Data aktualizacji dokumentu: 16 sierpnia 2023 r. Stosownie do postanowień art. 13 i 14 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE, dalej „RODO”, informujemy, że: Umowa Powierzenia przetwarzania danych osobowych; Wzór macierzy analizy ryzyka; Wzór zgłoszenia naruszenia osobie, której dane dotyczą (osobie poszkodowanej) Obwieszczenie o wprowadzeniu monitoringu wizyjnego; Wzór oświadczenia o zapoznaniu się z uregulowaniami dot. ochrony danych osobowych; Wzór upoważnienia do przetwarzania danych Urząd Ochrony Danych Osobowych nałożył karę w wysokości nieco ponad 1,5 tys. zł na wspólnotę mieszkaniową bo stwierdził kilka uchybień w działalności administratora. Min. zabrakło zgłoszenia naruszenia ochrony danych osobowych, nie zawiadomiono o tym naruszeniu osób, których dane dotyczą, a przetwarzanie danych członków tej wspólnoty powierzono bez pisemnej umowy. RODO. art. 23 ust. 1 pkt 3) Przetwarzanie danych jest dopuszczalne tylko wtedy, gdy: 3) jest to konieczne do realizacji umowy, gdy osoba, której dane dotyczą, jest jej stroną lub gdy jest to niezbędne do podjęcia działań przed zawarciem umowy na żądanie osoby, której dane dotyczą; art. 6 ust. 1 pkt b) RODO w art. 6 ust. 1 lit. b mówi o tym, że przetwarzanie danych osobowych jest dopuszczalne, jeżeli jest to niezbędne do: wykonania umowy, której stroną jest osoba, której dane dotyczą, podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy. Jeżeli współpraca nie wiąże się z przetwarzaniem danych osobowych. Najlepszym przykładem jest umowa na usługi sprzątające. Pracownik ten nie ma w zakresie swoich obowiązków przeglądania naszej dokumentacji. Czy może mieć do niej dostęp? Nie – administrator i jego pracownicy powinni zabezpieczać dane odpowiednio do zagrożeń. Ochrona danych osobowych a umowy zawierane z kontrahentami - Think Legal. Home Aktualności Kontakt. Wejście w życie w maju 2018 r. przepisów RODO (rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27.04.2016 r. w […] Aneks dotyczący przetwarzania danych w chmurze możesz zaakceptować tylko wtedy, gdy umowa dotycząca Google Workspace lub Cloud Identity jeszcze się do niego nie odwołuje. Jeśli nie masz pewności, czy taka umowa odwołuje się już do CDPA (lub DPA), zalecamy zaakceptowanie CDPA ze względu na zawarte w nim ważne zobowiązania w Można zatem stwierdzić, że ochrona autorskich praw osobistych ma za zadanie chronić więź twórcy z utworem. Wszelkie próby ograniczenia lub pozbawienia autora tych praw są bezskuteczne i nieważne. Sprawdź, czym różnią się osobiste prawa autorskie od praw materialnych, oraz w jaki sposób chronią je polskie przepisy prawa. Opis druku: Regulamin ochrony danych - Administrator danych w celu zapewnienia przestrzegania w jednostce zasad ochrony danych osobowych może wprowadzić regulamin ochrony danych osobowych. Taki regulamin stanowi wykaz podstawowych obowiązków z zakresu przestrzegania zasad ochrony danych osobowych zgodnie z przepisami RODO, dla pracowników K9mE. Administrator danych osobowych może, na podstawie umowy powierzenia przetwarzania danych osobowych, przekazać dane innemu podmiotowi. Przekazanie to odbywa się jednak włącznie na podstawie pisemnej umowy (może być zawarta elektronicznie) lub innego instrumentu prawnego. Jak powinna zostać sporządzona taka umowa, aby spełnione zostały wymogi nałożone przepisami o ochronie danych osobowych? Kto może powierzyć przetwarzanie danych osobowych? Dane powierzyć może ich administrator - czyli podmiot/osoba, która decyduje o celach i środkach przetwarzania danych. Administrator danych może powierzyć innemu podmiotowi, w drodze umowy (lub innego instrumentu prawnego) zawartej na piśmie, przetwarzanie danych Pobierz darmowy wzór umowy powierzenia danych osobowych w formacie pdf i docx! Do pobrania: Komu można powierzyć przetwarzanie danych? Dane powierza się wyłącznie podmiotowi, który spełnia wymagania z przepisów o ochronie danych osobowych. Zatem ten, komu powierza się przetwarzanie danych przed rozpoczęciem tego procesu (a przetwarzanie danych to już samo ich przechowywanie), powinien podjąć środki (techniczne i organizacyjne) zabezpieczające zbiór “otrzymanych” danych. Dodatkowo podmiot, któremu powierzamy dane, powinien spełniać przesłanki rozporządzenia MSWiA w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia oraz systemy informatyczne, służące do przetwarzania danych osobowych. Na kim ciąży odpowiedzialność za powierzone do przetwarzania dane osobowe? W zakresie przestrzegania przepisów dotyczących ochrony danych osobowych odpowiedzialność spoczywa zarówno na podmiocie, któremu dane powierzono, jak i na administratorze, który te dane powierzył. Zatem nie można powiedzieć, że administrator danych osobowych, powierzając je innemu podmiotowi, bezwzględnie przenosi na niego odpowiedzialność. Odpowiedzialność ta bowiem zostaje jedynie rozłożona równoważnie na dwa podmioty: administratora danych (który wciąż nim pozostaje mimo podpisanej umowy powierzenia danych osobowych) i podmiotu, któremu dane powierzono. W przypadkach wymienionych w Rozporządzeniu RODO, odpowiedzialność za przestrzeganie jego przepisów spoczywa na administratorze danych, co nie wyłącza odpowiedzialności podmiotu, który zawarł umowę, za przetwarzanie danych niezgodnie z tą umową. Umowa powierzenia przetwarzania danych Zgodnie z postanowieniami przepisów o ochronie danych osobowych umowa powierzenia przetwarzania danych osobowych musi obowiązkowo być zawarta na piśmie lub w drodze innego instrumentu prawnego (np. zarządzenia, uchwały). Nie można zatem ustnie powierzyć komuś przetwarzania danych. Zdarzenie takie zawsze trzeba udokumentować pisemnie. Ważne!Umowa powierzenia przetwarzania danych musi być zawarta na piśmie lub elektronicznie! Obowiązkowe elementy umowy przetwarzania danych osobowych Dwa główne elementy, jakie winny znaleźć się w umowie powierzenia to: zakres cel. Co zatem oznaczają te pojęcia? Zakres - jakie dane powierzamy? Administrator danych osobowych, powierzając przetwarzanie danych innemu podmiotowi, powinien wskazać zakres, czyli jakie dane faktycznie będą podlegały powierzeniu. Podaje się tu zwykle nazwę zbioru (kategorię osób, których dane dotyczą np. pracownicy, klienci) i wymienia enumeratywnie poszczególne kategorie danych: np. imię, nazwisko, adres, numer telefonu. Cel - po co powierzamy dane? Drugim obligatoryjnym elementem umowy powierzenia jest cel, czyli wskazanie przyczyny powierzenia przetwarzania danych. Może nią być powołanie się na konkretną umowę współpracy lub bezpośrednie wskazanie intencji, w której powierzono danemu podmiotowi dane osobowe. Wskazanie zakresu i celu przetwarzania danych obliguje podmiot, któremu dane osobowe powierzono, do przetwarzania ich wyłącznie we wskazanych w umowie obszarach. Pozostałe postanowienia umowy o powierzeniu przetwarzania danych osobowych Poza obligatoryjnymi postanowieniami w umowie wskazuje się oświadczenia stron, w których: zleceniodawca zwykle oświadcza, iż jest administratorem danych osobowych i posiada pełne prawo do ich przetwarzania, zleceniobiorca oświadcza, iż spełnia warunki techniczne i organizacyjne, o jakich mowa w przepisach o danych osobowych. Ponadto niekiedy zwierane są dodatkowe postanowienia umowne. Prawo do podpowierzenia danych osobowych Administrator danych osobowych może wskazać w umowie, iż zastrzega, by podmiot, który otrzymuje powierzone dane, nie podpowierzał ich innym podmiotom. Może również zezwolić na podpowierzenie danych osobowych, ale wyłącznie podmiotom wskazanym w umowie. Prawo do audytu Z uwagi na to, że administrator danych, mimo ich powierzenia, wciąż pozostaje ich administratorem i ma obowiązek czuwać nad bezpieczeństwem ich przetwarzania, warto jest zastrzec w umowie prawo do wewnętrznej kontroli podmiotów, którym dane zostały powierzone.. Prawo do upoważnienia Administrator powierzonych danych wciąż pozostaje ich “pierwotnym właścicielem”, w związku z czym może on (a niekiedy powinien) upoważnić przedstawiciela podmiotu, któremu dane są powierzane, do nadania upoważnień do przetwarzania danych osobowych w jego imieniu. Informowanie o kontrolach PUODO jak i PIP mogą kontrolować firmy w zakresie wypełniania obowiązków wynikających z przepisów o ochronie danych osobowych. Jeżeli podmiot, któremu administrator danych powierzył posiadane przez siebie zbiory, ma taką kontrolę, warto o niej wiedzieć. Inspektorzy bowiem mogą “po nitce do kłębka” dotrzeć z kontrolą do firmy administratora. Zobowiązanie do usunięcia danych Wygaśnięcie umowy współpracy jest zwykle równoznaczne z utratą podstawy do przetwarzania danych przed podmiot, któremu dane te powierzono. Mimo iż podmiot ten powinien zakończyć proces przetwarzania i usunąć dane, które zostały mu powierzone, warto o tym obowiązku przypomnieć w postanowieniach umownych. Czy umowa powierzenia może być częścią innej umowy? Tak, nie ma ku temu przeciwwskazań. Zatem zapisy dotyczące kwestii powierzenia przetwarzania danych osobowych mogą być częścią np. umowy współpracy. Należy jednak pamiętać, by zawierały zapisy niezbędne do prawidłowego uregulowania procesu powierzenia danych. Wzór umowy powierzenia przetwarzania danych osobowych dla IODZawarcie umowy powierzenia jest niezbędne, zawsze gdy ma dojść do przekazania innemu podmiotowi danych osobowych innych osób. Z taką właśnie sytuacją mamy do czynienia w przypadku przetwarzania danych osobowych przez zewnętrznego inspektora ochrony danych. Skoro odrębny podmiot mający zamiar świadczyć usługi IOD będzie miał dostęp do danych osobowych, to musi mieć ku temu podstawę prawną, którą będzie stanowiła umowa powierzenia przetwarzania danych osobowych. Jeśli jesteś subskrybentem publikacji Ochrona danych osobowych zaloguj się Zapomniałeś hasła ? kliknij tutaj Zostań subskrybentem publikacji Ochrona danych osobowych ZOBACZ OFERTĘ Od 25 maja 2018 r. przepisy RODO obowiązują każdego przedsiębiorcę. Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) reguluje problematykę zabezpieczenia danych osobowych przetwarzanych w toku działalności przedsiębiorcy. Każdy przedsiębiorca musi pamiętać, że faktyczne przetwarzanie danych osobowych odbywa się na wielu różnych poziomach – zarówno w momencie poszukiwania klientów, jak i zawierania umowy, jej realizacji i dalszego przechowywania danych po zakończeniu powinna wyglądać umowa zgodna z RODO? Wykonanie umowy jest podstawą do przetwarzania danych Każdy przedsiębiorca, niezależnie od charakteru prowadzonej działalności (niezależnie od tego, czy prowadzi warsztat samochodowy, sklep z odzieżą czy agencję reklamową), zawiera szereg umów. Jeśli zatrudnia pracowników, zawiera umowy o pracę i w rezultacie przetwarza dane osobowe swoich podwładnych. Jeśli oferuje swoje usługi czy towary klientom – zawiera na przykład umowy sprzedaży, umowy o dzieło czy umowy zlecenia. W rezultacie przedsiębiorca dysponuje danymi osobowymi, które podlegają ochronie przepisów rozporządzenia RODO. Przepis art. 6 ust. 1 pkt a i b rozporządzenia RODOPrzetwarzanie jest zgodne z prawem wyłącznie w przypadkach, gdy – i w takim zakresie, w jakim – spełniony jest co najmniej jeden z poniższych warunków:a. osoba, której dane dotyczą wyraziła zgodę na przetwarzanie swoich danych osobowych w jednym lub większej liczbie określonych celów;b. przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy. Aby przetwarzanie danych osobowych było zgodne z prawem, przedsiębiorca musi mieć podstawę do tej czynności. Nie może pozyskiwać, wykorzystywać i przechowywać danych osobowych bez podstawy prawnej – przepisy RODO wskazują podstawę w artykule 6. Zgodnie z zapisami rozporządzenia, przetwarzanie danych jest zgodne z prawem, jeśli jest niezbędne do wykonania umowy. Przepis art. 6 wskazuje, że wystarczające jest spełnienie zaledwie jednego spośród warunków wskazanych w treści regulacji, co oznacza, że przedsiębiorca nie musi prosić swojego klienta o wyrażenie zgody na przetwarzanie danych, które są konieczne do wykonania umowy. Do zadbania o zgodność działań z przepisami RODO będzie wystarczające wyłącznie poinformowanie klienta o celu i sposobie przetwarzania jego danych osobowych, choć pobranie dodatkowego oświadczenia – zgody na przetwarzanie danych osobowych – z pewnością nie zaszkodzi. Umowa zgodna z RODO z przedsiębiorcami i z osobami fizycznymi Przepisy RODO zawierają precyzyjną definicję danych osobowych, których przechowywanie i przetwarzanie podlega ochronie przewidzianej przez rozporządzenie. Uwaga!Dane osobowe w rozumieniu przepisów RODO oznaczają informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej. Osoba fizyczna staje się możliwa do zidentyfikowania wówczas, gdy posiadane dane zawierają na przykład imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby. Przedsiębiorca musi pamiętać o tym, że po wejściu w życie przepisów RODO dopuszczalne jest pozyskiwanie wyłącznie danych niezbędnych do wykonania umowy – ich zakres będzie zależał od prowadzonej działalności oraz charakteru i treści umowy. Dane osobowe przetwarzane przez przedsiębiorcę winny zostać ograniczone do niezbędnego minimum – przykładowo, jeśli przedsiębiorca do wykonania umowy nie potrzebuje numeru PESEL czy numeru telefonu klienta, nie powinien prosić go o wskazanie tych danych w umowie. Kodeks cywilny zakłada, że w niektórych, ściśle opisanych sytuacjach umowa musi spełniać warunki przewidziane w przepisach w zakresie jej formy. W większości przypadków umowa jest ważna nawet wówczas, gdy nie ma formy pisemnej rozumianej jako spisane na papierze oświadczenia stron zwieńczone ich podpisami. Przedsiębiorca musi pamiętać, że obecnie zawierane umowy mogą mieć rozmaitą formę i chociażby „kliknięcie” w ofertę na stronie aukcyjnej może zakończyć się zawarciem umowy. Również w takim przypadku przedsiębiorca będzie dysponował danymi osobowymi i będzie je przetwarzał. Ważne!Przepisy RODO chronią wszystkie dane osobowe, zarówno w odniesieniu do osób fizycznych, jak i do innych podmiotów. Dane przedsiębiorcy również mogą zawierać dane osobowe (np. numer PESEL czy adres prowadzenia działalności równoznaczny z adresem zamieszkania) i z tego względu podlegają ochronie. Jednym z najważniejszych pytań, na jakie musi odpowiedzieć przedsiębiorca, jest pytanie o uzależnienie zakresu danych od osoby kontrahenta. Odpowiedź jest uwarunkowana wieloma czynnikami. Rozporządzenie RODO precyzyjnie wskazuje (patrz ramka powyżej), że przez dane osobowe należy rozumieć dane osoby fizycznej. Nie oznacza to jednak, że przedsiębiorca zawierający umowy z innymi przedsiębiorcami nie musi stosować żadnych środków ochrony – nie każdy z nich jest spółką prawa handlowego, której dane nie zawierają żadnych danych chronionych z punktu widzenia RODO. W motywach rozporządzenia wskazano wprost, że „rozporządzenie nie dotyczy przetwarzania danych osobowych dotyczących osób prawnych, w szczególności przedsiębiorców będących osobami prawnymi, w tym danych o firmie i formie prawnej oraz danych kontaktowych osoby prawnej”. Prawidłowa interpretacja tego przepisu wymaga stwierdzenia, że dane przedsiębiorców innych niż osoby prawne będą podlegały ochronie na równi z ochroną zapewnioną osobom fizycznym. Przedsiębiorca musi zwracać szczególną uwagę na dane swoich kontrahentów będących przedsiębiorcami prowadzącymi jednoosobową działalność gospodarczą. Uwaga!Niemal każdy przedsiębiorca stosuje w swojej działalności wzory umów. Ich używanie jest jak najbardziej prawidłowe, ale nie powinno następować automatycznie. Przed zawarciem umowy z klientem (zarówno innym przedsiębiorcą, jak i osobą fizyczną) przedsiębiorca powinien sprawdzić, czy umowa zawiera wyłącznie dane niezbędne do jej wykonania. Przeważająca większość przedsiębiorców na co dzień posługuje się gotowymi wzorami umów, nie zastanawiając się nad ich elementami. Zazwyczaj większą wagę stosuje się do przedmiotu umowy (czyli praw i obowiązków stron) niż do jej formalnego kształtu (czyli na przykład danych wskazywanych w nagłówku). Takie podejście jest ryzykowne – rozporządzenie RODO przewiduje kary pieniężne za złamanie zasad ochrony danych osobowych, zaś pozyskiwanie danych sprzecznych z opisanymi powyżej regułami może zostać uznane za naruszenie przepisów. Przedsiębiorca powinien dokładnie sprawdzić, co znajduje się w stosowanych przez niego wzorach umów i w razie potrzeby dokonać niezbędnych modyfikacji. Do treści umowy warto również dodać wspomnianą powyżej zgodę na przetwarzanie danych osobowych. Przedsiębiorca musi pamiętać o obowiązku zadbania o bezpieczeństwo danych osobowych zarówno w trakcie wykonywania umowy, jak i po jej zakończeniu – w tym celu konieczne jest wdrożenie odpowiednich procedur i środków bezpieczeństwa (np. zabezpieczeń systemów informatycznych czy nawet szaf pancernych w biurze firmy), zależnych od rodzaju prowadzonej działalności. Przetwarzanie danych przed zawarciem umowy Większość przedsiębiorców przetwarza dane nie tylko kontrahentów, lecz także przyszłych kontrahentów. Zawarcie umowy zazwyczaj nie następuje natychmiastowo – przedsiębiorca musi szukać klientów i odpowiadać na zapytania ofertowe wysyłane chociażby za pośrednictwem strony internetowej. Przytoczony powyżej przepis artykułu 6 rozporządzenia uznaje za dopuszczalne przetwarzanie danych niezbędnych do podjęcia działań na żądanie osoby, której dane dotyczą, również przed zawarciem umowy. Kluczowe znaczenie ma w tym przypadku fraza „na żądanie osoby” – przedsiębiorca może przetwarzać dane osobowe potencjalnego kontrahenta, ale wyłącznie, gdy jest to działanie poprzedzone żądaniem danej osoby. Pojęcie „żądania” nie może być interpretowane szeroko – żądanie potencjalnego klienta musi być wyraźne, nigdy dorozumiane. Może zostać wyrażone w rozmaity sposób (np. mailowo czy nawet telefonicznie), ale klient powinien zostać dokładnie poinformowany o zasadach przetwarzania danych przez przedsiębiorcę i celach tych czynności. Dla bezpieczeństwa przedsiębiorca powinien pobrać od drugiej strony zgodę na przetwarzanie danych osobowych. Oświadczenie o wyrażeniu zgody powinno być sformułowane w sposób jasny, zrozumiały i z użyciem prostego języka. Klauzula informacyjna Na podstawie art. 13 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), publ. Dz. Urz. UE L Nr 119, s. 1 informujemy, iż: 1) Administratorem Pani/Pana danych osobowych jest Państwowa Szkoła Muzyczna I Stopnia im. Ignacego Jana Paderewskiego w Kartuzach (ul. dr. Aleksandra Majkowskiego 5, 83-300 Kartuzy). 2) W sprawach z zakresu ochrony danych osobowych mogą Państwo kontaktować się z Inspektorem Ochrony Danych Witoldem Wiśniewskim pod adresem e-mail: inspektor@ 3) Dane osobowe będą przetwarzane w celu realizacji umowy cywilnoprawnej. 4)Dane osobowe będą przetwarzane przez okres niezbędny do realizacji ww. celu z uwzględnieniem okresów przechowywania określonych w przepisach odrębnych, w tym przepisów archiwalnych. 5) Podstawą prawną przetwarzania danych jest art. 6 ust. 1 lit. b) ww. rozporządzenia. 6) Odbiorcami Pani/Pana danych będą podmioty, które na podstawie zawartych umów przetwarzają dane osobowe w imieniu Administratora. Osoba, której dane dotyczą ma prawo do: -dostępu do treści swoich danych oraz możliwości ich poprawiania, sprostowania, ograniczenia przetwarzania oraz do przenoszenia swoich danych, a także - w przypadkach przewidzianych prawem - prawo do usunięcia danych i prawo do wniesienia sprzeciwu wobec przetwarzania Państwa danych. - wniesienia skargi do organu nadzorczego w przypadku gdy przetwarzanie danych odbywa się z naruszeniem przepisów powyższego rozporządzenia tj. Prezesa Ochrony Danych Osobowych, ul. Stawki 2, 00-193 Warszawa Podanie danych osobowych jest warunkiem zawarcia umowy cywilnoprawnej. Osoba, której dane dotyczą jest zobowiązana do ich podania. Konsekwencją niepodania danych osobowych jest brak możliwości zawarcia umowy. Ponadto informujemy, iż w związku z przetwarzaniem Pani/Pana danych osobowych nie podlega Pan/Pani decyzjom, które się opierają wyłącznie na zautomatyzowanym przetwarzaniu, w tym profilowaniu, o czym stanowi art. 22 ogólnego rozporządzenia o ochronie danych osobowych. Informacje o publikacji dokumentu Pierwsza publikacja: 15:27 Sebastian Szuman Wytwarzający/ Odpowiadający: PSM I stopnia w Kartuzach Pokaż historię zmian Tytuł Wersja Dane zmiany / publikacji Ochrona danych osobowych 16:28 administrator Ochrona danych osobowych 15:27 Sebastian Szuman Aby uzyskać archiwalną wersję należy skontaktować się z Redakcją BIP