Obowiązek informacyjny RODO a sygnaliści. Przyjmujący zgłoszenie jako administrator danych musi wykonać obowiązek informacyjny nie tylko wobec sygnalisty, ale też wobec osoby, której dane znalazły się zgłoszeniu. Tu jednak przewidziano pewne ograniczenia mające na celu zapewnienie anonimowości sygnaliście. Rozporządzenie o ochronie danych osobowych (dalej również: RODO) kreuje szereg obowiązków po stronie administratorów danych osobowych. Jednym z takich obowiązków jest zawarcie umowy powierzenia danych osobowych. Umowa powierzenia danych osobowych jest umową cywilnoprawną – nienazwaną tzn. nie regulują jej odrębne przepisy kodeksu cywilnego. Umowa ta zawarta jest z Mamy podpisaną umowę główną z Pocztą Polską na odbieranie z naszej firmy listów (rozliczenie na zasadzie wpisów w książkę nadawczą). Czy powinniśmy zawrzeć z Pocztą Polską umowę powierzenia, czy jest ona osobnym ADO? Administrator oświadcza, że jest administratorem w rozumieniu art. 4 pkt 7 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE, zwanego dalej . Obecnie na rynku dość powszechnie można spotkać się z praktyką dążenia do zawarcia umowy powierzenia przetwarzania danych osobowych w każdym przypadku, gdy dane osobowe udostępnianie są pomiędzy dwoma firmami. Dążenie do zawarcia takiej umowy pojawia się jako uzupełnienie czy aneks do umowy głównej, regulującej współpracę obu firm. Czytaj także: RODO: osiem czynności w pracy, które zaczną być groźne Dotyczy to najczęściej sytuacji, gdy firma B świadczy dla firmy A określoną usługę. Usługi tej nie można zrealizować bez dostępu do określonych danych osobowych, dla których administratorem jest firma A. Stąd firma A udostępnia firmie B dane osobowe - np. swoich pracowników czy kontrahentów. W takiej sytuacji może rzeczywiście dochodzić do powierzenia danych osobowych firmie B przez firmę A. Ale nie zawsze. To nie jest sytuacja zerojedynkowa. Udostępnienie i przetwarzanie Zgodnie z definicją „przetwarzania" zamieszczoną w art. 4 RODO, przetwarzaniem danych osobowych są również różne rodzaje udostępniania (ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie). Jak każde inne przetwarzanie, udostępnianie danych osobowych na zewnątrz organizacji musi być oparte o jedną z przesłanek legalizacyjnych z art. 6 RODO i realizowane w zgodzie z innymi zasadami przetwarzania opisanymi w art. 5 RODO. Trzeba też pamiętać o prawidłowej realizacji obowiązku informacyjnego opisanego w art. 13 lub art. 14 RODO. W szczególności podmioty, którym dane są udostępniane, powinny być wymienione jako odbiorcy danych. Nie zawsze jednak udostępnianie będzie powierzeniem danych do przetwarzania w rozumieniu art. 28 RODO. Powierzenie danych osobowych do przetwarzania ma miejsce, gdy przetwarzanie danych udostępnionych „ma być dokonywane w imieniu administratora". Tak wyraźnie stanowi zdanie pierwsze art. 28 ust. 1 RODO. Przykład 1. Z powierzeniem danych osobowych do przetwarzania mamy do czynienia wtedy, gdy firma, która otrzymuje dane do przetwarzania, przetwarza je w celach, które określa firma udostępniająca dane osobowe. Firma B realizuje dla firmy A usługi w postaci wyliczenia wynagrodzeń dla pracowników i związanych z tym danin publicznych – podatków i składek na ubezpieczenie społeczne i zdrowotne. Firma A przekazuje dane osobowe swoich pracowników w celu naliczania wynagrodzeń. Firma B przetwarza dane osobowe w celach określonych przez firmę A. Gdyby nie doszło do tzw. outsourcingu usług, firma A musiałaby samodzielnie naliczać wynagrodzenia. Firma B nie przetwarza danych we własnych celach, realizuje ona cele przetwarzania firmy A. W takim przypadku mamy do czynienia z powierzeniem przetwarzania danych osobowych. Firma B jest w takim przypadku tzw. procesorem danych osobowych, dla których administratorem jest firma A. Przykład 2. Z udostępnieniem danych osobowych niebędącym powierzeniem, mamy do czynienia, gdy firma, która otrzymuje dane osobowe, przetwarza je w celach, które samodzielnie kształtuje – nie w celach własnych udostępniającego. Firma B otrzymuje od firmy A dane osobowe, aby móc świadczyć usługi ubezpieczeniowe dla pracowników firmy (ubezpieczenie grupowe). Firma B sama kształtuje cele przetwarzania danych osobowych. Dane przetwarzane są bowiem w celu zawarcia i realizacji polisy ubezpieczeniowej. Taki cel przetwarzania nie jest celem firmy A. Firma A zatem nie może powierzać danych do przetwarzania w tym celu. W takim przypadku nie mamy do czynienia z powierzeniem przetwarzania danych osobowych. Jest to udostępnienie danych osobowych pomiędzy dwoma administratorami danych osobowych, z których każdy realizuje swoje własne cele. Dostęp do platform online Stosunkowo często w relacjach z firmami świadczącymi masowo usługi dla pracowników firm, pojawia się kwestia dostępu do platform online usługodawców. Chodzi tu głównie o dostawców usług medycznych, ubezpieczeniowych lub benefitów pracowniczych. Co do zasady wymiana danych osobowych pomiędzy firmą będącą usługobiorcą a tego typu usługodawcą nie stanowi powierzenia danych do przetwarzania. Niemniej pewien wycinek współpracy może takiej umowy wymagać. Chodzi tu o dostęp pracowników usługobiorców do platform online usługodawców. Przykładem może być dostęp do portalu ubezpieczeniowego usługodawcy, w którym pracownik firmy – usługobiorcy – przetwarza dane pracowników w ramach zgłoszenia szkody. W zależności od charakteru przetwarzania może być w takim przypadku konieczne zawarcie umowy powierzenia obejmującej wycinek współpracy. Wtedy jednak, w tym wąskim wycinku, to usługodawca powierzałby dane osobowe do przetwarzania usługobiorcy. Wzajemne udostępnienia W relacjach pomiędzy firmami warto dbać o przejrzystość sytuacji prawnej. Kwestię wzajemnego udostępniania danych osobowych pomiędzy firmami, niebędącą powierzeniem danych osobowych do przetwarzania, można sformalizować, zawierając umowę regulującą aspekty tego udostępnienia. Umowa taka nie jest wprost uregulowana w RODO, niemniej jej zawarcie w żaden sposób nie pozostaje w sprzeczności z przepisami RODO i jest całkowicie dopuszczalne na gruncie zasady swobody umów wyrażonej w Kodeksie cywilnym. Umowa taka opisywać może zasady wzajemnego udostępnienia danych osobowych pomiędzy dwoma „równoległymi" administratorami danych. W umowie można nawiązać do okoliczności współpracy, określić zakres i cele udostępniania danych osobowych. Umowa może mieć charakter wyjaśniający i porządkujący wzajemne relacje w zakresie udostępnienia danych osobowych. Umowa może także regulować techniczne kwestie wymiany danych, uwzględniające w szczególności środki bezpieczeństwa przyjęte przez każdego z administratorów. Może to uwzględnić choćby konieczność szyfrowania wiadomości mejlowych, w których przesyłane są dane osobowe. Strony mogą także zapewnić się wzajemnie o legalności przetwarzania, w tym udostępniania danych osobowych, wskazując, że wykonały wobec osób, których dane są przetwarzane własne obowiązki informacyjne. Co więcej, w sytuacji, gdy byłoby to pożądane i dogodne dla stron, na podstawie postanowienia tego typu umowy można uregulować kwestię pomocy (pośrednictwa) w wykonywaniu obowiązków informacyjnych płynących z art. 14 RODO. Chodzi tutaj o obowiązek przekazania osobie, której dane są przetwarzane, określonych w tym przepisie informacji, w sytuacji, gdy administrator otrzymuje dane osobowe nie bezpośrednio od tej osoby. Kontrahent może być pośrednikiem w dostarczeniu klauzuli informacyjnej swojego partnera biznesowego do np. swoich pracowników. Skutki niewłaściwej umowy RODO nakłada szereg obowiązków na podmiot przetwarzający dane osobowe na zlecenie. Obowiązkom tym towarzyszą uprawnienia administratora powierzającego dane osobowe do przetwarzania. Sytuacja zbyt pochopnego zawierania umów powierzenia powoduje konieczność zupełnie niewłaściwego i niepotrzebnego obarczania się obowiązkami, za których nieprzestrzeganie grożą wysokie kary. Prowadzi to również do sytuacji absurdalnych. Jedną z nich jest możliwość kontroli przetwarzania danych osobowych przez powierzającego. W praktyce łączy się to z możliwością przeprowadzenia audytu w systemach przetwarzania danych osobowych procesora. Jest to sytuacja całkowicie nieprzystająca do rzeczywistości w przypadku zwykłej współpracy stron związanej jedynie z wymianą danych osobowych, niezbędnych do wykonania umowy wzajemnej. Szymon Szurgacz radca prawny w Sendero Tax & Legal Można zaobserwować tendencję zbyt pochopnego łączenia wymiany danych pomiędzy firmami z koniecznością zawarcia umowy powierzenia regulowanej przez art. 28 RODO. Zupełnie niesłusznie konieczność zawarcia takiej umowy traktuje się jako zasadę, warunek dalszej współpracy stron. Tymczasem obowiązek zawarcia umowy powierzenia nie pojawia się zawsze w przypadku, gdy partnerzy biznesowi udostępniają sobie nawzajem dane osobowe. Aktualizuje on się wyłącznie wtedy, gdy jeden z partnerów realizuje wyłącznie cele przetwarzania danych osobowych drugiego i na jego rzecz. Należy unikać zawierania umów powierzenia w sytuacjach, gdy nie ma do tego podstaw faktycznych. Może rodzić to negatywne skutki prawne i prowadzić do absurdalnych sytuacji. W związku z koniecznością przeprowadzenia szkolenia BHP dla naszych pracowników planujemy skorzystać z usług firmy szkoleniowej. Zastanawiamy się jednak, jak prawidłowo określić rolę naszą i tej firmy w procesie przetwarzania danych osobowych. Czy pracodawca w każdym przypadku, gdy kieruje pracownika na szkolenie (BHP, podnoszące kwalifikacje), powinien zawrzeć z firmą szkoleniową umowę powierzenia, o której mowa w art. 28 ust. 3 RODO? W celu ustalenia, czy w danej sytuacji mamy do czynienia z odrębnym administratorem, czy jednak istnieje konieczność zawarcia umowy powierzenia, należy przede wszystkim dokonać analizy okoliczności faktycznych z uwzględnieniem zadań określonych podmiotów wynikających z przepisów prawa oraz zawartej pomiędzy nimi umowy. Trzeba brać pod uwagę, jak w szczegółach realizowane są obowiązki przeprowadzenia szkolenia w konkretnym przypadku i jak pracodawca i firma szkoleniowa uzgodniły swoje role oraz zadania w zakresie przetwarzania danych, a także na ile samodzielnie i w jakich celach podmioty te przetwarzają dane w celach związanych ze szkoleniem. W wielu przypadkach, gdy następuje przekazanie realizacji zadania innemu podmiotowi, który realizuje je (także w zakresie przetwarzania danych) w sposób niezależny, samodzielnie decydując o sposobach i celach przetwarzania, a zadania i obowiązki tego podmiotu są dodatkowo dość szczegółowo określone w przepisach prawa, istnieją podstawy do uznania ich za odrębnych administratorów. Powierzenie przetwarzania powinno mieć natomiast miejsce wówczas, jeśli zewnętrzny podmiot przetwarza dane w imieniu administratora, w celach i w sposób przez niego określony. W niektórych przypadkach warto zwrócić uwagę na rozwiązanie określone w art. 26 RODO, tj. instytucję współadministrowania. Zgodnie z art. 94 pkt 4 ustawy Kodeks pracy, pracodawca jest obowiązany w szczególności zapewniać bezpieczne i higieniczne warunki pracy oraz prowadzić systematyczne szkolenie pracowników w zakresie bezpieczeństwa i higieny pracy. Natomiast zgodnie z brzmieniem § 4 ust. 1 rozporządzenia Ministra Gospodarki i Pracy z dnia 27 lipca 2004 r. w sprawie szkolenia w dziedzinie bezpieczeństwa i higieny pracy, szkolenie może być organizowane i prowadzone przez pracodawców lub, na ich zlecenie, przez jednostki organizacyjne prowadzące działalność szkoleniową w dziedzinie bezpieczeństwa i higieny pracy. Pracodawca może zatem realizować obowiązek nałożony na niego w art. 94 pkt 4 Kodeksu pracy samodzielnie lub za pośrednictwem firmy zewnętrznej (korzystając z jej usług). Firma zewnętrzna w procesie przetwarzania może występować w roli organizatora szkolenia, o którym mowa w § 4 pkt 1 rozporządzenia Ministra Gospodarki i Pracy z dnia 27 lipca 2004 r. w sprawie szkolenia w dziedzinie bezpieczeństwa i higieny pracy. W § 5 pkt. 1-6 tego rozporządzenia zostały określone obowiązki organizatora szkolenia. Należy do nich zapewnienie: programu poszczególnych rodzajów szkolenia opracowanego dla określonych grup stanowisk; programu szkolenia instruktorów w zakresie metod prowadzenia instruktażu - w przypadku prowadzenia takiego szkolenia; wykładowców i instruktorów posiadających zasób wiedzy, doświadczenie zawodowe i przygotowanie dydaktyczne zapewniające właściwą realizację programów szkolenia; odpowiednich warunków lokalowych do prowadzenia działalności szkoleniowej; wyposażenie dydaktyczne niezbędne do właściwej realizacji programów szkolenia; właściwy przebieg szkolenia oraz prowadzenia dokumentacji w postaci programów szkolenia, dzienników zajęć, protokołów przebiegu egzaminów i rejestru wydanych zaświadczeń. Jednostka organizacyjna prowadząca działalność szkoleniową w dziedzinie bezpieczeństwa i higieny pracy, realizując nałożone na nią w ww. rozporządzeniu obowiązki, przetwarza dane pracownika w związku ze sporządzaniem protokołów z przebiegu egzaminów i rejestru wydanych zaświadczeń oraz w zakresie nawiązania współpracy (zawarcia stosownych umów) z wykładowcami i instruktorami posiadającymi zasób wiedzy, doświadczenie zawodowe i przygotowanie dydaktyczne zapewniające właściwą realizację programów szkolenia (§ 5 pkt. 3 i 6 ww. rozporządzenia Ministra Gospodarki i Pracy). W tym zakresie zasadnie można uznać, że przetwarza dane jako administrator w rozumieniu przepisów o ochronie danych osobowych. Odnosząc się do zagadnienia, kto jest administratorem w przypadku „szkoleń podnoszących kwalifikacje pracowników”, wskazuję, że również w tym wypadku należy dokonać analizy, kto podejmuje decyzje w zakresie kluczowych kwestii dla danego procesu przetwarzania. Na przykład, rola pracodawcy, który kieruje swoich pracowników na szkolenie, może ograniczać się tylko do rozdysponowania formularzy przygotowanych przez firmę, która oferuje szkolenie, a wszystkie kluczowe decyzje co do procesu przetwarzania danych należą do firmy szkoleniowej. Warto nadmienić, że pomocą w dokonywaniu oceny ról poszczególnych podmiotów są Wytyczne Europejskiej Rady Ochrony Danych w sprawie pojęć administratora i podmiotu przetwarzającego na gruncie RODO ( Warto zwrócić uwagę na schemat zamieszczony w załączniku nr 1 (Annex 1, str. 46), zawierający pytania ułatwiające dokonywanie tej oceny. 2020-10-15 Podmiot udostępniający: Departament Orzecznictwa i Legislacji Wytworzył informację: Monika Młotkiewicz 2020-10-15 Wprowadził‚ informację: Edyta Madziar 2020-10-15 11:10:28 Ostatnio modyfikował: Edyta Madziar 2020-10-15 12:26:10 Opis Produkt obejmuje indywidualne przygotowanie przez prawnika dla sprzedawcy internetowego umowy powierzenia przetwarzania danych osobowych zgodnych z RODO (ogólnym rozporządzeniem o ochronie danych). Produkt skierowany jest do sprzedawców internetowych chcących dostosować swój sklep internetowy do wymogów stawianych przez RODO. W ramach zakupionego produktu otrzymasz usługę przygotowania dopasowanej umowy powierzenia przetwarzania danych osobowych zgodnej z rozporządzeniem RODO. Usługa jest standardowo realizowana w ciągu 5-9 dni roboczych od dnia otrzymania płatności. Produkt jest skierowany do standardowych sklepów internetowych, które mają siedzibę na terytorium Polski, nie przetwarzają danych wrażliwych oraz nie przekazują danych poza UE. Jeżeli zależy Ci na szybszej realizacji usługi lub innym zakresie, to skontaktuj się z nami i dostosujemy usługę do Twoich potrzeb. Nasi prawnicy są do Twojej dyspozycji! Zadzwoń lub napisz – chętnie pomożemy: 61 847 55 18 kontakt@ Rozporządzenie RODO, to dokładnie rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) Rozporządzenie RODO wskazuje szereg wymaganych informacji, które należy udostępnić osobie, której dane dotyczą. RODO ustala także zasady przetwarzania danych osobowych, którymi musimy się kierować przy ich przetwarzaniu, w tym wymogi dotyczące uzyskiwanej zgody na przetwarzanie danych osobowych. Przetwarzanie przez podmiot przetwarzający odbywa się na podstawie umowy lub innego instrumentu prawnego, które podlegają prawu Unii lub prawu państwa członkowskiego i wiążą podmiot przetwarzający i administratora, określają przedmiot i czas trwania przetwarzania, charakter i cel przetwarzania, rodzaj danych osobowych oraz kategorie osób, których dane dotyczą, obowiązki i prawa administratora. Ta umowa lub inny instrument prawny stanowią w szczególności, że podmiot przetwarzający: przetwarza dane osobowe wyłącznie na udokumentowane polecenie administratora – co dotyczy też przekazywania danych osobowych do państwa trzeciego lub organizacji międzynarodowej – chyba że obowiązek taki nakłada na niego prawo Unii lub prawo państwa członkowskiego, któremu podlega podmiot przetwarzający; w takim przypadku przed rozpoczęciem przetwarzania podmiot przetwarzający informuje administratora o tym obowiązku prawnym, o ile prawo to nie zabrania udzielania takiej informacji z uwagi na ważny interes publiczny; zapewnia, by osoby upoważnione do przetwarzania danych osobowych zobowiązały się do zachowania tajemnicy lub by podlegały odpowiedniemu ustawowemu obowiązkowi zachowania tajemnicy; podejmuje wszelkie środki wymagane na mocy art. 32; przestrzega warunków korzystania z usług innego podmiotu przetwarzającego, o których mowa w ust. 2 i 4; biorąc pod uwagę charakter przetwarzania, w miarę możliwości pomaga administratorowi poprzez odpowiednie środki techniczne i organizacyjne wywiązać się z obowiązku odpowiadania na żądania osoby, której dane dotyczą, w zakresie wykonywania jej praw określonych w rozdziale III; uwzględniając charakter przetwarzania oraz dostępne mu informacje, pomaga administratorowi wywiązać się z obowiązków określonych w art. 32–36; po zakończeniu świadczenia usług związanych z przetwarzaniem zależnie od decyzji administratora usuwa lub zwraca mu wszelkie dane osobowe oraz usuwa wszelkie ich istniejące kopie, chyba że prawo Unii lub prawo państwa członkowskiego nakazują przechowywanie danych osobowych; udostępnia administratorowi wszelkie informacje niezbędne do wykazania spełnienia obowiązków określonych w niniejszym artykule oraz umożliwia administratorowi lub audytorowi upoważnionemu przez administratora przeprowadzanie audytów, w tym inspekcji, i przyczynia się do nich. Chcesz się dowiedzieć więcej o samym RODO w sklepie internetowym? Zapraszamy do lektury wpisu na naszym blogu: Polityka prywatności sklepu internetowego zgodna z RODO – zmiany ważne dla Sprzedawców Internetowych Dlaczego warto skorzystać z naszych usług? Nasi prawnicy ciągle się doskonalą, a kontakt z blisko 4000 Sprzedawców internetowych pozwala im poznać najróżniejsze problemy prawne związane z prowadzeniem sklepu internetowego. Naszym celem jest znalezienie jak najlepszego rozwiązania dla naszych Klientów. Kim jesteśmy Jesteśmy zespołem prawników specjalizujących się w zagadnieniach prawa e-commerce, doradzając i pomagając w prowadzeniu sklepu internetowego zgodnie z prawem. Zajmujemy się również przygotowywaniem umów dla przedsiębiorców z branży e-handlu i IT. Przez 7 lat działalności w obsłudze sklepów internetowych, pomogliśmy już ponad 4 000 klientom zabezpieczyć swoje interesy pod kątem prawnym. Sprawdzone sklepy mogą liczyć na nadanie certyfikatu „Sklep Prokonsumencki”, którym wyróżniamy rzetelnych i profesjonalnych sprzedawców internetowych. Przed rozpoczęciem prac zawsze staramy się dobrze poznać potrzeby naszego Klienta, a w razie potrzeby doradzamy konieczność wprowadzenia zmian lub modyfikacji do przyjętego modelu prowadzenia sklepu, czy też serwisu. Naszą dewizą jest dbałość o spokój i bezpieczeństwo naszych Klientów tak, aby mogli się oni skupić na prowadzeniu swojego biznesu. Poznaj opinie sprzedawców internetowych o nas Stwierdzamy, że wybór serwisu był jak najbardziej trafny i przyczynił się do tego, że w sposób profesjonalny dbamy o prawa Konsumenta, co wpływa również na wizerunek naszej firmy. Rekomendujemy firmę Netlibre Sp. z jako solidnego partnera. Wojciech Lipka, Sklep ArtColor W imieniu SmartMedia Sp. z mam przyjemność polecić usługi firmy Netlibre Sp. z z siedzibą w Poznaniu właściciela marki „ (…) Zlecenie przygotowania regulaminu i polityki prywatności dla nowo otwieranego sklepu internetowego powierzone ww. firmie, zostało wykonane terminowo i profesjonalnie. Firmę możemy polecić jako profesjonalnego i solidnego wykonawcę. Bartosz Sobolewski, Sklep Polecam serwis jako profesjonalnego i rzetelnego partnera biznesowego. Nasza firma współpracowała z serwisem przy opracowywaniu regulaminu dla naszego sklepu internetowego. Współpraca przebiegła bez komplikacji i z zachowaniem najwyższego profesjonalizmowi. Dziękuję i polecam firmę jako godnego zaufania partnera biznesowego. Roman Godek, Sklep Chantal Nasi eksperci są regularnie cytowani w mediach

umowa powierzenia przetwarzania danych osobowych z pocztą polską rodo