Umowa powierzenia przetwarzania danych osobowych według RODO

Coraz więcej administratorów danych stara się zbudować i wdrożyć w swojej strukturze skuteczny system ochrony danych osobowych. Przyczyną tych działań jest stale rosnąca wśród społeczeństwa świadomość ochrony prawa do prywatności, jak również coraz głośniejsza dyskusja o unijnym rozporządzeniu dotyczącym ochrony danych, którego przepisy znalazły zastosowanie od maja 2018 r. Jak na tym tle wygląda obowiązek zawierania umowy powierzenia przetwarzania danych osobowych?

Odsłuchaj poradnika o przekazywaniu danych osobowych w formie podcastu

Nie każdy z administratorów zdaje sobie jednak sprawę z ilości elementów, które składają się na kompletny system ochrony danych. Nierzadko spotykamy się z sytuacją, w której Klient jest przekonany o tym, że spełnia wszystkie wymogi Ustawy o ochronie danych osobowych, tylko dlatego, że opracował wymaganą dokumentację, zarejestrował zbiór w rejestrze GIODO, a na formularzach marketingowych zamieścił odpowiednie klauzule zgód na przetwarzanie danych.

W praktyce, ochrona danych osobowych jest procesem znacznie bardziej złożonym. To nie tylko dokumentacja, rejestracja zbiorów i zgody. To również kontrola nad przekazywaniem danych na zewnątrz oraz obowiązek zawierania umów powierzenia przetwarzania danych osobowych.

To właśnie tym umowom przyjrzymy się dzisiaj bliżej. Jaką powinny mieć formę? Jakie postanowienia powinny znaleźć się w ich treści? Jakie zmiany w zakresie umów powierzenia wprowadza nowe unijne rozporządzenie o ochronie danych osobowych i jak się do nich przygotować?

umowa powierzenia przetwarzania danych

Umowa powierzenia

Trzy gotowe i sprawdzone szablony umowy powierzenia zgodnej z RODO z instrukcją wypełniania.

Zobacz co otrzymasz w pakiecie.

Sprawdź

Powierzenie przetwarzania danych

Rosnące znaczenie outsourcingu usług powoduje, że obecnie praktycznie każdy, nawet najmniejszy podmiot korzysta z pomocy zewnętrznych specjalistów (informatyków, prawników, księgowych, etc.). W takich sytuacjach nierzadko dochodzi do przekazania danych osobowych podmiotom zewnętrznym, np. dokumentacji pracowniczej czy list płac firmie kadrowo-płacowej. Przekazanie to przyjmuje formę powierzenia przetwarzania danych osobowych.

Na naszym blogu pisaliśmy już o istocie powierzenia oraz o odpowiedzialności administratora danych i podmiotu przyjmującego dane w powierzenie (https://blog-daneosobowe.pl/powierzenie-danych-osobowych-odpowiedzialnosc-i-orzecznictwo/).

Dla potrzeb niniejszego artykułu niezbędnym jest jednak przypomnienie, że warunkiem zgodnego z prawem powierzenia przetwarzania danych osobowych, jest zawarcie umowy powierzenia przetwarzania danych.

Obecnie obowiązek ten określa art. 31 Ustawy o ochronie danych osobowych (uodo), natomiast od 25 maja 2018 r., stosownych przepisów regulujących tę materię należy szukać w art. 28 Ogólnego rozporządzenia o ochronie danych osobowych (rodo).

Forma umowy powierzenia przetwarzania danych

Umowa powierzenia przetwarzania danych osobowych zawierana jest pomiędzy administratorem danych oraz podmiotem przyjmującym dane w powierzenie tzw. procesorem (z ang. processor).

Zgodnie z postanowieniami art. 31 ust. 1 uodo, umowa powierzenia przetwarzania danych osobowych powinna zostać zawarta w formie pisemnej. Nie oznacza to jednak, że zawsze musi być to podpisany przez obie strony wydruk. Równoważne formie pisemnej będzie oświadczenie złożone w postaci elektronicznej, opatrzone bezpiecznym podpisem elektronicznym, który wywołuje takie same skutki, jak podpis własnoręczny.

Posługiwanie się podpisem elektronicznym nie jest jednak czymś powszechnym, zwłaszcza wśród podmiotów prywatnych, które znacznie częściej w związku ze swoją działalnością powierzają dane osobowe. Z drugiej strony, coraz więcej umów jest zawieranych na odległość, w sytuacji braku fizycznego kontaktu obu stron umowy. Dotyczy to głównie usług online, np. hostingu.

Brak dochowania wymogu formy pisemnej nie wywiera skutku w postaci nieważności umowy. W konsekwencji, umowa powierzenia przetwarzania danych osobowych niespełniająca tego wymogu (np. umowa ustna) od strony prawa cywilnego jest ważna, natomiast może powodować niekorzystne skutki na gruncie prawa administracyjnego – naruszenie przepisów uodo i sankcje w postaci decyzji administracyjnej.

Co na to RODO?

Jak z kolei określa formę umowy powierzenia nowe rozporządzenie? Rodo w swoich przepisach wskazuje na formę pisemną, w tym formę elektroniczną umowy. Tym samym, wychodzi naprzeciw wskazanym wcześniej sytuacjom. Forma elektroniczna dopuszcza bowiem składanie oświadczenia za pośrednictwem poczty e-mail, przez wybór określonej opcji na stronie internetowej, która oferuje określoną usługę bądź świadczenie, czy też przekazanie oświadczenia zapisanego na elektronicznym nośniku informacji (np. płycie CD, pendrive).

Podobnie jak obecnie uodo, rodo nie określa skutków niedochowania formy pisemnej umowy. Nie będzie ono zatem rodziło negatywnych skutków na gruncie prawa cywilnego, jednakże będzie stanowiło naruszenie postanowień rozporządzenia. Rodo natomiast, wprowadza daleko szerzej idące sankcje za naruszenie jego postanowień, w tym m.in. wysokie kary finansowe. Warto zatem, aby forma umowy była prawidłowa.

Elementy umowy powierzenia przetwarzania danych

 Poniżej rozwiązanie dla tych który chcą skorzystać z naszej wiedzy eksperckiej, żeby samodzielnie wdrożyć RODO w swojej organizacji:

Zgodnie z obowiązującym stanem prawnym, umowa powierzenia przetwarzania danych osobowych powinna określać zakres oraz cel przetwarzania danych osobowych.

Przez zakres należy rozumieć zarówno kategorie danych osobowych (imię, nazwisko, adres, itp.) jak i operacje, jakie procesor może wykonywać na powierzonych mu danych (przechowywanie, zbieranie, usuwanie, itp.). Najlepiej, aby zakres przetwarzania danych wskazany został enumeratywnie. Jeżeli jednak nie jesteśmy w stanie tego dokonać, chociażby ze względu na rodzaj współpracy (np. usługa niszczenia dokumentów z różnymi danymi), wystarczy wskazanie zbiorów danych osobowych lub też zapis, iż powierzenie następuje w zakresie niezbędnym do realizacji umowy o współpracy.

Określenie celu wiąże się natomiast ze wskazaniem przeznaczenia danych osobowych, czym jest po prostu realizacja usług będących przedmiotem umowy o współpracy.

Administrator danych zawarł z podmiotem zewnętrznym umowę świadczenia usług kadrowo-płacowych. Umowa powierzenia w takim wypadku powinna wskazywać, że powierzenie nastąpiło:

  • w zakresie zbioru danych Pracownicy oraz wykonywania takich operacji na powierzonych danych jak: zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie,
  • w celu realizacji umowy świadczenia usług kadrowo-płacowych tj. administracja kadr i płac.

Uodo wprowadza jedynie dwa elementy obligatoryjne, które powinna zawierać umowa powierzenia. Rodo idzie w tym zakresie znacznie dalej. Zgodnie z art. 28 rodo, umowa powierzenia powinna określać: przedmiot i czas trwania przetwarzania, charakter i cel przetwarzania, rodzaj danych osobowych, kategorie osób, których dane dotyczą, obowiązki i prawa administratora, a także obowiązki procesora, których przykładowe wyliczenie zawiera ustęp 3 wskazanego artykułu.

Oznacza to, że na gruncie rodo umowa powierzenia została znacznie rozbudowana. Unijny prawodawca znacznie zwiększył ilość elementów, które powinna zawierać, tym samym czyniąc ją bardziej szczegółową.

Większość z nowych elementów jest łatwa w interpretacji i wskazaniu. Mając bowiem przed sobą umowę główną o współpracy, administrator danych jest m.in. w stanie określić czas powierzenia przetwarzania danych. Niektóre z nich mogą jednak sprawiać niemałe kłopoty. Co bowiem należy rozumieć przez charakter przetwarzania? Czy oznacza to, że administrator powinien określić czy dane będą przetwarzane w formie papierowej czy za pomocą systemów informatycznych? Czy też poprzez charakter należy raczej rozumieć zakres wykonywanych operacji na powierzonych danych? Czyli tak jak obecnie rozumiemy pojęcie zakresu. Czym natomiast jest rodzaj danych? Czy chodzi o kategorie danych osobowych czy też wskazanie czy są to dane zwykłe czy też dane wrażliwe?

Obejrzyj poradnik o przekazywaniu danych osobowych w formie video

Oprócz wymogu szczegółowego opisu procesu powierzenia przetwarzania danych, rodo wskazuje również obowiązki procesora, których wyliczenie powinno znaleźć się w zawieranej umowie (art. 28 ust. 3 pkt a)-h) rodo). Zaliczymy do nich m.in.:

  • przetwarzanie danych osobowych wyłącznie na udokumentowane polecenie administratora,
  • zapewnienie, by osoby upoważnione do przetwarzania danych osobowych zobowiązały się do zachowania tajemnicy lub by podlegały odpowiedniemu ustawowemu obowiązkowi zachowania tajemnicy,
  • podejmowanie wymaganych środków zabezpieczających przetwarzane dane osobowe,
  • pomoc administratorowi w wywiązywaniu się z obowiązków wobec osób, których dane dotyczą,
  • po zakończeniu świadczenia usług związanych z przetwarzaniem, usunięcie lub zwrot wszelkie dane osobowe oraz usunięcie ich istniejących kopii (zależnie od decyzji administratora).

Powyższe obowiązki nie stanowią tak naprawdę rewolucji w konstrukcji umowy powierzenia. Wielu administratorów już teraz nie poprzestaje jedynie na wskazaniu zakresu i celu powierzenia w zawieranej umowie, ale określa szczegółowo przysługujące mu uprawnienia oraz obowiązki procesora. W szczególności, większość umów powierzenia z jaką mieliśmy do czynienia podczas naszej pracy, określała kwestie związane z usunięciem lub zwrotem danych po zakończeniu usług.

Niemniej jednak, rodo, wskazując wprost obowiązki procesora związane z przetwarzaniem danych osobowych, ułatwia tym samym administratorom sporządzanie stosownych zapisów o powierzeniu. Zwiększa również gwarancje ochrony powierzanych danych.

Trzymając się naszego przykładu, spróbujmy określić zatem elementy obligatoryjne dla umowy powierzenia na gruncie art. 28 rodo, w związku z outsourcingiem administracji kadr i płac.

 

Administrator danych zawarł z podmiotem zewnętrznym umowę świadczenia usług kadrowo-płacowych. Umowa powierzenia przetwarzania danych osobowych określa:

  • przedmiot: przedmiotem przetwarzania są dane osobowe pracowników administratora danych,
  • czas: okres obowiązywania umowy świadczenia usług kadrowo-płacowych,
  • charakter: przetwarzanie danych osobowych w formie papierowej oraz przy wykorzystaniu systemów informatycznych / przetwarzanie danych o charakterze wykonywania takich operacji jak: zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie,
  • cel: realizacja umowy świadczenia usług kadrowo-płacowych tj. administracja kadr i płac,
  • rodzaj danych osobowych: dane osobowe ze zbioru Pracownicy / dane zwykłe oraz dane wrażliwe,
  • kategorie osób, których dane dotyczą: pracownicy administratora danych,
  • obowiązki i prawa administratora: prawo dokonywania kontroli warunków przetwarzania danych osobowych / obowiązek cyklicznego sprawdzania merytorycznej poprawności powierzanych danych osobowych,
  • obowiązki procesora: art. 28 ust 3 pkt a)-h) rodo.

W zależności od stosunków łączących administratora danych z procesorem,w umowie powierzenia przetwarzania danych można również zastrzec inne niż wskazane w uodo lub rodo elementy – m.in. kary umowne za naruszenie postanowień umowy.

kurs IOD

Naucz się tworzyć umowy powierzenia. Zostań Super IOD!

Wiedza przekazywana w przystępny sposób przez wykładowców – praktyków (możesz spotkać ich artykuły na naszym blogu ;), kameralne grupy szkoleniowe, praktyczne wzory i szablony dokumentów i procedur, egzamin zakończony wydaniem certyfikatu. To tylko niektóre z zalet naszego kursu.

Sprawdź terminy:

Sprawdź

Umowa powierzenia a podpowierzenie

Powierzając przetwarzanie danych osobowych, administrator danych powinien wziąć pod uwagę fakt, że podmiot któremu dane powierza, może korzystać z pomocy innych podmiotów w zakresie realizacji swoich usług. Wystarczy, że wspominana już niejednokrotnie w tym artykule firma kadrowo-płacowa, będzie przetwarzała dane pracowników administratora na serwerach, których hostingiem zajmuje się podmiot zewnętrzny. Wówczas będzie miało miejsce podpowierzenie przetwarzania danych osobowych.

Uodo nie reguluje kwestii związanych z podpowierzeniem przetwarzania danych. Mimo braku regulacji, przyjmuje się, że praktykę podpowierzenia danych osobowych można uznać za zgodną z przepisami uodo, jeżeli:

  • w treści umowy powierzenia danych osobowych wskazane zostaną konkretne podmioty, którym dane osobowe mogą być podpowierzane;
  • w toku wykonywania umowy powierzenia danych osobowych procesor uzyska pisemną zgodę administratora danych na podpowierzenie danych konkretnemu podmiotowi;
  • przetwarzanie danych osobowych przez podwykonawcę procesora pozostaje w granicach celu i zakresie przetwarzania danych określonych w umowie powierzenia.

Jak to z kolei wygląda na gruncie rodo? Rozporządzenie przewiduje wymóg uzyskania przez procesora pisemnej zgody administratora danych na przekazanie powierzonych danych innemu podmiotowi. Zgoda może mieć charakter zgody szczegółowej (wskazanie konkretnego podmiotu) lub ogólnej (w tym przypadku procesor musi poinformować administratora o wszelkich zamierzonych zmianach dotyczących dodania lub zastąpienia innych podmiotów przetwarzających, dając administratorowi możliwość wyrażenia sprzeciwu).

Zgodnie z rodo, zgoda na podpowierzenie danych osobowych musi zostać wyrażona przez administratora w formie pisemnej. W tym wypadku, rodo nie zastrzega wprost możliwości wyrażenia takiej zgody również w formie elektronicznej. Część z przedstawicieli doktryny wskazuje jednak, że pełnomocnictwo do podpowierzenia danych może mieć formę zarówno pisemną, jak i równoważną jej formę elektronicznej.

Trudno jednak już teraz ocenić i przewidzieć jak będzie wyglądało w tej sprawie stanowisko organów nadzorujących przetwarzanie danych osobowych lub sądów. Wszystko zweryfikuje praktyka. Zamieszczając zatem zapisy o podpowierzeniu przetwarzania danych osobowych już w treści zawieranej umowy powierzenia, warto zadbać o to, żeby miała ona jednak formę pisemną. Tym samym czyniąc zadość literalnemu brzmieniu przepisów rozporządzania.

Ustawa o ochronie danych osobowychOgólne rozporządzenie o ochronie danych osobowych
Podstawa
  • art. 31
  •  art. 28
Forma umowy
  • pisemna
  • pisemna, w tym forma elektroniczna
Elementy umowy
  • zakres danych osobowych
  • cel przetwarzania
  • przedmiot
  • czas trwania powierzenia
  • charakter i cel przetwarzania
  • rodzaj danych osobowych
  • kategorie osób, których dane dotyczą
  • warunki podpowierzenia przetwarzania danych
  • obowiązki i prawa administratora danych
  • obowiązki procesora
Podpowierzenie
  • brak regulacji
 
  • pisemna zgoda administratora danych (szczegółowa lub ogólna)

e-learning RODO

Zminimalizuj ryzyko naruszenia RODO w Twojej organizacji – przeszkól zespół.

Zależy Ci na tym aby Twoi pracownicy otrzymali certyfikat i poznali praktyczną wiedzę z zakresu RODO zamiast nużących regułek?

Sprawdź nasze interaktywne szkolenia e-learningowe.

Sprawdź

Podsumowanie

Zarówno na gruncie uodo jak i rodo, zawarcie umowy powierzenia przetwarzania danych osobowych nie stanowi uprawnienia administratora danych lecz jest jego obowiązkiem. Każdy z tych aktów prawnych, w mniejszym bądź większym zakresie, wprowadza elementy, które obligatoryjnie powinny znaleźć się w zawieranej umowie.

Nowe rozporządzenie unijne nie wprowadza rewolucji w konstrukcji samej umowy. Stanowi raczej ewolucję jej zapisów i kładzie nacisk na konieczność bardziej szczegółowego określania przedmiotu powierzenia oraz obowiązków procesora w zakresie powierzenia przetwarzania danych osobowych.

Pomimo tego, że przepisy rodo znajdą zastosowanie dopiero od 25 maja 2018 r., warto, aby administratorzy danych, już teraz pochylili się nad zapisami zawartych umów powierzenia i w miarę potrzeby dokonali w nich stosownych zmian. To samo tyczy się umów, które administrator dopiero planuje zawrzeć.

Czas jaki pozostał nam do dostosowania procesu ochrony danych do nowych przepisów jest tylko z pozoru długi. Już teraz każdy administrator danych powinien powoli zacząć wdrażać nowe rozwiązania przewidziane przez rozporządzenie, tak aby w przededniu rozpoczęcia stosowania jego przepisów móc sobie powiedzieć, że jest prawdziwie rodo ready.

 

Related Posts

Firmy kurierskie a RODO
rodo faq
Czy z firmą sprzątającą należy podpisać umowę powierzenia? #RODOFAQ
rodo faq
Czym są standardowe klauzule umowne przyjęte przez KE? #RODOFAQ

130 Responses

  1. Grzesiek

    A czy do przekazania przetwarzania danych osobowych podmiotom zewnętrznych, potrzebna jest zgoda osób, których dane osobowe są przetwarzane?
    Konkretnie chodzi o niszczenie danych (dokumentów papierowych), przez zewnętrzną firmę. Co do zasady nie będą mieli wglądu w te dane (specjalnie przygotowane pojemniki) ale chcą aby podpisać umowę o powierzenie przetwarzania danych osobowych w celu ich zniszczenia. Natomiast nie ma odrębnej zgody na przekazanie danych osobowych w tym celu.

    1. Kancelaria Lex Artist

      Nie, w przypadku powierzenia przetwarzania danych osobowych nie jest konieczna zgoda osób, których dane dotyczą. W takim przypadku, podstawę przekazania danych stanowi umowa powierzenia przetwarzania danych. Zawarcie takiej umowy będzie konieczne m.in. właśnie w przypadku korzystania z usług firm niszczących dokumenty. To, że firma ta stosuje zamykane pojemniki i nie ma wglądu do treści dokumentów nie ma w tym przypadku znaczenia – samo przechowanie danych i ich niszczenie jest już bowiem ich przetwarzaniem.

  2. Klaudia

    Dzień dobry,
    a jak wygląda kwestia przekazywanych wizytówek – zawierają imię, nazwisk, mail, telefon etc. Czy zmierzamy do absurdu, w którym i to jest powierzeniem danych osobowych?
    Klaudia

    1. Kancelaria Lex Artist

      Nie, przekazanie wizytówki nie będzie powierzeniem przetwarzania danych i nie będzie wymagało zawarcia umowy 🙂 Nie ulega wątpliwości, że dane wskazane na wizytówce (tj. imię, nazwisko, e-mail, telefon) są danymi osobowymi. Pamiętajmy jednak, że wręczając komuś wizytówkę, z własnej woli udostępniamy swoje dane, celem ich późniejszego wykorzystania (taki jest bezpośredni zamiar towarzyszący przekazaniu komuś swojej wizytówki). Tego rodzaju działania nie będziemy zatem kwalifikować jako powierzenie danych do przetwarzania podmiotowi zewnętrznemu.

  3. Michał

    „Wystarczy, że wspominana już niejednokrotnie w tym artykule firma kadrowo-płacowa, będzie przetwarzała dane pracowników administratora na serwerach, których hostingiem zajmuje się podmiot zewnętrzny. Wówczas będzie miało miejsce podpowierzenie przetwarzania danych osobowych.”

    Powierzenie przetwarzania danych osobowych będzie miało miejsce wyłącznie, jeśli hosting jest zarządzany, bądź wykorzystywana jest określona forma przetwarzania danych przez firmę hostingową (przykładowo, jej oprogramowanie typu SaaS). Jeśli są to serwery typu VPS (tzw. hosting niezarządzany), którym zarządza dział IT wspomnianej firmy kadrowo-płacowa, kiedy usługodawca nie ma dostępu do danych oraz nie posiada wiedzy o fakcie przetwarzania danych, nie ma przesłanek stanowiących potrzebę podpisania umowy powierzenia danych osobowych.

    1. Kancelaria Lex Artist

      Panie Michale, dziękujemy za komentarz, ma Pan jak najbardziej rację. Z powierzeniem przetwarzania danych, w rozumieniu art. 31 uodo, będziemy mieli do czynienia wówczas, gdy podmiot udostępniający infrastrukturę informatyczną posiada wiedzę co do charakteru przetwarzanych danych. Natomiast, jeżeli podmiot udostępniający nie posiada tej wiedzy, to podlega on postanowieniom Ustawy z dnia 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną i jego odpowiedzialność za przechowywane dane jest ograniczona zgodnie z art. 12–15 tej ustawy.

      W skrócie, w przypadku hostingu, umowę powierzenia podpisujemy, gdy z natury świadczonej przez dostawcę usługi wynika, że posiądzie on wiedzę o zgromadzonych danych (dot. to np. usług administracji bazą danych, aplikacją służącą do przetwarzania danych lub całym systemem operacyjnym i aplikacjami, usług odzyskiwania danych, wykonywania ich kopii zapasowych). Z kolei podpisanie umowy powierzenia nie będzie konieczne, gdy dostawca będzie dostarczał jedynie platformę sprzętowa lub systemową (dot. to np. hostingu bez administracji, kont shellowych, serwerów VPS bez administracji).

      1. Jakub

        Nie zgodzę się tutaj. Przecież firma hostingowa ma dostęp fizyczny do platformy sprzętowej serwera. Co za tym idzie ma dostęp do danych na serwerach VPS czy innych.
        Zatem ADO powinien wybrać takiego dostawcę VPS który podpiszę umowę PPDO.
        Pamiętajmy, że przecież dostęp fizyczny do infrastruktury także powinien być odpowiednio zabezpieczony.

        A to, że firma hostingowa „nie posiada wiedzy o zgromadzonych danych” można odnieść do wszystkiego. Np. do sklepów oferowanych w modelu SaaS. Udostępniam platformę sklepową, ale nie posiadam wiedzy czy osoba korzystająca z moich usług uruchomi sobie ten sklep i będzie pobierać dane czy też nie.

  4. Anna

    Mam problem z ustaleniem, czy w przypadku współpracy z ubezpieczycielami typu Hermes Kuke przy okazji zawierania kredytów kupieckich muszę mieć w umowie z Hermesem i Kuke podpisaną umowę na powierzenie lub udostępnienie? Czy inne przepisy zwalniają mnie z obowiązku informowania Kontrahenta, iż będę się ubezpieczać i zgłaszać ich dane do ubezpieczyciela bez ich wiedzy ? Generalnie we wniosku o przyznanie limitu jest miejsce na wpisanie osoby do kontaktu z ramienia Kontrahenta typu imię nazwisko, nr telefonu, e-mail, fax.

  5. Jarek

    Witam,
    czy firma zawierając umowę z projektantem, który w trakcie wykonywania zleconych prac pozyskuje w jej imieniu dane osobowe np. w uzyskanych zgodach właścicieli gruntów na ich zbycie lub ustanowienie służebności lub pozyskuje dane o właścicielach aby ich powiadomić np. o planowanych w sąsiedztwie robotach budowlanych powinna zawrzeć w tej umowie zapisy o powierzeniu projektantowi przetwarzania danych osobowych? Czy to jest przetwarzanie danych osobowych. Projektant w efekcie końcowym przekazuje pozyskane zgody i inne informacje (zawierające dane osobowe) firmie zlecającej prace. Czy projektant powinien uzyskać zgodę osób, których dane są przetwarzane w swoim imieniu czy w imieniu firmy zlecającej?

    1. Kancelaria Lex Artist

      Dzień dobry.
      Mamy trochę za mało informacji aby udzielić precyzyjnej odpowiedzi. Jednak bazując na tych podanych w komentarzu:
      1) Powierzenie czy upoważnienie. Tutaj zawsze jest pewien dylemat. Jeśli projektant jest de facto freelancerem i nie ma swojego zespołu, to warto wziąć pod uwagę nadanie upoważnienia do przetwarzania danych osobowych. Tym samym potraktować projektanta tak jak własnego pracownika. Jeśli za działaniami projektanta stoi raczej cały zespół i firma – to zdecydowanie powierzenie.
      Tym samym odpowiadając na kolejne pytanie – tak dochodzi do przetwarzania danych osobowych.
      2) Co do zgód osób, których dane pozyskuje projektant – najbezpieczniej będzie jeśli zgody i obowiązki informacyjne będą wystawiane już na firmę zlecającą. Bo zakładamy, że to ta firma decyduje tak naprawdę o celach i środkach całego procesu przetwarzania danych.
      3) Co do pozyskiwania samych zgód od właścicieli nieruchomości – tu mamy za mało danych – zgoda jest najczęściej najbardziej bezpieczną formą. Pytanie czy nie można tutaj oprzeć się na innych przesłankach art.23 – np. prawnie usprawiedliwionym celu i ograniczyć się do zapewnienia samego obowiązku informacyjnego. Pozostawiamy to do rozważenia bo na ten moment mamy trochę za mało informacji.

      pozdrawiamy,

  6. Tomasz

    W jednym budynku jest biblioteka i przedszkole. By zaoszczędzić pieniądze chcą zrobić wspólny monitoring. Czy umowa powierzenia wystarczy dla takiego działania ?

  7. Monika

    Czy firma deweloperska przekazując do notariusza dane klienta, z którym będzie podpisywała umowę deweloperską powinna poinformować klienta, że udostępnia jego dane kancelarii notarialnej, czy może powinna mieć podpisaną z kancelarią umowę powierzenia?

  8. Kasia

    Witam Bardzo interesujący artykuł, za pewne wielokrotnie do niego powrócę.
    Mam pytanie odnośnie przetwarzania danych przez pracowników (zatrudnionych na podstawie umowy o pracę) czy z nimi też trzeba podpisać umowy? czy upoważnienia? a co jak pracownik przetwarza dane w różnych zbiorach czy do każdego trzeba osobną zgodę, czy ma znaczenie jak zakres baz się różni?

    1. Kancelaria Lex Artist

      Witamy 🙂 Jeśli mówimy o pracownikach zatrudnionych na umowę o pracę, to dla nich powinno być wystawione upoważnienie. W naszej praktyce w upoważnieniu uwzględniamy nazwy zbiorów do których pracownik ma dostęp w związku z wykonywanymi czynnościami np. w przypadku pracownika Kadr w treści uwzględniamy przykładowo dostęp do zbiorów „Rekrutacja”, „Pracownicy”.

  9. Basia

    Witam,
    centrala (spółka-matka) udostępniła w mojej firmie licencje Office 365. W ramach usługi Office 365 przetwarzane są dane z praktycznie wszystkich zbiorów danych (poczta, dokumenty pakietu office, itd.). W takim przypadku to chyba z centralą powinniśmy podpisać umowę powierzenia przetwarzania danych – nie z Microsoftem 🙂 ?

  10. Magda

    Witam,
    Mamy następującą sytuację: firma zorganizowała dla swoich pracowników możliwość ubezpieczenia grupowego. Zebrała w tym celu od nich deklaracje i przekazała do TU, które jest Administratorem danych (zgodnie z zapisem na deklaracji). Jednak firma zatrzymuje także w swojej dokumentacji kopie deklaracji w celu dokonywania potrąceń od ubezpieczonych pracowników.
    Jak powinno to prawidłowo funkcjonować? Czy pracodawca może przechowywać kopie deklaracji, czy staje się wtedy procesorem i TU powinno od niego zażądać podpisania umowy powierzenia? Czy w celu zminimalizowania ilości danych pracodawca powinien jedynie zapisać w swoim systemie kwoty potrąceń a zgromadzone kopie deklaracji usunąć?

    1. Kancelaria Lex Artist

      Witam 🙂
      W przypadku, gdy firma przechowuje kopie deklaracji, staje się procesorem i powinna zostać podpisana umowa powierzenia między TU a firmą (przechowywanie jest przetwarzaniem danych osobowych). Z kolei w celu zminimalizowania ilości danych pracodawca (firma) winna usunąć kopie deklaracji (wersja elektroniczna) lub zniszczyć je w niszczarce (wersja papierowa).
      pozdrawiamy

  11. Aneta

    Na początek dzięki za rzeczowy artykuł!
    Mam natomiast pytanie o usunięcie danych, jeżeli powierzam je systemowi do faktur/księgowości. Dane są danymi osób fizycznych oraz czasami firm, którym świadczę sprzedaż. Dane klientów mam w systemie. Mam tam też faktury, które dokumentują sprzedaż i do których przechowywania jestem zobowiązana. Co w przypadku gdy klient życzy sobie usunięcia danych tuż po zamknięciu transakcji, sama chyba nie powinnam ich przechowywać dłużej niż konieczne? Profil klienta teoretycznie mogę skasować, ale dane są wciąż przechowywane u podmiotu przetwarzającego na istniejącym tam dokumencie. Czy system powinien dostosować taką opcję, abym mogła po ustaniu obowiązku usunąć te dokumenty z automatu i powinnam wymagać w umowie powierzenia przetwarzania jakiegoś zapisu regulującego ten stan rzeczy? A może dane powinnam usunąć wcześniej co wtedy z wymogiem przechowywania rachunków/faktur?

    1. Kancelaria Lex Artist

      Dzień dobry. Odpowiadając od końca – faktury, które Pani przechowuje jako podatnik VAT-u (w których są też dane osobowe), musi Pani przechowywać do końca upływu terminu przedawnienia zobowiązania podatkowego tj. 5 lat licząc od końca roku kalendarzowego, w którym powstało zobowiązanie podatkowe. Jest to obowiązek prawny, także jeśli Klient żąda usunięcia danych, to może to dotyczyć wyłącznie danych zbieranych ponad to, co jest na fakturze. Po tym czasie dane powinny być usunięte, jeśli korzysta Pani z usług tzw. procesora, to w umowie powierzenia powinny znaleźć się zapisy o konieczność usunięcia danych i wykazania tego np. protokołem zniszczenia, po upływie okresu, w którym dane muszą być przechowywane. Pozdrawiamy!

  12. Paweł

    Witam,
    w jaki sposób można przekazać dane osobowe oraz historię chorób pacjentów pomiędzy dwoma podmiotami prowadzącymi działalność medyczną? Czy to w ogóle jest możliwe w świetle obowiązującego prawa?

    1. Kancelaria Lex Artist

      Dzień dobry! Tak, istnieje możliwość takiego przekazania. Dzieje się to w drodze udostępnienia danych osobowych. Na takie udostępnienie pacjent musi jednak wyrazić osobną zgodę. W treści zgody powinien być również wyraźnie wskazany podmiot leczniczy, któremu Państwo będą dane udostępniać oraz w jakim celu. Pozdrawiamy!

  13. Iwona

    Witam
    Proszę o informację czy istnieje możliwość przekazania bez zgody osoby zainteresowanej aktualnego adresu zamieszkiwania. Sprawa dotyczy MOPS – Urząd Miasta. Urząd Miasta uchwałą przyznał środki pieniężne na pomoc klientom MOPS . Środki te były m.in. przyznawane na wynajęcie mieszkania na okres 2-3 lat. Klient nie wymeldował się ze swojego starego miejsca zamieszkania. Czy istnieje możliwość bez zgody klienta przekazania adresu pracownikowi Urzędu Miasta celem podjęcia wymeldowania.

  14. Agnieszka

    Witam,
    Na początek słowa uznania za ten blog, za ilość i sposób przekazania wiedzy. Prosto, przejrzyście i konkretnie.
    Mam dwa pytania, kwestie do których mam wątpliwości jak je rozwiązać:
    1. Prowadzimy sprzedaż m.in. za pośrednictwem przedstawicieli handlowych prowadzących DG, pośredniczą oni w sprzedaży dla klientów biznesowych, korzystają z naszych firmowych sprzętów z dostępem do firmowego CRMu, gdzie są dane kupujących od nas firm i konkretnych osób je reprezentujących, sami dane nowych klientów dodają – czy my musimy podpisać z nimi umowy powierzenia czy wystarczą upoważnienia do przetwarzania danych.
    2. Magazynierzy dostają listę zamówionych przez klienta (firma lub osoba fizyczna) towarów do skompletowania i spakowania oraz wydrukowaną etykietę z adresem – czy oni musza mieć upoważnienia do przetwarzania danych?

    1. Kancelaria Lex Artist

      Witamy i pięknie dziękujemy za dobre słowa! 🙂 Odpowiadając już na pytania:
      1) wystarczy nadanie im upoważnienia do przetwarzania danych osobowych, dopuszczalne jest także powierzenie;
      2) jak najbardziej powinni mieć takie upoważnienia.
      Pozdrawiamy i zapraszamy do częstszych odwiedzin. 🙂

  15. Piotr

    Czy w związku zawarciem umowy dotyczącej medycyny pracy ADO powinien zawrzeć z przychodnią umowę o powierzeniu danych osobowych? Moim zdaniem ponieważ skierowanie z danymi osobowymi otrzymuje pracownik i on przekazuje swoje dane osobowe przychodni więc umowa przekazania danych osobowych pomiędzy przedsiębiorstwem, w którym pracuję a zakładem medycyny pracy nie jest niezbędna. Proszę o informację czy mam rację.

    1. Kancelaria Lex Artist

      Dzień dobry. W zakresie medycyny pracy nie ma obowiązku zawierać z przychodnią umowy powierzenia. Wówczas mamy do czynienia z relacją udostępnienia danych osobowych na podstawie przepisów prawa pracy. Pozdrawiamy!

  16. Martyna

    Szanowni Państwo,

    moje wątpliwości dotyczą sprzedaży online.
    Czy potrzebna jest umowa powierzenia:
    1) między sprzedawcą a kurierem dostarczającym towar do klienta (poza rzeczywistym przekazaniem paczki, dane wprowadzane są także do systemu kuriera)?
    2) między sprzedawcą a dostawcą aplikacji do płatności online typu Paypal lub PayU?
    3) miedzy sprzedawcą a właścicielem platformy sprzedażowej typy amazon, Ebay lub allegro? Co prawda klienta ma tam założone swoje konto, ale zapewne po zakupieniu produktu administratorem jego danych w zakresie niezbędnym do wystawienia faktury i wysłania towaru staje się sprzedawca. Jeżeli dochodzi tutaj do powierzenia, który podmiot jest administratorem, a który procesorem?
    Z góry bardzo dziękuję za odpowiedź!

    1. Kancelaria Lex Artist

      Dzień dobry! To niewątpliwie ciekawe pytania i dość często roztrząsane:

      1) Nie ma takiej potrzeby – przyjmuje się, iż mamy wówczas do czynienia z udostępnieniem danych osobowych w prawnie usprawiedliwionym celu (art. 23 ust. 1 pkt 5 ustawy o ochronie danych osobowych),
      2) Podobna sytuacja jak w punkcie pierwszym,
      3) Tutaj również podobna sytuacja (różnica jest w postaci podstawy prawnej udostępnienia) – co wynika z przyjętej np. w Allegro Polityki Prywatności. Według niej, administratorem danych osobowych Użytkowników (a więc zarówno Kupujących, jak i Sprzedających) jest Allegro, jednakże Allegro udostępnia sprzedającym dane osobowe Kupującego w celu realizacji umowy sprzedaży, którą strony ze sobą zawarły.

      Pozdrawiamy!

      1. Roman

        Witam, czy we wskazanym przypadku sprzedający nie powinien poinformować kupującego, na podstawie art. 14 RODO, o przetwarzaniu jego danych osobowych.

  17. Michal

    Wiadomo, że biuro rachunkowe jest administratorem danych klienta (jeśli jest on osobą fizyczną) i jednocześnie procesorem danych powierzanych przez klienta (tj. danych dotyczących jego kontrahentów i pracowników) – w odniesieniu do tej drugiej grupy danych konieczna jest umowa powierzenia. Mam pytanie: jeśli biuro rachunkowe zgłasza członków rodziny klienta do ubezpieczenia zdrowotnego klienta w ZUS – czy biuro rachunkowe jest administratorem danych tych członków rodziny, czy też ich procesorem, a administratorem danych członków rodziny jest klient (i w związku z tym przetwarzanie tych danych powinno być przedmiotem umowy powierzenia)? I pytanie dodatkowe – czy zgodnie RODO dane członków rodziny danej osoby są w takich przypadkach uważane za dane dotyczące tej osoby, czy też raczej za dane dotyczące tych członków rodziny.

    1. Kancelaria Lex Artist

      Dzień dobry. W opisywanym przypadku biuro rachunkowe nadal będzie procesorem. Co do pytania dodatkowego – przyjmujemy (wyłącznie w tym zakresie), że dane członków rodziny traktowane są jako dane pracownika. Pozdrawiamy!

      1. Michał

        Przepraszam, nieprecyzyjnie zadałem pytanie. Chodziło mi o to, czy dane członków rodziny klienta – osoby fizycznej prowadzącej działalność gospodarczą (nie chodzi tu więc o członków rodziny pracowników klienta) zgłaszanych przez biuro do ubezpieczenia zdrowotnego tego klienta mogą być przetwarzane przez biuro rachunkowe na podstawie umowy powierzenia, tj. biuro jest procesorem tych danych, czy też raczej jest ich administratorem, podobnie jak w przypadku danych samego klienta?

  18. Wojciech

    Dzień dobry! Faktycznie bardzo dobry blog!

    Jednak czytając wypowiedzi na tym blogu i w kilku innych serwisach zrobił mi się niezły zamęt w zakresie terminologii i związanych z tym obowiązków. Kiedyś ktoś mnie uczył, że:
    1) udostępnienie danych – jest wtedy gdy ktoś do nich zagląda, może coś na nich robić ale ich nie zabiera ze sobą, w takie sytuacji wystarczy upoważnienie dla pracownika lub umowa o zachowaniu poufności z firmą zewnętrzną świadczącą usługi informatyczne i upoważnienie dla jej pracownika, zatrudnienie firmy radcy prawnego wykonującego czynności w siedzibie administratora, przykłady udostępnienia: strona internetowa, wgląd w dokumenty itp.;
    2) przekazanie – jest wtedy gdy dane trafiają do innego administratora i żyją tam „własnym życiem”, np. ubezpieczenie pracowników, ubezpieczenie uczniów, medycyna pracy, kancelarie prawne (choć tutaj mam wątpliwości) itp.;
    3) powierzenie – w sytuacji kiedy Administrator zleca innej firmie wykonywanie czynności, które powinien wykonać sam, następuje przeniesienie danych na sprzęt procesora i tam wykonywane są czynności na tych danych (to jak z rolnikiem, który zawiezie do młyna zboże, młyn wykonuje proces na zbożu i oddaje rolnikowi mąkę, po zakończonym procesie w młynie nie pozostaje nic), zgodnie z motywem 81 RODO procesor po zakończeniu umowy powinien przekazać lub usunąć dane, przykładami powierzenia mogą być: hosting poczty i sklepów, biura rachunkowe, przestrzeń na pliki w chmurze, pakiety biurowe on-line (umowa z firmą udostępniającą pakiet np. Google, Microsoft).

    Czy ogólnie dobrze mi się wydaje czy jestem w błędzie?

    1. Kancelaria Lex Artist

      Dzień dobry. Dziękujemy pięknie za pozytywną opinię! 🙂

      Odpowiemy tak – udostępnienie danych to Pana opis z punktu nr 2 (z tym że np. kancelarie prawne nie są tym objęte). Powierzenie – jest OK. Z kolei pkt 1 to po prostu przetwarzanie danych osobowych na podstawie upoważnienia udzielonego przez administratora danych osobowych. Pozdrawiamy!

  19. Piotr

    Witam, chciałbym się zapytać o konieczność podpisywania umowy powierzenia z bankiem o obsługę konta bankowego? W imieniu instytucji publicznej bank wysyła wynagrodzenia pracowników i świadczenia dla wnioskodawców. A także chciałem się zapytać czy podobna sytuacja ma miejsce z BHP dla pracowników, jest to firma zewnętrzna.

    1. Kancelaria Lex Artist

      Dzień dobry. Co do banku – nie ma takiej konieczności, mamy do czynienia wówczas z udostępnieniem danych osobowych. Z kolei w przypadku BHP istnieje konieczność zawarcia umowy powierzenia przetwarzania danych osobowych. Pozdrawiamy!

  20. Krzysztof

    Witam,
    Na wstępie bardzo fajny blog i oby taka jakość informacji była wszędzie 🙂
    W związku z zbliżającym się nie ubłaganie terminem 25-maja otrzymałem dziś propozycję podpisania umowy powierzenia przetwarzania danych osobowych. Jestem jedno osobową firmą świadczącą usługi informatyczne dla małych firm, wykonuje czynności związane z administracją serwerami u klienta na których przetwarzane są dane osobowe. Klient mnie zaskoczył zapisami w umowie dot. wysokości kary umownej za każdy przypadek stwierdzonej nieprawidłowości. Dodał również bardzo ciekawy zapis brzmiący iż jako Administrator danych osobowych czyli on jeśli zostanie zobowiązany do wypłaty odszkodowania lub poniesie konsekwencje w postaci grzywny. To ja jako podmiot przetwarzający mam mu ją zapłacić. Co Państwo sądzicie o takich praktykach i czy lepiej zrezygnować ze współpracy z takim Klientem.

    1. Kancelaria Lex Artist

      Dzień dobry. Dziękujemy za miłe słowa – na wstępie! 🙂 Cóż, takie zapisy w obecnie podpisywanych umowach powierzenia to standard. W kwestii kary umownej – ta materia może zostać zmodyfikowana w drodze negocjacji z Klientem. Natomiast czy nadal z takim Klientem współpracować – nie nam o tym decydować, pozostawiamy to Pańskiej decyzji biznesowej. 🙂 Pozdrawiamy!

  21. Sylka

    Witam, bardzo pouczający blog.
    Mam pytanie dotyczące takiej sytuacji. Pracuję w administracji rządowej, jeżeli jest prowadzone postępowanie administracyjne wobec danej osoby, czy powinniśmy z tą osobą podpisać umowę przetwarzania danych osobowych?

  22. Katarzyna

    Dzień dobry,
    prowadzimy biuro rachunkowe w spółdzielni rzemieślniczej, która zrzesza przedsiębiorców. Zatrudniamy również pracowników na umowy o pracę. Do tej pory nie otrzymaliśmy od przedsiębiorców żadnej dokumentacji odnośnie RODO – a teoretycznie to oni powinni przygotować takie umowy, dobrze rozumiem?
    My jako biuro prowadzimy ewidencje podatkowe i ZUSy naszym przedsiębiorcom. Zapoznałam się z poprzednimi wpisami na Państwa forum, nawiasem mówiąc pisanymi bardzo przystępnym słownictwem, i chciałabym się upewnić, czy mój tok myślenia jest dobry:
    – powinniśmy zawrzeć z przedsiębiorcami i naszymi pracownikami umowy powierzenia danych?
    – administatorami danych są przedsiębiorcy i nasi pracownicy?
    – my jako biuro jesteśmy procesorem danych, gdyż przetwarzamy dane przedsiębiorców księgując np. ich faktury i przesyłając dane do Urzędu Skarbowego?
    – powinniśmy również stworzyć nasz własny rejestr z danymi przedsiębiorców i pracowników, takimi jak pesel, nip, imię i nazwisko, nazwa firmy, jej adres, czy coś więcej?
    – co z kontrahentami, z którymi współpracują nasi przedsiębiorcy, którzy widnieją na fakturach?
    – co z kontrahentami zagranicznymi,
    Będziemy wdzięczny za odpowiedź.

    1. Kancelaria Lex Artist

      Dzień dobry. A zatem po kolei:

      1) umowy powierzenia powinni zawrzeć Państwo z przedsiębiorcami, z Państwa pracownikami nie ma takiej konieczności,
      2) Administratorami danych są przedsiębiorcy, natomiast administratorem danych Państwa pracowników jest Państwa firma,
      3) Tak,
      4) Powinni Państwo stworzyć na pewno rejestr czynności przetwarzania (prowadzi go administrator danych osobowych), a także rozważyć utworzenie rejestru kategorii czynności przetwarzania (prowadzić go powinien podmiot, który często występuje w roli procesora),
      5) To właśnie dane tych kontrahentów są Państwu powierzane przez przedsiębiorców, ponieważ są oni administratorem danych swoich kontrahentów,
      6) To samo, co z polskimi. 🙂

      Pozdrawiamy!

  23. Maria

    Witam,
    prowadzę sklep internetowy, w którym sprzedaję wykonywane przeze mnie zaproszenia ślubne.
    Do ich wytworzenia zbieram dane odnośnie daty i miejsca ślubu, numery telefonów, czasem dane do wysyłki.
    Czy w tym przypadku powinnam zamieścić na stronie internetowej w regulaminie informację, że przetwarzam dane wyłącznie w celu wykonania usługi i wysyłki? Czy powinnam podpisywać umowę z każdym klientem, również internetowym, jeśli tak, to w jaki sposób? Nie każdy posiada podpis elektroniczny?
    Czy z firmą informatyczną, u której mamy wykupiony serwer, również musi podpisać umowę powierzenia danych? Z księgową także?
    Czy wystarczy taka notka w regulaminie na stronie, czy w mailach również muszę zawrzeć taką informację, np. w stopce?
    Czy w komputerze muszę prowadzić rejestr tych wszystkich danych?
    Czy z klientami, których przyjmuję w siedzibie firmy muszę podpisywać umowy o powierzeniu danych?
    Z góry dziękuję za pomoc.

    1. Kancelaria Lex Artist

      Dzień dobry. Zatem po kolei:
      1) Tak, powinna Pani zamieścić klauzulę informacyjną na stronie internetowej w regulaminie. Jeżeli wystawia Pani np. rachunki lub faktury, to one również są dowodem zawarcia umowy.
      2) Tak i tak. 🙂
      3) Wystarczy regulamin.
      4) Rejestr czynności przetwarzania można prowadzić w dowolnej formie.
      5) Nie ma takiej potrzeby.

      Pozdrawiamy!

  24. Sylwia

    Witam, bardzo pouczający blog.
    Mam pytanie dotyczące takiej sytuacji. Pracuję w administracji rządowej, jeżeli jest prowadzone postępowanie administracyjne wobec danej osoby, czy powinniśmy z tą osobą podpisać umowę przetwarzania danych osobowych?

      1. Sylwia

        Bardzo dziękuję za odpowiedź ale mam jeszcze jedno pytanie dot: Petent składa u Nas w urzędzie zawiadomienie o rozpoczęciu i zakończeniu budowy (wypisuje wniosek) na tym zawiadomienie pisze swoje imię i nazwisko oraz adres zamieszkania czy My jako Urząd powinnyśmy na tych drukach umieścić informacje o przetwarzaniu danych osobowych i jakieś treści miałaby to być informacja?

        1. Kancelaria Lex Artist

          Dzień dobry. Po szersze informacje zapraszamy do skorzystaniu z usługi konsultacji. Pozdrawiamy!

  25. Maria

    Nawiązując do mojego pytania odnośnie sklepu z zaproszeniami, chciałam jeszcze dopytać, czy informacja, która do tej pory widnieje w moim regulaminie na stronie, może zostać w takiej formie:

    ” Rejestracja nie jest obowiązkowa w sklepie internetowym „nazwa” Jednakże Klient, który zdecyduje się na rejestrację zobowiązany jest do zgodnego ze stanem faktycznym wypełnienia „formularza rejestracji”. Klient zobowiązany jest nie udostępniać osobom trzecim swoich danych dostępowych – „loginu” i „hasła”. Również osoba, która przy zakupie wypełnia formularz z danymi, zobowiązana jest do podania informacji zgodnych ze stanem faktycznym.

    2. 1. 2. Wszelkie dane osobowe uzyskane w trakcie rejestracji i działalności sklepu są poufne. Zgodnie z ustawą z dnia 29 sierpnia 1997 roku o ochronie danych osobowych informujemy, że dane osobowe Kupujących są przechowywane w sposób uniemożliwiający dostęp osobom trzecim. Dane osobowe zbierane i przetwarzane są wyłącznie w celu realizacji zamówienia i nie będą w jakikolwiek inny sposób udostępniane lub wykorzystywane. Zgodnie z w/w. ustawą Kupujący ma prawo do wglądu w swoje dane, do ich poprawiania oraz wniesienia żądania o zaprzestaniu ich wykorzystywania.

    2. 1. 3. Dane osobowe użytkownika mogą zostać użyte w celu dostarczania mu ważnych informacji o zamówionych produktach lub usługach, w tym aktualizacji i powiadomień.

    2. 1. 4. Klient, który wyrazi chęć otrzymywania newsletterów poprzez wpisanie w odpowiednie pole widniejące na stronie internetowej sklepu „nazwa” swojego adresu e-mail lub zaznaczy odpowiednią opcję podczas realizacji zamówienia, automatycznie zgadza się na przyjmowanie wiadomości drogą elektroniczną dotyczących nowej oferty sklepu, w tym promocji, kuponów rabatowych, nowości itp.

    1. Kancelaria Lex Artist

      Kwestia wymaga szerszej analizy, po którą zapraszamy – w ramach usługi konsultacji. Pozdrawiamy!

  26. paweł

    Dzień dobry,
    A co w przypadku prowadzenia działalności jedynie w formie B2B? Nie posiadamy żadnych danych osobowych w firmie, jedynie akta personalne pracowników, a sprzedaż prowadzimy tylko i wyłącznie do firma a nie do osób fizycznych. Czy też musimy wytworzyć politykę bezpieczeństwa, rejestry i całą resztę w odniesieniu do relacji B2B?

  27. Marta

    Witam,
    Mam pytanie odnośnie ubezpieczenia grupowego, doychczasowe informacje niestety nie rozwiewają moich wątpliwości. Otóż mamy w firmie ubezpieczenie grupowe, jeden z pracowników zbiera dla firmy ubezpieczeniowej deklaracje od zainteresowanych osób a następnie je usuwa (nie są w naszej firmie nigdzie gromadzone). Pytanie:
    1) czy potrzebna jest umowa powierzenia miedzy naszą firmą a ubezpieczycielem?
    2) rozumiem, że pracownik przekazujący deklaracje powinien mieć wystawione stosowne upoważnienie?
    Pozdrawiam

    1. Kancelaria Lex Artist

      Dzień dobry.

      1) Decyzja w tym zakresie będzie zależała od przyjętego modelu współpracy z ubezpieczycielem – spotykane są dwa modele:
      a) udostępnienie danych osobowych ubezpieczycielowi,
      b) tzw. odwrócone powierzenie, w którym to ubezpieczyciel jest administratorem danych osób, które przystąpiły do grupówki, a Państwo są procesorem (podmiotem przetwarzającym), w zakresie zbierania i przekazywania do ubezpieczyciela deklaracji.
      2) Tak.
      Pozdrawiamy!

  28. Paweł

    Czy wiadomo już coś więcej na temat rozumienia pojęcia „charakteru przetwarzania danych”? A „pisemne polecenie” administratora musi być przed każdą operacją? Może to być uciążliwe.

    1. Kancelaria Lex Artist

      Pojęcie charakter przetwarzania danych rozumiane jest jako „sposób ich dokonywania (częstotliwość/powtarzalność, czasowość, długoterminowość, masowość)” np. dane przetwarzane są codziennie, dotyczy to 250 osób. Pisemnego polecenia nie musi być przed każdą operacją lecz przed każdym typem operacji. Pozdrawiamy!

  29. Magda

    Witam
    mam pytanie odnośnie udzielonej przez Państwa odpowiedzi dot. upoważnienia: „Powierzenie czy upoważnienie. Tutaj zawsze jest pewien dylemat. Jeśli projektant jest de facto freelancerem i nie ma swojego zespołu, to warto wziąć pod uwagę nadanie upoważnienia do przetwarzania danych osobowych. Tym samym potraktować projektanta tak jak własnego pracownika. Jeśli za działaniami projektanta stoi raczej cały zespół i firma – to zdecydowanie powierzenie”.
    Czy jest jakiś konkretny przepis prawa/stanowisko GIODO w tej sprawie tj. potraktowanie projektanta jako pracownika?

    1. Kancelaria Lex Artist

      Dzień dobry. Prosimy pamiętać, że potraktowanie projektanta jako pracownika odbywa się jedynie w aspekcie przetwarzania danych osobowych. Jest to stanowisko wypracowane przez doktrynę prawa. Pozdrawiamy!

  30. Tomek

    Witam serdecznie. jeśli mam wykupiony serwer Reseller i mam na nim kilku swoich klientów kórzy posiadaja strony wizytowki (nie sklepy internetowe gdzie ma miejsce przetwarzanie danych) to równiez musze podpisać umowę z takimi klientami na powierzenie danych osobowych ?

    1. Kancelaria Lex Artist

      Dzień dobry! Dane Pana/Pani klientów przetwarzane są jako niezbędne do wykonania zawartych umów. Jest Pan/Pani administratorem danych osobowych swoich klientów. Natomiast w zakresie korzystania z serwera Reseller służącego do usług hostingowych, powinien Pan zawrzeć z firmą informatyczną prowadząca serwer stosowną umową powierzenia w zakresie powierzenia danych swoich klientów. Pozdrawiamy!

  31. Kamil

    Dzień dobry, prowadzę jednoosobową działalność gospodarczą jako programista. W ramach działalności świadczę usługi programistyczne dla klientów, mam wprowadzone dane firmy oraz osób kontaktowych do programu do fakturowania (z funkcją CRM) .
    1. Kopie bazy danych aplikacji kontrahentów, gdzie zawarte są dane ich klientów, obligują moich kontrahentów do podpisania ze mną umowy powierzenia?
    2. Czy mam obowiązek informacyjny wobec kontrahentów oraz ich pracowników z którymi się kontaktuję i przechowuje dane m.in. w programie pocztowym (adres e-mail) oraz całą korespondencję?
    Pozdrawiam serdecznie i dziękuję za ciekawego bloga, polecam go innym!

    1. Kancelaria Lex Artist

      Dzień dobry. Na początek dziękujemy za polecenia i miłe słowa! 🙂 Odpowiadając:

      1) Tak, powinien Pan mieć zawartą z kontrahentami umowę powierzenia.

      2) Przyjmujemy w Lex Artist, że obowiązku informacyjnego spełniać nie musimy wobec osób, których dane pozyskaliśmy lub przetwarzaliśmy przed 25 maja 2018 r. Natomiast niewątpliwie spełnienie takiego obowiązku informacyjnego (rozszerzonego znacznie w stosunku do poprzedniego stanu prawnego) będzie dobrą praktyką. Pozdrawiamy!

  32. Załóżmy następującą sytuację: dzwonię do firmy X, aby zaproponować jej współpracę biznesową. Recepcja przełącza mnie do właściwej osoby i w rozmowie udało się tę osobę zainteresować na tyle, że poprosiła o pisemną ofertę. Podała swoje pełne namiary, w tym email i nr telefonu. Czy to już wystarcza i mogę podesłać tej osobie zamówioną ofertę bez wcześniejszego proszenia o zgodę na przetwarzanie danych?

    I od razu drugie pytanie nieco bardziej ogólne, a dotyczące hierarchii aktów prawnych. Generalnie jest tak, że akty prawa unijnego mają wyższą pozycję niż prawo lokalne. idąc tym tropem czytamy w rozporządzeniu RODO, że obowiązki informacyjne mają być spełniane przy użyciu możliwie prostego i zwięzłego języka. Tymczasem częstą praktyką jest stosowanie formuł zgody odnoszących się z osobna do prawa telekomunikacyjnego, ustawy o świadczeniu usług drogą elektroniczną, itp. O jakim więc zwięzłym i prostym języku wówczas mówimy? czy nie wystarczy zatem ogólna formułka o prawie do przetwarzania danych w celu….. na podstawie rozporządzenia RODO?

    1. Kancelaria Lex Artist

      Dzień dobry. W tej pierwszej sytuacji, jeżeli jest możliwość udowodnienia później, że taką zgodę się pozyskało, to nie widzimy problemu. To jednak oznacza prawdopodobnie nagrywanie rozmowy w związku z tym istnieją dodatkowe wymogi prawne. Powinno się także pozyskać zgodę na wysyłkę informacji handlowej drogą elektroniczną z ustawy o świadczeniu usług drogą elektroniczną oraz zgodę przewidzianą w art. 172 Prawa telekomunikacyjnego. RODO, a pozostałe ustawy tj. prawo telekomunikacyjne i UŚUDE to inne akty prawne i zgody z tych dwóch aktów prawnych nadal trzeba pozyskiwać. W RODO udziela się zgody na przetwarzanie danych osobowych, z kolei UŚUDE i Prawo telekomunikacyjne regulują zgody na kierowanie marketingu za pomocą specyficznych kanałów komunikacji, jakimi są: droga elektroniczna oraz tzw. urządzenia końcowe i automatyczne systemy wywołujące. Pozdrawiamy!

  33. Piotrek

    Dzień dobry,
    prowadzicie Państwo bardzo rzeczowy blog, który bardzo przyjemnie się czyta. 🙂

    Mam pytanie dotyczące roli administratora i procesora w umowie powierzenia przetwarzania danych osobowych. Umowa dotyczy dobrowolnego ubezpieczenia grupowego pracowników między ubezpieczycielem a pracodawcą, który zatrudnia pracowników. W tej umowie rolę administratora danych pełni ubezpieczyciel a procesora pracodawca. Czy jest to logiczne, iż w tej umowie procesorem jest pracodawca, który „oddaje” dane osobowe swoich pracowników ubezpieczycielowi w ramach umowy ubezpieczenia, a administratorem jest ubezpieczyciel, który tylko udostępnia narzędzie do obsługi zadań związanych ubezpieczeniem? Przecież jednym z praw administratora jest prawo kontroli procesora. Czy dobrze rozumuję, iż może dojść do takie sytuacji, iż podmiot powierzający dane może być skontrolowany przez podmiot, który te dane otrzymuje? 😉

    Z wyrazami szacunku
    PIotrek

    1. Kancelaria Lex Artist

      Dzień dobry. Na początek serdecznie dziękujemy za bardzo miłe słowa! 🙂 Tak, jest to jeden z przyjętych modeli współpracy w zakresie danych osobowych i jest on akceptowalny. Co do zasady bowiem ubezpieczyciel będzie (w tym konkretnym zakresie) decydował o celach i sposobach wykorzystania danych. Z kolei co do kontroli procesora – w RODO jest określony obowiązek umożliwienia przeprowadzenia audytu, kontroli lub inspekcji, ale kwestia tego, czy ktoś takie działania będzie podejmował to już należy do decyzji biznesowej między partnerami. Pozdrawiamy!

  34. Anna

    Świetny blog! Wiele rzeczowych informacji.
    Mam pytanie a właściwie proszę o potwierdzenie:
    jak rozumiem z ZUSem, Usem i Pocztą Polską nie muszę zawierać umowy powierzenia, ponieważ im udostępniam dane na podstawie przepisów odrębnie regulujących daną materię? Chodzi o dane pracowników.

    1. Kancelaria Lex Artist

      Dziękujemy za miłe słowa! 🙂 Dokładnie tak, pozostaje tylko potwierdzić. 🙂 Pozdrawiamy!

  35. Ala

    Witam,

    co w przypadku prowadzania firmy produkcyjnej jeżeli na zapytanie firmy lub osoby prywatnej wysyłamy oferty naszych produktów,
    1. czy wystarczy że na stronie internetowej zamieścimy taka informacje, ze w celu przygotowania oferty będziemy przetwarzać dane osobowe.?
    2. Co jeśli podpiszemy umowę z klientem na wykonanie drzwi lub okien, czy mamy podpisać z nim jakąś umowę na temat przetwarzania jego danych osobowych?
    3. Czy taka mała firma do około 10 osób musi prowadzić rejestr czynności przetwarzania? Co w takim rejestrze musi być; dane pracowników, dane klientów z którymi podpisujemy umowy, dane zewnętrznych dostawców od których zamawiamy drzwi jeśli jesteśmy dystrybutorem, dane firm zewnętrznych np. firm malarskich?
    Bardzo proszę o odpowiedź

    1. Kancelaria Lex Artist

      Dzień dobry.

      1) Tak, ponieważ mail z zapytaniem o ofertę można uznać za zgodę w formie wyraźnego działania potwierdzającego – pozostaje zatem zamieszczenie klauzuli informacyjnej.
      2) Nie ma takiej potrzeby.
      3) Tak, powinni Państwo prowadzić rejestr czynności przetwarzania. To, co musi się minimalnie znaleźć w rejestrze zawiera art. 30 RODO. Dodatkowo, (wtedy jeszcze) GIODO zamieścił na swojej stronie internetowej przykładowy RCP – https://www.giodo.gov.pl/pl/1520281/10449.

      Pozdrawiamy!

      1. Ala

        Dziękuję za szybką odpowiedź.
        Czym różni się rejestr czynności przetwarzania od rejestru kategorii przetwarzania

        1.Czyli jeśli chodzi o taką firmę produkcyjna w rejestrze czynności przetwarzania? Np. informacja o rekrutacji, prowadzenie rejestru pracowników, akt pracowniczych i ewidencji czasu ich pracy (tylko co w przypadku jeśli wszystkie dane o pracownikach posiada zewnętrzna księgowość), prowadzenie rejestru umów podpisywanych z klientami, prowadzenie rejestru danych firm zewnętrznych (np. w przypadku gdy kupujemy części, materiał od zewnętrznych firm). co jeszcze powinno się znaleźć w takim rejestrze.?
        2. Natomiast w rejestrze kategorii przetwarzania? czy tu mają się juz znaleźć dane wszystkich kandydatów którzy zgłaszają CV, dane firm zewnętrznych z którymi współpracujemy, dane naszych klientów – osób prywatnych i firm z którymi podpisujemy umowy, czy wszystkie dane kontaktowe ma się zawierać w tej tabeli?

        Pozdrawiam

        1. Ala

          Jeszcze pytanie dotyczące maili. Dużo firm z którymi współpracujemy wysyłają maila z informacją o rodo, czy jest to konieczne?

          1. Kancelaria Lex Artist

            Po szersze informacje zapraszamy do skorzystania z usługi konsultacji. 🙂 Pozdrawiamy!

  36. Monika

    Witam serdecznie i dziękuję za wiele przydatnych informacji:)
    Mam pytanie dotyczące zamówień publicznych dotyczących np. robót budowlanych. W umowach często jeden z paragrafów mówi o tym, że wykonawca zobowiązuje się do przedstawienia oświadczenia, że wyszczególnione w nim osoby, które będą uczestniczyć w realizacji zamówienia, są zatrudnione na podstawie umowy o pracę a także na pisemne żądanie zamawiającego przedkładał będzie raport o stanie i sposobie zatrudnienia ww. osób, oświadczenia zatrudnionych osób o otrzymaniu wynagrodzenia wraz z dowodami odprowadzenia składek ZUS.
    Proszę o potwierdzenie lub zaprzeczenie czy w takim przypadku:
    1.konieczne jest zawarcie umowy powierzenia przetwarzania danych osobowych między zamawiającym a wykonawcą,
    2. istnieje obowiązek informacyjny zamawiającego wobec ww. pracowników?

    1. Kancelaria Lex Artist

      Dzień dobry. Dziękujemy za miłe słowa! 🙂 1 pytanie – nie ma takiej konieczności, w tej sytuacji jest udostępnienie danych osobowych. 2 pytanie – tak, należy spełnić obowiązek informacyjny. Pewnych wskazówek można szukać w projekcie ustawy zmieniającej akty prawne, która jest aktualnie w trakcie prac parlamentarnych – zmieni się m. in. PZP w zakresie przetwarzania danych osobowych. Pozdrawiamy!

  37. Anna

    Dzień dobry.
    1) Czy w umowie powierzenia przetwarzania danych osobowych można wskazać dane, które mają charakter „potencjalny”? Już tłumaczę na przykładzie: w dniu podpisania takiej umowy z biurem rachunkowym, który zajmuje się także kadrami, administrator nie zatrudnia żadnych pracowników, ma tylko kontrahentów. W umowie powierzenia wskazuje, że przedmiotem przetwarzania danych osobowych są dane właśnie kontrahentów, ale także dorzuca kolejny zbiór danych – „pracownicy” (na wszelki wypadek, bo za pół roku myśli zatrudnić już kogoś i żeby wtedy nie tworzyć aneksów do umowy). Czy takie podejście jest właściwe?
    2) Czy umową powierzenia (z tym samym biurem rachunkowym) można objąć dane tzw. niestrukturyzowane, które mogą (potencjalnie, prawdopodobnie) wystąpić np. w dokumentach tekstowych?
    Dziękuję za dotychczasową pomoc.

    1. Kancelaria Lex Artist

      Dzień dobry. Po kolejne informacje zapraszamy już do skorzystania z usługi konsultacji. Pozdrawiamy!

  38. Gabriela

    Dzień dobry,
    czy w klauzuli informacyjnej w ogłoszeniu konkursu na stanowisko można napisać, że odbiorcami danych będą upoważnieni pracownicy administratora, np. komisja konkursowa?
    We wskazówkach dotyczących rejestrowania czynności przetwarzania na str. 8, UODO w nawiązaniu do art. 30 ust. 1 pisze, że wyżej wymienione osoby nie będą odbiorcami, ale jak to jest w odniesieniu do art. 13?
    Pozdrawiam

    1. Kancelaria Lex Artist

      Dzień dobry. Takie osoby również nie są odbiorcami. Definicję odbiorcy zawiera art. 4 pkt 9 RODO. Pozdrawiamy!

  39. MAłgorzata

    W związku z realizacją szkolenia e-learningowego z zakresu ochrony danych osobowych przez firmę zewnętrzną na rzecz Urzędu Miasta, uprzejmie proszę o informację w sprawie powierzenia Wykonawcy danych do przetwarzania. Czy niżej wymienione dane, które będziemy chcieli przekazać Wykonawcy muszą być przekazane na podstawie umowy powierzenia danych:

    – imię i nazwisko,
    – stanowisko służbowe,
    – wewnętrzna komórka organizacyjna (Oddział, Zespół lub Samodzielne Stanowisko) w której pracownik jest zatrudniony,
    – komórka organizacyjna urzędu w której pracownik jest zatrudniony.

    W związku z podpisaniem przez każdego pracownika umowy o pracę z Urzędem, który tym samym wyraża już zgodę na przetwarzanie swoich danych osobowych przez Pracodawcę w celu świadczenia stosunku pracy, zastanawiam się czy skoro chcemy przekazać Wykonawcy listę pracowników do przeszkolenia na której będę widoczne ww. dane czy musimy tworzyć osobną umowę powierzenia danych?

    1. Kancelaria Lex Artist

      Dzień dobry. Z Wykonawcą takiego szkolenia powinna zostać zawarta umowa powierzenia przetwarzania danych osobowych. Zakres przekazanych danych powinien obejmować te dane, które są niezbędne do zrealizowania szkolenia e-learningowego – podany zakres jest w porządku, natomiast przydałby się jeszcze (wiemy to z własnego doświadczenia) służbowy adres e-mail pracowników, którzy mają mieć dostęp do szkoleń. Nadmieniamy także, że dane osobowe pracownika nie są przetwarzane na podstawie zgody, lecz na innych podstawach prawnych (przede wszystkim wykonanie umowy oraz obowiązek prawny). Pozdrawiamy!

  40. Mariusz

    Dzień dobry.
    Czy administrator danych może żądać podpisania umowy powierzenia z nami, gdy wie że część danych może być wykorzystana przez nas np. do wystawienia faktury? Czy procesor może stać się administratorem danych (lub części danych), które zostały mu wcześniej powierzone? Lub czy można jednocześnie powierzyć i udostępnić te same dane temu samemu podmiotowi?
    Chodzi o przypadek, gdy administrator m.in. ma stronę internetową, na której można dokonać zakupu jego produktów, ale klient nie kupuje u administratora, lecz wybiera z mapki jeden z najbliżej położonych sklepów (dealerów). Następnie dany punkt kontaktuje się z klientem i dokonuje sprzedaży i dostawy. Sklepy te są niezależnymi podmiotami (związanymi jedynie umową handlową), z którymi administrator teraz chce podpisać umowy powierzenia. Jak twierdzi administrator, umowy powierzenia są niezbędne, zawierane w związku z umową handlową. Czy w takim przypadku dane klienta są powierzone, czy przekazane, czy jedno i drugie?

    1. Kancelaria Lex Artist

      Dzień dobry. To zależy od tego, w jaki sposób unormowana jest Państwa współpraca w umowie handlowej. Generalnie stosowane są dwa modele: w pierwszym (on najczęściej występuje u dealerów samochodowych) jest dwóch odrębnych administratorów danych osobowych (spółka samochodowa oraz dealer), w drugim modelu, który oparty jest najczęściej na umowie agencyjnej, jedynie dający zlecenie jest administratorem danych, a agenci (którzy często są odrębnymi przedsiębiorcami) występują jako podmioty przetwarzające. Po szczegółową analizę zapraszamy do skorzystania z usługi konsultacji. Pozdrawiamy!

  41. Justyna

    Dzień dobry,

    Czy powinniśmy podpisać umowę powierzenia z firmą odbierającą odpady medyczne pacjentów (materiał biologiczny pacjenta)?

  42. Magdalena

    Dzień dobry, czy przekazanie danych pracowników tymczasowych pracodawcy przez agencję pracy tymczasowej to powierzenie czy udostępnienie? Pozdrawiam

    1. Kancelaria Lex Artist

      Dzień dobry. Stoimy jako Lex Artist na stanowisku, iż jeśli umowa z agencją pracy tymczasowej jest umową o „modelu klasycznym” tzn. przewiduje, że APT i pracodawca użytkownik wykonują w swoim zakresie obowiązki przewidziane w ustawie o zatrudnianiu pracowników tymczasowych, to mamy do czynienia z udostępnieniem danych. Pozdrawiamy!

  43. Agata

    Dzień dobry, tyle już powiedziano w zakresie umów powierzenia a wciąż jest bardzo dużo wątpliwości. Tym bardziej wyrazy uznania dla Państwa za ciekawy artykuł i możliwość zadania pytania:) Powierzyć czy udostępnić? Jednostka publiczna A użytkuje pomieszczenia innej jednostki publicznej B, z która ma podpisana umowę użyczenia. Jednostka B zapewnia portiernię na której przechowywane są klucze do pomieszczeń jednostki A. Jednostka A przekazuje jednostce B listy pracowników uprawnionych do odbioru kluczy z portierni, portier wydaje klucze po zweryfikowaniu czy osoba jest uprawniona. Czy w zakresie tych danych powinna być podpisana umowa powierzenia (jednostka A powierza dane jednostce B)? Dodatkowo w umowie zapisano, że jednostka A ma informować na piśmie jednostkę B kto z pracowników jednostki A znajduje się w budynku po godzinach pracy. Czy tu będziemy mówili o udostępnieniu? Jeśli tak to jaka będzie podstawa takiego udostępnienia? Będę bardzo wdzięczna za Państwa opinię:)

    1. Kancelaria Lex Artist

      Dziękujemy na wstępie za miłe słowa! 🙂 W każdej z takich sytuacji należy sobie odpowiedzieć na pytanie, kto ustala cele i sposoby przetwarzania danych osobowych. O statusie odrębnego administratora świadczyć będzie w szczególności władztwo (samodzielne lub wspólnie z innymi administratorami) nad ustalaniem celu bądź celów przetwarzania. Gdy stwierdzimy, że jest dwóch odrębnych administratorów -zachodzi udostępnienie danych osobowych. Jeśli zaś dojdziemy do wniosku, że jeden z podmiotów działa „służebnie” wobec drugiego tj. przetwarza dane osobowe w imieniu i na rzecz administratora danych – wówczas będziemy mieli do czynienia z powierzeniem. Pozdrawiamy!

  44. Agata

    Dzień dobry, ponownie zwracam się do Państwa o opinię. Sprawa dotyczy Kas zapomogowo-pożyczkowych w zakładzie pracy. Jaka jest relacja Kasa-Pracodawca? Czy mamy tu odrębnych ADO czy Kasa powinna powierzyć, np. w zakresie obsługi księgowej, dane osobowe do przetwarzania pracodawcy?

    1. Kancelaria Lex Artist

      Dzień dobry. W naszej ocenie powinna zostać zawarta umowa powierzenia (jeżeli współpraca dotyczy tylko usług księgowych) i tylko w zakresie usług księgowych. Na marginesie wspomnimy również, że traktowanie PKZP jako odrębnego administratora danych rodzi jeden duży problem praktyczny (choć stanowisko to jest powszechnie akceptowane) – otóż PKZP nie posiada podmiotowości prawnej ani zdolności prawnej. Wyobraźmy sobie zatem, że PKZP naruszy przepisy RODO i ma zostać na nią nałożona kara. Powstaje problem, ponieważ kara nakładana jest w drodze decyzji administracyjnej, a jak nałożyć ja na twór, który nie posiada podmiotowości prawnej? 🙂 Pozdrawiamy!

  45. Monika

    Dzień dobry
    Proszę o wyjaśnienie jaka jest różnica między lekarzem medycyny pracy, z którym nie trzeba zawierać umowy powierzenia a BHP-owcem, z którym taką umowę należy podpisać.
    Czy nie mamy do czynienia z relacją udostępnienia danych osobowych na podstawie przepisów prawa pracy w obu przypadkach?

    1. Kancelaria Lex Artist

      Dzień dobry. Są to różne relacje, ponieważ placówka medycyny pracy posiada własne cele przetwarzania danych osobowych osób poddawanych badaniom medycyny pracy – są zatem, w przeciwieństwie do firm BHP, odrębnymi administratorami danych. Przypominamy, że odrębne przepisy prawa nie zawsze stanowić będą czynnik, który determinuje status jakieś podmiotu jako odrębnego ADO. Pozdrawiamy!

  46. Paweł

    Witam serdecznie jeżeli pracownik chciałby skorzystać ze szkolenia to czy pracodawca powinien zawrzeć z firmą szkoleniową umowę powierzenia?

    1. Lex Artist

      Dzień dobry 🙂 wszystko zależy od charakteru szkolenia. W pierwszej kolejności proszę zweryfikować treść umowy z firmą szkoleniową pod kątem przetwarzania danych osobowych pozdrawiamy

  47. Monika

    Dzień dobry
    proszę o poradę w kwestii zawarcia umowy powierzenia danych z osobą fizyczną ( nie prowadzi działalności gospodarczej), z którą podpisaliśmy umowę zlecenie na wykonanie usług archiwisty ( w tym również dostarczenie dokumentacji do miejsca wybrakowania we własnym zakresie), moim zdanie upoważnienie do przetwarzania danych osobowych będzie wystarczające ale zdania w organizacji są podzielone… Pytanie : czy umowa powierzenia do umowy zlecenia czy upoważnienie do przetwarzania d.o.?

    1. Lex Artist

      Dzień dobry 🙂 jak najbardziej upoważnienie z informacją o odpowiedzialności karnej będzie wystarczające. Dodatkowo zalecamy uzyskanie oświadczenia o zachowaniu w tajemnicy danych osobowych i sposobów ich zabezpieczenia, również po zakończeniu współpracy. pozdrawiamy

  48. Marek

    Witam
    Czy na moją prośbę administrator danych musi okazać umowę o przekazanie danych osobowych?
    Moje dane zostały przekazane ale obie strony tak administrator jak i przetwarzający dane uchylają się od przedstawienia takiej umowy.
    Dziekuje

    1. Lex Artist

      Dzień dobry 🙂 W naszej opinii administrator może odmówić okazania umowy powierzenia, chociażby z powodu danych, które mogą stanowić tajemnicę przedsiębiorstwa. W opisanej sytuacji sugerujemy w pierwszej kolejności o wystąpienie z wnioskiem o podanie podstawy prawnej przetwarzania Pana danych osobowych. Jeśli uzna Pan, że nie che aby dane były przetwarzane przez którąś ze stron, można zażądać usunięcia danych, bądź złożyć sprzeciw. pozdrawiamy

  49. Marta

    Witam,

    Czy firma wysyłająca zamówienia klientom (kraj, zagranica) za pośrednictwem kuriera czy firmy transportowej powinna zawrzeć umowę powierzenia danych? Jeśli nie to czym to uzasadnić? Pozdrawiam 🙂

    1. Lex Artist

      Dzień dobry 🙂 W tej kwestii są różne stanowiska, często kurierzy odmawiają podpisania umowy powierzenia, traktując siebie jako operatorów pocztowych. pozdrawiamy

  50. A.

    Dzień dobry,
    jak radzić sobie z firmą krzak? Dzwonią oferują ubezpieczenie, natomiast po słowach „skąd mają Państwo mój numer” rzut słuchawką. W Internecie firma widmo. Gdzie to zgłosić…?

  51. Michał

    Dzień dobry, trafiłem na ten blog szukając informacji nt RODO. Znalazłem tu wiele przydatnych informacji i odpowiedzi pisane w jasny i logiczny sposób. Super strona. Przy okazji chciałbym zadać pytanie. Firma w której pracuje zawarła umowę (po wejściu w życie RODO) z inną firmą, która dostarcza nam oprogramowanie (jeden program). W tym oprogramowaniu nie przetwarzamy danych osobowych, natomiast firma zewnętrzna udziela licencji na produkt osobom pracującym w mojej firmie (przez co siłą rzeczy posiada ich dane jak imię, nazwisko, mejl). Czy powinniśmy zawrzeć z firmą XX umowę powierzenia przetwarzania danych osobowych?

    1. Lex Artist

      Dzień dobry :-), dziękujemy za pochwały- będziemy nadal pracować nad utrzymaniem wysokiego poziomu zamieszczanych treści. W naszej ocenie, w opisanym przez Pana przypadku nie ma konieczności zawierania umowy powierzenia. Pozdrawiamy!

  52. Aleksandra

    Dzień dobry,
    Czy jeśli podejmuję współpracę z agencją marketingową(umowa powierzenia jest), która będzie tworzyła grupy „lookalike” na podstawie adresów email z mojej bazy sklepu. Czy potrzebuję do tego zgody klientów, czy wystarczy obowiązek informacyjny zawarty w polityce prywatności?
    Z góry dziękuję za podpowiedź
    Pozdrawiam

    1. Lex Artist

      Dzień dobry, w przypadku kampanii “lookalike” mamy do czynienia z profilowaniem. Rodo nie zakazuje profilowania w celach marketingowych, ale należy pamiętać o zminimalizowaniu ryzyka związanego z możliwym naruszeniem praw i wolności osób fizycznych. Do profilowania mają zastosowanie reguły ogólne, w tym zasada legalności, ograniczenia celem i minimalizacji danych, oraz wysoki standard przejrzystości. Podsumowując oprócz uzyskania zgody konieczne jest podjęcie jeszcze dodatkowych działań zapewniających realizację powyższych wytycznych. Pozdrawiamy!

  53. Michał

    Dzień dobry.
    Mam pytanie w zakresie umowy podpowierzenia przetwarzania danych. Prowadzę biuro rachunkowe i klienci często przesyłają swoje dokumenty za pośrednictwem poczty elektronicznej (z klientami mam zawarte umowy powierzenia przetwarzania danych).
    W umowie podpowierzenia przetwarzania danych hostingodawca bezwzględnie wymaga, aby wpisać wszystkich administratorów danych, których dane mają być podpowierzone (nazwa, adres, dane kontaktowe przedstawiciela). Czy zgodnie z RODO mogę udostępnić i wskazać w tej umowie dane klientów, którzy wyrazili zgodę na podpowierzenie? Czy powinienem spełnić dodatkowym obowiązek informacyjny w tym zakresie?
    Pozdrawiam

    1. Lex Artist

      Dzień dobry 🙂 w przedstawionej sprawie hostingodawca może zażądać potwierdzenia zgody na podpowierzenie. Przedstawienie listy administratorów np. w formie załącznika do umowy podpowierzenia jest właściwym rozwiązaniem. Jeśli chodzi o obowiązek informacyjny – informujemy klienta, że firma hostingową jest odbiorcą jego danych. Pozdrawiamy!

      1. Michał

        Bardzo dziękuję za odpowiedź 🙂
        Jeśli mogę to chciałbym się jeszcze upewnić, że na pewno dobrze rozumiem, że poniższym wypadku ma miejsce podpowierzenie przetwarzania danych hostingodawcy.
        1. Klient biura rachunkowego jako administrator powierza przetwarzanie danych swoich kontrahentów i osób zatrudnionych w zakresie związanym z obsługa księgową i kadrową.
        2. Biuro rachunkowe zawiera z hostingodawcą umowę o świadczenie usług hostingu poczty i serwera.
        3. Klient wysyła niektóre dokumenty i inne bieżące informacje na skrzynkę mailową biura rachunkowego, a na nich znajdują się m.in. dane objęte powierzeniem przetwarzania. Pracownicy biura też wykorzystują pocztę elektroniczną do przesyłania części danych objętych powierzeniem.

        Pozdrawiam serdecznie

  54. Tomasz

    Dzień dobry.

    Jak wygląda sprawa z obowiązkiem informacyjnym podczas rekrutacji do firmy przez agencję pracy (tzw. headhunterów) za pośrednictwem portalu LinkedIn. Czy samo przyjęcie kogoś do kontaktów umożliwia rekruterowi wysłanie moich danych do firmy poszukującej pracownika? Czy taka zgoda jest dopiero po wysłaniu CV lub innej klauzuli?
    Pozdrawiam

    1. Lex Artist

      Dzień dobry 🙂 generalnie LinkedIn to portal społecznościowy, który łączy użytkowników z potencjalnymi pracodawcami, miedzy innymi poprzez agencje pracy. Zatem na tym etapie w naszej ocenie nie ma konieczności pozyskiwania zgody. Rejestrujemy się na portalu zgodnie z jego przeznaczeniem w celu rozwoju zawodowego i świadomie udostępniamy treść swojego profilu potencjalnym pracodawcom i rekruterom. Pozdrawiamy

  55. Agnieszka

    Dzień dobry, jak wygląda sytuacja kiedy osoba, która nie prowadzi działalności gospodarczej, a wykonuje pracę na podstawie umowy zlecenia… (chodzi o specjalistę z „jakiejś” dziedziny [projekty unijne]) czy wówczas ta osoba musi mieć podpisaną umowę powierzenia przetwarzania danych osobowych?
    Czy w takim przypadku wystarczy samo upoważnienie, pomiędzy tą osobą (upoważnioną), a osobą reprezentującą powierzającego?

    Pozdrawiam

    1. Łukasz Zegarek

      Dzień dobry,

      Pani Agnieszko, w tej sytuacji zdecydowanie rekomendujemy nadanie upoważnienia.

      Pozdrawiamy serdecznie,
      Zespół Lex Artist

  56. Natalia

    Dzień dobry, a czy w każdym wypadku musi być to osobna umowa? Ciekawi mnie czy można to zrobić w ten sposób (krótszy), że w umowie (np. o świadczenie usług doboru personalnego przez firmę zewnętrzną) zamieści się odpowiedni paragraf, który będzie poświęcony powierzeniu przetwarzania danych? I w tym paragrafie będą oczywiście wszystkie elementy, które umowa PPD musi zawierać na gruncie RODO.

    1. Lex Artist

      Dzień dobry, nie zawsze musi być to odrębna umowa. Jak Pani słusznie zauważyła można kwestie powierzenia ująć w samej umowie o świadczenie usług zamieszczając odpowiedni paragraf. W ten sposób przy zawieraniu umowy głównej regulujemy również kwestie przetwarzania danych osobowych. Pozdrawiamy!

  57. Anett

    Dzień dobry,
    czy należy zawierać umowę powierzenia przetwarzania danych osobowych w celu przeprowadzenia certyfikacji Audytu ISO?

    1. Łukasz Zegarek

      Dzień dobry,

      Konieczność zawarcia umowy powierzenia będzie zależna od zakresu danych przetwarzanych przez audytora zewnętrznego. Jeśli audytorzy będą wgląd do treści dokumentów zawierających dane osobowe, np. dokumentów kadrowych, rekomendowanym postępowaniem jest zawarcie umowy powierzenia.

      Pozdrawiamy!

Leave a Reply

* pola obowiązkowe

Administratorem danych osobowych jest Lex Artist sp. z o.o., ul. Szańcowa 74/1, 01-458 Warszawa. Dane osobowe będą przetwarzane w celu umieszczenia i obsługi komentarza na blogu. Przysługują Panu/Pani następujące prawa: prawo dostępu do treści danych, prawo do sprostowania danych, prawo do usunięcia danych, prawo do ograniczenia przetwarzania danych, prawo do wniesienia sprzeciwu, prawo do wniesienia skargi do organu nadzorczego. Pełna treść klauzuli informacyjnej znajduje się tutaj.

Zanonimizowany ciąg znaków stworzony na podstawie Pani/Pana adresu email (tak zwany hash) może zostać przesłany do usługi Gravatar w celu sprawdzenia czy jej Pan/Pani używa. Polityka prywatności usługi Gravatar jest dostępna tutaj. Po zatwierdzeniu komentarza obrazek profilowy jest widoczny publicznie w kontekście twojego komentarza.

Czas na rodo

Czy wiesz że?

Prowadzimy najpopularniejszy w Polsce kanał na YouTube poświęcony RODO.

Oglądaj czas na RODO