Weles spółka z ograniczoną odpowiedzialnością sp. k. dawniej PHU WELES Michał Ziemski sp. z o.o. Normandii 3F. 05-509 Józefosław (Strony) Umowa wchodzi w życie z dniem zawarcia, nie wcześniej niż 2018-05-24. Definicje: RODO: ROZPORZĄDZENIE PARLAMENTU EUROPEJSKIEGO I RADY (UE) 2016/679 z dnia 27 kwietnia 2016 r
danych osobowych niezgodnie z treścią niniejszej Umowy, a w szczególności za udostępnienie powierzonych do przetwarzania danych osobowych osobom nieupoważnionym. 2. Podmiot przetwarzający zobowiązuje się do niezwłocznego poinformowania Administratora danych o jakimkolwiek postępowaniu, w szczególności
Powierzenie przetwarzania danych osobowych Powierzenie przetwarzania danych osobowych to umocowanie przez administratora innego podmiotu do przetwarzania danych w jego imieniu. W relacji powierzenia mamy zatem do czynienia z administratorem, który zleca procesorowi przetwarzanie danych osobowych w jego imieniu, na jego rzecz i na jego zasadach.
Przepisy stanowią, że można powierzyć przetwarzanie danych innemu podmiotowi, ale powinno się to odbyć w drodze pisemnej umowy. W przypadku biura rachunkowego konieczne byłoby stworzenie odrębnej umowy powierzenia czynności przetwarzania danych osobowych lub też dodanie odpowiednich zapisów do umowy o świadczenie usług księgowych
ROZDZIAŁ III – Prawa osoby, której dane dotyczą (art.12-23) Sekcja 1 – Przejrzystość oraz tryb korzystania z praw. Artykuł 12 – Przejrzyste informowanie i przejrzysta komunikacja oraz tryb wykonywania praw przez osobę, której dane dotyczą. Sekcja 2 – Informacje i dostęp do danych osobowych. Artykuł 13 – Informacje podawane
Powierzenie przetwarzania danych osobowych było regulowane przepisami ustawy z 1997 r. o ochronie danych osobowych, zostało także uregulowane w RODO. Pomimo wykształconej bogatej praktyki związanej z zawieraniem umów powierzenia przetwarzania danych osobowych zagadnienie to ciągle budzi wątpliwości.
Urząd Ochrony Danych Osobowych nałożył administracyjną karę pieniężną w wysokości nieco ponad 1,5 tys. zł na wspólnotę mieszkaniową. W ramach prowadzonego postępowania UODO wziął pod uwagę kilka uchybień w działalności administratora, w tym zabrakło zgłoszenia naruszenia ochrony danych osobowych, nie zawiadomiono o tym naruszeniu osób, których
Nadto w celu realizacji zadań ustawowych Policja jest uprawniona do przetwarzania informacji, w tym danych osobowych. Informacje te mogą obejmować: 1) dane osobowe, o których mowa w art. 14 ust. 1 ustawy o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości, z tym że dane dotyczące kodu
Umowa powierzenia przetwarzania danych osobowych (wzór 20190624) Strona 3 odpowiednią ich ochronę, w tym ochronę przed nie-dozwolonym lub niezgodnym z prawem przetwarza-niem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem. 5.2 Zleceniobiorca przetwarza dane osobowe wyłącznie na podstawie Umowy oraz na udokumentowane polece-
Prezes Urzędu Ochrony Danych Osobowych nałożył pierwszą karę finansową za nieprzestrzeganie nakazu z art. 83 ust. 6 RODO; Kara finansowa za brak współpracy z Urzędem Ochrony Danych Osobowych; Przechowywanie faktur wyłącznie w formie elektronicznej; Członek zarządu spółki lub fundacji – rozliczenie podatku dochodowego. (copy)
LMb11d1. Z powodu wejścia w życie w dniu r. ogólnego Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE informujemy, iż z dniem 24 Maja 2018r. uległ zmianie Regulamin świadczenia usług drogą elektroniczną przez IBC oraz Polityka Prywatności. Nowy tekst Regulaminu dostępny jest na naszej stronie : Nowy tekst Polityki Prywatności dostępny jest na naszej stronie: Obowiązek informacyjny RODO dostępny jest na naszej stronie: oraz w procesie rejestracji konta Abonenta Umowa powierzenia przetwarzania danych osobowych W celu realizacji poszczególnych Usług hostingowych ( np. prowadzenia Sklepu www, gromadzenia w serwisie, bazie lub na poczcie danych osobowych swoich kontrahentów itp. ) niezbędne może być powierzenie przez Klienta IBC przetwarzania danych osobowych. W takich sytuacjach powierzenie przetwarzania danych osobowych będzie następowało na warunkach określonych w Regulaminie w dziale XIII Powierzenie przetwarzania danych osobowych §45 i 46 w formie elektronicznej i obejmuje wszystkie kategorie danych osobowych, które wprowadzisz do swojej Usługi. Dane osobowe są powierzone IBC na czas trwania umów wskazanych w Regulaminie. W takim przypadku aktywacji Umowy powierzenia przetwarzania danych osobowych należy dokonać w Panelu Klienta w zakładce: Moje dane, zgody i umowy, na stronie: Aktywacja możliwa jest tylko w przypadku konta Abonenta: firmowe. W przypadku jeśli posiadasz konto Abonenta: indywidualne i podlegasz jednocześnie, ze względu na charakter, zakres lub cel gromadzenia danych obowiązkowi RODO jako Administrator tych danych, załóż w IBC nowe konto Abonenta: firmowe, podając w tym celu w procesie rejestracji swój NIP. Aktywne dotąd usługi w drodze e-cesji mogą zostać przepięte na nowe konto. Powyższe może występować szczególnie w sytuacji prowadzenia działalności nierejestrowej (wprowadzonej Ustawą z dnia 6 marca 2018 r. - Przepisy wprowadzające ustawę - Prawo przedsiębiorców oraz inne ustawy dotyczące działalności gospodarczej), co wymagać też będzie utworzenia konta Abonenta: firmowe. Po aktywacji Umowy otrzymasz potwierdzenie emailowe z oznaczeniem daty, godziny i stanu ( umowa nieaktywna, umowa aktywna ) wraz z pełną treścią Regulaminu. Więcej informacji o sposobie aktywacji Umowy znajdziesz w dziale Help na naszej stronie: Rejestr domen polskich wprowadza nową politykę cenową dla zarządzanych przez siebie domen, zakłada ona… Informujemy o aktualizacji adresów podmiotów do których przekazywane są dane w Polityce Prywatności.… Na dzień 18 Maja w oknie czasowym 23:00 do 02:00 zaplanowano niezbędne prace techniczne zabezpieczeń…
Jako że zakładając konto we FreshMailu, stajesz się Administratorem Danych Osobowych, musisz działać zgodnie z wymogami ustawy RODO, która weszła w życie 25 maja 2018 roku, a tym samym podpisać z nami Umowę Powierzenia Przetwarzania Danych Osobowych. Pamiętaj, że bez tego kroku nie możesz wysyłać kampanii! Ponadto zaakceptowanie Umowy nie obliguje Cię do ponoszenia jakichkolwiek opłat. Jak zacząć? Po zalogowaniu na swoje konto we FreshMailu zobaczysz na stronie głównej zielony baner przypominający o konieczności wypełnienia umowy. Kliknij w żółty przycisk Uzupełnij dane: Poniżej przycisku znajdziesz również opcję Przypomnij mi jutro oraz Nie przypominaj mi nigdy, jednak gdy klikniesz w tę drugą, nie będziesz mógł wysyłać kampanii. Po kliknięciu w Uzupełnij dane przejdziesz do zakładki, która wyjaśnia, w jakim celu musisz wypełnić umowę oraz jakie konsekwencje mogą wyniknąć z jej niepodpisania. Co później? Gdy klikniesz Idę dalej! zostaniesz poproszony o zaznaczenie rodzaju umowy. Jeżeli konto zostało założone na osobę fizyczną, podaj swoje imię, nazwisko, e-mail, numer telefonu oraz pełny adres. W przypadku zaznaczenia firmy i po podaniu numeru NIP, a następnie kliknięciu Pobierz dane, wszystkie informacje o Twojej firmie zostaną zaciągnięte z Krajowego Rejestru Sądowego. Jeśli po pobraniu danych zauważysz błąd, skontaktuj się z Biurem Obsługi Klienta drogą mailową (pomoc@ i podaj poprawne dane, a dokonamy ich niezwłocznej zmiany. Po wypełnieniu pól umowy możesz ją podejrzeć poprzez kliknięcie Zobacz umowę. Zaakceptowanie UPPDO następuje w momencie przejrzenia jej całości za pomocą zielonej strzałki. Poniżej znajduje się również opcja pobrania jej na komputer w formacie PDF. Pamiętaj, że zaakceptowanie umowy staje się wiążące - sprawdź zatem, czy wszystkie podane przez Ciebie dane są poprawne! Jeśli chcesz ją jeszcze podejrzeć, przejdź do zakładki Moje umowy → Przeglądaj umowy. W tym miejscu możesz sprawdzić datę jej zaakceptowania, opis, wersję oraz status, a także opcję podglądu i pobrania w formacie PDF. Pamiętaj, że możesz także wypełnić Umowę Powierzenia Przetwarzania Danych Osobowych w wersji papierowej: w tym celu skontaktuj się z Biurem Obsługi Klienta, który wyśle Ci edytowalną wersję. Następnie skorzystaj z opcji Prześlij umowę, gdzie prześlesz podpisany skan. Taki plik musi zostać najpierw sprawdzony przez Biuro Obsługi Klienta i, jeśli wszystko jest w porządku, zostanie zaakceptowany, a następnie automatycznie znajdzie się w zakładce Przeglądaj umowy. Możesz również przesłać wersję papierową bezpośrednio do naszej firmy na adres: FreshMail Sp. z o. o. Al. 29 Listopada 155c 31-406 Kraków.
Artykuł stworzony w ramach projektu #ForumBK – RODO w grupach kapitałowych [English abstract at the bottom of the page]Przekazywanie danych osobowych pomiędzy podmiotami należącymi do grupy kapitałowej niejednokrotnie traktowane jest „po macoszemu”. Często wydaje się bowiem, że skoro między spółkami istnieje więź oparta na mniej lub bardziej bliskich relacjach biznesowych, to powinny one móc swobodnie wymieniać się informacjami, w tym danymi osobowymi. Podejście to nie jest jednak prawidłowe, jako że RODO wymusza ustalenie ról podmiotów uczestniczących w procesie przetwarzania danych osobowych. Przykładowo, wymiana danych osobowych między spółkami może następować w modelu administrator – administrator. W takim wypadku wzajemne udostępnianie danych osobowych może następować np. w oparciu o uzasadniony interes prawny spółek (możliwość taka wskazana jest w motywie 48 preambuły RODO). Niewykluczone jednak, iż relacje występujące pomiędzy poszczególnymi spółkami w grupie uzasadniać będą konieczność powierzenia przetwarzania danych przetwarzania, czyli co?Na początek warto zwrócić uwagę na to, iż „powierzenie przetwarzania danych osobowych” nie otrzymało definicji legalnej w RODO (pojęcie to nie występuje w ogóle w wersji angielskiej rozporządzenia). „Zamiast” tego, rozporządzenie określa kim jest administrator danych oraz podmiot przetwarzający (tzw. procesor), charakteryzując drugiego z nich jako „osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który przetwarza dane osobowe w imieniu administratora”.Dla przyznania danemu podmiotowi statusu podmiotu przetwarzającego, kluczowe znaczenie ma przetwarzanie przez niego danych osobowych w imieniu administratora. Podmiot przetwarzający (procesor) nie będzie bowiem samodzielnie ustalać celów i sposobów przetwarzania. Będzie on przetwarzał dane „w ramach podstaw obranych przez [administratora] celów, sposobów, o których ten pierwszy zdecydował”[1].Powierzenie przetwarzania – kiedy?Wypada zatem zadać sobie pytanie, kiedy relacje występujące pomiędzy dwoma spółkami w grupie kapitałowej będą kształtować się w ten sposób, że jedna z nich przetwarza dane osobowe w imieniu drugiej. Najczęściej taka sytuacja będzie występować w przypadku spółek obsługujących inne podmioty w grupie, przykładowo w zakresie działalności księgowej, czy wsparcia systemów informatycznych (tzw. centrów usług wspólnych).Istotna w ramach omawianej tematyki jest również kwestia, czy podmiotem przetwarzającym może być spółka matka. Łatwo wyobrazić sobie sytuację, w której spółka dominująca przetwarzać będzie dane osobowe pochodzące z innych spółek należących do grupy kapitałowej, np. w zakresie prowadzenia bazy wszystkich pracowników, czy klientów spółki – matki jako podmiotu przetwarzającego może jednak budzić pewne wątpliwości, biorąc pod uwagę wpływ jaki spółka ta ma na pozostałe podmioty należące do grupy kapitałowej. Wątpliwości te na pierwszy rzut oka może pogłębiać lektura przepisów pierwszej kolejności należy zaznaczyć, iż RODO nie posługuje się pojęciem „grupy kapitałowej”, a „grupy przedsiębiorstw”, definiowanej jako „przedsiębiorstwo sprawujące kontrolę oraz przedsiębiorstwa przez nie kontrolowane” (art. 4 pkt 19) RODO). Pojęcia te nie są tożsame, jednakże często stosowane są zamienne. Główna różnica polega na tym, że w przypadku grupy kapitałowej nacisk kładziony jest na powiązania kapitałowe pomiędzy spółkami[2], natomiast w przypadku grupy przedsiębiorstw na pierwszy plan wysuwa się element kontroli, wniosek potwierdza lektura preambuły RODO. W motywie 37 wskazano bowiem, iż „przedsiębiorstwo sprawujące kontrolę powinno być przedsiębiorstwem, które może wywierać dominujący wpływ na pozostałe przedsiębiorstwa ze względu na przykład na strukturę właścicielską, udział finansowy lub przepisy regulujące jego działalność, lub też uprawnienia do nakazywania wdrożenia przepisów o ochronie danych osobowych”.Szczególnie interesująca jest ostatnia część cytowanego fragmentu. Nakazywanie wdrożenia przepisów o ochronie danych osobowych przywodzi na myśl pozycję administratora, chociażby z tego względu, iż zgodnie z przepisami RODO jest on uprawniony do wydawania procesorowi poleceń. A contrario, uprawnienia takie nie przysługują procesorowi względem by się mogło, iż już sam prawodawca rozstrzygnął kwestię statusu spółki-matki (przedsiębiorstwa sprawującego kontrolę). W praktyce jednak, z uwagi na możliwość prowadzenia przez spółkę-matkę działalności usługowej względem pozostałych podmiotów należących do grupy, niewykluczone jest występowanie przez nią w roli procesora, np. w przypadku świadczenia usług hostingu na rzecz pozostałych podmiotów w grupie. Możliwe jest także łączenie dwóch ról, w przypadku gdy z jednej strony spółka-matka świadczyć będzie usługi na rzecz pozostałych podmiotów, a jednocześnie będzie „uwłaszczać się” na pozyskanych od nich danych (np. w zakresie prowadzonej na poziomie centralnym działalności marketingowej).Jednocześnie trzeba pamiętać, iż w każdym wypadku ustalenie statusu podmiotu należącego do grupy kapitałowej – niezależnie od tego, czy chodzi o spółkę-matkę, czy też spółkę „szeregową” – powinno opierać się na analizie stanu faktycznego związanego z przetwarzaniem danych osobowych. Jak wskazuje Grupa Robocza Art. 29:”należy przyjrzeć się konkretnym operacjom przetwarzania i zrozumieć, kto je określa, odpowiadając na pierwszym etapie na pytania «dlaczego dane przetwarzanie ma miejsce? Kto jest rozpoczął»?”[3].Powierzenie przetwarzania – jak?W przypadku ustalenia, iż dana spółka występuje w ramach grupy kapitałowej w roli procesora, konieczne jest uregulowanie zasad powierzenia jej przez spółkę-administratora przetwarzania należących do niej danych pierwszej kolejności, administrator powinien zweryfikować, czy spółka, której zamierza powierzyć dane osobowe do przetwarzania zapewnia wystarczające gwarancje wdrożenia odpowiednich środków organizacyjnych i technicznych, by przetwarzanie spełniało wymogi RODO i chroniło prawa osób, których dane dotyczą (art. 28 ust. 1 RODO).W przypadku grup kapitałowych wzajemne weryfikowanie się poszczególnych spółek może wydawać się absurdalne, w szczególności w przypadku tych grup, w których współpraca spółek jest bliska. Na pierwszy plan wkraczają tutaj zasady compliance przyjęte w spółkach[4]. W przypadku wprowadzenia na poziomie całej grupy kapitałowej jednolitych zasad ochrony danych osobowych weryfikacja spółek przetwarzających dane osobowe w imieniu innych należących do grupy może stać się „formalnością”.Samo powierzenie przetwarzania, zgodnie z art. 28 ust. 3 RODO, może przybrać jedną z dwóch postaci:zawarcia między podmiotami umowy powierzenia przetwarzania danych osobowych lubposłużenie tzw. „innym instrumentem prawnym”.Wymogi umowy powierzenia przetwarzania danych osobowych określone zostały w przytoczonym powyżej artykule. W praktyce, umowy takie, zawierane pomiędzy spółkami należącymi do grupy kapitałowej są mniej rygorystyczne niż umowy zawierane z podmiotami zewnętrznymi. W szczególności dotyczy to zasad korzystania z dalszych podmiotów przetwarzających (ogólna zgoda z możliwością wyrażenia sprzeciwu przez administratora w przypadku zmiany wskazanych podmiotów w miejsce wymogu uzyskiwania każdorazowej szczegółowej zgody) oraz wymogów związanych z zasadami ochrony danych (wskazane powyżej stosowanie jednolitych standardów w ramach grupy).Większym problemem może być potencjalnie duża liczba umów, jaka będzie musiała być zawarta pomiędzy spółkami. W szczególności dotyczy to tworzenia w ramach grupy kapitałowej spółek będących centrami usług wspólnych, odpowiedzialnych za świadczenie na rzecz innych spółek określonego rodzaju usług, jak np. wspomniane powyżej wsparcie perspektywie powyższego, kuszące może wydawać się posłużenie się konstrukcją przytoczonego już „innego instrumentu prawnego”. Wybór ten nie jest zależny jednak od swobodnej decyzji podmiotów uczestniczących w przetwarzaniu danych osobowych. W piśmiennictwie podkreśla się, że „inny instrument prawny” stanowi czynność prawną inną od umowy. Będzie nim w szczególności akt prawny[5]. Co do zasady konstrukcja ta nie znajdzie więc zastosowania do powierzenia przetwarzania danych osobowych pomiędzy spółkami w ramach grupy kapitałowej. Brak jest bowiem aktu prawnego, który regulowałby szczegółowo zasady przetwarzania danych osobowych w ramach grupy kapitałowej, czy też przepisu pozwalającego na uregulowanie zasad przetwarzania danych osobowych w grupie kapitałowej dokumentem przyjętym np. przez spółkę-matkę, które mogłyby zostać uznane za inny instrument jednak na uwadze, iż umowa zawierana pomiędzy spółką obsługującą inne spółki z grupy będzie zbliżona w treści, rozważyć można zawarcie umowy wielostronnej, tj. jednej umowy regulującej przetwarzanie przez spółkę-procesora danych osobowych kilku spółek-administratorów. Nadto, inaczej niż na gruncie uprzednio obowiązującej ustawy o ochronie danych osobowych, RODO nie wymaga, aby umowa została zawarta w formie pisemnej. Zgodnie z art. 28 ust. 9 RODO umowa winna mieć formę pisemną, w tym elektroniczną. Tę drugą zaś należy rozumieć inaczej niż formę elektroniczną wskazaną w Kodeksie cywilnym[6], zrównując ją z postacią elektroniczną, czyli polską formą dokumentową[7].Słowo na koniecPowierzenie przetwarzania danych osobowych wewnątrz grupy kapitałowej wbrew pozorom nie stanowi konstrukcji czysto teoretycznej. W szczególności, coraz częstsza praktyka przenoszenia części zadań, które dotychczas były wykonywane przez podmioty zewnętrzne względem spółek (outsourcing wewnętrzny), pociąga za sobą konieczność adekwatnego uregulowania związanego z tym przetwarzania danych przypadku uznania, że w danych okolicznościach faktycznych zachodzi konieczność powierzenia przetwarzania, niezbędne będzie zawarcie umowy powierzenia przetwarzania danych osobowych, zgodnej z wymogami określonymi w art. 28 ust. 3 RODO. Pewnym ułatwieniem jest w tym wypadku możliwość zawarcia umowy w formie dokumentowej. Obowiązek zawarcia ww. umowy nie powinien być ignorowany. Oprócz znanych i (nie)lubianych konsekwencji związanych z brakiem umowy, w postaci ryzyka nałożenia wysokiej administracyjnej kary pieniężnej, należy mieć także na uwadze możliwość zakwalifikowania działań niedoszłego procesora jako działań administratora danych osobowych i ponoszenia związanej z tym odpowiedzialności (art. 28 ust. 10 RODO).[1] M. Sakowska-Baryła (red.), Ogólne rozporządzenie o ochronie danych osobowych. Komentarz, Warszawa 2018[2] (data dostępu: r.)[3] Opinia Grupy Roboczej Art. 29 nr 1/2010 w sprawie pojęć „administrator danych” i „przetwarzający” ( data dostępu: r.)[4] Kwestia compliance w grupach kapitałowych będzie przedmiotem artykułu z cyklu ForumBK, jaki ukaże się w dniu M. Sakowska-Baryła (red.), Ogólne rozporządzenie o ochronie danych osobowych. Komentarz, Warszawa 2018[6]Art. 78[1] § 1: Do zachowania elektronicznej formy czynności prawnej wystarcza złożenie oświadczenia woli w postaci elektronicznej i opatrzenie go kwalifikowanym podpisem elektronicznym.[7] Por. np. rozważania dot. formy umowy powierzenia przetwarzane P. Litwiński (red.), Rozporządzenie UE w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i swobodnym przepływem takich danych. Komentarz, Warszawa 2018***AbstractArticle published as part of the #ForumBK project – GDPR in capital groupsThe transfer of personal data between entities belonging to a group of companies may be based on a number of grounds, depending on the status of individual entities participating in the processing. For instance, one company may process personal data on behalf of another company. Such a situation occurs most often in the case of a company created to render services to other companies belonging to the group. Nevertheless, in each case, determining the status of the entity participating in the processing of personal data should be based on an analysis of the facts related to the processing. Processing of the personal data by a processor within the group of companies is governed by a data processing agreement. Before conclusion of such an agreement, the data controller should verify the processor; in group of companies, this entails verifying whether the processor provides sufficient guarantees to implement appropriate data protection measures which may involve the adoption of uniform data protection standards in the group. Data processing agreement may be concluded in an electronic form.
