Czy powiadamiać Cię o nowych wpisach?

Bądź na bieżąco - z nami nie ominą Cię żadne zmiany w przepisach.

Zapisz się

Informujemy, że Administratorem danych osobowych jest Lex Artist Przemysław Zegarek, ul. Szańcowa 74/1, 01-458 Warszawa. Dane osobowe zostały przekazane dobrowolnie i będą przetwarzane wyłącznie w celu przesłania powiadomień o nowych wpisach na blogu oraz nowych usługach. Bez wyraźnej zgody dane osobowe nie będą udostępniane innym odbiorcom danych. Mają Państwo prawo dostępu do swoich danych oraz ich poprawiania poprzez kontakt: newsletter@blog-daneosobowe.pl

Umowa powierzenia przetwarzania danych osobowych dziś i według RODO

Coraz więcej administratorów danych stara się zbudować i wdrożyć w swojej strukturze skuteczny system ochrony danych osobowych. Przyczyną tych działań jest stale rosnąca wśród społeczeństwa świadomość ochrony prawa do prywatności, jak również coraz głośniejsza dyskusja o unijnym rozporządzeniu dotyczącym ochrony danych, którego przepisy znajdą zastosowanie od maja 2018 r.

Nie każdy z administratorów zdaje sobie jednak sprawę z ilości elementów, które składają się na kompletny system ochrony danych. Nierzadko spotykamy się z sytuacją, w której Klient jest przekonany o tym, że spełnia wszystkie wymogi Ustawy o ochronie danych osobowych, tylko dlatego, że opracował wymaganą dokumentację, zarejestrował zbiór w rejestrze GIODO, a na formularzach marketingowych zamieścił odpowiednie klauzule zgód na przetwarzanie danych.

W praktyce, ochrona danych osobowych jest procesem znacznie bardziej złożonym. To nie tylko dokumentacja, rejestracja zbiorów i zgody. To również kontrola nad przekazywaniem danych na zewnątrz oraz obowiązek zawierania umów powierzenia przetwarzania danych osobowych.

To właśnie tym umowom przyjrzymy się dzisiaj bliżej. Jaką powinny mieć formę? Jakie postanowienia powinny znaleźć się w ich treści? Jakie zmiany w zakresie umów powierzenia wprowadza nowe unijne rozporządzenie o ochronie danych osobowych i jak się do nich przygotować?

Instrukcja wypełniania i gotowy szablon umowy powierzenia zgodnej z RODO. Działaj na sprawdzonym szablonie i wytycznych, których autorem są eksperci Kancelarii Lex Artist – lidera na rynku ochrony danych osobowych.

Sprawdź

Powierzenie przetwarzania danych

Rosnące znaczenie outsourcingu usług powoduje, że obecnie praktycznie każdy, nawet najmniejszy podmiot korzysta z pomocy zewnętrznych specjalistów (informatyków, prawników, księgowych, etc.). W takich sytuacjach nierzadko dochodzi do przekazania danych osobowych podmiotom zewnętrznym, np. dokumentacji pracowniczej czy list płac firmie kadrowo-płacowej. Przekazanie to przyjmuje formę powierzenia przetwarzania danych osobowych.

Na naszym blogu pisaliśmy już o istocie powierzenia oraz o odpowiedzialności administratora danych i podmiotu przyjmującego dane w powierzenie (https://blog-daneosobowe.pl/powierzenie-danych-osobowych-odpowiedzialnosc-i-orzecznictwo/).

Dla potrzeb niniejszego artykułu niezbędnym jest jednak przypomnienie, że warunkiem zgodnego z prawem powierzenia przetwarzania danych osobowych, jest zawarcie umowy powierzenia przetwarzania danych.

Obecnie obowiązek ten określa art. 31 Ustawy o ochronie danych osobowych (uodo), natomiast od 25 maja 2018 r., stosownych przepisów regulujących tę materię należy szukać w art. 28 Ogólnego rozporządzenia o ochronie danych osobowych (rodo).

Forma umowy

 

Umowa powierzenia przetwarzania danych osobowych zawierana jest pomiędzy administratorem danych oraz podmiotem przyjmującym dane w powierzenie tzw. procesorem (z ang. processor).

Zgodnie z postanowieniami art. 31 ust. 1 uodo, umowa powierzenia przetwarzania danych osobowych powinna zostać zawarta w formie pisemnej. Nie oznacza to jednak, że zawsze musi być to podpisany przez obie strony wydruk. Równoważne formie pisemnej będzie oświadczenie złożone w postaci elektronicznej, opatrzone bezpiecznym podpisem elektronicznym, który wywołuje takie same skutki, jak podpis własnoręczny.

Posługiwanie się podpisem elektronicznym nie jest jednak czymś powszechnym, zwłaszcza wśród podmiotów prywatnych, które znacznie częściej w związku ze swoją działalnością powierzają dane osobowe. Z drugiej strony, coraz więcej umów jest zawieranych na odległość, w sytuacji braku fizycznego kontaktu obu stron umowy. Dotyczy to głównie usług online, np. hostingu.

Brak dochowania wymogu formy pisemnej nie wywiera skutku w postaci nieważności umowy. W konsekwencji, umowa powierzenia przetwarzania danych osobowych niespełniająca tego wymogu (np. umowa ustna) od strony prawa cywilnego jest ważna, natomiast może powodować niekorzystne skutki na gruncie prawa administracyjnego – naruszenie przepisów uodo i sankcje w postaci decyzji administracyjnej.

Jak z kolei określa formę umowy powierzenia nowe rozporządzenie? Rodo w swoich przepisach wskazuje na formę pisemną, w tym formę elektroniczną umowy. Tym samym, wychodzi naprzeciw wskazanym wcześniej sytuacjom. Forma elektroniczna dopuszcza bowiem składanie oświadczenia za pośrednictwem poczty e-mail, przez wybór określonej opcji na stronie internetowej, która oferuje określoną usługę bądź świadczenie, czy też przekazanie oświadczenia zapisanego na elektronicznym nośniku informacji (np. płycie CD, pendrive).

Podobnie jak obecnie uodo, rodo nie określa skutków niedochowania formy pisemnej umowy. Nie będzie ono zatem rodziło negatywnych skutków na gruncie prawa cywilnego, jednakże będzie stanowiło naruszenie postanowień rozporządzenia. Rodo natomiast, wprowadza daleko szerzej idące sankcje za naruszenie jego postanowień, w tym m.in. wysokie kary finansowe. Warto zatem, aby forma umowy była prawidłowa.

Elementy umowy

Opracuj samodzielnie umowę powierzenia, albo...

...Przygotuj się do nowego prawa ochrony danych osobowych - RODO. Pójdź na skróty i skorzystaj z jednego kompleksowych pakietów wdrożeniowych, których autorami są eksperci Kancelarii Lex Artist – lidera na rynku ochrony danych osobowych w Polsce. Więcej informacji znajdziesz na poniższym porównaniu:

 

Umowa powierzenia + instrukcja

150 zł brutto
  • Szablon umowy powierzenia, zgodny z RODO + instrukcja wypełniania

Pakiet RODO-Optymalny

6800 zł brutto
  • Szkolenie VIDEO nt. RODO
  • Instrukcja – “Jak przygotować systemy i infrastrukturę IT do RODO”
  • Szablony: Polityki ochrony danych, Rejestru Czynności Przetwarzania, umowy powierzenia, klauzuli zgody i informacyjnej z instrukcją wypełniania
  • Do 25 interaktywnych szkoleń e-learningowych dla pracowników
  • Całodniowe warsztaty stacjonarne – “Jak opracować i wdrożyć dokumentację zgodną z RODO?”. Miejsce warsztatów: Warszawa. Najbliższy termin: 17 kwietnia 2018 roku.

Pakiet RODO-Podstawowy

3700 zł brutto
  • Szkolenie VIDEO nt. RODO
  • Instrukcja – “Jak przygotować systemy i infrastrukturę IT do RODO”
  • Szablony: Polityki ochrony danych, Rejestru Czynności Przetwarzania, umowy powierzenia, klauzuli zgody i informacyjnej z instrukcją wypełniania
  • Do 5 interaktywnych szkoleń e-learningowych dla pracowników

Zgodnie z obowiązującym stanem prawnym, umowa powierzenia przetwarzania danych osobowych powinna określać zakres oraz cel przetwarzania danych osobowych.

Przez zakres należy rozumieć zarówno kategorie danych osobowych (imię, nazwisko, adres, itp.) jak i operacje, jakie procesor może wykonywać na powierzonych mu danych (przechowywanie, zbieranie, usuwanie, itp.). Najlepiej, aby zakres przetwarzania danych wskazany został enumeratywnie. Jeżeli jednak nie jesteśmy w stanie tego dokonać, chociażby ze względu na rodzaj współpracy (np. usługa niszczenia dokumentów z różnymi danymi), wystarczy wskazanie zbiorów danych osobowych lub też zapis, iż powierzenie następuje w zakresie niezbędnym do realizacji umowy o współpracy.

Określenie celu wiąże się natomiast ze wskazaniem przeznaczenia danych osobowych, czym jest po prostu realizacja usług będących przedmiotem umowy o współpracy.

Administrator danych zawarł z podmiotem zewnętrznym umowę świadczenia usług kadrowo-płacowych. Umowa powierzenia w takim wypadku powinna wskazywać, że powierzenie nastąpiło:

  • w zakresie zbioru danych Pracownicy oraz wykonywania takich operacji na powierzonych danych jak: zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie,
  • w celu realizacji umowy świadczenia usług kadrowo-płacowych tj. administracja kadr i płac.

Uodo wprowadza jedynie dwa elementy obligatoryjne, które powinna zawierać umowa powierzenia. Rodo idzie w tym zakresie znacznie dalej. Zgodnie z art. 28 rodo, umowa powierzenia powinna określać: przedmiot i czas trwania przetwarzania, charakter i cel przetwarzania, rodzaj danych osobowych, kategorie osób, których dane dotyczą, obowiązki i prawa administratora, a także obowiązki procesora, których przykładowe wyliczenie zawiera ustęp 3 wskazanego artykułu.

Oznacza to, że na gruncie rodo umowa powierzenia została znacznie rozbudowana. Unijny prawodawca znacznie zwiększył ilość elementów, które powinna zawierać, tym samym czyniąc ją bardziej szczegółową.

Większość z nowych elementów jest łatwa w interpretacji i wskazaniu. Mając bowiem przed sobą umowę główną o współpracy, administrator danych jest m.in. w stanie określić czas powierzenia przetwarzania danych. Niektóre z nich mogą jednak sprawiać niemałe kłopoty. Co bowiem należy rozumieć przez charakter przetwarzania? Czy oznacza to, że administrator powinien określić czy dane będą przetwarzane w formie papierowej czy za pomocą systemów informatycznych? Czy też poprzez charakter należy raczej rozumieć zakres wykonywanych operacji na powierzonych danych? Czyli tak jak obecnie rozumiemy pojęcie zakresu. Czym natomiast jest rodzaj danych? Czy chodzi o kategorie danych osobowych czy też wskazanie czy są to dane zwykłe czy też dane wrażliwe?

Oprócz wymogu szczegółowego opisu procesu powierzenia przetwarzania danych, rodo wskazuje również obowiązki procesora, których wyliczenie powinno znaleźć się w zawieranej umowie (art. 28 ust. 3 pkt a)-h) rodo). Zaliczymy do nich m.in.:

  • przetwarzanie danych osobowych wyłącznie na udokumentowane polecenie administratora,
  • zapewnienie, by osoby upoważnione do przetwarzania danych osobowych zobowiązały się do zachowania tajemnicy lub by podlegały odpowiedniemu ustawowemu obowiązkowi zachowania tajemnicy,
  • podejmowanie wymaganych środków zabezpieczających przetwarzane dane osobowe,
  • pomoc administratorowi w wywiązywaniu się z obowiązków wobec osób, których dane dotyczą,
  • po zakończeniu świadczenia usług związanych z przetwarzaniem, usunięcie lub zwrot wszelkie dane osobowe oraz usunięcie ich istniejących kopii (zależnie od decyzji administratora).

Powyższe obowiązki nie stanowią tak naprawdę rewolucji w konstrukcji umowy powierzenia. Wielu administratorów już teraz nie poprzestaje jedynie na wskazaniu zakresu i celu powierzenia w zawieranej umowie, ale określa szczegółowo przysługujące mu uprawnienia oraz obowiązki procesora. W szczególności, większość umów powierzenia z jaką mieliśmy do czynienia podczas naszej pracy, określała kwestie związane z usunięciem lub zwrotem danych po zakończeniu usług.

Niemniej jednak, rodo, wskazując wprost obowiązki procesora związane z przetwarzaniem danych osobowych, ułatwia tym samym administratorom sporządzanie stosownych zapisów o powierzeniu. Zwiększa również gwarancje ochrony powierzanych danych.

Trzymając się naszego przykładu, spróbujmy określić zatem elementy obligatoryjne dla umowy powierzenia na gruncie art. 28 rodo, w związku z outsourcingiem administracji kadr i płac.

 

Administrator danych zawarł z podmiotem zewnętrznym umowę świadczenia usług kadrowo-płacowych. Umowa powierzenia przetwarzania danych osobowych określa:

  • przedmiot: przedmiotem przetwarzania są dane osobowe pracowników administratora danych,
  • czas: okres obowiązywania umowy świadczenia usług kadrowo-płacowych,
  • charakter: przetwarzanie danych osobowych w formie papierowej oraz przy wykorzystaniu systemów informatycznych / przetwarzanie danych o charakterze wykonywania takich operacji jak: zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie,
  • cel: realizacja umowy świadczenia usług kadrowo-płacowych tj. administracja kadr i płac,
  • rodzaj danych osobowych: dane osobowe ze zbioru Pracownicy / dane zwykłe oraz dane wrażliwe,
  • kategorie osób, których dane dotyczą: pracownicy administratora danych,
  • obowiązki i prawa administratora: prawo dokonywania kontroli warunków przetwarzania danych osobowych / obowiązek cyklicznego sprawdzania merytorycznej poprawności powierzanych danych osobowych,
  • obowiązki procesora: art. 28 ust 3 pkt a)-h) rodo.

W zależności od stosunków łączących administratora danych z procesorem,w umowie powierzenia przetwarzania danych można również zastrzec inne niż wskazane w uodo lub rodo elementy – m.in. kary umowne za naruszenie postanowień umowy.

Umowa powierzenia a podpowierzenie

Powierzając przetwarzanie danych osobowych, administrator danych powinien wziąć pod uwagę fakt, że podmiot któremu dane powierza, może korzystać z pomocy innych podmiotów w zakresie realizacji swoich usług. Wystarczy, że wspominana już niejednokrotnie w tym artykule firma kadrowo-płacowa, będzie przetwarzała dane pracowników administratora na serwerach, których hostingiem zajmuje się podmiot zewnętrzny. Wówczas będzie miało miejsce podpowierzenie przetwarzania danych osobowych.

Uodo nie reguluje kwestii związanych z podpowierzeniem przetwarzania danych. Mimo braku regulacji, przyjmuje się, że praktykę podpowierzenia danych osobowych można uznać za zgodną z przepisami uodo, jeżeli:

  • w treści umowy powierzenia danych osobowych wskazane zostaną konkretne podmioty, którym dane osobowe mogą być podpowierzane;
  • w toku wykonywania umowy powierzenia danych osobowych procesor uzyska pisemną zgodę administratora danych na podpowierzenie danych konkretnemu podmiotowi;
  • przetwarzanie danych osobowych przez podwykonawcę procesora pozostaje w granicach celu i zakresie przetwarzania danych określonych w umowie powierzenia.

Jak to z kolei wygląda na gruncie rodo? Rozporządzenie przewiduje wymóg uzyskania przez procesora pisemnej zgody administratora danych na przekazanie powierzonych danych innemu podmiotowi. Zgoda może mieć charakter zgody szczegółowej (wskazanie konkretnego podmiotu) lub ogólnej (w tym przypadku procesor musi poinformować administratora o wszelkich zamierzonych zmianach dotyczących dodania lub zastąpienia innych podmiotów przetwarzających, dając administratorowi możliwość wyrażenia sprzeciwu).

Zgodnie z rodo, zgoda na podpowierzenie danych osobowych musi zostać wyrażona przez administratora w formie pisemnej. W tym wypadku, rodo nie zastrzega wprost możliwości wyrażenia takiej zgody również w formie elektronicznej. Część z przedstawicieli doktryny wskazuje jednak, że pełnomocnictwo do podpowierzenia danych może mieć formę zarówno pisemną, jak i równoważną jej formę elektronicznej.

Najlepsze na rynku szkolenia e-learningowe. Zależy Ci na tym aby Twoi pracownicy otrzymali certyfikat i poznali praktyczną widzę z zakresu RODO zamiast nużących regułek? Sprawdź nasze interaktywne szkolenia e-learningowe.

Sprawdź

Trudno jednak już teraz ocenić i przewidzieć jak będzie wyglądało w tej sprawie stanowisko organów nadzorujących przetwarzanie danych osobowych lub sądów. Wszystko zweryfikuje praktyka. Zamieszczając zatem zapisy o podpowierzeniu przetwarzania danych osobowych już w treści zawieranej umowy powierzenia, warto zadbać o to, żeby miała ona jednak formę pisemną. Tym samym czyniąc zadość literalnemu brzmieniu przepisów rozporządzania.

Ustawa o ochronie danych osobowych Ogólne rozporządzenie o ochronie danych osobowych
Podstawa
  • art. 31
  •  art. 28
Forma umowy
  • forma pisemna
  • forma pisemna, w tym forma elektroniczna
Elementy umowy
  • zakres danych osobowych
  • cel przetwarzania
  • przedmiot
  • czas trwania powierzenia
  • charakter i cel przetwarzania
  • rodzaj danych osobowych
  • kategorie osób, których dane dotyczą
  • warunki podpowierzenia przetwarzania danych
  • obowiązki i prawa administratora danych
  • obowiązki procesora
Podpowierzenie
  • brak regulacji
 
  • pisemna zgoda administratora danych (szczegółowa lub ogólna)

Przygotuj swoich pracowników do RODO

Skorzystaj z naszych innowacyjnych, interaktywnych e-szkoleń. Przekonaj się, że e-learningi nie muszą być nudnymi, brzydkimi blokami tekstu, których pracownik nie zapamięta. Brzmi interesująco? Zapraszamy do naszego e-sklepu 😉 Kup e-szkolenia

Podsumowanie

Zarówno na gruncie uodo jak i rodo, zawarcie umowy powierzenia przetwarzania danych osobowych nie stanowi uprawnienia administratora danych lecz jest jego obowiązkiem. Każdy z tych aktów prawnych, w mniejszym bądź większym zakresie, wprowadza elementy, które obligatoryjnie powinny znaleźć się w zawieranej umowie.

Nowe rozporządzenie unijne nie wprowadza rewolucji w konstrukcji samej umowy. Stanowi raczej ewolucję jej zapisów i kładzie nacisk na konieczność bardziej szczegółowego określania przedmiotu powierzenia oraz obowiązków procesora w zakresie powierzenia przetwarzania danych osobowych.

Pomimo tego, że przepisy rodo znajdą zastosowanie dopiero od 25 maja 2018 r., warto, aby administratorzy danych, już teraz pochylili się nad zapisami zawartych umów powierzenia i w miarę potrzeby dokonali w nich stosownych zmian. To samo tyczy się umów, które administrator dopiero planuje zawrzeć.

Czas jaki pozostał nam do dostosowania procesu ochrony danych do nowych przepisów jest tylko z pozoru długi. Już teraz każdy administrator danych powinien powoli zacząć wdrażać nowe rozwiązania przewidziane przez rozporządzenie, tak aby w przededniu rozpoczęcia stosowania jego przepisów móc sobie powiedzieć, że jest prawdziwie rodo ready.

 

Powiązane artykuły

Obowiązek informacyjny w RODO cz. 3
Obowiązek informacyjny w RODO cz. 2
Obowiązek informacyjny w RODO

56 Odpowiedzi

  1. Grzesiek

    A czy do przekazania przetwarzania danych osobowych podmiotom zewnętrznych, potrzebna jest zgoda osób, których dane osobowe są przetwarzane?
    Konkretnie chodzi o niszczenie danych (dokumentów papierowych), przez zewnętrzną firmę. Co do zasady nie będą mieli wglądu w te dane (specjalnie przygotowane pojemniki) ale chcą aby podpisać umowę o powierzenie przetwarzania danych osobowych w celu ich zniszczenia. Natomiast nie ma odrębnej zgody na przekazanie danych osobowych w tym celu.

    1. Kancelaria Lex Artist

      Nie, w przypadku powierzenia przetwarzania danych osobowych nie jest konieczna zgoda osób, których dane dotyczą. W takim przypadku, podstawę przekazania danych stanowi umowa powierzenia przetwarzania danych. Zawarcie takiej umowy będzie konieczne m.in. właśnie w przypadku korzystania z usług firm niszczących dokumenty. To, że firma ta stosuje zamykane pojemniki i nie ma wglądu do treści dokumentów nie ma w tym przypadku znaczenia – samo przechowanie danych i ich niszczenie jest już bowiem ich przetwarzaniem.

  2. Klaudia

    Dzień dobry,
    a jak wygląda kwestia przekazywanych wizytówek – zawierają imię, nazwisk, mail, telefon etc. Czy zmierzamy do absurdu, w którym i to jest powierzeniem danych osobowych?
    Klaudia

    1. Kancelaria Lex Artist

      Nie, przekazanie wizytówki nie będzie powierzeniem przetwarzania danych i nie będzie wymagało zawarcia umowy 🙂 Nie ulega wątpliwości, że dane wskazane na wizytówce (tj. imię, nazwisko, e-mail, telefon) są danymi osobowymi. Pamiętajmy jednak, że wręczając komuś wizytówkę, z własnej woli udostępniamy swoje dane, celem ich późniejszego wykorzystania (taki jest bezpośredni zamiar towarzyszący przekazaniu komuś swojej wizytówki). Tego rodzaju działania nie będziemy zatem kwalifikować jako powierzenie danych do przetwarzania podmiotowi zewnętrznemu.

  3. Michał

    “Wystarczy, że wspominana już niejednokrotnie w tym artykule firma kadrowo-płacowa, będzie przetwarzała dane pracowników administratora na serwerach, których hostingiem zajmuje się podmiot zewnętrzny. Wówczas będzie miało miejsce podpowierzenie przetwarzania danych osobowych.”

    Powierzenie przetwarzania danych osobowych będzie miało miejsce wyłącznie, jeśli hosting jest zarządzany, bądź wykorzystywana jest określona forma przetwarzania danych przez firmę hostingową (przykładowo, jej oprogramowanie typu SaaS). Jeśli są to serwery typu VPS (tzw. hosting niezarządzany), którym zarządza dział IT wspomnianej firmy kadrowo-płacowa, kiedy usługodawca nie ma dostępu do danych oraz nie posiada wiedzy o fakcie przetwarzania danych, nie ma przesłanek stanowiących potrzebę podpisania umowy powierzenia danych osobowych.

    1. Kancelaria Lex Artist

      Panie Michale, dziękujemy za komentarz, ma Pan jak najbardziej rację. Z powierzeniem przetwarzania danych, w rozumieniu art. 31 uodo, będziemy mieli do czynienia wówczas, gdy podmiot udostępniający infrastrukturę informatyczną posiada wiedzę co do charakteru przetwarzanych danych. Natomiast, jeżeli podmiot udostępniający nie posiada tej wiedzy, to podlega on postanowieniom Ustawy z dnia 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną i jego odpowiedzialność za przechowywane dane jest ograniczona zgodnie z art. 12–15 tej ustawy.

      W skrócie, w przypadku hostingu, umowę powierzenia podpisujemy, gdy z natury świadczonej przez dostawcę usługi wynika, że posiądzie on wiedzę o zgromadzonych danych (dot. to np. usług administracji bazą danych, aplikacją służącą do przetwarzania danych lub całym systemem operacyjnym i aplikacjami, usług odzyskiwania danych, wykonywania ich kopii zapasowych). Z kolei podpisanie umowy powierzenia nie będzie konieczne, gdy dostawca będzie dostarczał jedynie platformę sprzętowa lub systemową (dot. to np. hostingu bez administracji, kont shellowych, serwerów VPS bez administracji).

      1. Jakub

        Nie zgodzę się tutaj. Przecież firma hostingowa ma dostęp fizyczny do platformy sprzętowej serwera. Co za tym idzie ma dostęp do danych na serwerach VPS czy innych.
        Zatem ADO powinien wybrać takiego dostawcę VPS który podpiszę umowę PPDO.
        Pamiętajmy, że przecież dostęp fizyczny do infrastruktury także powinien być odpowiednio zabezpieczony.

        A to, że firma hostingowa “nie posiada wiedzy o zgromadzonych danych” można odnieść do wszystkiego. Np. do sklepów oferowanych w modelu SaaS. Udostępniam platformę sklepową, ale nie posiadam wiedzy czy osoba korzystająca z moich usług uruchomi sobie ten sklep i będzie pobierać dane czy też nie.

  4. Anna

    Mam problem z ustaleniem, czy w przypadku współpracy z ubezpieczycielami typu Hermes Kuke przy okazji zawierania kredytów kupieckich muszę mieć w umowie z Hermesem i Kuke podpisaną umowę na powierzenie lub udostępnienie? Czy inne przepisy zwalniają mnie z obowiązku informowania Kontrahenta, iż będę się ubezpieczać i zgłaszać ich dane do ubezpieczyciela bez ich wiedzy ? Generalnie we wniosku o przyznanie limitu jest miejsce na wpisanie osoby do kontaktu z ramienia Kontrahenta typu imię nazwisko, nr telefonu, e-mail, fax.

  5. Jarek

    Witam,
    czy firma zawierając umowę z projektantem, który w trakcie wykonywania zleconych prac pozyskuje w jej imieniu dane osobowe np. w uzyskanych zgodach właścicieli gruntów na ich zbycie lub ustanowienie służebności lub pozyskuje dane o właścicielach aby ich powiadomić np. o planowanych w sąsiedztwie robotach budowlanych powinna zawrzeć w tej umowie zapisy o powierzeniu projektantowi przetwarzania danych osobowych? Czy to jest przetwarzanie danych osobowych. Projektant w efekcie końcowym przekazuje pozyskane zgody i inne informacje (zawierające dane osobowe) firmie zlecającej prace. Czy projektant powinien uzyskać zgodę osób, których dane są przetwarzane w swoim imieniu czy w imieniu firmy zlecającej?

    1. Kancelaria Lex Artist

      Dzień dobry.
      Mamy trochę za mało informacji aby udzielić precyzyjnej odpowiedzi. Jednak bazując na tych podanych w komentarzu:
      1) Powierzenie czy upoważnienie. Tutaj zawsze jest pewien dylemat. Jeśli projektant jest de facto freelancerem i nie ma swojego zespołu, to warto wziąć pod uwagę nadanie upoważnienia do przetwarzania danych osobowych. Tym samym potraktować projektanta tak jak własnego pracownika. Jeśli za działaniami projektanta stoi raczej cały zespół i firma – to zdecydowanie powierzenie.
      Tym samym odpowiadając na kolejne pytanie – tak dochodzi do przetwarzania danych osobowych.
      2) Co do zgód osób, których dane pozyskuje projektant – najbezpieczniej będzie jeśli zgody i obowiązki informacyjne będą wystawiane już na firmę zlecającą. Bo zakładamy, że to ta firma decyduje tak naprawdę o celach i środkach całego procesu przetwarzania danych.
      3) Co do pozyskiwania samych zgód od właścicieli nieruchomości – tu mamy za mało danych – zgoda jest najczęściej najbardziej bezpieczną formą. Pytanie czy nie można tutaj oprzeć się na innych przesłankach art.23 – np. prawnie usprawiedliwionym celu i ograniczyć się do zapewnienia samego obowiązku informacyjnego. Pozostawiamy to do rozważenia bo na ten moment mamy trochę za mało informacji.

      pozdrawiamy,

  6. Tomasz

    W jednym budynku jest biblioteka i przedszkole. By zaoszczędzić pieniądze chcą zrobić wspólny monitoring. Czy umowa powierzenia wystarczy dla takiego działania ?

  7. Monika

    Czy firma deweloperska przekazując do notariusza dane klienta, z którym będzie podpisywała umowę deweloperską powinna poinformować klienta, że udostępnia jego dane kancelarii notarialnej, czy może powinna mieć podpisaną z kancelarią umowę powierzenia?

  8. Kasia

    Witam Bardzo interesujący artykuł, za pewne wielokrotnie do niego powrócę.
    Mam pytanie odnośnie przetwarzania danych przez pracowników (zatrudnionych na podstawie umowy o pracę) czy z nimi też trzeba podpisać umowy? czy upoważnienia? a co jak pracownik przetwarza dane w różnych zbiorach czy do każdego trzeba osobną zgodę, czy ma znaczenie jak zakres baz się różni?

    1. Kancelaria Lex Artist

      Witamy 🙂 Jeśli mówimy o pracownikach zatrudnionych na umowę o pracę, to dla nich powinno być wystawione upoważnienie. W naszej praktyce w upoważnieniu uwzględniamy nazwy zbiorów do których pracownik ma dostęp w związku z wykonywanymi czynnościami np. w przypadku pracownika Kadr w treści uwzględniamy przykładowo dostęp do zbiorów “Rekrutacja”, “Pracownicy”.

  9. Basia

    Witam,
    centrala (spółka-matka) udostępniła w mojej firmie licencje Office 365. W ramach usługi Office 365 przetwarzane są dane z praktycznie wszystkich zbiorów danych (poczta, dokumenty pakietu office, itd.). W takim przypadku to chyba z centralą powinniśmy podpisać umowę powierzenia przetwarzania danych – nie z Microsoftem 🙂 ?

  10. Magda

    Witam,
    Mamy następującą sytuację: firma zorganizowała dla swoich pracowników możliwość ubezpieczenia grupowego. Zebrała w tym celu od nich deklaracje i przekazała do TU, które jest Administratorem danych (zgodnie z zapisem na deklaracji). Jednak firma zatrzymuje także w swojej dokumentacji kopie deklaracji w celu dokonywania potrąceń od ubezpieczonych pracowników.
    Jak powinno to prawidłowo funkcjonować? Czy pracodawca może przechowywać kopie deklaracji, czy staje się wtedy procesorem i TU powinno od niego zażądać podpisania umowy powierzenia? Czy w celu zminimalizowania ilości danych pracodawca powinien jedynie zapisać w swoim systemie kwoty potrąceń a zgromadzone kopie deklaracji usunąć?

    1. Kancelaria Lex Artist

      Witam 🙂
      W przypadku, gdy firma przechowuje kopie deklaracji, staje się procesorem i powinna zostać podpisana umowa powierzenia między TU a firmą (przechowywanie jest przetwarzaniem danych osobowych). Z kolei w celu zminimalizowania ilości danych pracodawca (firma) winna usunąć kopie deklaracji (wersja elektroniczna) lub zniszczyć je w niszczarce (wersja papierowa).
      pozdrawiamy

  11. Aneta

    Na początek dzięki za rzeczowy artykuł!
    Mam natomiast pytanie o usunięcie danych, jeżeli powierzam je systemowi do faktur/księgowości. Dane są danymi osób fizycznych oraz czasami firm, którym świadczę sprzedaż. Dane klientów mam w systemie. Mam tam też faktury, które dokumentują sprzedaż i do których przechowywania jestem zobowiązana. Co w przypadku gdy klient życzy sobie usunięcia danych tuż po zamknięciu transakcji, sama chyba nie powinnam ich przechowywać dłużej niż konieczne? Profil klienta teoretycznie mogę skasować, ale dane są wciąż przechowywane u podmiotu przetwarzającego na istniejącym tam dokumencie. Czy system powinien dostosować taką opcję, abym mogła po ustaniu obowiązku usunąć te dokumenty z automatu i powinnam wymagać w umowie powierzenia przetwarzania jakiegoś zapisu regulującego ten stan rzeczy? A może dane powinnam usunąć wcześniej co wtedy z wymogiem przechowywania rachunków/faktur?

    1. Kancelaria Lex Artist

      Dzień dobry. Odpowiadając od końca – faktury, które Pani przechowuje jako podatnik VAT-u (w których są też dane osobowe), musi Pani przechowywać do końca upływu terminu przedawnienia zobowiązania podatkowego tj. 5 lat licząc od końca roku kalendarzowego, w którym powstało zobowiązanie podatkowe. Jest to obowiązek prawny, także jeśli Klient żąda usunięcia danych, to może to dotyczyć wyłącznie danych zbieranych ponad to, co jest na fakturze. Po tym czasie dane powinny być usunięte, jeśli korzysta Pani z usług tzw. procesora, to w umowie powierzenia powinny znaleźć się zapisy o konieczność usunięcia danych i wykazania tego np. protokołem zniszczenia, po upływie okresu, w którym dane muszą być przechowywane. Pozdrawiamy!

  12. Paweł

    Witam,
    w jaki sposób można przekazać dane osobowe oraz historię chorób pacjentów pomiędzy dwoma podmiotami prowadzącymi działalność medyczną? Czy to w ogóle jest możliwe w świetle obowiązującego prawa?

    1. Kancelaria Lex Artist

      Dzień dobry! Tak, istnieje możliwość takiego przekazania. Dzieje się to w drodze udostępnienia danych osobowych. Na takie udostępnienie pacjent musi jednak wyrazić osobną zgodę. W treści zgody powinien być również wyraźnie wskazany podmiot leczniczy, któremu Państwo będą dane udostępniać oraz w jakim celu. Pozdrawiamy!

  13. Iwona

    Witam
    Proszę o informację czy istnieje możliwość przekazania bez zgody osoby zainteresowanej aktualnego adresu zamieszkiwania. Sprawa dotyczy MOPS – Urząd Miasta. Urząd Miasta uchwałą przyznał środki pieniężne na pomoc klientom MOPS . Środki te były m.in. przyznawane na wynajęcie mieszkania na okres 2-3 lat. Klient nie wymeldował się ze swojego starego miejsca zamieszkania. Czy istnieje możliwość bez zgody klienta przekazania adresu pracownikowi Urzędu Miasta celem podjęcia wymeldowania.

  14. Agnieszka

    Witam,
    Na początek słowa uznania za ten blog, za ilość i sposób przekazania wiedzy. Prosto, przejrzyście i konkretnie.
    Mam dwa pytania, kwestie do których mam wątpliwości jak je rozwiązać:
    1. Prowadzimy sprzedaż m.in. za pośrednictwem przedstawicieli handlowych prowadzących DG, pośredniczą oni w sprzedaży dla klientów biznesowych, korzystają z naszych firmowych sprzętów z dostępem do firmowego CRMu, gdzie są dane kupujących od nas firm i konkretnych osób je reprezentujących, sami dane nowych klientów dodają – czy my musimy podpisać z nimi umowy powierzenia czy wystarczą upoważnienia do przetwarzania danych.
    2. Magazynierzy dostają listę zamówionych przez klienta (firma lub osoba fizyczna) towarów do skompletowania i spakowania oraz wydrukowaną etykietę z adresem – czy oni musza mieć upoważnienia do przetwarzania danych?

    1. Kancelaria Lex Artist

      Witamy i pięknie dziękujemy za dobre słowa! 🙂 Odpowiadając już na pytania:
      1) wystarczy nadanie im upoważnienia do przetwarzania danych osobowych, dopuszczalne jest także powierzenie;
      2) jak najbardziej powinni mieć takie upoważnienia.
      Pozdrawiamy i zapraszamy do częstszych odwiedzin. 🙂

  15. Piotr

    Czy w związku zawarciem umowy dotyczącej medycyny pracy ADO powinien zawrzeć z przychodnią umowę o powierzeniu danych osobowych? Moim zdaniem ponieważ skierowanie z danymi osobowymi otrzymuje pracownik i on przekazuje swoje dane osobowe przychodni więc umowa przekazania danych osobowych pomiędzy przedsiębiorstwem, w którym pracuję a zakładem medycyny pracy nie jest niezbędna. Proszę o informację czy mam rację.

    1. Kancelaria Lex Artist

      Dzień dobry. W zakresie medycyny pracy nie ma obowiązku zawierać z przychodnią umowy powierzenia. Wówczas mamy do czynienia z relacją udostępnienia danych osobowych na podstawie przepisów prawa pracy. Pozdrawiamy!

  16. Martyna

    Szanowni Państwo,

    moje wątpliwości dotyczą sprzedaży online.
    Czy potrzebna jest umowa powierzenia:
    1) między sprzedawcą a kurierem dostarczającym towar do klienta (poza rzeczywistym przekazaniem paczki, dane wprowadzane są także do systemu kuriera)?
    2) między sprzedawcą a dostawcą aplikacji do płatności online typu Paypal lub PayU?
    3) miedzy sprzedawcą a właścicielem platformy sprzedażowej typy amazon, Ebay lub allegro? Co prawda klienta ma tam założone swoje konto, ale zapewne po zakupieniu produktu administratorem jego danych w zakresie niezbędnym do wystawienia faktury i wysłania towaru staje się sprzedawca. Jeżeli dochodzi tutaj do powierzenia, który podmiot jest administratorem, a który procesorem?
    Z góry bardzo dziękuję za odpowiedź!

    1. Kancelaria Lex Artist

      Dzień dobry! To niewątpliwie ciekawe pytania i dość często roztrząsane:

      1) Nie ma takiej potrzeby – przyjmuje się, iż mamy wówczas do czynienia z udostępnieniem danych osobowych w prawnie usprawiedliwionym celu (art. 23 ust. 1 pkt 5 ustawy o ochronie danych osobowych),
      2) Podobna sytuacja jak w punkcie pierwszym,
      3) Tutaj również podobna sytuacja (różnica jest w postaci podstawy prawnej udostępnienia) – co wynika z przyjętej np. w Allegro Polityki Prywatności. Według niej, administratorem danych osobowych Użytkowników (a więc zarówno Kupujących, jak i Sprzedających) jest Allegro, jednakże Allegro udostępnia sprzedającym dane osobowe Kupującego w celu realizacji umowy sprzedaży, którą strony ze sobą zawarły.

      Pozdrawiamy!

  17. Michal

    Wiadomo, że biuro rachunkowe jest administratorem danych klienta (jeśli jest on osobą fizyczną) i jednocześnie procesorem danych powierzanych przez klienta (tj. danych dotyczących jego kontrahentów i pracowników) – w odniesieniu do tej drugiej grupy danych konieczna jest umowa powierzenia. Mam pytanie: jeśli biuro rachunkowe zgłasza członków rodziny klienta do ubezpieczenia zdrowotnego klienta w ZUS – czy biuro rachunkowe jest administratorem danych tych członków rodziny, czy też ich procesorem, a administratorem danych członków rodziny jest klient (i w związku z tym przetwarzanie tych danych powinno być przedmiotem umowy powierzenia)? I pytanie dodatkowe – czy zgodnie RODO dane członków rodziny danej osoby są w takich przypadkach uważane za dane dotyczące tej osoby, czy też raczej za dane dotyczące tych członków rodziny.

    1. Kancelaria Lex Artist

      Dzień dobry. W opisywanym przypadku biuro rachunkowe nadal będzie procesorem. Co do pytania dodatkowego – przyjmujemy (wyłącznie w tym zakresie), że dane członków rodziny traktowane są jako dane pracownika. Pozdrawiamy!

      1. Michał

        Przepraszam, nieprecyzyjnie zadałem pytanie. Chodziło mi o to, czy dane członków rodziny klienta – osoby fizycznej prowadzącej działalność gospodarczą (nie chodzi tu więc o członków rodziny pracowników klienta) zgłaszanych przez biuro do ubezpieczenia zdrowotnego tego klienta mogą być przetwarzane przez biuro rachunkowe na podstawie umowy powierzenia, tj. biuro jest procesorem tych danych, czy też raczej jest ich administratorem, podobnie jak w przypadku danych samego klienta?

  18. Wojciech

    Dzień dobry! Faktycznie bardzo dobry blog!

    Jednak czytając wypowiedzi na tym blogu i w kilku innych serwisach zrobił mi się niezły zamęt w zakresie terminologii i związanych z tym obowiązków. Kiedyś ktoś mnie uczył, że:
    1) udostępnienie danych – jest wtedy gdy ktoś do nich zagląda, może coś na nich robić ale ich nie zabiera ze sobą, w takie sytuacji wystarczy upoważnienie dla pracownika lub umowa o zachowaniu poufności z firmą zewnętrzną świadczącą usługi informatyczne i upoważnienie dla jej pracownika, zatrudnienie firmy radcy prawnego wykonującego czynności w siedzibie administratora, przykłady udostępnienia: strona internetowa, wgląd w dokumenty itp.;
    2) przekazanie – jest wtedy gdy dane trafiają do innego administratora i żyją tam “własnym życiem”, np. ubezpieczenie pracowników, ubezpieczenie uczniów, medycyna pracy, kancelarie prawne (choć tutaj mam wątpliwości) itp.;
    3) powierzenie – w sytuacji kiedy Administrator zleca innej firmie wykonywanie czynności, które powinien wykonać sam, następuje przeniesienie danych na sprzęt procesora i tam wykonywane są czynności na tych danych (to jak z rolnikiem, który zawiezie do młyna zboże, młyn wykonuje proces na zbożu i oddaje rolnikowi mąkę, po zakończonym procesie w młynie nie pozostaje nic), zgodnie z motywem 81 RODO procesor po zakończeniu umowy powinien przekazać lub usunąć dane, przykładami powierzenia mogą być: hosting poczty i sklepów, biura rachunkowe, przestrzeń na pliki w chmurze, pakiety biurowe on-line (umowa z firmą udostępniającą pakiet np. Google, Microsoft).

    Czy ogólnie dobrze mi się wydaje czy jestem w błędzie?

    1. Kancelaria Lex Artist

      Dzień dobry. Dziękujemy pięknie za pozytywną opinię! 🙂

      Odpowiemy tak – udostępnienie danych to Pana opis z punktu nr 2 (z tym że np. kancelarie prawne nie są tym objęte). Powierzenie – jest OK. Z kolei pkt 1 to po prostu przetwarzanie danych osobowych na podstawie upoważnienia udzielonego przez administratora danych osobowych. Pozdrawiamy!

  19. Piotr

    Witam, chciałbym się zapytać o konieczność podpisywania umowy powierzenia z bankiem o obsługę konta bankowego? W imieniu instytucji publicznej bank wysyła wynagrodzenia pracowników i świadczenia dla wnioskodawców. A także chciałem się zapytać czy podobna sytuacja ma miejsce z BHP dla pracowników, jest to firma zewnętrzna.

    1. Kancelaria Lex Artist

      Dzień dobry. Co do banku – nie ma takiej konieczności, mamy do czynienia wówczas z udostępnieniem danych osobowych. Z kolei w przypadku BHP istnieje konieczność zawarcia umowy powierzenia przetwarzania danych osobowych. Pozdrawiamy!

  20. Krzysztof

    Witam,
    Na wstępie bardzo fajny blog i oby taka jakość informacji była wszędzie 🙂
    W związku z zbliżającym się nie ubłaganie terminem 25-maja otrzymałem dziś propozycję podpisania umowy powierzenia przetwarzania danych osobowych. Jestem jedno osobową firmą świadczącą usługi informatyczne dla małych firm, wykonuje czynności związane z administracją serwerami u klienta na których przetwarzane są dane osobowe. Klient mnie zaskoczył zapisami w umowie dot. wysokości kary umownej za każdy przypadek stwierdzonej nieprawidłowości. Dodał również bardzo ciekawy zapis brzmiący iż jako Administrator danych osobowych czyli on jeśli zostanie zobowiązany do wypłaty odszkodowania lub poniesie konsekwencje w postaci grzywny. To ja jako podmiot przetwarzający mam mu ją zapłacić. Co Państwo sądzicie o takich praktykach i czy lepiej zrezygnować ze współpracy z takim Klientem.

    1. Kancelaria Lex Artist

      Dzień dobry. Dziękujemy za miłe słowa – na wstępie! 🙂 Cóż, takie zapisy w obecnie podpisywanych umowach powierzenia to standard. W kwestii kary umownej – ta materia może zostać zmodyfikowana w drodze negocjacji z Klientem. Natomiast czy nadal z takim Klientem współpracować – nie nam o tym decydować, pozostawiamy to Pańskiej decyzji biznesowej. 🙂 Pozdrawiamy!

  21. Sylka

    Witam, bardzo pouczający blog.
    Mam pytanie dotyczące takiej sytuacji. Pracuję w administracji rządowej, jeżeli jest prowadzone postępowanie administracyjne wobec danej osoby, czy powinniśmy z tą osobą podpisać umowę przetwarzania danych osobowych?

  22. Katarzyna

    Dzień dobry,
    prowadzimy biuro rachunkowe w spółdzielni rzemieślniczej, która zrzesza przedsiębiorców. Zatrudniamy również pracowników na umowy o pracę. Do tej pory nie otrzymaliśmy od przedsiębiorców żadnej dokumentacji odnośnie RODO – a teoretycznie to oni powinni przygotować takie umowy, dobrze rozumiem?
    My jako biuro prowadzimy ewidencje podatkowe i ZUSy naszym przedsiębiorcom. Zapoznałam się z poprzednimi wpisami na Państwa forum, nawiasem mówiąc pisanymi bardzo przystępnym słownictwem, i chciałabym się upewnić, czy mój tok myślenia jest dobry:
    – powinniśmy zawrzeć z przedsiębiorcami i naszymi pracownikami umowy powierzenia danych?
    – administatorami danych są przedsiębiorcy i nasi pracownicy?
    – my jako biuro jesteśmy procesorem danych, gdyż przetwarzamy dane przedsiębiorców księgując np. ich faktury i przesyłając dane do Urzędu Skarbowego?
    – powinniśmy również stworzyć nasz własny rejestr z danymi przedsiębiorców i pracowników, takimi jak pesel, nip, imię i nazwisko, nazwa firmy, jej adres, czy coś więcej?
    – co z kontrahentami, z którymi współpracują nasi przedsiębiorcy, którzy widnieją na fakturach?
    – co z kontrahentami zagranicznymi,
    Będziemy wdzięczny za odpowiedź.

    1. Kancelaria Lex Artist

      Dzień dobry. A zatem po kolei:

      1) umowy powierzenia powinni zawrzeć Państwo z przedsiębiorcami, z Państwa pracownikami nie ma takiej konieczności,
      2) Administratorami danych są przedsiębiorcy, natomiast administratorem danych Państwa pracowników jest Państwa firma,
      3) Tak,
      4) Powinni Państwo stworzyć na pewno rejestr czynności przetwarzania (prowadzi go administrator danych osobowych), a także rozważyć utworzenie rejestru kategorii czynności przetwarzania (prowadzić go powinien podmiot, który często występuje w roli procesora),
      5) To właśnie dane tych kontrahentów są Państwu powierzane przez przedsiębiorców, ponieważ są oni administratorem danych swoich kontrahentów,
      6) To samo, co z polskimi. 🙂

      Pozdrawiamy!

  23. Maria

    Witam,
    prowadzę sklep internetowy, w którym sprzedaję wykonywane przeze mnie zaproszenia ślubne.
    Do ich wytworzenia zbieram dane odnośnie daty i miejsca ślubu, numery telefonów, czasem dane do wysyłki.
    Czy w tym przypadku powinnam zamieścić na stronie internetowej w regulaminie informację, że przetwarzam dane wyłącznie w celu wykonania usługi i wysyłki? Czy powinnam podpisywać umowę z każdym klientem, również internetowym, jeśli tak, to w jaki sposób? Nie każdy posiada podpis elektroniczny?
    Czy z firmą informatyczną, u której mamy wykupiony serwer, również musi podpisać umowę powierzenia danych? Z księgową także?
    Czy wystarczy taka notka w regulaminie na stronie, czy w mailach również muszę zawrzeć taką informację, np. w stopce?
    Czy w komputerze muszę prowadzić rejestr tych wszystkich danych?
    Czy z klientami, których przyjmuję w siedzibie firmy muszę podpisywać umowy o powierzeniu danych?
    Z góry dziękuję za pomoc.

    1. Kancelaria Lex Artist

      Dzień dobry. Zatem po kolei:
      1) Tak, powinna Pani zamieścić klauzulę informacyjną na stronie internetowej w regulaminie. Jeżeli wystawia Pani np. rachunki lub faktury, to one również są dowodem zawarcia umowy.
      2) Tak i tak. 🙂
      3) Wystarczy regulamin.
      4) Rejestr czynności przetwarzania można prowadzić w dowolnej formie.
      5) Nie ma takiej potrzeby.

      Pozdrawiamy!

  24. Sylwia

    Witam, bardzo pouczający blog.
    Mam pytanie dotyczące takiej sytuacji. Pracuję w administracji rządowej, jeżeli jest prowadzone postępowanie administracyjne wobec danej osoby, czy powinniśmy z tą osobą podpisać umowę przetwarzania danych osobowych?

      1. Sylwia

        Bardzo dziękuję za odpowiedź ale mam jeszcze jedno pytanie dot: Petent składa u Nas w urzędzie zawiadomienie o rozpoczęciu i zakończeniu budowy (wypisuje wniosek) na tym zawiadomienie pisze swoje imię i nazwisko oraz adres zamieszkania czy My jako Urząd powinnyśmy na tych drukach umieścić informacje o przetwarzaniu danych osobowych i jakieś treści miałaby to być informacja?

  25. Maria

    Nawiązując do mojego pytania odnośnie sklepu z zaproszeniami, chciałam jeszcze dopytać, czy informacja, która do tej pory widnieje w moim regulaminie na stronie, może zostać w takiej formie:

    ” Rejestracja nie jest obowiązkowa w sklepie internetowym “nazwa” Jednakże Klient, który zdecyduje się na rejestrację zobowiązany jest do zgodnego ze stanem faktycznym wypełnienia “formularza rejestracji”. Klient zobowiązany jest nie udostępniać osobom trzecim swoich danych dostępowych – “loginu” i “hasła”. Również osoba, która przy zakupie wypełnia formularz z danymi, zobowiązana jest do podania informacji zgodnych ze stanem faktycznym.

    2. 1. 2. Wszelkie dane osobowe uzyskane w trakcie rejestracji i działalności sklepu są poufne. Zgodnie z ustawą z dnia 29 sierpnia 1997 roku o ochronie danych osobowych informujemy, że dane osobowe Kupujących są przechowywane w sposób uniemożliwiający dostęp osobom trzecim. Dane osobowe zbierane i przetwarzane są wyłącznie w celu realizacji zamówienia i nie będą w jakikolwiek inny sposób udostępniane lub wykorzystywane. Zgodnie z w/w. ustawą Kupujący ma prawo do wglądu w swoje dane, do ich poprawiania oraz wniesienia żądania o zaprzestaniu ich wykorzystywania.

    2. 1. 3. Dane osobowe użytkownika mogą zostać użyte w celu dostarczania mu ważnych informacji o zamówionych produktach lub usługach, w tym aktualizacji i powiadomień.

    2. 1. 4. Klient, który wyrazi chęć otrzymywania newsletterów poprzez wpisanie w odpowiednie pole widniejące na stronie internetowej sklepu “nazwa” swojego adresu e-mail lub zaznaczy odpowiednią opcję podczas realizacji zamówienia, automatycznie zgadza się na przyjmowanie wiadomości drogą elektroniczną dotyczących nowej oferty sklepu, w tym promocji, kuponów rabatowych, nowości itp.

  26. paweł

    Dzień dobry,
    A co w przypadku prowadzenia działalności jedynie w formie B2B? Nie posiadamy żadnych danych osobowych w firmie, jedynie akta personalne pracowników, a sprzedaż prowadzimy tylko i wyłącznie do firma a nie do osób fizycznych. Czy też musimy wytworzyć politykę bezpieczeństwa, rejestry i całą resztę w odniesieniu do relacji B2B?

Zostaw odpowiedź