gdy klikniesz w tę drugą, nie będziesz mógł wysyłać kampanii. Po kliknięciu w Uzupełnij dane przejdziesz do zakładki, która wyjaśnia, w jakim celu musisz wypełnić umowę oraz jakie konsekwencje mogą wyniknąć z jej niepodpisania. Co później? Gdy klikniesz Idę dalej! zostaniesz poproszony o zaznaczenie rodzaju umowy. Jeżeli konto zostało założone na osobę fizyczną, podaj swoje imię, nazwisko, e-mail, numer telefonu oraz pełny adres. W przypadku zaznaczenia firmy i po podaniu numeru NIP, a następnie kliknięciu Pobierz dane, wszystkie informacje o Twojej firmie zostaną zaciągnięte z Krajowego Rejestru Sądowego. Jeśli po pobraniu danych zauważysz błąd, skontaktuj się z Biurem Obsługi Klienta drogą mailową (pomoc@ i podaj poprawne dane, a dokonamy ich niezwłocznej zmiany. Po wypełnieniu pól umowy możesz ją podejrzeć poprzez kliknięcie Zobacz umowę. Zaakceptowanie UPPDO następuje w momencie przejrzenia jej całości za pomocą zielonej strzałki. Poniżej znajduje się również opcja pobrania jej na komputer w formacie PDF. Pamiętaj, że zaakceptowanie umowy staje się wiążące - sprawdź zatem, czy wszystkie podane przez Ciebie dane są poprawne! Jeśli chcesz ją jeszcze podejrzeć, przejdź do zakładki Moje umowy → Przeglądaj umowy. W tym miejscu możesz sprawdzić datę jej zaakceptowania, opis, wersję oraz status, a także opcję podglądu i pobrania w formacie PDF. Pamiętaj, że możesz także wypełnić Umowę Powierzenia Przetwarzania Danych Osobowych w wersji papierowej: w tym celu skontaktuj się z Biurem Obsługi Klienta, który wyśle Ci edytowalną wersję. Następnie skorzystaj z opcji Prześlij umowę, gdzie prześlesz podpisany skan. Taki plik musi zostać najpierw sprawdzony przez Biuro Obsługi Klienta i, jeśli wszystko jest w porządku, zostanie zaakceptowany, a następnie automatycznie znajdzie się w zakładce Przeglądaj umowy. Możesz również przesłać wersję papierową bezpośrednio do naszej firmy na adres: FreshMail Sp. z o. o. Al. 29 Listopada 155c 31-406 Kraków. W związku z koniecznością przeprowadzenia szkolenia BHP dla naszych pracowników planujemy skorzystać z usług firmy szkoleniowej. Zastanawiamy się jednak, jak prawidłowo określić rolę naszą i tej firmy w procesie przetwarzania danych osobowych. Czy pracodawca w każdym przypadku, gdy kieruje pracownika na szkolenie (BHP, podnoszące kwalifikacje), powinien zawrzeć z firmą szkoleniową umowę powierzenia, o której mowa w art. 28 ust. 3 RODO? W celu ustalenia, czy w danej sytuacji mamy do czynienia z odrębnym administratorem, czy jednak istnieje konieczność zawarcia umowy powierzenia, należy przede wszystkim dokonać analizy okoliczności faktycznych z uwzględnieniem zadań określonych podmiotów wynikających z przepisów prawa oraz zawartej pomiędzy nimi umowy. Trzeba brać pod uwagę, jak w szczegółach realizowane są obowiązki przeprowadzenia szkolenia w konkretnym przypadku i jak pracodawca i firma szkoleniowa uzgodniły swoje role oraz zadania w zakresie przetwarzania danych, a także na ile samodzielnie i w jakich celach podmioty te przetwarzają dane w celach związanych ze szkoleniem. W wielu przypadkach, gdy następuje przekazanie realizacji zadania innemu podmiotowi, który realizuje je (także w zakresie przetwarzania danych) w sposób niezależny, samodzielnie decydując o sposobach i celach przetwarzania, a zadania i obowiązki tego podmiotu są dodatkowo dość szczegółowo określone w przepisach prawa, istnieją podstawy do uznania ich za odrębnych administratorów. Powierzenie przetwarzania powinno mieć natomiast miejsce wówczas, jeśli zewnętrzny podmiot przetwarza dane w imieniu administratora, w celach i w sposób przez niego określony. W niektórych przypadkach warto zwrócić uwagę na rozwiązanie określone w art. 26 RODO, tj. instytucję współadministrowania. Zgodnie z art. 94 pkt 4 ustawy Kodeks pracy, pracodawca jest obowiązany w szczególności zapewniać bezpieczne i higieniczne warunki pracy oraz prowadzić systematyczne szkolenie pracowników w zakresie bezpieczeństwa i higieny pracy. Natomiast zgodnie z brzmieniem § 4 ust. 1 rozporządzenia Ministra Gospodarki i Pracy z dnia 27 lipca 2004 r. w sprawie szkolenia w dziedzinie bezpieczeństwa i higieny pracy, szkolenie może być organizowane i prowadzone przez pracodawców lub, na ich zlecenie, przez jednostki organizacyjne prowadzące działalność szkoleniową w dziedzinie bezpieczeństwa i higieny pracy. Pracodawca może zatem realizować obowiązek nałożony na niego w art. 94 pkt 4 Kodeksu pracy samodzielnie lub za pośrednictwem firmy zewnętrznej (korzystając z jej usług). Firma zewnętrzna w procesie przetwarzania może występować w roli organizatora szkolenia, o którym mowa w § 4 pkt 1 rozporządzenia Ministra Gospodarki i Pracy z dnia 27 lipca 2004 r. w sprawie szkolenia w dziedzinie bezpieczeństwa i higieny pracy. W § 5 pkt. 1-6 tego rozporządzenia zostały określone obowiązki organizatora szkolenia. Należy do nich zapewnienie: programu poszczególnych rodzajów szkolenia opracowanego dla określonych grup stanowisk; programu szkolenia instruktorów w zakresie metod prowadzenia instruktażu - w przypadku prowadzenia takiego szkolenia; wykładowców i instruktorów posiadających zasób wiedzy, doświadczenie zawodowe i przygotowanie dydaktyczne zapewniające właściwą realizację programów szkolenia; odpowiednich warunków lokalowych do prowadzenia działalności szkoleniowej; wyposażenie dydaktyczne niezbędne do właściwej realizacji programów szkolenia; właściwy przebieg szkolenia oraz prowadzenia dokumentacji w postaci programów szkolenia, dzienników zajęć, protokołów przebiegu egzaminów i rejestru wydanych zaświadczeń. Jednostka organizacyjna prowadząca działalność szkoleniową w dziedzinie bezpieczeństwa i higieny pracy, realizując nałożone na nią w ww. rozporządzeniu obowiązki, przetwarza dane pracownika w związku ze sporządzaniem protokołów z przebiegu egzaminów i rejestru wydanych zaświadczeń oraz w zakresie nawiązania współpracy (zawarcia stosownych umów) z wykładowcami i instruktorami posiadającymi zasób wiedzy, doświadczenie zawodowe i przygotowanie dydaktyczne zapewniające właściwą realizację programów szkolenia (§ 5 pkt. 3 i 6 ww. rozporządzenia Ministra Gospodarki i Pracy). W tym zakresie zasadnie można uznać, że przetwarza dane jako administrator w rozumieniu przepisów o ochronie danych osobowych. Odnosząc się do zagadnienia, kto jest administratorem w przypadku „szkoleń podnoszących kwalifikacje pracowników”, wskazuję, że również w tym wypadku należy dokonać analizy, kto podejmuje decyzje w zakresie kluczowych kwestii dla danego procesu przetwarzania. Na przykład, rola pracodawcy, który kieruje swoich pracowników na szkolenie, może ograniczać się tylko do rozdysponowania formularzy przygotowanych przez firmę, która oferuje szkolenie, a wszystkie kluczowe decyzje co do procesu przetwarzania danych należą do firmy szkoleniowej. Warto nadmienić, że pomocą w dokonywaniu oceny ról poszczególnych podmiotów są Wytyczne Europejskiej Rady Ochrony Danych w sprawie pojęć administratora i podmiotu przetwarzającego na gruncie RODO ( Warto zwrócić uwagę na schemat zamieszczony w załączniku nr 1 (Annex 1, str. 46), zawierający pytania ułatwiające dokonywanie tej oceny. 2020-10-15 Podmiot udostępniający: Departament Orzecznictwa i Legislacji Wytworzył informację: Monika Młotkiewicz 2020-10-15 Wprowadził‚ informację: Edyta Madziar 2020-10-15 11:10:28 Ostatnio modyfikował: Edyta Madziar 2020-10-15 12:26:10

umowa powierzenia przetwarzania danych osobowych z pocztą polską rodo