Nasza siedziba znajduje się w Łodzi. Nasze akta rejestrowe prowadzi Sąd Rejonowy dla Łodzi-Śródmieścia w Łodzi, XX Wydział Gospodarczy KRS, numer KRS 465886, NIP 725-20-68-627. Jak możesz się z nami skontaktować? listownie: ul. Żwirki 17, 90-539 Łódź e-mailem na adres: info@lubasziwspolnicy.pl Jakie masz prawa? 1. dostępu do Twoich danych, 2. ich poprawiania, 3. żądania ich usunięcia, 4. ograniczenia przetwarzania, 5. wniesienia sprzeciwu co do przetwarzania Twoich danych osobowych. Co zrobić gdy uważasz, że przetwarzamy Twoje dane niezgodnie z wymogami prawnymi? Możesz wnieść skargę do organu nadzorczego. W Polsce jest to Prezes Urzędu Ochrony Danych Osobowych. Po co nam Twoje dane, czyli w jakim celu je przetwarzamy? 1. odpowiedzi na Twoją wiadomość lub rozwiązania poruszonej przez Ciebie sprawy, 2. marketingowym polegającym na promocji naszych towarów i usług oraz nas samych. Przy czym, ten cel realizujemy, jeżeli w wiadomości do nas poprosiłeś nas o informacje na temat naszych usług. Czy musisz podawać nam swoje dane? Jest to dobrowolne, lecz bez podania Twoich danych kontaktowych nie będziemy mogli odpowiedzieć na Twoją wiadomość i możemy nie móc rozwiązać poruszonej przez Ciebie sprawy. Na jakiej podstawie prawnej przetwarzamy Twoje dane? Art. 6 ust. 1 lit. f RODO, czyli tego rozporządzenia. Co jes naszym prawnie uzasadnionym interesem? Udzielenie odpowiedzi na Twoje pytanie lub rozwiązanie poruszonej przez Ciebie sprawy oraz prowadzenie naszego marketingu. Komu przekażemy Twoje dane? 1. podmiotom zajmującym się hostingiem (przechowywaniem) strony oraz danych osobowych dla nas, 2. dostawcom narzędzi służących do analityki działania strony. Jak długo będziemy przetwarzać Twoje dane? 1. przez czas potrzebny na udzielenie odpowiedzi na Twoje pytanie lub rozwiązanie poruszonej przez Ciebie sprawy, 2. prowadzenia działań marketingowych przez nas albo do czasu wyrażenia przez Ciebie sprzeciwu wobec dalszego przetwarzania danych w celach marketingowych. Czy po przekazaniu nam danych możesz sprzeciwić się ich przetwarzaniu? Tak. Możesz to zrobić w dwóch sytuacjach, gdy przetwarzamy Twoje dane: 1. na potrzeby marketingu bezpośredniego; takiego sprzeciwu nie musisz uzasadniać, 2. na podstawie innych naszych prawnie uzasadnionych interesów; taki sprzeciw wymaga uzasadnienia Twoją szczególną sytuacją.

Nasza siedziba znajduje się w Łodzi. Nasze akta rejestrowe prowadzi Sąd Rejonowy dla Łodzi-Śródmieścia w Łodzi, XX Wydział Gospodarczy KRS, numer KRS 465886, NIP 725-20-68-627. Jak możesz się z nami skontaktować? listownie: ul. Żwirki 17, 90-539 Łódź e-mailem na adres: info@lubasziwspolnicy.pl Jakie masz prawa? 1. dostępu do Twoich danych, 2. ich poprawiania, 3. żądania ich usunięcia, 4. ograniczenia przetwarzania, 5. wniesienia sprzeciwu co do przetwarzania Twoich danych osobowych. Co zrobić gdy uważasz, że przetwarzamy Twoje dane niezgodnie z wymogami prawnymi? Możesz wnieść skargę do organu nadzorczego. W Polsce jest to Prezes Urzędu Ochrony Danych Osobowych. Po co nam Twoje dane, czyli w jakim celu je przetwarzamy? W celu marketingowym, polegającym na wysyłaniu do Ciebie newsletterów, analizowaniu czy zapoznajesz się z ich treściami, i które z nich najchętniej czytasz. Na tej podstawie możemy dopasowywać treści newslettera do Twoich zainteresowań. Czy musisz podawać nam swoje dane? Jest to dobrowolne. Bez ich podania nie będziesz jednak mógł otrzymywać newslettera. Na jakiej podstawie prawnej przetwarzamy Twoje dane? 1. Art. 6 ust. 1 lit. f RODO, czyli tego rozporządzenia. Naszym prawnie uzasadnionym interesem jest analizowanie czy zapoznajesz się z naszymi newsletterami, i które z informacji w nich zawartych czytasz najchętniej. 2. Art. 10 ustawy o świadczeniu usług drogą elektroniczną oraz art. 172 ustawy Prawo telekomunikacyjne. Co jest naszym prawnie uzasadnionym interesem? Doskonalenie naszego newslettera poprzez analizowanie czy zapoznajesz się z jego treścią i którymi wiadomościami najbardziej się interesujesz oraz dopasowywanie treści naszego newslettera do Twoich zainteresowań. Komu przekażemy Twoje dane? 1. Dostawcom narzędzi do: a. analityki ruchu na stronie, b. wysyłki newsletterów. 2. Podmiotom zajmującym się hostingiem (przechowywaniem) strony oraz danych osobowych. Jak długo będziemy przetwarzać Twoje dane? Przez czas prowadzenia działań marketingowych przez nas albo do czasu wyrażenia przez Ciebie sprzeciwu wobec dalszego przetwarzania danych w celach marketingowych, albo odwołania zgody na wysyłanie wiadomości na Twój adres e-mail. Odwołanie przez Ciebie zgody nie wpływa na zgodność z prawem przetwarzania przed wycofaniem zgody. Czy po przekazaniu nam danych możesz sprzeciwić się ich przetwarzaniu? Tak. Możesz to zrobić w dwóch sytuacjach, gdy przetwarzamy Twoje dane: 1. na potrzeby marketingu bezpośredniego; takiego sprzeciwu nie musisz uzasadniać, 2. na podstawie innych naszych prawnie uzasadnionych interesów; taki sprzeciw wymaga uzasadnienia Twoją szczególną sytuacją.

Ustawa o ochronie danych osobowych przewiduje możliwość wykonywania czynności przetwarzania danych samodzielnie przez ich administratora oraz z wykorzystaniem podmiotu trzeciego. Podmiot przetwarzający (zwany także procesorem) uzyskuje dostęp do danych i wykonuje na nich pewne operacje, ale nie staje się ich administratorem. Powierzenie przetwarzania danych, choćby nawet oznaczało outsourcing wszystkich procesów przetwarzania, nie doprowadzi do utraty statusu administratora danych osobowych. Zdarzają się sytuacje, w których zewnętrzne podmioty zbierają dane dla administratora, opracowują je i modyfikują, a następnie usuwają, nie przekazując ich administratorowi. Nie zmienia to jednak faktu, że ustawa przyznaje status administratora temu podmiotowi, który decyduje o celach i środkach przetwarzania, a nie temu, który przetwarza dane jedynie na zlecenie administratora. Przykładami przypadków, które zgodnie z ustawą wymagają podpisania umów powierzenia mogą być zlecenia: stałej obsługi prawnej lub księgowej, obsługi informatycznej, świadczenia usług marketingowych, niszczenie dokumentów, hostingu.

Warunki powierzenia
Zgodnie z art. 31 ustawy o ochronie danych osobowych warunkiem prawidłowego powierzenia przetwarzania jest zawarcie umowy na piśmie. Procesor może powierzone dane przetwarzać wyłącznie w celu i zakresie określonych w takiej pisemnej umowie. Ponadto, zgodnie z ustawą, obowiązkiem podmiotu przetwarzającego jest podjęcie przed rozpoczęciem przetwarzania środków zabezpieczających zbiór ujętych w rozdziale dotyczącym zabezpieczenia danych osobowych oraz opracowanie i wdrożenie dokumentacji zgodnie z wymogami rozporządzenia. W zakresie przestrzegania tych przepisów procesor ponosi odpowiedzialność jak administrator danych.

Takie podejście ustawodawcy do kwestii przetwarzania danych osobowych jest zrozumiałe. Skoro administrator danych sam musi wdrożyć szereg środków technicznych i organizacyjnych zapewniających bezpieczeństwo danych, także podmiot, któremu dane powierzone są do przetwarzania powinien te zabezpieczenia utrzymywać. Dzięki temu, w przypadku outsourcingu usług, zachowana zostaje pewna ciągłość zabezpieczeń.

Dodatkowe elementy umów powierzenia
Konstruując umowy powierzenia warto zwrócić uwagę na kilka istotnych kwestii. Poza oczywistym elementem, czyli określeniem celu i zakresu powierzenia, administrator i podmiot przetwarzający ustalić powinni także bardziej szczegółowe zasady przetwarzania. Wśród zagadnień, które należy uregulować w umowie wskazać można z pewnością dodatkowe wymogi, jakie danemu podmiotowi przetwarzającemu chce postawić administrator danych. Może się zdarzyć, że procesor będzie miał dostęp do kluczowych dla administratora danych i w związku z tym administrator oczekiwał będzie zachowania wyższych standardów po stronie procesora.

Elementem, którego wprowadzenie do umów powierzenia warto rozważyć są także uprawnienia kontrolne administratora danych względem procesora. Coraz więcej administratorów stara się zagwarantować w umowie możliwość przeprowadzenia audytu u procesora jeszcze rozpoczęciem współpracy i przekazaniem danych i później na różnych etapach jej wykonywania tak, by mieć pewność, że powierzane dane są faktycznie prawidłowo zabezpieczone i że stosowane przez przetwarzającego procedury odpowiadają warunkom ustalonym w umowie.

Bardzo ważnym aspektem, który powinien być poruszony w umowie powierzenia jest zakończenie współpracy między stronami i ustalenie, co ma się stać z danymi po wygaśnięciu umowy. Możliwe jest zastrzeżenie obowiązku zwrotu danych – papierowych dokumentów i elektronicznych nośników danych lub też żądanie ich usunięcia. Szczegółowe rozwiązania zależą od indywidualnego przypadku i specyfiki przetwarzania w danym kontekście. Nie w każdym wypadku zwrot danych będzie możliwy i potrzebny. Administratorzy danych osobowych coraz częściej zastrzegają w umowach powierzenia kary umowne jako pewną gwarancję bezpieczeństwa dla siebie. Dzięki temu, w przypadku naruszeń umowy dochodzenie odpowiedzialności od procesora staje się prostsze i szybsze.

Warto także zaznaczyć, że powierzenie przetwarzania danych nie musi stanowić odrębnego dokumentu. Niejednokrotnie, i jest to praktyka poprawna, postanowienia dotyczące powierzenia przetwarzania danych wprowadzane są do umowy zlecenia czy też umowy o świadczenie usług. Jeżeli administrator decyduje się stworzyć odrębny dokument, obejmujący tylko powierzenie, musi pamiętać w nim także o określeniu terminów wypowiedzenia lub wskazaniu, na jaki okres umowa jest zawierana i o ustaleniu wynagrodzenia.

Dalsze powierzenia przetwarzania danych
Zagadnieniem, które należy również przeanalizować na etapie zawierania umowy powierzenia przetwarzania danych, jest zgoda na dalsze powierzenia ( lub brak takiej zgody). Bardzo często zdarza się, że procesor nie przetwarza danych samodzielnie dla administratora danych, a korzysta w tym celu z dalszych przetwarzających (np. biuro rachunkowe będące procesorem podpowierza dane firmie świadczącej obsługę IT i wykonującej dla biura kopie zapasowe danych). O ile ustawa o ochronie danych osobowych nie odnosi się wprost do tej kwestii, o tyle nowe rozporządzenie ogólne precyzyjnie wskazuje, na jakich zasad opierać się ma takie dalsze powierzenie. Warto podpisując dziś umowy powierzenia mieć na uwadze wymogi nowych przepisów o ochronie danych. Na gruncie rozporządzenia dalsze powierzenie będzie możliwe za zgodą wyraźną administratora danych lub po wyrażeniu przez niego ogólnej zgody na dalsze powierzenia, ale z zastrzeżeniem obowiązku informowania o każdym dalszym powierzeniu administratora danych i przyznaniem mu możliwości zgłoszenia sprzeciwu wobec korzystania z danego podprocesora. Dziś najczęściej w umowach powierzenia spotkać można zgodę na dalsze powierzenia po uprzednim poinformowaniu o danym podprocesorze ewentualnie blankietową zgodę na dalszych procesorów pod warunkiem wybierania przez procesora tylko takich podprocesorów, którzy spełnią te same wymagania z zakresu ochrony danych osobowych, które spełnia pierwszy przetwarzający.

Wymienione aspekty nie są jedynymi, na które należy zwrócić uwagę. Bardziej szczegółowe zagadnienia zależą jednak od indywidualnej oceny danego przypadku. Dobrze jednak, jeżeli administrator danych dysponuje pewnym uniwersalnym wzorem umowy powierzenia, który stanowi pewne niezbędne minimum i gwarancję bezpieczeństwa dla administratora.

Post Views: 3 781

Lubasz i Wspólnicy » Aktualności » Kiedy mamy do czynienia z powierzeniem przetwarzania?

Kiedy mamy do czynienia z powierzeniem przetwarzania?

dr Dominik Lubasz

Jeśli omawiane kwestie dotyczą Państwa sytuacji, prosimy o kontakt bezpośrednio z

Artykuły powiązane

Polityka bezpieczeństwa danych osobowych

Rozporządzenie ogólne o ochronie danych osobowych