🦣 Umowa Powierzenia Przetwarzania Danych Osobowych Z Pocztą Polską Rodo

w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. z 2004 r. 100, poz. 1024, dalej jako: „Rozporządzenie) - których zgodnie UMOWA POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH nr …./2021 zawarta w dniu ..2021 r., w Warszawie, pomiędzy: Uniwersytetem Warszawskim z siedzibą ul. Krakowskie Przedmieście 26/28, 00-927 Warszawa, posiadającym NIP 525-001-12-66 oraz REGON 000001258 reprezentowanym przez: dr hab. Kamila Aktualizacja dokumentacji RODO dla KZP. Kontynuując tematykę związaną z funkcjonowaniem Kas Zapomogowo Pożyczkowych, na podstawie Ustawa z dnia 11 sierpnia 2021 r. o kasach zapomogowo-pożyczkowych (Dz.U. 2021 poz. 1666) [dalej Ustawa KZP] a konkretnie zagadnienie związane z podstawami prawnymi, jakie legalizują przetwarzanie danych osobowych przez KZP, jako administratora danych 1. Podmiot przetwarzający jest odpowiedzialny za udostępnienie lub wykorzystanie danych osobowych niezgodnie z treścią Umowy, a w szczególności za udostępnienie powierzonych do przetwarzania danych osobowych osobom nieupoważnionym. 2. Podmiot przetwarzający zobowiązuje się do niezwłocznego poinformowania Administratora 1) zostały przeszkolone przez Podmiot przetwarzający z tematyki ochrony danych osobowych; 2) posiadają indywidualne upoważnienia do przetwarzania danych, nadane przez Podmiot Umowa powierzenia przetwarzania danych osobowych - szablon Niniejszy szablon może być wykorzystywany jako podstawa do skonstruowania umozy z nieruchomością przez Zarządcę. Szablon zawiera minimum zapisów aby być zgodnym z RODO i móc podpowierzyć przetwarzanie do Weles3. podmiot ten zostały lub zostaną nałożone - nie później niż w chwili powierzenia do przetwarzania danych osobowych, o których mowa w niniejszej umowie - wszystkie obowiązki przewidziane niniejszą umową dla Podmiotu przetwarzającego. §4. 1. W przypadku gdy naruszenie ochrony danych osobowych przez Podmiot przetwarzający lub Czy wymagana jest umowa powierzenia przetwarzania danych (art. 28 RODO) w przypadku przeniesienia obliczenia płacy na stronę trzecią (również w przypadku zawodów zajmujących się doradztwem podatkowym)? Co do zasady klasyczne czynności doradztwa podatkowego nie są klasyfikowane jako powierzenie przetwarzania zgodnie z art. 28 RODO. Nie musimy (a nawet nie powinniśmy) zbierać podpisanych klauzul obowiązku informacyjnego od osób, których dane zebraliśmy. Musimy być natomiast w stanie wykazać, że faktycznie umożliwiamy każdej osobie zapoznanie się z treścią klauzuli podczas zbierania jej danych. Sama treść klauzuli musi zawierać wszystkie informacje wskazane Zgodnie z art. 28 RODO przetwarzanie danych na zlecenie innych podmiotów będących administratorami danych wymaga zawarcia umowy powierzenia przetwarzania danych. Umowa powierzenia powinna zostać zawarta przed rozpoczęciem przetwarzania. Co do zasady więc, musisz to uregulować zanim otrzymasz jakiekolwiek dane osobowe od swojego klienta. zKHao0. Umowa zawierana między administratorem a procesorem, czyli podmiotem przetwarzającym dane jest zdecydowanie najważniejszym ogniwem współpracy między nimi. Sprawdź naszą propozycję wzoru umowy powierzenia przetwarzania danych osobowych. Umowa powierzenia przetwarzania danych osobowych Błyskawiczny rozwój outsourcingu usług związanych z prowadzeniem działalności gospodarczej oraz wejście w życie przepisów ogólnego rozporządzenia 2016/679 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz. Urz. UE L 119 z r.) - dalej jako „RODO” spopularyzował umowę powierzenia przetwarzania danych osobowych, zawieraną z podmiotami świadczącymi usługi kadrowe, księgowe, serwisu IT, ochrony mienia i osób, obsługę w zakresie BHP, prowadzenia zewnętrznego archiwum, przeprowadzania konkursów przez agencję reklamową na zlecenie klienta i inne. Takie podmioty stają się, w świetle prawa, podmiotami przetwarzającymi dane osobowe w imieniu i na zlecenie administratora danych. Podmiot, któremu powierzane są dane do przetwarzania nie staje się ich administratorem (chociaż ponosi odpowiedzialność tak samo, jak administrator), a jedynie wykonuje operacje na należących do administratora danych, w sposób i w celu ściśle przez niego któremu dane powierzono nie ma prawa ich wykorzystywać, do własnych celów (w szczególności dodawać ich do własnej bazy klientów/marketingowej oraz dalej udostępniać/sprzedawać. Nie może również wykorzystywać ich do promocji własnych produktów i usług). Powierzaniu może podlegać dowolna czynność na danych - od gromadzenia, przez edycję, przechowywanie, usunięcie. Umowa zawierana między administratorem a procesorem, czyli podmiotem przetwarzającym dane jest zdecydowanie najważniejszym ogniwem współpracy między nimi. Kto może być podmiotem przetwarzającym dane na zlecenie administratora danych. Ogólne rozporządzenie o ochronie danych jednoznacznie precyzuje, kto może być procesorem, tj. podmiotem przetwarzającym dane osobowe. Podmiotem przetwarzającym dane może być zatem: osoba fizyczna lub prawna, organ publiczny, jednostka lub inny podmiot, który przetwarza dane osobowe w imieniu administratora. Elementy umowy powierzenia przetwarzania danych Przepisy RODO oznaczają dla administratorów danych osobowych nową rzeczywistość w aspekcie umów powierzenia przetwarzania i wskazują wprost elementy, które umowa taka powinna zawierać. Mowa tutaj o art. 28 RODO, określającym podstawowy katalog obowiązkowych zapisów umowy powierzenia. Niedostosowanie zapisów umowy do nowych wymagań może rodzić szereg negatywnych konsekwencji, między innymi w postaci wysokich kar pieniężnych - zarówno po stronie administratora, jak i podmiotu przetwarzającego. Przechodząc do zakresu przedmiotowego umowy powierzenia należy zauważyć, że jej treść powinna zawierać następujące elementy: Określenie administratora danych, Określenie podmiotu przetwarzającego dane na zlecenie administratora, przedmiot przetwarzania, czas trwania przetwarzania, charakter i cel przetwarzania, rodzaj powierzonych danych osobowych (tu należy wpisać konkretne kategorie danych osobowych, przy czym wskazać należy czy są to dane zwykłe czy szczególne kategorie danych czy też takie, które dotyczą wyroków skazujących i naruszeń prawa). kategorię osób, których dane dotyczą (np. jeśli przetwarzaniu podlegają dane pracowników i kontrahentów to każda z tych grup stanowi odrębną kategorię osób). obowiązki i prawa administratora, obowiązki podmiotu przetwarzającego. Wymienione powyżej elementy to minimum, które powinna zawierać każda umowa. Nie jest jednak wykluczone, aby zawrzeć w niej jeszcze dodatkowe elementy, które będą stanowić dodatkowe zabezpieczenie. Przykładowo może to być wprowadzenie kar umownych za naruszenia ochrony danych przez przedmiot przetwarzający, wprowadzenie zasad przeprowadzania audytów lub określenie sposobów zakończenia współpracy w przyszłości. Warto w umowie powierzenia zawrzeć zapis o tym, w jakim terminie podmiot przetwarzający poinformuje administratora danych o zaistniałym naruszeniu bezpieczeństwa przetwarzanych danych osobowych (jeżeli takie wystąpi). To o tyle istotne, że Administrator Danych zobowiązany jest zgłosić takie naruszenie do organu nadzorczego (Urzędu Ochrony Danych Osobowych) w ciągu 72 godzin od momentu jego stwierdzenia. Sprawdź naszą propozycję wzoru umowy powierzenia przetwarzania danych osobowych: Umowa powierzenia przetwarzania danych osobowych - wzór Oczywiście każda z sytuacji powierzenia będzie posiadała swoją specyfikę, wzór ten pomoże jednak w zrozumieniu najważniejszych elementów tej umowy. I jeszcze jedna ważna informacja: Umowa powierzenia przetwarzania danych osobowych powinna zostać sporządzona na piśmie. Możliwa jest również jej forma elektroniczna. Obowiązki administratora i podmiotu przetwarzającego W stosunku do poprzedniego stanu prawnego, nowością, którą wprowadziło RODO jest obowiązek spoczywający na administratorze danych, polegający na sprawdzeniu podmiotu, któremu mają zostać powierzone dane i dołożeniu szczególnej staranności przy jego wyborze. Zgodnie z art. 28 ust. 1 RODO administrator powinien korzystać wyłącznie z usług podmiotów, które zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi RODO i chroniło prawa osób, których dane dotyczą np. pracowników, klientów, kontrahentów. Podmiot przetwarzający musi zapewnić przynajmniej taki sam poziom ochrony jak administrator danych, dokonywać regularnego szacowania ryzyka oraz być w stanie zapewnić ciągłość działania. W szczególności procesor powinien: zapewnić zachowanie tajemnicy przetwarzanych danych osobowych, zagwarantować odpowiednie bezpieczeństwo ich przetwarzania (środki zapewnienie bezpieczeństwa mogą obejmować np. pseudonimizację i szyfrowanie danych osobowych, zapewnienie poufności, integralności, dostępności i odporności systemów i usług przetwarzania, przywracanie dostępności danych w razie incydentu fizycznego lub technicznego, regularne testowanie i ocenianie skuteczności ww. środków), udzielić pomocy administratorowi w wypełnianiu jego obowiązków względem osoby, której dane dotyczą lub Prezesa Urzędu Ochrony Danych Osobowych RODO wprowadza również obowiązek usunięcia lub zwrotu wszelkich danych osobowych, a także usunięcia wszelkich ich istniejących kopii przez podmiot przetwarzający po zakończeniu przez niego świadczenia usług związanych z przetwarzaniem, chyba że prawo Unii lub prawo państwa członkowskiego nakazuje przechowywanie danych osobowych. Audyty i kontrole u podmiotu przetwarzającego dane Administrator danych ma prawo do przeprowadzenia kontroli podmiotu przetwarzającego w zakresie zgodności jego działalności z przepisami RODO i obowiązującymi wymogami w zakresie ochrony praw osób, których dane są przetwarzane. Przeprowadzanie audytów i kontroli u kontrahentów, którym powierza się dane do przetwarzania, już teraz staje się coraz bardziej powszechnym zjawiskiem. W umowie powierzenia przetwarzania danych warto określić termin, w jakim Administrator danych powinien poinformować podmiot przetwarzający o planowej kontroli. Jednocześnie podmiot przetwarzający nie może korzystać z usług innego podmiotu przetwarzającego bez uprzedniej szczegółowej lub ogólnej pisemnej zgody administratora. Z jakimi podmiotami nie trzeba podpisywać umowy powierzenia przetwarzania danych Należy zaznaczyć, że umowy powierzenia nie trzeba podpisywać z podmiotami i instytucjami, które mogą otrzymywać dane osobowe od Administratora Danych na podstawie przepisów prawa (np. ZUS, Urząd Skarbowy, komornik, Policja, Prokuratura, etc.), ponieważ w tym przypadku mamy do czynienia z udostępnieniem danych osobowych, a nie ich powierzeniem. To o czym należy pamiętać w procesie podpisywania umowy powierzania danych osobowych i związanym z tym przekazywaniem danych to to, że przekazanie danych do powierzenia powinno nastąpić dopiero po zawarciu stosownej umowy, a nigdy wcześniej. Dalsze powierzenie przetwarzania danych osobowych Podmiot, któremu powierza się dane może, w pewnych sytuacjach, mieć potrzebę powierzyć te dane dalej, kolejnemu podmiotowi. Przykładem takiej sytuacji może być przekazanie przez biuro księgowe danych swoich klientów firmie, która dostarcza mu program informatyczny. Taką sytuację nazywamy podpowierzeniem. Możliwość dalszego powierzenia danych do przetwarzania przewiduje wprost samo rozporządzenie (art. 28 ust. 2 i 4). Dalsze powierzenie danych do przetwarzania następuje na podstawie umowy lub innego aktu prawnego, które podlegają prawu Unii lub prawu państwa członkowskiego. Może jednak wystąpić tylko pod warunkiem uzyskania szczególnej lub ogólnej pisemnej zgody administratora danych. Podmiot, któremu podmiot przetwarzający powierza dane do dalszego przetwarzania to tzw. podprocesor. Nałożone na niego obowiązki w zakresie ochrony danych osobowych pozostają takie same, jak te wymienione w umowie lub innym akcie prawnym między administratorem a podmiotem przetwarzającym. Taki „podprocesor” podlega w szczególności obowiązkowi zapewnienia wystarczających gwarancji wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie odpowiadało wymogom rozporządzenia RODO. Odpowiedzialność procesora wobec administratora za wypełnienie obowiązków, jakie wziął na siebie poprzez zawarcie z nim umowy, nie może być wyłączona poprzez zawarcie umowy o dalszym powierzeniu danych do przetwarzania. Jeżeli inny podmiot przetwarzający („podprocesor”) nie wywiąże się ze spoczywających na nim obowiązków ochrony danych, pełna odpowiedzialność za to obciąży procesora, który zawarł umowę z ADO. Umowa powierzenia przetwarzania danych osobowych - wzór Opis Produkt obejmuje indywidualne przygotowanie przez prawnika dla sprzedawcy internetowego umowy powierzenia przetwarzania danych osobowych zgodnych z RODO (ogólnym rozporządzeniem o ochronie danych). Produkt skierowany jest do sprzedawców internetowych chcących dostosować swój sklep internetowy do wymogów stawianych przez RODO. W ramach zakupionego produktu otrzymasz usługę przygotowania dopasowanej umowy powierzenia przetwarzania danych osobowych zgodnej z rozporządzeniem RODO. Usługa jest standardowo realizowana w ciągu 5-9 dni roboczych od dnia otrzymania płatności. Produkt jest skierowany do standardowych sklepów internetowych, które mają siedzibę na terytorium Polski, nie przetwarzają danych wrażliwych oraz nie przekazują danych poza UE. Jeżeli zależy Ci na szybszej realizacji usługi lub innym zakresie, to skontaktuj się z nami i dostosujemy usługę do Twoich potrzeb. Nasi prawnicy są do Twojej dyspozycji! Zadzwoń lub napisz – chętnie pomożemy: 61 847 55 18 kontakt@ Rozporządzenie RODO, to dokładnie rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) Rozporządzenie RODO wskazuje szereg wymaganych informacji, które należy udostępnić osobie, której dane dotyczą. RODO ustala także zasady przetwarzania danych osobowych, którymi musimy się kierować przy ich przetwarzaniu, w tym wymogi dotyczące uzyskiwanej zgody na przetwarzanie danych osobowych. Przetwarzanie przez podmiot przetwarzający odbywa się na podstawie umowy lub innego instrumentu prawnego, które podlegają prawu Unii lub prawu państwa członkowskiego i wiążą podmiot przetwarzający i administratora, określają przedmiot i czas trwania przetwarzania, charakter i cel przetwarzania, rodzaj danych osobowych oraz kategorie osób, których dane dotyczą, obowiązki i prawa administratora. Ta umowa lub inny instrument prawny stanowią w szczególności, że podmiot przetwarzający: przetwarza dane osobowe wyłącznie na udokumentowane polecenie administratora – co dotyczy też przekazywania danych osobowych do państwa trzeciego lub organizacji międzynarodowej – chyba że obowiązek taki nakłada na niego prawo Unii lub prawo państwa członkowskiego, któremu podlega podmiot przetwarzający; w takim przypadku przed rozpoczęciem przetwarzania podmiot przetwarzający informuje administratora o tym obowiązku prawnym, o ile prawo to nie zabrania udzielania takiej informacji z uwagi na ważny interes publiczny; zapewnia, by osoby upoważnione do przetwarzania danych osobowych zobowiązały się do zachowania tajemnicy lub by podlegały odpowiedniemu ustawowemu obowiązkowi zachowania tajemnicy; podejmuje wszelkie środki wymagane na mocy art. 32; przestrzega warunków korzystania z usług innego podmiotu przetwarzającego, o których mowa w ust. 2 i 4; biorąc pod uwagę charakter przetwarzania, w miarę możliwości pomaga administratorowi poprzez odpowiednie środki techniczne i organizacyjne wywiązać się z obowiązku odpowiadania na żądania osoby, której dane dotyczą, w zakresie wykonywania jej praw określonych w rozdziale III; uwzględniając charakter przetwarzania oraz dostępne mu informacje, pomaga administratorowi wywiązać się z obowiązków określonych w art. 32–36; po zakończeniu świadczenia usług związanych z przetwarzaniem zależnie od decyzji administratora usuwa lub zwraca mu wszelkie dane osobowe oraz usuwa wszelkie ich istniejące kopie, chyba że prawo Unii lub prawo państwa członkowskiego nakazują przechowywanie danych osobowych; udostępnia administratorowi wszelkie informacje niezbędne do wykazania spełnienia obowiązków określonych w niniejszym artykule oraz umożliwia administratorowi lub audytorowi upoważnionemu przez administratora przeprowadzanie audytów, w tym inspekcji, i przyczynia się do nich. Chcesz się dowiedzieć więcej o samym RODO w sklepie internetowym? Zapraszamy do lektury wpisu na naszym blogu: Polityka prywatności sklepu internetowego zgodna z RODO – zmiany ważne dla Sprzedawców Internetowych Dlaczego warto skorzystać z naszych usług? Nasi prawnicy ciągle się doskonalą, a kontakt z blisko 4000 Sprzedawców internetowych pozwala im poznać najróżniejsze problemy prawne związane z prowadzeniem sklepu internetowego. Naszym celem jest znalezienie jak najlepszego rozwiązania dla naszych Klientów. Kim jesteśmy Jesteśmy zespołem prawników specjalizujących się w zagadnieniach prawa e-commerce, doradzając i pomagając w prowadzeniu sklepu internetowego zgodnie z prawem. Zajmujemy się również przygotowywaniem umów dla przedsiębiorców z branży e-handlu i IT. Przez 7 lat działalności w obsłudze sklepów internetowych, pomogliśmy już ponad 4 000 klientom zabezpieczyć swoje interesy pod kątem prawnym. Sprawdzone sklepy mogą liczyć na nadanie certyfikatu „Sklep Prokonsumencki”, którym wyróżniamy rzetelnych i profesjonalnych sprzedawców internetowych. Przed rozpoczęciem prac zawsze staramy się dobrze poznać potrzeby naszego Klienta, a w razie potrzeby doradzamy konieczność wprowadzenia zmian lub modyfikacji do przyjętego modelu prowadzenia sklepu, czy też serwisu. Naszą dewizą jest dbałość o spokój i bezpieczeństwo naszych Klientów tak, aby mogli się oni skupić na prowadzeniu swojego biznesu. Poznaj opinie sprzedawców internetowych o nas Stwierdzamy, że wybór serwisu był jak najbardziej trafny i przyczynił się do tego, że w sposób profesjonalny dbamy o prawa Konsumenta, co wpływa również na wizerunek naszej firmy. Rekomendujemy firmę Netlibre Sp. z jako solidnego partnera. Wojciech Lipka, Sklep ArtColor W imieniu SmartMedia Sp. z mam przyjemność polecić usługi firmy Netlibre Sp. z z siedzibą w Poznaniu właściciela marki „ (…) Zlecenie przygotowania regulaminu i polityki prywatności dla nowo otwieranego sklepu internetowego powierzone ww. firmie, zostało wykonane terminowo i profesjonalnie. Firmę możemy polecić jako profesjonalnego i solidnego wykonawcę. Bartosz Sobolewski, Sklep Polecam serwis jako profesjonalnego i rzetelnego partnera biznesowego. Nasza firma współpracowała z serwisem przy opracowywaniu regulaminu dla naszego sklepu internetowego. Współpraca przebiegła bez komplikacji i z zachowaniem najwyższego profesjonalizmowi. Dziękuję i polecam firmę jako godnego zaufania partnera biznesowego. Roman Godek, Sklep Chantal Nasi eksperci są regularnie cytowani w mediach Artykuł stworzony w ramach projektu #ForumBK – RODO w grupach kapitałowych [English abstract at the bottom of the page]Przekazywanie danych osobowych pomiędzy podmiotami należącymi do grupy kapitałowej niejednokrotnie traktowane jest „po macoszemu”. Często wydaje się bowiem, że skoro między spółkami istnieje więź oparta na mniej lub bardziej bliskich relacjach biznesowych, to powinny one móc swobodnie wymieniać się informacjami, w tym danymi osobowymi. Podejście to nie jest jednak prawidłowe, jako że RODO wymusza ustalenie ról podmiotów uczestniczących w procesie przetwarzania danych osobowych. Przykładowo, wymiana danych osobowych między spółkami może następować w modelu administrator – administrator. W takim wypadku wzajemne udostępnianie danych osobowych może następować np. w oparciu o uzasadniony interes prawny spółek (możliwość taka wskazana jest w motywie 48 preambuły RODO). Niewykluczone jednak, iż relacje występujące pomiędzy poszczególnymi spółkami w grupie uzasadniać będą konieczność powierzenia przetwarzania danych przetwarzania, czyli co?Na początek warto zwrócić uwagę na to, iż „powierzenie przetwarzania danych osobowych” nie otrzymało definicji legalnej w RODO (pojęcie to nie występuje w ogóle w wersji angielskiej rozporządzenia). „Zamiast” tego, rozporządzenie określa kim jest administrator danych oraz podmiot przetwarzający (tzw. procesor), charakteryzując drugiego z nich jako „osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który przetwarza dane osobowe w imieniu administratora”.Dla przyznania danemu podmiotowi statusu podmiotu przetwarzającego, kluczowe znaczenie ma przetwarzanie przez niego danych osobowych w imieniu administratora. Podmiot przetwarzający (procesor) nie będzie bowiem samodzielnie ustalać celów i sposobów przetwarzania. Będzie on przetwarzał dane „w ramach podstaw obranych przez [administratora] celów, sposobów, o których ten pierwszy zdecydował”[1].Powierzenie przetwarzania – kiedy?Wypada zatem zadać sobie pytanie, kiedy relacje występujące pomiędzy dwoma spółkami w grupie kapitałowej będą kształtować się w ten sposób, że jedna z nich przetwarza dane osobowe w imieniu drugiej. Najczęściej taka sytuacja będzie występować w przypadku spółek obsługujących inne podmioty w grupie, przykładowo w zakresie działalności księgowej, czy wsparcia systemów informatycznych (tzw. centrów usług wspólnych).Istotna w ramach omawianej tematyki jest również kwestia, czy podmiotem przetwarzającym może być spółka matka. Łatwo wyobrazić sobie sytuację, w której spółka dominująca przetwarzać będzie dane osobowe pochodzące z innych spółek należących do grupy kapitałowej, np. w zakresie prowadzenia bazy wszystkich pracowników, czy klientów spółki – matki jako podmiotu przetwarzającego może jednak budzić pewne wątpliwości, biorąc pod uwagę wpływ jaki spółka ta ma na pozostałe podmioty należące do grupy kapitałowej. Wątpliwości te na pierwszy rzut oka może pogłębiać lektura przepisów pierwszej kolejności należy zaznaczyć, iż RODO nie posługuje się pojęciem „grupy kapitałowej”, a „grupy przedsiębiorstw”, definiowanej jako „przedsiębiorstwo sprawujące kontrolę oraz przedsiębiorstwa przez nie kontrolowane” (art. 4 pkt 19) RODO). Pojęcia te nie są tożsame, jednakże często stosowane są zamienne. Główna różnica polega na tym, że w przypadku grupy kapitałowej nacisk kładziony jest na powiązania kapitałowe pomiędzy spółkami[2], natomiast w przypadku grupy przedsiębiorstw na pierwszy plan wysuwa się element kontroli, wniosek potwierdza lektura preambuły RODO. W motywie 37 wskazano bowiem, iż „przedsiębiorstwo sprawujące kontrolę powinno być przedsiębiorstwem, które może wywierać dominujący wpływ na pozostałe przedsiębiorstwa ze względu na przykład na strukturę właścicielską, udział finansowy lub przepisy regulujące jego działalność, lub też uprawnienia do nakazywania wdrożenia przepisów o ochronie danych osobowych”.Szczególnie interesująca jest ostatnia część cytowanego fragmentu. Nakazywanie wdrożenia przepisów o ochronie danych osobowych przywodzi na myśl pozycję administratora, chociażby z tego względu, iż zgodnie z przepisami RODO jest on uprawniony do wydawania procesorowi poleceń. A contrario, uprawnienia takie nie przysługują procesorowi względem by się mogło, iż już sam prawodawca rozstrzygnął kwestię statusu spółki-matki (przedsiębiorstwa sprawującego kontrolę). W praktyce jednak, z uwagi na możliwość prowadzenia przez spółkę-matkę działalności usługowej względem pozostałych podmiotów należących do grupy, niewykluczone jest występowanie przez nią w roli procesora, np. w przypadku świadczenia usług hostingu na rzecz pozostałych podmiotów w grupie. Możliwe jest także łączenie dwóch ról, w przypadku gdy z jednej strony spółka-matka świadczyć będzie usługi na rzecz pozostałych podmiotów, a jednocześnie będzie „uwłaszczać się” na pozyskanych od nich danych (np. w zakresie prowadzonej na poziomie centralnym działalności marketingowej).Jednocześnie trzeba pamiętać, iż w każdym wypadku ustalenie statusu podmiotu należącego do grupy kapitałowej – niezależnie od tego, czy chodzi o spółkę-matkę, czy też spółkę „szeregową” – powinno opierać się na analizie stanu faktycznego związanego z przetwarzaniem danych osobowych. Jak wskazuje Grupa Robocza Art. 29:”należy przyjrzeć się konkretnym operacjom przetwarzania i zrozumieć, kto je określa, odpowiadając na pierwszym etapie na pytania «dlaczego dane przetwarzanie ma miejsce? Kto jest rozpoczął»?”[3].Powierzenie przetwarzania – jak?W przypadku ustalenia, iż dana spółka występuje w ramach grupy kapitałowej w roli procesora, konieczne jest uregulowanie zasad powierzenia jej przez spółkę-administratora przetwarzania należących do niej danych pierwszej kolejności, administrator powinien zweryfikować, czy spółka, której zamierza powierzyć dane osobowe do przetwarzania zapewnia wystarczające gwarancje wdrożenia odpowiednich środków organizacyjnych i technicznych, by przetwarzanie spełniało wymogi RODO i chroniło prawa osób, których dane dotyczą (art. 28 ust. 1 RODO).W przypadku grup kapitałowych wzajemne weryfikowanie się poszczególnych spółek może wydawać się absurdalne, w szczególności w przypadku tych grup, w których współpraca spółek jest bliska. Na pierwszy plan wkraczają tutaj zasady compliance przyjęte w spółkach[4]. W przypadku wprowadzenia na poziomie całej grupy kapitałowej jednolitych zasad ochrony danych osobowych weryfikacja spółek przetwarzających dane osobowe w imieniu innych należących do grupy może stać się „formalnością”.Samo powierzenie przetwarzania, zgodnie z art. 28 ust. 3 RODO, może przybrać jedną z dwóch postaci:zawarcia między podmiotami umowy powierzenia przetwarzania danych osobowych lubposłużenie tzw. „innym instrumentem prawnym”.Wymogi umowy powierzenia przetwarzania danych osobowych określone zostały w przytoczonym powyżej artykule. W praktyce, umowy takie, zawierane pomiędzy spółkami należącymi do grupy kapitałowej są mniej rygorystyczne niż umowy zawierane z podmiotami zewnętrznymi. W szczególności dotyczy to zasad korzystania z dalszych podmiotów przetwarzających (ogólna zgoda z możliwością wyrażenia sprzeciwu przez administratora w przypadku zmiany wskazanych podmiotów w miejsce wymogu uzyskiwania każdorazowej szczegółowej zgody) oraz wymogów związanych z zasadami ochrony danych (wskazane powyżej stosowanie jednolitych standardów w ramach grupy).Większym problemem może być potencjalnie duża liczba umów, jaka będzie musiała być zawarta pomiędzy spółkami. W szczególności dotyczy to tworzenia w ramach grupy kapitałowej spółek będących centrami usług wspólnych, odpowiedzialnych za świadczenie na rzecz innych spółek określonego rodzaju usług, jak np. wspomniane powyżej wsparcie perspektywie powyższego, kuszące może wydawać się posłużenie się konstrukcją przytoczonego już „innego instrumentu prawnego”. Wybór ten nie jest zależny jednak od swobodnej decyzji podmiotów uczestniczących w przetwarzaniu danych osobowych. W piśmiennictwie podkreśla się, że „inny instrument prawny” stanowi czynność prawną inną od umowy. Będzie nim w szczególności akt prawny[5]. Co do zasady konstrukcja ta nie znajdzie więc zastosowania do powierzenia przetwarzania danych osobowych pomiędzy spółkami w ramach grupy kapitałowej. Brak jest bowiem aktu prawnego, który regulowałby szczegółowo zasady przetwarzania danych osobowych w ramach grupy kapitałowej, czy też przepisu pozwalającego na uregulowanie zasad przetwarzania danych osobowych w grupie kapitałowej dokumentem przyjętym np. przez spółkę-matkę, które mogłyby zostać uznane za inny instrument jednak na uwadze, iż umowa zawierana pomiędzy spółką obsługującą inne spółki z grupy będzie zbliżona w treści, rozważyć można zawarcie umowy wielostronnej, tj. jednej umowy regulującej przetwarzanie przez spółkę-procesora danych osobowych kilku spółek-administratorów. Nadto, inaczej niż na gruncie uprzednio obowiązującej ustawy o ochronie danych osobowych, RODO nie wymaga, aby umowa została zawarta w formie pisemnej. Zgodnie z art. 28 ust. 9 RODO umowa winna mieć formę pisemną, w tym elektroniczną. Tę drugą zaś należy rozumieć inaczej niż formę elektroniczną wskazaną w Kodeksie cywilnym[6], zrównując ją z postacią elektroniczną, czyli polską formą dokumentową[7].Słowo na koniecPowierzenie przetwarzania danych osobowych wewnątrz grupy kapitałowej wbrew pozorom nie stanowi konstrukcji czysto teoretycznej. W szczególności, coraz częstsza praktyka przenoszenia części zadań, które dotychczas były wykonywane przez podmioty zewnętrzne względem spółek (outsourcing wewnętrzny), pociąga za sobą konieczność adekwatnego uregulowania związanego z tym przetwarzania danych przypadku uznania, że w danych okolicznościach faktycznych zachodzi konieczność powierzenia przetwarzania, niezbędne będzie zawarcie umowy powierzenia przetwarzania danych osobowych, zgodnej z wymogami określonymi w art. 28 ust. 3 RODO. Pewnym ułatwieniem jest w tym wypadku możliwość zawarcia umowy w formie dokumentowej. Obowiązek zawarcia ww. umowy nie powinien być ignorowany. Oprócz znanych i (nie)lubianych konsekwencji związanych z brakiem umowy, w postaci ryzyka nałożenia wysokiej administracyjnej kary pieniężnej, należy mieć także na uwadze możliwość zakwalifikowania działań niedoszłego procesora jako działań administratora danych osobowych i ponoszenia związanej z tym odpowiedzialności (art. 28 ust. 10 RODO).[1] M. Sakowska-Baryła (red.), Ogólne rozporządzenie o ochronie danych osobowych. Komentarz, Warszawa 2018[2] (data dostępu: r.)[3] Opinia Grupy Roboczej Art. 29 nr 1/2010 w sprawie pojęć „administrator danych” i „przetwarzający” ( data dostępu: r.)[4] Kwestia compliance w grupach kapitałowych będzie przedmiotem artykułu z cyklu ForumBK, jaki ukaże się w dniu M. Sakowska-Baryła (red.), Ogólne rozporządzenie o ochronie danych osobowych. Komentarz, Warszawa 2018[6]Art. 78[1] § 1: Do zachowania elektronicznej formy czynności prawnej wystarcza złożenie oświadczenia woli w postaci elektronicznej i opatrzenie go kwalifikowanym podpisem elektronicznym.[7] Por. np. rozważania dot. formy umowy powierzenia przetwarzane P. Litwiński (red.), Rozporządzenie UE w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i swobodnym przepływem takich danych. Komentarz, Warszawa 2018***AbstractArticle published as part of the #ForumBK project – GDPR in capital groupsThe transfer of personal data between entities belonging to a group of companies may be based on a number of grounds, depending on the status of individual entities participating in the processing. For instance, one company may process personal data on behalf of another company. Such a situation occurs most often in the case of a company created to render services to other companies belonging to the group. Nevertheless, in each case, determining the status of the entity participating in the processing of personal data should be based on an analysis of the facts related to the processing. Processing of the personal data by a processor within the group of companies is governed by a data processing agreement. Before conclusion of such an agreement, the data controller should verify the processor; in group of companies, this entails verifying whether the processor provides sufficient guarantees to implement appropriate data protection measures which may involve the adoption of uniform data protection standards in the group. Data processing agreement may be concluded in an electronic form. "Językowe SOS. Rozmówki ukraińsko-polsko-angielsko-niemieckie" to nowa publikacja zrealizowana przez Wydział Humanistyczny Uniwersytetu Szczecińskiego. Opracował ją zespół autorów pod merytoryczną opieką prof. dr hab. Ewy Kołodziejek. Rozmówki mają pomóc w codziennych sytuacjach, np. u lekarza, w aptece, w sklepie, w restauracji, na poczcie, w urzędzie, w środkach lokomocji, w mieście. Pomogą znaleźć odpowiednie słowa, by się przywitać, pożegnać, przedstawić, podziękować, przeprosić czy określić czas. Pozwolą też nawiązać kontakt przy poszukiwaniu pracy albo gdy zdarzy się wypadek. Publikacja została sfinansowana ze środków Gminy Miasta Szczecin. Można ją pobrać ze strony Uniwersytetu, w zakładce "US dla Ukrainy".

umowa powierzenia przetwarzania danych osobowych z pocztą polską rodo