W skrócie - prawo przetwarzania danych osobowych w celu określenia uprawnienia do przebywania na terenie obiektu wynika z przepisu prawa, a więc nie jest wymagana zgoda. Art 36 ust 1 ustawy o ochronie osób i mienia w związku z art 23 Ustawy o ochronie danych osobowych. Jest tam również prawo LEGITYMOWANIA. Publikacja danych osobowych w Internecie w świetle przepisów RODO. W związku z powtarzającymi się naruszeniami ochrony danych osobowych, związanymi z nieprawidłową publikacją danych osobowych na stronach internetowych jednostek organizacyjnych Uniwersytetu Warszawskiego, pragnę przypomnieć kilka zasad, których stosowanie jest Jakie dane przed podpisaniem umowy o pracę. Od osoby ubiegającej się o zatrudnienie pracodawca może żądać podania danych osobowych obejmujących: imię (imiona) i nazwisko; datę urodzenia; dane kontaktowe wskazane przez taką osobę. Pracodawca może ponadto – jeżeli jest to niezbędne do wykonywania pracy określonego rodzaju lub na 7) Przepisy o ochronie danych osobowych – RODO, ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2019 r. poz. 1781, z późn.zm.) oraz inne właściwe sektorowe akty prawne regulujące przetwarzanie danych osobowych; 8) RODO – rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia Wykonanie umowy jest podstawą do przetwarzania danych. Umowa zgodna z RODO z przedsiębiorcami i z osobami fizycznymi. Przetwarzanie danych przed zawarciem umowy. Wielkość tekstu: A. A. Od 25 maja 2018 r. przepisy RODO obowiązują każdego przedsiębiorcę. Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia Do typowych przykładów usług, w ramach których zazwyczaj dochodzi do powierzenia przetwarzania danych osobowych należą: zewnętrzna obsługa kadrowo-płacowa, archiwizacja dokumentów, ochrona, czy usługi informatyczne. Z kolei podpisywanie umów powierzenia zazwyczaj nie jest konieczne np. w relacjach z ubezpieczycielami, agencjami . Polityka Prywatności Polityka Ochrony Danych Osobowych w Jumi Sp. z COOKIES Drodzy Państwo, dbanie o prywatność użytkowników naszego serwisu wiąże się z zabezpieczeniem ich poprzez zabezpieczenie także naszych witryn. Aby usługi nasze świadczone drogą internetową były najwyższej jakości pragniemy je dostosować do indywidualnych potrzeb każdego odwiedzającego stronę JUMI. Prosimy zapoznać się z zasadami naszej firmy w odniesieniu do używania i korzystania z plików cookies: Odwiedzanie strony internetowej naszej firmy wiąże się z tym, że na dysku Państwa komputera zapisywane są automatycznie tzw. ciasteczka (ang. cookies), czyli małe pliki tekstowe, które są wysyłane do Państwa przez nasz serwer Pliki cookies jedynie identyfikują konkretny komputer oraz przeglądarkę, czyli dają nam informację czy dany komputer odwiedzał już naszą stronę internetową Danych tych nigdzie nie gromadzimy, ani nikomu nie udostępniamy. Nie służą też do identyfikacji czyjejkolwiek tożsamości. Dane te nie są szkodliwe, ani nie wpływają w negatywny sposób na działanie Państwa komputerów czy smartfonów, także nie zmieniają zapisów czy oprogramowania Państwa sprzętu Pliki cookies są odczytywane przez serwer, po to, aby strona była lepiej dopasowana do preferencji użytkownika Otrzymujecie Państwo możliwość wyrażenia zgody na używanie plików cookies przez nasz serwer w momencie odwiedzania naszej strony internetowej. Możecie także zdecydować o wyłączeniu mechanizmu zapisywania plików cookies poprzez zmianę ustawień w swojej przeglądarce internetowej. Może to ograniczyć Wasz dostęp do niektórych funkcji i wiadomości z naszego serwisu. PRAWA AUTORSKIE JUMI Sp. z informuje, iż strona internetowa pod adresem oraz wszelkie zamieszczone na tej stronie treści, w tym zdjęcia, opisy i logo, stanowią przedmiot praw autorskich należących do JUMI Sp. z i podlegają ochronie prawnej na podstawie ustawy z dnia 4 lutego 1994r. o prawie autorskim i prawach pokrewnych ( z 1994r., Nr 24, poz. 83 ze zm.). Wszelkie korzystanie poprzez kopiowanie, powielanie, zwielokrotnianie, modyfikowanie bądź linkowanie strony bądź jej fragmentów lub poszczególnych elementów na niej zamieszczonych bez wyraźnej i jednoznacznej zgody JUMI Sp. z jest zabronione i będzie przez nią zarówno ścigane na drodze postępowania karnego, jak i dochodzone w postępowaniu cywilnym przed sądem. RODO I DANE OSOBOWE Zgodnie z art. 13 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) oraz na podstawie ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2018 r., poz. 1000) firma JUMI Sp. z chroni dane osobowe swoich klientów, kontrahentów, a także kandydatów do pracy, uzyskane w trakcie bieżącej działalności firmy – pozyskane drogą elektroniczną, jak i drogą tradycyjną. We wszystkich sprawach związanych z przetwarzaniem przez naszą firmę Państwa danych osobowych oraz realizacją praw związanych z przetwarzaniem prosimy o kontakt pod adresem e-mail: rodo@ lub telefonicznie +48 42 225 48 02 Niniejszym pragniemy poinformować Państwa o następujących elementach naszej polityki prywatności względem zbieranych danych osobowych, spełniając tym samym nasz obowiązek ustawowy. KLAUZULE INFORMACYJNE KLAUZULA INFORMACYJNA dla kontrahentów Zgodnie z art. 13 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) informuję, że: Administratorem danych osobowych Pani/Pana jest firma JUMI Sp. z z siedzibą przy Myśliwskiej 34A, 95 – 200 Pabianice, reprezentowana przez Prezesa Zarządu, adres e – mail: rodo@ Dane osobowe Pani/Pana będą przetwarzane na podstawie art. 6 ust. 1 lit. b ogólnego rozporządzenia o ochronie danych – RODO w celu zawarcia i wykonania umowy. Odbiorcami Pani/Pana danych osobowych będą firmy zewnętrzne świadczące usługi na rzecz JUMI Sp. z z którymi zawarto umowy powierzenia przetwarzania danych osobowych oraz podmioty upoważnione na podstawie przepisów prawa. Dane osobowe Pani/Pana będą przechowywane przez okres 5 lat, licząc od końca roku kalendarzowego, w którym upłynął termin płatności podatku. Posiada Pani/Pan prawo do: żądania od administratora dostępu do danych osobowych, prawo do ich sprostowania, przeniesienia oraz ograniczenia przetwarzania. Przysługuje Pani/Panu prawo wniesienia skargi do organu nadzorczego, tj. Prezesa Urzędu Ochrony Danych, ul. Stawki 2, 00-193 Warszawa. Podanie danych osobowych jest konieczne do zawarcia i wykonania umowy, a ich niepodanie będzie skutkować niemożnością zawarcia i realizacji umowy. Jeżeli nie są Państwo usatysfakcjonowani sposobem, w jaki firma JUMI Sp. z przetwarza Państwa dane osobowe, prosimy o powiadomienie nas o zaistniałym problemie, a my zbadamy wszelkie nieprawidłowości. Wątpliwości zgłaszać można na adres e-mail: rodo@ lub korespondencyjnie na adres: ul. Myśliwska 34A, 95 – 200 Pabianice z adnotacją: „Ochrona danych osobowych”. KLAUZULA INFORMACYJNA dla zleceniobiorców Zgodnie z art. 13 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) informuję, że: Administratorem danych osobowych Pani/Pana jest firma JUMI Sp. z z siedzibą przy Myśliwskiej 34A, 95 – 200 Pabianice, reprezentowana przez Prezesa Zarządu, adres e- mail: rodo@ Dane osobowe Pani/Pana będą przetwarzane na podstawie art. 6 ust. 1 lit. b ogólnego rozporządzenia o ochronie danych – RODO w celu zawarcia i wykonania umowy. Odbiorcami Pani/Pana danych osobowych będą podmioty upoważnione na podstawie przepisów prawa, a także firmy zewnętrzne świadczące usługi na rzecz JUMI Sp. z z którymi zawarto umowy powierzenia przetwarzania danych osobowych. Dane osobowe Pani/Pana będą przechowywane przez 10 lat, licząc od końca roku kalendarzowego, w którym umowa się zakończyła (w przypadku zleceniobiorców objętych zgłoszeniem do ubezpieczeń społecznych), a w przypadku zleceniobiorców nieobjętych obowiązkiem ubezpieczeniowym w zakresie ubezpieczeń społecznych; do czasu przedawnienia roszczeń. Posiada Pani/Pan prawo do: żądania od administratora dostępu do danych osobowych, prawo do ich sprostowania, przeniesienia oraz ograniczenia przetwarzania. Przysługuje Pani/Panu prawo wniesienia skargi do organu nadzorczego, tj. Prezesa Urzędu Ochrony Danych, ul. Stawki 2, 00-193 Warszawa. Podanie danych osobowych jest konieczne do zawarcia i wykonania umowy, a ich niepodanie będzie skutkować niemożnością zawarcia i realizacji umowy. Jeżeli nie są Państwo usatysfakcjonowani sposobem, w jaki firma JUMI Sp. z przetwarza Państwa dane osobowe, prosimy o powiadomienie nas o zaistniałym problemie, a my zbadamy wszelkie nieprawidłowości. Wątpliwości zgłaszać można na adres e-mail: rodo@ lub korespondencyjnie na adres: ul. Myśliwska 34A, 95 – 200 Pabianice z adnotacją: „Ochrona danych osobowych”. KLAUZULA INFORMACYJNA dla kandydatów do pracy Zgodnie z art. 13 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) informuję, iż: Administratorem danych osobowych Pani/Pana jest firma JUMI Sp. z z siedzibą przy Myśliwskiej 34A, 95 – 200 Pabianice, reprezentowana przez Prezesa Zarządu, adres e – mail: rodo@ Dane osobowe Pani/Pana będą przetwarzane w celu przeprowadzenia rekrutacji do pracy w firmie JUMI Sp. z oraz do celów przyszłych rekrutacji, jeśli wyraziłaś/eś stosowną zgodę. Dane osobowe będą przetwarzane na podstawie art. 6 ust. 1 lit. a ogólnego rozporządzenia o ochronie danych – RODO, a także na podstawie 6 ust. 1 lit. c RODO w celu wypełnienia obowiązku prawnego wynikającego z: Kodeksu Pracy – Ustawa z dnia 26 czerwca 1974 r., art. 22 1 par. 1 oraz 4. Dane osobowe będą przechowywane przez okres rekrutacji, a jeśli wyrażono zgodę na przetwarzanie danych osobowych do celów przyszłych rekrutacji – przez 12 miesięcy. Odbiorcami Pani/Pana danych osobowych w przypadku elektronicznego przesłania dokumentów aplikacyjnych będą podmioty świadczące usługi IT, tj. hosting. Posiada Pani/Pan prawo do: żądania od administratora dostępu do danych osobowych, prawo do ich sprostowania,usunięcia, ograniczenia przetwarzania oraz przeniesienia i cofnięcia zgody (w zakresie danych do których zgoda była wyrażona). Cofnięcie zgody przez podmiot danych nie będzie miało wpływu na zgodność z prawem przetwarzania dokonanego przed jej cofnięciem. Przysługuje Pani/Panu prawo wniesienia skargi do organu nadzorczego, tj. Prezesa Urzędu Ochrony Danych, ul. Stawki 2, 00-193 Warszawa. Podanie danych osobowych jest wymogiem ustawowym i jest obowiązkowe ze względu na wskazane powyżej przepisy prawa, a w pozostałym zakresie jest dobrowolne. Jeżeli nie są Państwo usatysfakcjonowani sposobem, w jaki firma JUMI Sp. z przetwarza Państwa dane osobowe, prosimy o powiadomienie nas o zaistniałym problemie, a my zbadamy wszelkie nieprawidłowości. Wątpliwości zgłaszać można na adres e-mail: rodo@ lub korespondencyjnie na adres: ul. Myśliwska 34A, 95 – 200 Pabianice z adnotacją: „Ochrona danych osobowych”. Klauzula informacyjna Na podstawie art. 13 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), publ. Dz. Urz. UE L Nr 119, s. 1 informujemy, iż: 1) Administratorem Pani/Pana danych osobowych jest Państwowa Szkoła Muzyczna I Stopnia im. Ignacego Jana Paderewskiego w Kartuzach (ul. dr. Aleksandra Majkowskiego 5, 83-300 Kartuzy). 2) W sprawach z zakresu ochrony danych osobowych mogą Państwo kontaktować się z Inspektorem Ochrony Danych Witoldem Wiśniewskim pod adresem e-mail: inspektor@ 3) Dane osobowe będą przetwarzane w celu realizacji umowy cywilnoprawnej. 4)Dane osobowe będą przetwarzane przez okres niezbędny do realizacji ww. celu z uwzględnieniem okresów przechowywania określonych w przepisach odrębnych, w tym przepisów archiwalnych. 5) Podstawą prawną przetwarzania danych jest art. 6 ust. 1 lit. b) ww. rozporządzenia. 6) Odbiorcami Pani/Pana danych będą podmioty, które na podstawie zawartych umów przetwarzają dane osobowe w imieniu Administratora. Osoba, której dane dotyczą ma prawo do: -dostępu do treści swoich danych oraz możliwości ich poprawiania, sprostowania, ograniczenia przetwarzania oraz do przenoszenia swoich danych, a także - w przypadkach przewidzianych prawem - prawo do usunięcia danych i prawo do wniesienia sprzeciwu wobec przetwarzania Państwa danych. - wniesienia skargi do organu nadzorczego w przypadku gdy przetwarzanie danych odbywa się z naruszeniem przepisów powyższego rozporządzenia tj. Prezesa Ochrony Danych Osobowych, ul. Stawki 2, 00-193 Warszawa Podanie danych osobowych jest warunkiem zawarcia umowy cywilnoprawnej. Osoba, której dane dotyczą jest zobowiązana do ich podania. Konsekwencją niepodania danych osobowych jest brak możliwości zawarcia umowy. Ponadto informujemy, iż w związku z przetwarzaniem Pani/Pana danych osobowych nie podlega Pan/Pani decyzjom, które się opierają wyłącznie na zautomatyzowanym przetwarzaniu, w tym profilowaniu, o czym stanowi art. 22 ogólnego rozporządzenia o ochronie danych osobowych. Informacje o publikacji dokumentu Pierwsza publikacja: 15:27 Sebastian Szuman Wytwarzający/ Odpowiadający: PSM I stopnia w Kartuzach Pokaż historię zmian Tytuł Wersja Dane zmiany / publikacji Ochrona danych osobowych 16:28 administrator Ochrona danych osobowych 15:27 Sebastian Szuman Aby uzyskać archiwalną wersję należy skontaktować się z Redakcją BIP Umowa powierzenia z dostawcą tzw. benefitów - czy pracodawca musi ją zawierać? Kto jest administratorem danych osobowych? Czy pracodawca musi zawierać umowę powierzenia z dostawcą benefitów? Pracodawcy bardzo często zapewniają pracownikom system benefitów, często w ramach funkcjonowania Zakładowego Funduszu Świadczeń Socjalnych. W jakiej roli wystąpi w takim przypadku dostawca takich świadczeń – czy będzie konieczne zawarcie umowy powierzenia w ramach realizacji takich zadań? Tak albo nie. Umożliwienie dostawcy benefitów przetwarzania danych osobowych nie zawsze będzie oznaczać, że konieczne jest zawarcie umowy powierzenia przetwarzania danych osobowych. Administrator danych osobowych a powierzenie przetwarzania danych Oczywiście punktem wyjścia powinno być bezsprzecznie ustalenie, w jakiej relacji występują oba podmioty, tj. pracodawca oraz dostawca benefitów. Należałoby zatem rozważyć, czy oba podmioty są odrębnymi administratorami danych osobowych, czy też wystąpi między nimi relacja powierzenia przetwarzania danych osobowych. Zatem wychodząc od definicji administratora zawartej w art. 4 pkt 7 RODO[1], trzeba ocenić, czy oraz ewentualnie który podmiot zachowuje się jak administrator, a zatem określa cele i sposoby przetwarzania danych osobowych. Wątpliwości w tym zakresie rozwiać mogą także kryteria wskazane przez Europejską Radę Ochrony Danych (Wytyczne 7/2020 w sprawie pojęć administratora i podmiotu przetwarzającego na gruncie RODO. takie jak np. przypisane administratorowi decydowanie o takich elementów procesu przetwarzania danych osobowych, jak: cele przetwarzania danych osobowych, zakres danych osobowych, kategorie osób, których dane osobowe będą przetwarzane, a idąc dalej także podejmowanie decyzji o tym, komu będą udostępnione przetwarzane dane osobowe. Jeżeli pracodawca decyduje o takich elementach przetwarzania, powinien wystąpić w roli administratora i zawarcie umowy powierzenia nie będzie zasadne. Sposób przetwarzania danych osobowych Biorąc jednak pod uwagę cechy typowe dla relacji powierzenia, należy także wziąć pod uwagę samą organizację procesu przetwarzania danych osobowych, a zatem także i sposób przetwarzania danych osobowych. Jeżeli to dostawca benefitów określa sposób przetwarzania, np. wskazując, że dane osobowe pracowników korzystających z benefitów mają być zbierane przez pracodawcę, a następnie przekazane takiemu usługodawcy, zachodzą przesłanki do uznania pracodawcę za podmiot przetwarzający w takiej relacji. Podobnie wskazywał też organ nadzorczy, Prezes Urzędu Ochrony Danych Osobowych, sygnalizując, że ….jeżeli pracodawca zajmie się rozdysponowaniem ww. formularzy do pracowników i następnie uzupełnione formularze odbierze od nich (by je przekazać firmie szkoleniowej) wówczas firma szkoleniowa będzie musiała zawrzeć z tym pracodawcą umowę powierzenia przetwarzania danych osobowych pracowników.[2] Ta ocena może mieć w zasadzie zastosowanie do każdego działania przebiegającego w ten sposób, zatem także w odniesieniu do każdego zbierania danych osobowych dla innego podmiotu. Nie ma przy tym znaczenia, że pracodawca jest administratorem danych osobowych pracowników, ponieważ dotyczy to zupełnie innego procesu przetwarzania danych osobowych. Pracodawca procesorem? Należałoby zatem odwrócić pytanie – ktoś jest administratorem, a kto procesorem w tej relacji? Czy dostawca benefitów może być administratorem (a pracodawca procesorem)? Tak, mimo, że ta relacja dotyczy pracowników pracodawcy. I tak, jeżeli to dostawca decyduje o najważniejszych elementach przetwarzania i np. określa sposób zbierania danych przez pracodawcę. W takim przypadku to pracodawca w imieniu dostawcy benefitów będzie zbierał dane osobowe pracowników (co nie ma wpływu na jego status administratora w odniesieniu do danych osobowych pracowników przetwarzanych na podstawie przepisów prawa pracy). Czy pracodawca może być odrębnym administratorem danych osobowych (obok dostawcy benefitów)? Tak, jeżeli proces zbierania danych na potrzeby korzystania przez pracowników z benefitów przebiegnie w sposób nieangażujący pracodawcy, np. pracodawca jedynie przekaże stosowną informację pracowników, ale nie będzie prowadził zapisów, nie będzie zbierał formularzy etc. Punktem wyjścia jest zatem przemyślane zaprojektowanie ścieżki umożliwiającej pracownikowi korzystanie z gwarantowanych przez pracodawcę benefitów. [1] Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) ( UE. L. Nr 119, s. 1 ze zm.), dalej RODO [2] UODO. Ochrona danych osobowych w miejscu pracy. Poradnik dla pracodawców. Zatrudnianie i zwalnianie pracowników. Obowiązki pracodawców 2022 Od 25 maja 2018 r. przepisy RODO obowiązują każdego przedsiębiorcę. Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) reguluje problematykę zabezpieczenia danych osobowych przetwarzanych w toku działalności przedsiębiorcy. Każdy przedsiębiorca musi pamiętać, że faktyczne przetwarzanie danych osobowych odbywa się na wielu różnych poziomach – zarówno w momencie poszukiwania klientów, jak i zawierania umowy, jej realizacji i dalszego przechowywania danych po zakończeniu powinna wyglądać umowa zgodna z RODO? Wykonanie umowy jest podstawą do przetwarzania danych Każdy przedsiębiorca, niezależnie od charakteru prowadzonej działalności (niezależnie od tego, czy prowadzi warsztat samochodowy, sklep z odzieżą czy agencję reklamową), zawiera szereg umów. Jeśli zatrudnia pracowników, zawiera umowy o pracę i w rezultacie przetwarza dane osobowe swoich podwładnych. Jeśli oferuje swoje usługi czy towary klientom – zawiera na przykład umowy sprzedaży, umowy o dzieło czy umowy zlecenia. W rezultacie przedsiębiorca dysponuje danymi osobowymi, które podlegają ochronie przepisów rozporządzenia RODO. Przepis art. 6 ust. 1 pkt a i b rozporządzenia RODOPrzetwarzanie jest zgodne z prawem wyłącznie w przypadkach, gdy – i w takim zakresie, w jakim – spełniony jest co najmniej jeden z poniższych warunków:a. osoba, której dane dotyczą wyraziła zgodę na przetwarzanie swoich danych osobowych w jednym lub większej liczbie określonych celów;b. przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy. Aby przetwarzanie danych osobowych było zgodne z prawem, przedsiębiorca musi mieć podstawę do tej czynności. Nie może pozyskiwać, wykorzystywać i przechowywać danych osobowych bez podstawy prawnej – przepisy RODO wskazują podstawę w artykule 6. Zgodnie z zapisami rozporządzenia, przetwarzanie danych jest zgodne z prawem, jeśli jest niezbędne do wykonania umowy. Przepis art. 6 wskazuje, że wystarczające jest spełnienie zaledwie jednego spośród warunków wskazanych w treści regulacji, co oznacza, że przedsiębiorca nie musi prosić swojego klienta o wyrażenie zgody na przetwarzanie danych, które są konieczne do wykonania umowy. Do zadbania o zgodność działań z przepisami RODO będzie wystarczające wyłącznie poinformowanie klienta o celu i sposobie przetwarzania jego danych osobowych, choć pobranie dodatkowego oświadczenia – zgody na przetwarzanie danych osobowych – z pewnością nie zaszkodzi. Umowa zgodna z RODO z przedsiębiorcami i z osobami fizycznymi Przepisy RODO zawierają precyzyjną definicję danych osobowych, których przechowywanie i przetwarzanie podlega ochronie przewidzianej przez rozporządzenie. Uwaga!Dane osobowe w rozumieniu przepisów RODO oznaczają informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej. Osoba fizyczna staje się możliwa do zidentyfikowania wówczas, gdy posiadane dane zawierają na przykład imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby. Przedsiębiorca musi pamiętać o tym, że po wejściu w życie przepisów RODO dopuszczalne jest pozyskiwanie wyłącznie danych niezbędnych do wykonania umowy – ich zakres będzie zależał od prowadzonej działalności oraz charakteru i treści umowy. Dane osobowe przetwarzane przez przedsiębiorcę winny zostać ograniczone do niezbędnego minimum – przykładowo, jeśli przedsiębiorca do wykonania umowy nie potrzebuje numeru PESEL czy numeru telefonu klienta, nie powinien prosić go o wskazanie tych danych w umowie. Kodeks cywilny zakłada, że w niektórych, ściśle opisanych sytuacjach umowa musi spełniać warunki przewidziane w przepisach w zakresie jej formy. W większości przypadków umowa jest ważna nawet wówczas, gdy nie ma formy pisemnej rozumianej jako spisane na papierze oświadczenia stron zwieńczone ich podpisami. Przedsiębiorca musi pamiętać, że obecnie zawierane umowy mogą mieć rozmaitą formę i chociażby „kliknięcie” w ofertę na stronie aukcyjnej może zakończyć się zawarciem umowy. Również w takim przypadku przedsiębiorca będzie dysponował danymi osobowymi i będzie je przetwarzał. Ważne!Przepisy RODO chronią wszystkie dane osobowe, zarówno w odniesieniu do osób fizycznych, jak i do innych podmiotów. Dane przedsiębiorcy również mogą zawierać dane osobowe (np. numer PESEL czy adres prowadzenia działalności równoznaczny z adresem zamieszkania) i z tego względu podlegają ochronie. Jednym z najważniejszych pytań, na jakie musi odpowiedzieć przedsiębiorca, jest pytanie o uzależnienie zakresu danych od osoby kontrahenta. Odpowiedź jest uwarunkowana wieloma czynnikami. Rozporządzenie RODO precyzyjnie wskazuje (patrz ramka powyżej), że przez dane osobowe należy rozumieć dane osoby fizycznej. Nie oznacza to jednak, że przedsiębiorca zawierający umowy z innymi przedsiębiorcami nie musi stosować żadnych środków ochrony – nie każdy z nich jest spółką prawa handlowego, której dane nie zawierają żadnych danych chronionych z punktu widzenia RODO. W motywach rozporządzenia wskazano wprost, że „rozporządzenie nie dotyczy przetwarzania danych osobowych dotyczących osób prawnych, w szczególności przedsiębiorców będących osobami prawnymi, w tym danych o firmie i formie prawnej oraz danych kontaktowych osoby prawnej”. Prawidłowa interpretacja tego przepisu wymaga stwierdzenia, że dane przedsiębiorców innych niż osoby prawne będą podlegały ochronie na równi z ochroną zapewnioną osobom fizycznym. Przedsiębiorca musi zwracać szczególną uwagę na dane swoich kontrahentów będących przedsiębiorcami prowadzącymi jednoosobową działalność gospodarczą. Uwaga!Niemal każdy przedsiębiorca stosuje w swojej działalności wzory umów. Ich używanie jest jak najbardziej prawidłowe, ale nie powinno następować automatycznie. Przed zawarciem umowy z klientem (zarówno innym przedsiębiorcą, jak i osobą fizyczną) przedsiębiorca powinien sprawdzić, czy umowa zawiera wyłącznie dane niezbędne do jej wykonania. Przeważająca większość przedsiębiorców na co dzień posługuje się gotowymi wzorami umów, nie zastanawiając się nad ich elementami. Zazwyczaj większą wagę stosuje się do przedmiotu umowy (czyli praw i obowiązków stron) niż do jej formalnego kształtu (czyli na przykład danych wskazywanych w nagłówku). Takie podejście jest ryzykowne – rozporządzenie RODO przewiduje kary pieniężne za złamanie zasad ochrony danych osobowych, zaś pozyskiwanie danych sprzecznych z opisanymi powyżej regułami może zostać uznane za naruszenie przepisów. Przedsiębiorca powinien dokładnie sprawdzić, co znajduje się w stosowanych przez niego wzorach umów i w razie potrzeby dokonać niezbędnych modyfikacji. Do treści umowy warto również dodać wspomnianą powyżej zgodę na przetwarzanie danych osobowych. Przedsiębiorca musi pamiętać o obowiązku zadbania o bezpieczeństwo danych osobowych zarówno w trakcie wykonywania umowy, jak i po jej zakończeniu – w tym celu konieczne jest wdrożenie odpowiednich procedur i środków bezpieczeństwa (np. zabezpieczeń systemów informatycznych czy nawet szaf pancernych w biurze firmy), zależnych od rodzaju prowadzonej działalności. Przetwarzanie danych przed zawarciem umowy Większość przedsiębiorców przetwarza dane nie tylko kontrahentów, lecz także przyszłych kontrahentów. Zawarcie umowy zazwyczaj nie następuje natychmiastowo – przedsiębiorca musi szukać klientów i odpowiadać na zapytania ofertowe wysyłane chociażby za pośrednictwem strony internetowej. Przytoczony powyżej przepis artykułu 6 rozporządzenia uznaje za dopuszczalne przetwarzanie danych niezbędnych do podjęcia działań na żądanie osoby, której dane dotyczą, również przed zawarciem umowy. Kluczowe znaczenie ma w tym przypadku fraza „na żądanie osoby” – przedsiębiorca może przetwarzać dane osobowe potencjalnego kontrahenta, ale wyłącznie, gdy jest to działanie poprzedzone żądaniem danej osoby. Pojęcie „żądania” nie może być interpretowane szeroko – żądanie potencjalnego klienta musi być wyraźne, nigdy dorozumiane. Może zostać wyrażone w rozmaity sposób (np. mailowo czy nawet telefonicznie), ale klient powinien zostać dokładnie poinformowany o zasadach przetwarzania danych przez przedsiębiorcę i celach tych czynności. Dla bezpieczeństwa przedsiębiorca powinien pobrać od drugiej strony zgodę na przetwarzanie danych osobowych. Oświadczenie o wyrażeniu zgody powinno być sformułowane w sposób jasny, zrozumiały i z użyciem prostego języka. Nowelizacja ustawy o ochronie danych osobowych, która weszła w życie w styczniu 2015 roku istotnie zliberalizowała zasady przekazywania danych osobowych do państw trzecich, wprowadzając do katalogu przesłanek legalizujących przekazanie danych do państwa trzeciego posłużenie się umową opartą o modelowe klauzule zatwierdzone przez Komisję Europejską oraz działania w ramach systemu zatwierdzonych przez Generalnego Inspektora Ochrony Danych Osobowych wiążących reguł korporacyjnych. Transgraniczna wymiana danych osobowych jest uregulowana na poziomie Unii Europejskiej przez Dyrektywę 95/46/WE w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych. W polskim porządku prawnym transfer danych osobowych został uregulowany w Ustawie o ochronie danych osobowych. Zgodnie z jej postanowieniami, przepływ danych w obrębie Europejskiego Obszaru Gospodarczego, do którego oprócz państw członkowskich UE należą: Norwegia, Islandia oraz Lichtenstein, jest traktowany tak samo jak transfer danych na terytorium Polski. Wszystkie pozostałe państwa traktowane są jako tzw. państwa trzecie. Zasady przekazywania danych osobowych do państwa trzeciego W świetle ustawy o ochronie danych osobowych, przekazanie danych osobowych do państwa trzeciego jest możliwe, co do zasady tylko wtedy, gdy państwo to zapewnia odpowiedni poziom ochrony danych osobowych. Adekwatność ochrony jest oceniania z uwzględnieniem wszystkich okoliczności dotyczących operacji przekazania danych, w szczególności biorąc pod uwagę charakter danych, cel i czas trwania proponowanych operacji przetwarzania danych, kraj pochodzenia i kraj ostatecznego przeznaczenia danych oraz przepisy prawa obowiązujące w danym państwie trzecim, a ponadto stosowane w tym państwie środki bezpieczeństwa i zasady zawodowe. Jeżeli warunek zapewnienia odpowiedniego poziomu ochrony nie jest spełniony, przekazanie danych osobowych do państwa trzeciego może nastąpić w dwóch przypadkach. Po pierwsze, transfer będzie w takiej sytuacji dopuszczalny, gdy wynika z obowiązku nałożonego na administratora danych obowiązującymi przepisami prawa lub postanowieniami ratyfikowanej umowy międzynarodowej. Po drugie, przekazanie danych osobowych do państwa, które nie zapewnia odpowiedniego poziomu ochrony jest możliwy po spełnieniu jednej z następujących przesłanek: osoba, której dane dotyczą wyraziła pisemną zgodę; przekazanie jest niezbędne do wykonania umowy pomiędzy administratorem danych a osobą, której dane dotyczą, lub jest podejmowane na jej życzenie; przekazanie jest niezbędne do wykonania umowy zawartej w interesie osoby, której dane dotyczą, pomiędzy administratorem danych a innym podmiotem; przekazanie jest niezbędne ze względu na dobro publiczne lub do wykazania zasadności roszczeń prawnych; przekazanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą; dane są ogólnie dostępne. W przypadku gdy transfer danych ma nastąpić do państwa, które nie zapewnia odpowiedniego poziomu ochrony i nie został spełniony żadnej z ww. warunków, można zwrócić się do Generalnego Inspektora Danych Osobowych (GIODO) o zgodę, która wydawana jest w drodze decyzji administracyjnej. Organ rozpatrując wniosek musi oceni czy administrator danych zapewni odpowiednie zabezpieczenie w zakresie ochrony prywatności oraz praw i wolności osoby, której dane dotyczą. Administrator może w tym celu zastosować środki różnego typu tj. odpowiednie klauzule umowne czy środki techniczne, które pozwalają zapewnić odpowiedni poziom ochrony danych. Na marginesie warto dodać, że przez administratora danych rozumie się podmiot decydujący o celach i środkach przetwarzania danych osobowych. Każdy wniosek o zgodę na transfer danych do państwa trzeciego GIODO powinien oceniać indywidualnie, z uwzględnieniem wszystkich okoliczności sprawy. W tym miejscu należy podkreślić, że przekazanie może nastąpić dopiero po uzyskaniu zgody, pozytywna decyzja nie legalizuje bowiem wcześniejszego przekazania danych. Poza wyżej wymienionymi przypadkami, w których administrator danych osobowych jest uprawniony do przekazania danych do państwa trzeciego, nowelizacja, wprowadziła do katalogu przesłanek legalizujących transfer danych do państwa trzeciego dwie dodatkowego okoliczności, mianowicie: posłużenie się umową opartą o modelowe klauzule zatwierdzone przez Komisję Europejską oraz działania w ramach systemu zatwierdzonych przez GIODO wiążących reguł korporacyjnych. Modelowe klauzule umowne Podstawowym instrumentem zapewnienia adekwatnego poziomu ochrony danych jest zawarcie odpowiednio skonstruowanej umowy przekazania danych osobowych do państwa trzeciego (umowy transferowej). Administrator danych może posłużyć się w tym celu jednym z zestawów tzw. modelowych klauzul umownych zatwierdzonych przez Komisję Europejską. Dotychczas Komisja wydała trzy decyzje zawierające zestawy standardowych klauzul. Dwa pierwsze zestawy dotyczą transferu danych pomiędzy administratorami danych (controller to controller). Klauzule wprowadzone na podstawie trzeciej decyzji znajdują zastosowanie przy przekazywaniu danych podmiotowi przetwarzającemu dane osobowe na zlecenie (controller to processor). Modelowe klauzule mogą stanowić część szerszej umowy transferowej zawartej pomiędzy administratorem danych a odbiorcą lub mogą być zawarte w aneksie do umowy. Należy podkreślić, że nie istnieje obowiązek posługiwania się standardowymi klauzulami. Jednak jeśli administrator danych zdecyduje się na oparcie o nie umowy transferowej, to przekazanie z mocy prawa traktowane będzie jako odbywające się w warunkach adekwatnego poziomu ochrony. Przed nowelizacją, zastosowanie modelowych klauzul nie wywierało takiego skutku, a co za tym idzie konieczne było każdorazowo wystąpienie do GIODO z wnioskiem o wydanie zezwalającej decyzji administracyjnej, o której była wyżej mowa. Fakt posłużenia się klauzulami był traktowany w postępowaniu przez GIODO jedynie jako jeden z dowodów służący wykazaniu, że administrator danych zapewnił odpowiednie zabezpieczenie w zakresie ochrony prywatności oraz praw i wolności osoby, której dane dotyczą. Obecnie, administrator danych osobowych, który posłuży się modelowymi klauzulami umownymi, uznanymi na mocy decyzji Komisji Europejskiej za instrument chroniący w odpowiednim stopniu prawa i wolności osoby, której dane dotyczą, zwolniony jest z obowiązku wystąpienia do GIODO z wnioskiem o wyrażenie zgody na przekazanie danych. Nie oznacza to, że administrator nie musi przestrzegać innych wymogów prawnych dotyczących przetwarzania danych osobowych. Należy ponadto pamiętać, że w każdym wypadku, w którym standardowe klauzule umowne zostaną zmodyfikowane, konieczne będzie uzyskanie zgody GIODO na transfer. Autor: Karina Wronka

umowa ochrona danych osobowych