🐷 Umowa Powierzenia Przetwarzania Danych Osobowych Z Pocztą Polską Rodo

Aktualizacja dokumentacji RODO dla KZP. Kontynuując tematykę związaną z funkcjonowaniem Kas Zapomogowo Pożyczkowych, na podstawie Ustawa z dnia 11 sierpnia 2021 r. o kasach zapomogowo-pożyczkowych (Dz.U. 2021 poz. 1666) [dalej Ustawa KZP] a konkretnie zagadnienie związane z podstawami prawnymi, jakie legalizują przetwarzanie danych osobowych przez KZP, jako administratora danych Podstawy przetwarzania danych osobowych zwykłych określa art. 6 ust. 1 RODO. Zgodnie z powołanym przepisem dane zwykłe mogą być przetwarzane na następujących podstawach: za zgodą osoby, której dane dotyczą, a także jeśli przetwarzanie jest niezbędne do: wykonania umowy lub podjęcia działań przed zawarciem umowy, na żądanie 1. Procesor może powierzyć konkretne operacje przetwarzania danych osobowych wyłącznie po uzyskaniu uprzedniej pisemnej zgody Administratora innemu podmiotowi (Popdprocesorowi). 2. Procesor ma obowiązek zawarcia z Podprocesorem umowy powierzenia danych osobowych zgodnie z rozporządzeniem. Pomożemy Ci w całym procesie powierzenia przetwarzania danych osobowych w chmurze. Hostersi opiekując się Twoją infrastrukturą zlokalizowaną w AWS podpisują umowę o przetwarzaniu danych osobowych z firmą zlecającą taką opiekę. Sami mamy zawartą taką umowę z AWS, więc wszystko odbywa się legalnie i zgodnie z prawem. Zgłaszanie naruszeń po nowemu. Obecnie obowiązek zawiadamiania o naruszeniu danych osobowych mają jedynie przedsiębiorcy telekomunikacyjni. RODO rozszerza ten obowiązek na wszystkich administratorów. Termin. W przypadku „naruszenia ochrony danych osobowych” administrator będzie musiał niezwłocznie (w miarę możliwości w ciągu Mając jednak na uwadze rozwiązania z poprzedniego stanu prawnego (poprzedniej ustawy o ochronie danych osobowych) w zakresie przekazania danych – powierzenie danych oraz udostępnienie danych – wydaje się, że porozumienie miedzy podwykonawcą a generalnym wykonawcą, wpisuje się bardziej w umowę powierzenia danych na gruncie nowych zasad wynikających z art. 28 rozporządzenia RODO Czy administrator powinien udzielać upoważnienia czy zawierać umowy powierzenia przetwarzania danych osobowych – pyta pan Jan. Aktualizacja: 09.01.2020 14:56 Publikacja: 09.01.2020 16:30 Foto I5EH. Tytułem wstępu Jeśli nadajesz przesyłkę za pośrednictwem serwisu w związku z wykonywaną działalnością, w szczególności gospodarczą lub zawodową (np. w ramach sklepu internetowego lub fundacji) to Ty jesteś administratorem danych osobowych osób, które wskazujesz w formularzu zamówienia. Serwis jest podmiotem przetwarzającym te dane. W związku z art. 28 ust. 3 RODO jesteśmy zobowiązani do zawarcia umowy powierzenia przetwarzania danych – Ty jako administrator danych osobowych, a administrator serwisu – jako podmiot przetwarzający dane osobowe. Niniejszą umowę możemy zawrzeć w formie elektronicznej (pozwala na to art. 28 ust. 9 RODO). Umowa powierzenia przetwarzania danych osobowych (dalej jako: Umowa powierzenia) zawarta pomiędzy: 1. Użytkownikiem Serwisu który zakłada konto lub składa zamówienie/a za pomocą Serwisu w ramach wykonywanej działalności, zwanym dalej: Administratorem lub Użytkownikiem a 2. Kurierovo Sp. z ograniczoną odpowiedzialnością Sp. komandytowa z siedzibą w Łukowie, przy ul. Sochacz 16a, 21-400 Łuków, wpisaną do Rejestru Przedsiębiorców Krajowego Rejestru Sądowego, prowadzonego przez Sąd Rejonowy Lublin-Wschód w Lublinie, z siedzibą w Świdniku, VI Wydział Gospodarczy Krajowego Rejestru Sądowego, pod nr KRS: 0000826879, REGON: 385468101, NIP: 8252188154, zwaną dalej: „Kurierovo” lub Podmiot przetwarzający. Użytkownik i Kurierovo dalej zwani są łącznie „Stronami”, a każdy z osobna „Stroną”. §1 Oświadczenia – Kurierovo 1. Kurierovo oświadcza, że jest administratorem danych osobowych. §2 Definicje 1. Administrator – administrator danych osobowych w rozumieniu art. 4 pkt 7 RODO. 2. Dane osobowe – dane osobowe w rozumieniu art. 4 pkt 1 RODO, określone w § 3 ust. 2 Umowy powierzenia. 3. Naruszenie ochrony danych osobowych – naruszenie ochrony danych osobowych w rozumieniu art. 4 pkt 12 RODO. 4. Podmiot przetwarzający – podmiot przetwarzający w rozumieniu art. 4 pkt 8 RODO. 5. Przetwarzanie – przetwarzanie danych osobowych w rozumieniu art. 4 pkt 2 RODO. 6. Serwis – serwis którego administratorem jest Kurierovo Sp. z ograniczoną odpowiedzialnością Sp. komandytowa z siedzibą w Łukowie przy ul. Sochacz 16a, 21-400 Łuków, wpisana do Rejestru Przedsiębiorców Krajowego Rejestru Sądowego, prowadzonego przez Sąd Rejonowy Lublin-Wschód w Lublinie, z siedzibą w Świdniku, VI Wydział Gospodarczy Krajowego Rejestru Sądowego, pod nr KRS: 0000826879, REGON: 385468101, NIP: 8252188154. 7. RODO – Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych). 8. Umowa pośrednictwa – Umowa pośrednictwa w doręczaniu przesyłek, którą Kurierovo zawiera z Użytkownikiem Serwisu 9. Usługi – usługi związane z pośrednictwem przez Kurierovo w doręczeniu przesyłek, nadawanych przez Administratora za pośrednictwem Serwisu §3 Przedmiot umowy 1. Umowa powierzenia określa warunki Przetwarzania przez Kurierovo w imieniu Administratora Danych osobowych określonych w ust. 2 poniżej w zakresie Usług wykonywanych przez Kurierovo na podstawie Umowy pośrednictwa. 2. Użytkownik, składając zamówienie w Serwisie powierza Kurierovo następujące dane osobowe osób trzecich: rodzaj danych osobowych: dane zwykłe, tj. imię i nazwisko, dane teleadresowe, takie jak: adres, numer telefonu, e-mail; kategorie osób, których dane dotyczą: adresaci przesyłek zlecanych przez Użytkownika. §4 Przetwarzanie danych osobowych 1. Podmiot przetwarzający będzie przetwarzał dane osobowe powierzone przez Administratora wyłącznie w celu, w zakresie i na warunkach określonych w Umowie powierzenia. Podmiot przetwarzający zobowiązuje się, że nie będzie modyfikował, usuwał ani wykorzystywał powierzonych mu do Przetwarzania Danych osobowych w jakikolwiek inny sposób niż na potrzeby świadczenia Usług na rzecz Administratora. 2. Podmiot przetwarzający będzie przetwarzał dane osobowe powierzone przez Administratora w zakresie świadczenia Usługi w formie elektronicznej, w systemie informatycznym Kurierovo oraz w formie papierowej (druki księgowe ). 3. Strony uzgadniają, że dane osobowe powierzone przez Administratora będą przetwarzane zgodnie z poleceniami Administratora przez które rozumie się każdorazowe zlecenie przesyłki za pomocą Serwisu §5 Okres przetwarzania 1. Dane osobowe powierzone przez Administratora danych będą przetwarzane przez Kurierovo w okresie wykonywania Usługi, z zastrzeżeniem następujących ustępów. 2. Po rozwiązaniu lub wygaśnięciu Umowy pośrednictwa, Podmiot przetwarzający usuwa lub zwraca Administratorowi Dane osobowe i usuwa ich kopie. Przez rozwiązanie lub wygaśnięcie Umowy pośrednictwa dla potrzeb niniejszej Umowy powierzenia rozumie się wygaśnięcie wszystkich obowiązków Kurierovo, z którymi wiąże się przetwarzanie Danych osobowych. 3. Z uwagi jednak na możliwość zaistnienia sporu pomiędzy Stronami, związanego z realizacją Umowy pośrednictwa lub Umowy powierzenia – Kurierovo usunie Dane osobowe oraz ich kopie po upływie okresu niezbędnego do ustalenia, dochodzenia lub obrony roszczeń wynikających lub mogących wynikać z Umowy współpracy lub Umowy powierzenia. §6 Obowiązki Podmiotu przetwarzającego 1. Strony zobowiązują się do wykonywania zobowiązania z najwyższą starannością zawodową, w tym do przestrzegania Umowy powierzenia i właściwych przepisów prawa mających zastosowanie do Przetwarzania danych osobowych, w szczególności zobowiązują się do przestrzegania obowiązków Stron wynikających z RODO. 2. Podmiot przetwarzający, uwzględniając charakter przetwarzania oraz dostępne mu informacje, pomaga Administratorowi danych wywiązać się z obowiązków określonych w art. 32–36 RODO. 3. Podmiot przetwarzający podejmuje środki organizacyjne i techniczne właściwe zgodnie z art. 32 RODO do przetwarzania Danych osobowych powierzonych przez Administratora w zakresie usług świadczonych zgodnie z Umową pośrednictwa w celu zabezpieczenia powierzonych do przetwarzania Danych osobowych w należyty, odpowiedni do zagrożeń sposób. 4. W zakresie pomocy Administratorowi przy realizacji obowiązku dokonywania zgłoszenia Naruszenia ochrony danych osobowych do organu nadzorczego oraz zawiadamiania o Naruszeniu ochrony Danych osobowych osób, których dane dotyczą, o których mowa w art. 28 ust. 3 lit. f) RODO, uwzględniając charakter Przetwarzania danych oraz dostępne mu informacje Podmiot przetwarzający zobowiązany jest do: zgłoszenia Administratorowi danych podejrzenia naruszenia lub stwierdzenia Naruszenia ochrony danych osobowych nie później niż w terminie 36 (słownie: trzydziestu sześciu) godzin od chwili powzięcia informacji o podejrzeniu naruszenia lub stwierdzeniu Naruszenia ochrony danych osobowych w związku z wykonywaniem Umowy powierzenia na adres email wskazany w koncie/ zamówieniu Użytkownika; w zawiadomieniu o podejrzeniu naruszenia lub stwierdzeniu Naruszenia ochrony danych osobowych Podmiot przetwarzający jest zobowiązany wskazać: 1) okoliczności zdarzenia, 2) prawdopodobne przyczyny zdarzenia, 3) środki, jakie zostały zastosowane w związku ze zdarzeniem, w celu zminimalizowania negatywnych skutków — wraz z niezbędną dokumentacją; zapewnienia Administratorowi możliwości uczestniczenia w wyjaśnianiu okoliczności zdarzenia, w tym udzielenia informacji oraz wyjaśnień, jak również podjęcia innych działań, które umożliwią Administratorowi wywiązanie się z obowiązku notyfikacyjnego wobec Prezesa Urzędu Ochrony Danych Osobowych. 5. Podmiot przetwarzający oświadcza, że osobom zatrudnionym przy Przetwarzaniu powierzonych Danych osobowych nadane zostały upoważnienia do przetwarzania danych osobowych oraz że osoby te zostały zapoznane z przepisami o ochronie danych osobowych, w szczególności RODO oraz z odpowiedzialnością za ich nieprzestrzeganie. 6. Podmiot przetwarzający zapewnia, że osoby upoważnione przez Podmiot przetwarzający do Przetwarzania Danych osobowych powierzonych przez Administratora zobowiązały się do zachowania tajemnicy lub podlegają odpowiedniemu ustawowemu obowiązkowi zachowania tajemnicy. §7 Uprawnienia Administratora danych 1. Administrator jest upoważniony do przeprowadzenia audytu w celu weryfikacji przestrzegania Umowy powierzenia przez Kurierovo, bezpośrednio lub za pośrednictwem upoważnionego audytora, z zastrzeżeniem następujących warunków: 2. audyt będzie przeprowadzany nie częściej niż raz w roku kalendarzowym, a jego termin powinien być uzgodniony przez Strony, przy czym Użytkownik zgłosi zamiar przeprowadzenia audytu co najmniej 30 dni przed jego proponowanym terminem w formie pisemnej pod rygorem nieważności na adres wskazany w komparycji Umowy powierzenia lub wysyłając wiadomość email na adres […]; 3. audytorem Użytkownika nie może być podmiot prowadzący działalność konkurencyjną wobec Kurierovo; 4. audyt nie może obejmować informacji lub dokumentów dotyczących innych klientów/ użytkowników Kurierovo, ani zmierzać lub skutkować uzyskaniem dostępu Użytkownika do danych osobowych innych niż Dane osobowe Użytkownika lub do danych poufnych Kurierovo lub innych podmiotów powiązanych (współadministratorów z Kurierovo); 5. Kurierovo może uzależnić udział audytora lub wyznaczonego pracownika Użytkownika w audycie od uprzedniego zawarcia odpowiedniej umowy poufności z Kurierovo; 6. w czasie audytu Użytkownik i audytor mają obowiązek przestrzegania wewnętrznych procedur i polityk Kurierovo dotyczących bezpieczeństwa i poufności; 7. Administrator pokrywa koszty audytu. §8 Podpowierzenie 1. Administrator wyraża zgodę na wykorzystanie przez Podmiot przetwarzający innych podmiotów przetwarzających (dalej jako: Podwykonawcy) do dalszego przetwarzania danych w ramach świadczenia Usług, przy czym każdy Podwykonawca Kurierovo zapewnia niezbędne gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych w celu zapewnienia zgodności przetwarzania z przepisami ochrony danych osobowych, w szczególności z RODO. 2. Podmiot przetwarzający ponosi pełną odpowiedzialność, jeżeli Podwykonawca nie wywiąże się ze spoczywających na nim obowiązków ochrony danych. 3. Podmiot przetwarzający zawarł lub zawrze umowy powierzenia przetwarzania danych osobowych z Podwykonawcami. 4. Podmiot przetwarzający utrzymuje listę Podwykonawców, na której znajdują się w szczególności: firmy kurierskie odpowiedzialne za realizację Usługi, firmy odpowiedzialne za kontakt w związku z realizacją Usługi, hostingodawcy Podmiotu przetwarzającego oraz firmy IT odpowiedzialne za serwisowanie platformy Kurierovo. 5. W przypadku zastąpienia podwykonawców lub dodania nowych podwykonawców, Kurierovo poinformuje o tym Administratora z dwutygodniowym wyprzedzeniem drogą mailową na adres Użytkownika wskazany w koncie lub złożonym zamówieniu. Administrator ma prawo do zgłoszenia sprzeciwu odnośnie do tych zmian w ciągu 5 dni roboczych – brak zgłoszenia sprzeciwu w tym terminie traktowany jest jako akceptacja Podwykonawcy. 6. Podmiot przetwarzający zobowiązuje się współpracować wyłącznie z takimi podwykonawcami, którzy zapewniają wdrożenie takich środków technicznych i organizacyjnych, aby Przetwarzanie odpowiadało wymogom RODO. 7. Podmiot przetwarzający zawrze z każdym podwykonawcą, który będzie przetwarzał Dane osobowe stosowną umowę, nakładającą na podwykonawcę odpowiednie obowiązki ochrony danych osobowych. 8. Jeżeli podwykonawca Kurierovo nie wywiąże się ze spoczywających na nim obowiązków ochrony danych osobowych Administratora, Podmiot przetwarzający ponosi wobec Administratora odpowiedzialność za niewypełnienie obowiązków przez Podwykonawcę tak jak za własne działania i zaniechania. §9 Odpowiedzialność Stron Umowy 1. Użytkownik odpowiada za prawidłowe wykonywanie obowiązków Administratora zgodnie z RODO, i innymi właściwymi przepisami ochrony danych osobowych, jak też niniejszą Umową powierzenia. W szczególności, Użytkownik zobowiązany jest do wypełnienia obowiązku informacyjnego wynikającego z art. 13 RODO wobec swoich klientów, których dane powierza do przetwarzania Podmiotowi przetwarzającemu, w tym do poinformowania ich, że podmiotem przetwarzającym ich dane jest Kurierovo. 2. Administrator zapewnia, że Dane osobowe są przetwarzane zgodnie z prawem, w tym zgodnie z zasadami wynikającymi z RODO, w szczególności, że dane są przetwarzane w minimalnym zakresie (Administrator nie przetwarza więcej danych niż jest to wymagane do jego celów). 3. Administrator gwarantuje, że w momencie przekazania Danych osobowych do Przetwarzania istnieje ku temu ważna podstawa prawna, co na każde żądanie Podmiotu przetwarzającego wykaże poprzez wskazanie podstawy prawnej przetwarzania i jej należyte udokumentowanie. 4. Postanowienia §9 pozostają w mocy po rozwiązaniu lub wygaśnięciu Umowy powierzenia. 5. Całkowite i maksymalne zobowiązanie Kurierovo w związku z wykonywaniem Umowy powierzenia jest ograniczone do kwoty 10 tys. zł § 10 Postanowienia końcowe 1. Strony uzgadniają, że właściwe dla Umowy powierzenia będzie prawo obowiązujące w Polsce, zaś do rozstrzygania sporów właściwy będzie sąd powszechny właściwy dla siedziby Kurierovo w dniu zawarcia niniejszej Umowy. 2. W sprawach nieuregulowanych w niniejszej Umowie powierzenia zastosowanie będzie miało RODO oraz właściwe przepisy prawa polskiego. 3. Umowa powierzenia jest w mocy tak długo, jak Podmiot przetwarzający przetwarza Dane osobowe w imieniu Administratora, zgodnie z §5, niezależnie od trwania Umowy pośrednictwa. W związku z koniecznością przeprowadzenia szkolenia BHP dla naszych pracowników planujemy skorzystać z usług firmy szkoleniowej. Zastanawiamy się jednak, jak prawidłowo określić rolę naszą i tej firmy w procesie przetwarzania danych osobowych. Czy pracodawca w każdym przypadku, gdy kieruje pracownika na szkolenie (BHP, podnoszące kwalifikacje), powinien zawrzeć z firmą szkoleniową umowę powierzenia, o której mowa w art. 28 ust. 3 RODO? W celu ustalenia, czy w danej sytuacji mamy do czynienia z odrębnym administratorem, czy jednak istnieje konieczność zawarcia umowy powierzenia, należy przede wszystkim dokonać analizy okoliczności faktycznych z uwzględnieniem zadań określonych podmiotów wynikających z przepisów prawa oraz zawartej pomiędzy nimi umowy. Trzeba brać pod uwagę, jak w szczegółach realizowane są obowiązki przeprowadzenia szkolenia w konkretnym przypadku i jak pracodawca i firma szkoleniowa uzgodniły swoje role oraz zadania w zakresie przetwarzania danych, a także na ile samodzielnie i w jakich celach podmioty te przetwarzają dane w celach związanych ze szkoleniem. W wielu przypadkach, gdy następuje przekazanie realizacji zadania innemu podmiotowi, który realizuje je (także w zakresie przetwarzania danych) w sposób niezależny, samodzielnie decydując o sposobach i celach przetwarzania, a zadania i obowiązki tego podmiotu są dodatkowo dość szczegółowo określone w przepisach prawa, istnieją podstawy do uznania ich za odrębnych administratorów. Powierzenie przetwarzania powinno mieć natomiast miejsce wówczas, jeśli zewnętrzny podmiot przetwarza dane w imieniu administratora, w celach i w sposób przez niego określony. W niektórych przypadkach warto zwrócić uwagę na rozwiązanie określone w art. 26 RODO, tj. instytucję współadministrowania. Zgodnie z art. 94 pkt 4 ustawy Kodeks pracy, pracodawca jest obowiązany w szczególności zapewniać bezpieczne i higieniczne warunki pracy oraz prowadzić systematyczne szkolenie pracowników w zakresie bezpieczeństwa i higieny pracy. Natomiast zgodnie z brzmieniem § 4 ust. 1 rozporządzenia Ministra Gospodarki i Pracy z dnia 27 lipca 2004 r. w sprawie szkolenia w dziedzinie bezpieczeństwa i higieny pracy, szkolenie może być organizowane i prowadzone przez pracodawców lub, na ich zlecenie, przez jednostki organizacyjne prowadzące działalność szkoleniową w dziedzinie bezpieczeństwa i higieny pracy. Pracodawca może zatem realizować obowiązek nałożony na niego w art. 94 pkt 4 Kodeksu pracy samodzielnie lub za pośrednictwem firmy zewnętrznej (korzystając z jej usług). Firma zewnętrzna w procesie przetwarzania może występować w roli organizatora szkolenia, o którym mowa w § 4 pkt 1 rozporządzenia Ministra Gospodarki i Pracy z dnia 27 lipca 2004 r. w sprawie szkolenia w dziedzinie bezpieczeństwa i higieny pracy. W § 5 pkt. 1-6 tego rozporządzenia zostały określone obowiązki organizatora szkolenia. Należy do nich zapewnienie: programu poszczególnych rodzajów szkolenia opracowanego dla określonych grup stanowisk; programu szkolenia instruktorów w zakresie metod prowadzenia instruktażu - w przypadku prowadzenia takiego szkolenia; wykładowców i instruktorów posiadających zasób wiedzy, doświadczenie zawodowe i przygotowanie dydaktyczne zapewniające właściwą realizację programów szkolenia; odpowiednich warunków lokalowych do prowadzenia działalności szkoleniowej; wyposażenie dydaktyczne niezbędne do właściwej realizacji programów szkolenia; właściwy przebieg szkolenia oraz prowadzenia dokumentacji w postaci programów szkolenia, dzienników zajęć, protokołów przebiegu egzaminów i rejestru wydanych zaświadczeń. Jednostka organizacyjna prowadząca działalność szkoleniową w dziedzinie bezpieczeństwa i higieny pracy, realizując nałożone na nią w ww. rozporządzeniu obowiązki, przetwarza dane pracownika w związku ze sporządzaniem protokołów z przebiegu egzaminów i rejestru wydanych zaświadczeń oraz w zakresie nawiązania współpracy (zawarcia stosownych umów) z wykładowcami i instruktorami posiadającymi zasób wiedzy, doświadczenie zawodowe i przygotowanie dydaktyczne zapewniające właściwą realizację programów szkolenia (§ 5 pkt. 3 i 6 ww. rozporządzenia Ministra Gospodarki i Pracy). W tym zakresie zasadnie można uznać, że przetwarza dane jako administrator w rozumieniu przepisów o ochronie danych osobowych. Odnosząc się do zagadnienia, kto jest administratorem w przypadku „szkoleń podnoszących kwalifikacje pracowników”, wskazuję, że również w tym wypadku należy dokonać analizy, kto podejmuje decyzje w zakresie kluczowych kwestii dla danego procesu przetwarzania. Na przykład, rola pracodawcy, który kieruje swoich pracowników na szkolenie, może ograniczać się tylko do rozdysponowania formularzy przygotowanych przez firmę, która oferuje szkolenie, a wszystkie kluczowe decyzje co do procesu przetwarzania danych należą do firmy szkoleniowej. Warto nadmienić, że pomocą w dokonywaniu oceny ról poszczególnych podmiotów są Wytyczne Europejskiej Rady Ochrony Danych w sprawie pojęć administratora i podmiotu przetwarzającego na gruncie RODO ( Warto zwrócić uwagę na schemat zamieszczony w załączniku nr 1 (Annex 1, str. 46), zawierający pytania ułatwiające dokonywanie tej oceny. 2020-10-15 Podmiot udostępniający: Departament Orzecznictwa i Legislacji Wytworzył informację: Monika Młotkiewicz 2020-10-15 Wprowadził‚ informację: Edyta Madziar 2020-10-15 11:10:28 Ostatnio modyfikował: Edyta Madziar 2020-10-15 12:26:10 Umowa o powierzeniu przetwarzania danych osobowych UMOWA POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH § 1. Zawarcie umowy Z chwilą kliknięcia przycisku „Akceptuję umowę” dochodzi do zawarcia niniejszej umowy (zwanej dalej „Umową”) pomiędzy podmiotem, który reprezentuje osoba akceptująca umowę (np. szkołą, spółką albo bezpośrednio osobą akceptującą umowę), zwaną dalej „Administratorem”, a spółką Gdańskie Wydawnictwo Oświatowe spółka z ograniczoną odpowiedzialnością spółka komandytowa z siedzibą w Gdańsku, al. Grunwaldzka 413, 80-309 Gdańsk, zarejestrowaną w rejestrze przedsiębiorców prowadzonym przy Sądzie Rejonowym Gdańsk-Północ w Gdańsku, VII Wydział Gospodarczy KRS pod numerem KRS 0000537551, posiadającą nr REGON: 190409115 oraz NIP: 584-10-00-656, zwaną dalej „Procesorem”. Osoba, która kliknęła przycisk „Akceptuję umowę”, oświadcza jednocześnie, iż: jest w prawidłowy sposób upoważniona przez Administratora do zawarcia Umowy albo występuje we własnym imieniu jako Administrator; zapoznała się z treścią Umowy i akceptuje jej postanowienia. Procesor nie ponosi odpowiedzialności za działania osoby, która zawarła Umowę w imieniu Administratora, pomimo braku prawidłowego umocowania. Procesor posiada informacje identyfikujące Administratora potrzebne do zawarcia Umowy (np. nazwę szkoły i jej adres) w swojej bazie danych, w związku z czym nie jest konieczne uzupełnianie informacji identyfikujących Administratora bezpośrednio w treści niniejszej Umowy, a wystarczające jest kliknięcie przycisku „Akceptuję umowę”, który jest opatrzony hiperlinkiem indywidualnie generowanym dla każdego podmiotu, któremu Procesor proponuje zawarcie Umowy. § 2. Zakres i cel umowy Umowa zostaje zawarta w związku z usługami świadczonymi drogą elektroniczną przez Procesora, takich jak Lepsza Szkoła, Matlandia i inne Aplikacje GWO (zgodnie z zaakceptowanymi przez Administratora regulaminami poszczególnych usług) zwanych dalej łącznie „Usługami”, w ramach których dochodzi lub może dochodzić do przekazania Procesorowi przez Administratora danych osobowych w celu ich przetwarzania przez Procesora. Zawarcie Umowy jest związane z koniecznością wykonania obowiązków Administratora oraz Procesora wynikających z przepisów rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE ( dalej zwanego „RODO”. Do powierzenia przetwarzania danych Procesorowi przez Administratora wystarczające jest zawarcie jednorazowo niniejszej Umowy, pomimo korzystania z różnych Usług przez Administratora. Brak zawarcia Umowy lub jej późniejsze rozwiązanie może skutkować brakiem możliwości pełnego korzystania z Usług przez Administratora i inne osoby, które uzyskują dostęp do Usług. Administrator na mocy Umowy powierza Procesorowi przetwarzanie następujących danych: dane osobowe uczniów, w skład których wchodzą: imię i nazwisko, klasa, placówka szkolna, w której się uczy, wyniki rozwiązywanych testów, nr IP, login, adres e-mail oraz inne dane, które mogą być potrzebne do realizacji Usługi; dane osobowe nauczycieli (pracowników Administratora), w skład których wchodzą: imię i nazwisko, klasy, w których uczy nauczyciel, miejsce zatrudnienia, nauczany przedmiot, nr IP, login, adres e-mail oraz inne dane, które mogą być potrzebne do realizacji Usługi; dane osobowe innych osób, które mogą korzystać z Usług, w skład których wchodzą: imię i nazwisko, miejsce zatrudnienia, nr IP, login, adres e-mail oraz inne dane, które mogą być potrzebne do realizacji Usługi. Czynności przetwarzania danych osobowych, do których wykonywania Administrator upoważnia Procesora, mogą obejmować przechowywanie, modyfikowanie, uzupełnianie, aktualizację, pobieranie, przeglądanie, wykorzystywanie, udostępnianie, łączenie, ograniczanie, usuwanie lub niszczenie, archiwizowanie danych, w tym także w sposób zautomatyzowany. Administrator oświadcza, iż jest administratorem powierzanych danych osobowych w rozumieniu RODO i spełnił wszelkie warunki legalności przetwarzania danych osobowych. Administrator zapewnia, że posiadane przez niego i przekazywane Procesorowi do przetwarzania dane osobowe zostały zgromadzone i udostępnione Procesorowi zgodnie z prawem, w tym w szczególności, że Administrator posiada podstawę prawną do ich przetwarzania oraz do powierzenia ich przetwarzania w zakresie opisanym w Umowie (np. posiada odpowiednią zgodę na przetwarzanie danych wyrażoną przez uprawnioną do tego osobę). Procesor będzie przetwarzał dane osobowe w związku ze świadczeniem Usług, z których korzysta Administrator, w celu umożliwienia pełnego korzystania z nich, przez czas korzystania z Usług zgodnie z regulaminami poszczególnych Usług. Dane będą przetwarzane przez Procesora wyłącznie ze względu na to, iż Administrator chce korzystać z Usług, w ramach których dochodzi lub może dochodzić do przetwarzania danych osobowych, na udokumentowane polecenie Administratora. Administrator jest zobowiązany do niezwłocznego informowania Procesora o utracie prawa do przetwarzania danych, których przetwarzanie powierzył Procesorowi, wzywając do zaniechania przetwarzania i usunięcia tych danych. § 3. Obowiązki Procesora Procesor zapewnia, że – zgodnie z wymaganiami RODO – dane osobowe powierzone przez Administratora będą przetwarzane za pomocą odpowiednich środków technicznych lub organizacyjnych w sposób zapewniający odpowiednie ich bezpieczeństwo, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem. Dla zapewnienia prawidłowości przetwarzania danych osobowych Procesor wdrożył w swojej działalności m. in. zgodną z RODO politykę bezpieczeństwa danych osobowych, a także upoważnił i w odpowiedni sposób przeszkolił swoich pracowników w związku z przetwarzaniem danych osobowych. Procesor zobowiązuje się do przetwarzania danych osobowych powierzonych przez Administratora zgodnie z postanowieniami Umowy oraz regulaminów poszczególnych Usług, które są świadczone na rzecz Administratora. Procesor: dopuści do przetwarzania danych osobowych jedynie osoby działające z jego upoważnienia oraz których dostęp do danych osobowych jest niezbędny do wykonania Usług, w związku z którymi przetwarzane są dane osobowe, zapewni, aby osoby mające dostęp do danych osobowych zobowiązane były do zachowania tajemnicy w zakresie przetwarzania danych osobowych, zaznajomi osoby upoważnione do przetwarzania danych osobowych z przepisami dotyczącymi ochrony danych osobowych i odpowiedzialnością za ochronę tych danych przed niepowołanym dostępem, nieuzasadnioną modyfikacją, zniszczeniem, nielegalnym ujawnieniem lub pozyskaniem danych osobowych. Uwzględniając stan wiedzy technicznej, koszt wdrożenia systemu informatycznego oraz charakter, zakres, kontekst i cele przetwarzania danych osobowych oraz ryzyko naruszenia praw osób, których dane dotyczą, Procesor wdrożył odpowiednie środki techniczne i organizacyjne, aby przetwarzanym danym osobowym zapewnić stopień bezpieczeństwa odpowiadający – z uwzględnieniem prawdopodobieństwa wystąpienia i wagi zagrożenia – ryzyku naruszenia praw lub wolności podmiotów danych w wyniku wykonywania niniejszej Umowy. Ponadto, Procesor - uwzględniając charakter wykonywanych czynności przetwarzania danych osobowych oraz dostępne Stronom informacje dotyczące danych osobowych powierzonych Procesorowi do przetwarzania na podstawie Umowy: w miarę możliwości pomaga Administratorowi wywiązać się z obowiązku odpowiadania na żądania osoby, której dane dotyczą w zakresie wykonywania jej praw określonych w Rozdziale III RODO, udziela Administratorowi pomocy w wywiązaniu się z obowiązków wymienionych w art. 32?36 RODO, na żądanie Administratora, przekaże Administratorowi wszelkie znajdujące się w dyspozycji Procesora informacje w zakresie niezbędnym do wykazania spełnienia obowiązków określonych w art. 28 RODO, umożliwi Administratorowi lub działającej w jego imieniu osobie trzeciej, przeprowadzenie kontroli sposobu wywiązania się z wyżej wymienionych obowiązków, w tym również przez współdziałanie w przeprowadzeniu kontroli – na warunkach określonych w § 5. Obowiązki pomocy opisane w ust. 5 powyżej będą wykonywane przez Procesora w sytuacji, gdy Administrator nie ma możliwości wykonania danej czynności samodzielnie (we własnym zakresie) lub przy współdziałaniu ze strony osób trzecich innych niż Procesor oraz wyłącznie w zakresie obiektywnie niezbędnym dla umożliwienia Administratorowi wywiązania się przez niego z obowiązków wynikających z przepisów prawa. W innych przypadkach ww. obowiązki pomocy wykonywane będą przez Procesora w sposób i na warunkach odrębnie uzgodnionych przez Strony. W przypadku stwierdzenia naruszenia ochrony danych osobowych przetwarzanych na zlecenie Administratora, Procesor, zgodnie z przyjętą przez niego procedurą, poinformuje o tym Administratora niezwłocznie, nie później niż w terminie 36 godzin od stwierdzenia naruszenia; powiadomienie nastąpi przez przesłanie wiadomości za pośrednictwem poczty elektronicznej na adres Administratora. Procesor zobowiązuje się powiadamiać Administratora niezwłocznie, nie później niż w ciągu 3 dni roboczych od wystąpienia zdarzenia, o: wszelkich żądaniach ujawnienia powierzonych przez Administratora danych osobowych, zgłaszanych przez organy władzy publicznej, przed ich ujawnieniem, chyba że jest to z innych względów zabronione; wszczęciu kontroli przez organ nadzorczy zajmujący się ochroną danych osobowych w związku z powierzeniem przez Administratora Procesorowi przetwarzania danych osobowych, a także o wszelkich decyzjach lub postanowieniach administracyjnych wydanych wobec Procesora w związku z powyższym; wszczętych lub toczących się postępowaniach administracyjnych, sądowych lub przygotowawczych związanych z powierzeniem przez Administratora Procesorowi przetwarzania danych osobowych, a także o wszelkich decyzjach, postanowieniach lub orzeczeniach wydanych wobec Procesora w związku z powyższym; wszelkich incydentach dotyczących przetwarzania przez Procesora danych osobowych powierzonych przez Administratora, w tym uzyskania przypadkowego lub nieupoważnionego dostępu do powierzonych danych osobowych, przypadkach zmiany, utraty, uszkodzenia lub zniszczenia powierzonych danych osobowych. § 4. Zasady dalszego powierzenia przetwarzania danych Administrator upoważnia Procesora do dalszego powierzenia przetwarzania danych osobowych objętych Umową, zewnętrznym podmiotom trzecim, spełniającym warunki RODO i Umowy, w celu wykonania Umowy i regulaminów świadczenia poszczególnych Usług. W szczególności dotyczy to zgody na dalsze powierzenie przetwarzania danych podwykonawcom (np. podmiotom świadczącym usługi informatyczne i dostarczające infrastrukturę teleinformatyczną Procesorowi). Procesor ponosi pełną odpowiedzialność wobec Administratora za realizację obowiązków i zadań przez zewnętrzny podmiot trzeci. Procesor może przekazać powierzone dane do państwa trzeciego wyłącznie na pisemne polecenie Administratora, chyba że obowiązek taki nakłada na Procesora prawo Unii Europejskiej lub prawo państwa członkowskiego UE, któremu podlega Procesor. W takim przypadku przed rozpoczęciem przetwarzania Procesor informuje Administratora o tym obowiązku, jeśli prawo nie zabrania udzielenia takiej informacji ze względu na ważny interes publiczny. Jeżeli do wykonania w imieniu Administratora konkretnych czynności przetwarzania Procesor korzysta z usług innego podmiotu przetwarzającego, na ten inny podmiot przetwarzający nałożone zostają – na mocy umowy lub innego aktu prawnego, które podlegają prawu Unii Europejskiej lub prawu państwa członkowskiego – te same obowiązki ochrony danych jak w Umowie, w szczególności obowiązek zapewnienia wystarczających gwarancji wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie odpowiadało wymogom RODO. Jeżeli ten inny podmiot przetwarzający nie wywiąże się ze spoczywających na nim obowiązków ochrony danych, pełna odpowiedzialność wobec Administratora za wypełnienie obowiązków tego innego podmiotu przetwarzającego spoczywa na Procesorze. § 5. Prawo do kontroli Administrator ma prawo do kontroli Procesora w celu stwierdzenia, czy środki zastosowane przy przetwarzaniu danych w związku z Umową spełniają postanowienia Umowy oraz RODO. Procesor na pisemny wniosek Administratora przekaże mu informacje dotyczące przetwarzania przez niego danych osobowych, w ciągu 14 dni roboczych od otrzymania wniosku. W przypadku konieczności przeprowadzenia przez Administratora audytów, w tym inspekcji, Administrator jest zobowiązany do uzgodnienia z Procesorem zasad przeprowadzenia tych działań z odpowiednim wyprzedzeniem, to jest na co najmniej 30 dni roboczych przed planowanym audytem lub inspekcją. Administrator wskaże wówczas Procesorowi dokładny zakres, termin oraz osoby upoważnione przez Administratora do przeprowadzenia kontroli. Jeżeli przeprowadzenie kontroli przetwarzania nie będzie możliwe w terminie wskazanym przez Administratora w zawiadomieniu, o którym mowa w zdaniu poprzednim (z uzasadnionych przyczyn, w szczególności z uwagi na liczbę kontroli zgłoszonych przez innych klientów Procesora), Procesor poinformuje Administratora o pierwszym możliwym terminie przeprowadzenia kontroli; informacja taka zostanie przekazana za pośrednictwem poczty elektronicznej lub pocztą tradycyjną. § 6. Odpowiedzialność Procesor jest odpowiedzialny względem Administratora za zgodność z Umową przetwarzania danych osobowych, których przetwarzanie Administrator powierzył Procesorowi na mocy niniejszej Umowy. Procesor ponosi odpowiedzialność jedynie za poniesione przez Administratora rzeczywiste straty wynikłe z niewykonania lub nienależytego wykonywania niniejszej Umowy, będącego następstwem okoliczności, za które Procesor ponosi odpowiedzialność - przy czym całkowita odpowiedzialność Procesora z wszelkich tytułów wynikających z niniejszej Umowy w całym okresie jej obowiązywania nie może przekroczyć kwoty stanowiącej wartość netto przychodów Procesora z tytułu świadczenia Usług na rzecz Administratora, w związku z którymi przetwarzane są dane osobowe, osiągniętych przez Procesora w okresie ostatniego roku poprzedzającego zaistnienie naruszenia. Procesor nie ponosi odpowiedzialności za jakiekolwiek korzyści, jakie Administrator mógłby osiągnąć gdyby mu szkody nie wyrządzono. Wszelka dalej idąca odpowiedzialność Procesora za szkody, jakie może ponieść Administrator w związku z niewykonaniem lub nienależytym wykonywaniem niniejszej Umowy, jest wyłączona. W przypadku wszczęcia jakiegokolwiek postępowania administracyjnego lub sądowego w związku z przetwarzaniem danych przez Administratora i powierzeniem ich przetwarzania na mocy Umowy Procesorowi, Administrator niezwłocznie, to jest w terminie nie dłuższym niż 3 dni robocze od powzięcia wiadomości o ww. postępowaniu, poinformuje o tym Procesora na piśmie. Procesor będzie w miarę możliwości brał udział w wyjaśnianiu sprawy w celu zminimalizowania sankcji, które może zastosować organ nadzoru; w tym celu Procesor w szczególności będzie udzielał organowi wyjaśnień (ustnych lub pisemnych) i proponował środki zaradcze. § 7. Czas obowiązywania umowy i przetwarzania danych Umowa będzie obowiązywała w sposób ciągły do czasu zakończenia korzystania przez Administratora z Usług. W przypadku zakończenia korzystania z poszczególnych Usług świadczonych przez Procesora na rzecz Administratora zgodnie z regulaminami poszczególnych Usług, Procesor będzie zobowiązany do zaniechania przetwarzania, a w konsekwencji do usunięcia danych powierzonych do przetwarzania przez Administratora w ramach danej Usługi. § 8. Poufność Procesor zobowiązuje się do zachowania w poufności wszystkich danych osobowych, których przetwarzanie powierza Administrator w ramach niniejszej Umowy. Procesor oświadcza, że dane osobowe powierzone do przetwarzania przez Administratora nie będą ujawniane, z wyjątkiem powierzenia ich dalszego przetwarzania w myśl § 4 Umowy oraz z wyjątkiem, gdy obowiązek ich ujawnienia będzie wynikał z Umowy lub przepisów obowiązujących Procesora (np. w wyniku zapytania złożonego przez organy wymiaru sprawiedliwości). Strony zobowiązują się do podjęcia wszelkich uzasadnionych działań dla zapewnienia poufności form porozumiewania się między sobą, tak aby zminimalizować ryzyko naruszenia zasad ochrony danych osobowych, w tym ich ujawnienia, w szczególności podczas ich wzajemnego przekazywania sobie oraz przechowywania. § 9. Postanowienia końcowe Postanowienia Umowy zastępują wszelkie porozumienia objęte jej zakresem (tzn. dotyczące powierzenia przetwarzania danych osobowych), a które do dnia r. mogły wynikać z regulaminów poszczególnych Usług świadczonych przez Procesora na rzecz Administratora. Sądem właściwym do rozpatrywania sporów związanych z Umową jest sąd właściwy dla siedziby Procesora. W zakresie nieuregulowanym w niniejszej umowie zastosowanie znajdują przepisy RODO oraz Kodeksu Cywilnego. Umowa zawierana między administratorem a procesorem, czyli podmiotem przetwarzającym dane jest zdecydowanie najważniejszym ogniwem współpracy między nimi. Sprawdź naszą propozycję wzoru umowy powierzenia przetwarzania danych osobowych. Umowa powierzenia przetwarzania danych osobowych Błyskawiczny rozwój outsourcingu usług związanych z prowadzeniem działalności gospodarczej oraz wejście w życie przepisów ogólnego rozporządzenia 2016/679 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz. Urz. UE L 119 z r.) - dalej jako „RODO” spopularyzował umowę powierzenia przetwarzania danych osobowych, zawieraną z podmiotami świadczącymi usługi kadrowe, księgowe, serwisu IT, ochrony mienia i osób, obsługę w zakresie BHP, prowadzenia zewnętrznego archiwum, przeprowadzania konkursów przez agencję reklamową na zlecenie klienta i inne. Takie podmioty stają się, w świetle prawa, podmiotami przetwarzającymi dane osobowe w imieniu i na zlecenie administratora danych. Podmiot, któremu powierzane są dane do przetwarzania nie staje się ich administratorem (chociaż ponosi odpowiedzialność tak samo, jak administrator), a jedynie wykonuje operacje na należących do administratora danych, w sposób i w celu ściśle przez niego któremu dane powierzono nie ma prawa ich wykorzystywać, do własnych celów (w szczególności dodawać ich do własnej bazy klientów/marketingowej oraz dalej udostępniać/sprzedawać. Nie może również wykorzystywać ich do promocji własnych produktów i usług). Powierzaniu może podlegać dowolna czynność na danych - od gromadzenia, przez edycję, przechowywanie, usunięcie. Umowa zawierana między administratorem a procesorem, czyli podmiotem przetwarzającym dane jest zdecydowanie najważniejszym ogniwem współpracy między nimi. Kto może być podmiotem przetwarzającym dane na zlecenie administratora danych. Ogólne rozporządzenie o ochronie danych jednoznacznie precyzuje, kto może być procesorem, tj. podmiotem przetwarzającym dane osobowe. Podmiotem przetwarzającym dane może być zatem: osoba fizyczna lub prawna, organ publiczny, jednostka lub inny podmiot, który przetwarza dane osobowe w imieniu administratora. Elementy umowy powierzenia przetwarzania danych Przepisy RODO oznaczają dla administratorów danych osobowych nową rzeczywistość w aspekcie umów powierzenia przetwarzania i wskazują wprost elementy, które umowa taka powinna zawierać. Mowa tutaj o art. 28 RODO, określającym podstawowy katalog obowiązkowych zapisów umowy powierzenia. Niedostosowanie zapisów umowy do nowych wymagań może rodzić szereg negatywnych konsekwencji, między innymi w postaci wysokich kar pieniężnych - zarówno po stronie administratora, jak i podmiotu przetwarzającego. Przechodząc do zakresu przedmiotowego umowy powierzenia należy zauważyć, że jej treść powinna zawierać następujące elementy: Określenie administratora danych, Określenie podmiotu przetwarzającego dane na zlecenie administratora, przedmiot przetwarzania, czas trwania przetwarzania, charakter i cel przetwarzania, rodzaj powierzonych danych osobowych (tu należy wpisać konkretne kategorie danych osobowych, przy czym wskazać należy czy są to dane zwykłe czy szczególne kategorie danych czy też takie, które dotyczą wyroków skazujących i naruszeń prawa). kategorię osób, których dane dotyczą (np. jeśli przetwarzaniu podlegają dane pracowników i kontrahentów to każda z tych grup stanowi odrębną kategorię osób). obowiązki i prawa administratora, obowiązki podmiotu przetwarzającego. Wymienione powyżej elementy to minimum, które powinna zawierać każda umowa. Nie jest jednak wykluczone, aby zawrzeć w niej jeszcze dodatkowe elementy, które będą stanowić dodatkowe zabezpieczenie. Przykładowo może to być wprowadzenie kar umownych za naruszenia ochrony danych przez przedmiot przetwarzający, wprowadzenie zasad przeprowadzania audytów lub określenie sposobów zakończenia współpracy w przyszłości. Warto w umowie powierzenia zawrzeć zapis o tym, w jakim terminie podmiot przetwarzający poinformuje administratora danych o zaistniałym naruszeniu bezpieczeństwa przetwarzanych danych osobowych (jeżeli takie wystąpi). To o tyle istotne, że Administrator Danych zobowiązany jest zgłosić takie naruszenie do organu nadzorczego (Urzędu Ochrony Danych Osobowych) w ciągu 72 godzin od momentu jego stwierdzenia. Sprawdź naszą propozycję wzoru umowy powierzenia przetwarzania danych osobowych: Umowa powierzenia przetwarzania danych osobowych - wzór Oczywiście każda z sytuacji powierzenia będzie posiadała swoją specyfikę, wzór ten pomoże jednak w zrozumieniu najważniejszych elementów tej umowy. I jeszcze jedna ważna informacja: Umowa powierzenia przetwarzania danych osobowych powinna zostać sporządzona na piśmie. Możliwa jest również jej forma elektroniczna. Obowiązki administratora i podmiotu przetwarzającego W stosunku do poprzedniego stanu prawnego, nowością, którą wprowadziło RODO jest obowiązek spoczywający na administratorze danych, polegający na sprawdzeniu podmiotu, któremu mają zostać powierzone dane i dołożeniu szczególnej staranności przy jego wyborze. Zgodnie z art. 28 ust. 1 RODO administrator powinien korzystać wyłącznie z usług podmiotów, które zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi RODO i chroniło prawa osób, których dane dotyczą np. pracowników, klientów, kontrahentów. Podmiot przetwarzający musi zapewnić przynajmniej taki sam poziom ochrony jak administrator danych, dokonywać regularnego szacowania ryzyka oraz być w stanie zapewnić ciągłość działania. W szczególności procesor powinien: zapewnić zachowanie tajemnicy przetwarzanych danych osobowych, zagwarantować odpowiednie bezpieczeństwo ich przetwarzania (środki zapewnienie bezpieczeństwa mogą obejmować np. pseudonimizację i szyfrowanie danych osobowych, zapewnienie poufności, integralności, dostępności i odporności systemów i usług przetwarzania, przywracanie dostępności danych w razie incydentu fizycznego lub technicznego, regularne testowanie i ocenianie skuteczności ww. środków), udzielić pomocy administratorowi w wypełnianiu jego obowiązków względem osoby, której dane dotyczą lub Prezesa Urzędu Ochrony Danych Osobowych RODO wprowadza również obowiązek usunięcia lub zwrotu wszelkich danych osobowych, a także usunięcia wszelkich ich istniejących kopii przez podmiot przetwarzający po zakończeniu przez niego świadczenia usług związanych z przetwarzaniem, chyba że prawo Unii lub prawo państwa członkowskiego nakazuje przechowywanie danych osobowych. Audyty i kontrole u podmiotu przetwarzającego dane Administrator danych ma prawo do przeprowadzenia kontroli podmiotu przetwarzającego w zakresie zgodności jego działalności z przepisami RODO i obowiązującymi wymogami w zakresie ochrony praw osób, których dane są przetwarzane. Przeprowadzanie audytów i kontroli u kontrahentów, którym powierza się dane do przetwarzania, już teraz staje się coraz bardziej powszechnym zjawiskiem. W umowie powierzenia przetwarzania danych warto określić termin, w jakim Administrator danych powinien poinformować podmiot przetwarzający o planowej kontroli. Jednocześnie podmiot przetwarzający nie może korzystać z usług innego podmiotu przetwarzającego bez uprzedniej szczegółowej lub ogólnej pisemnej zgody administratora. Z jakimi podmiotami nie trzeba podpisywać umowy powierzenia przetwarzania danych Należy zaznaczyć, że umowy powierzenia nie trzeba podpisywać z podmiotami i instytucjami, które mogą otrzymywać dane osobowe od Administratora Danych na podstawie przepisów prawa (np. ZUS, Urząd Skarbowy, komornik, Policja, Prokuratura, etc.), ponieważ w tym przypadku mamy do czynienia z udostępnieniem danych osobowych, a nie ich powierzeniem. To o czym należy pamiętać w procesie podpisywania umowy powierzania danych osobowych i związanym z tym przekazywaniem danych to to, że przekazanie danych do powierzenia powinno nastąpić dopiero po zawarciu stosownej umowy, a nigdy wcześniej. Dalsze powierzenie przetwarzania danych osobowych Podmiot, któremu powierza się dane może, w pewnych sytuacjach, mieć potrzebę powierzyć te dane dalej, kolejnemu podmiotowi. Przykładem takiej sytuacji może być przekazanie przez biuro księgowe danych swoich klientów firmie, która dostarcza mu program informatyczny. Taką sytuację nazywamy podpowierzeniem. Możliwość dalszego powierzenia danych do przetwarzania przewiduje wprost samo rozporządzenie (art. 28 ust. 2 i 4). Dalsze powierzenie danych do przetwarzania następuje na podstawie umowy lub innego aktu prawnego, które podlegają prawu Unii lub prawu państwa członkowskiego. Może jednak wystąpić tylko pod warunkiem uzyskania szczególnej lub ogólnej pisemnej zgody administratora danych. Podmiot, któremu podmiot przetwarzający powierza dane do dalszego przetwarzania to tzw. podprocesor. Nałożone na niego obowiązki w zakresie ochrony danych osobowych pozostają takie same, jak te wymienione w umowie lub innym akcie prawnym między administratorem a podmiotem przetwarzającym. Taki „podprocesor” podlega w szczególności obowiązkowi zapewnienia wystarczających gwarancji wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie odpowiadało wymogom rozporządzenia RODO. Odpowiedzialność procesora wobec administratora za wypełnienie obowiązków, jakie wziął na siebie poprzez zawarcie z nim umowy, nie może być wyłączona poprzez zawarcie umowy o dalszym powierzeniu danych do przetwarzania. Jeżeli inny podmiot przetwarzający („podprocesor”) nie wywiąże się ze spoczywających na nim obowiązków ochrony danych, pełna odpowiedzialność za to obciąży procesora, który zawarł umowę z ADO. Umowa powierzenia przetwarzania danych osobowych - wzór Zgodnie z Rozporządzeniem o Ochronie Danych Osobowych (RODO), każdy administrator danych, powinien zawrzeć umowę Powierzenia Przetwarzania Danych Osobowych (umowa PPDO). W związku z tym, jeśli posiadasz w usługę, w ramach której przetwarzasz dane osobowe, musisz zawrzeć z stosowną umowę. Umowa taka zawierana jest między klientem, a bezpłatnie. W tym celu, skorzystaj z generatora umów dostępnego w Panelu Klienta, a po poprawnym jej wygenerowaniu, poczekaj na jej akceptację po stronie Aby wygenerować nową umowę, przejdź na stronę (1), wpisz dane logowania (2), czyli login do Panelu Klienta i hasło, a następnie kliknij przycisk ZALOGUJ SIĘ (3). Po zweryfikowaniu poprawności loginu i hasła system przeniesie Cię do drugiego etapu procedury uwierzytelnienia, w którym otrzymasz wiadomość e-mail lub SMS z kodem jednorazowym. Ten kod należy wpisać w specjalnym oknie weryfikacyjnym, a następnie ponownie kliknąć przycisk ZALOGUJ SIĘ. Dowiedz się więcej o autoryzacji dwuetapowej podczas logowania do Panelu Klienta tutaj. Po zalogowaniu, przejdź do zakładki Moje dane → umowa powierzenia przetwarzania danych osobowych (1), kliknij przycisk Generuj umowę (2) i postąp zgodnie z wyświetlanymi instrukcjami. Dowiedz się szczegółowo, jak zawrzeć umowę PPDO z

umowa powierzenia przetwarzania danych osobowych z pocztą polską rodo