🧩 Umowa Powierzenia Przetwarzania Danych Osobowych Z Pocztą Polską Rodo

Z kolei po stronie podmiotu, któremu dane są udostępniane, powstają obowiązki wynikające z faktu, że staje się on ich administratorem, a zatem m.in. obowiązek zapewnienia zgodności przetwarzania z RODO, w tym przetwarzania danych osobowych w oparciu i przesłankę legalizującą z art. 6 ust. 1 lub art. 9 ust. 2 RODO, obowiązek Administrator oświadcza, że jest administratorem danych osobowych w rozumieniu przepisów Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE Każda z opisanych sytuacji, świadczy o konieczności zawarcia z firmą szkoleniową (podmiotem przetwarzającym) umowy powierzenia przetwarzania danych osobowych. Umowa powinna spełniać wszystkie wymagania przewidziane w art. 28 rozporządzenia Parlamentu Europejskiego i Rady (UE) nr 2016/679 z 27.04.2016 r. w sprawie ochrony osób Zgodnie z postanowieniami art. 26 RODO do współadministrowania danymi osobowymi dochodzi jeżeli mamy do czynienia z sytuacją, gdy: co najmniej dwóch administratorów danych. wspólnie ustala cele i sposoby przetwarzania danych osobowych. Co istotne obie te przesłanki muszą zaistnieć kumulatywnie. Rozporządzenie o ochronie danych osobowych. podmiot przetwarzający. Wzory dokumentów. Umowa zawierana między administratorem a procesorem, czyli podmiotem przetwarzającym dane jest zdecydowanie najważniejszym ogniwem współpracy między nimi. Sprawdź naszą propozycję wzoru umowy powierzenia przetwarzania danych osobowych. ODPOWIEDŹ. Pracownicza Kasa Zapomogowo - Pożyczkowa będzie niezależnym od pracodawcy administratorem danych osobowych. Pomiędzy Kasą (administratorem) a pracodawcą/zakładem pracy nie powinno się zawierać umowy powierzenia danych osobowych, podmiot przetwarzający ma bowiem w takiej relacji zupełnie inny status. Zarówno pracodawca . Z kim muszę podpisywać umowę powierzenia przetwarzania danych osobowych? (kurier, poczta, księgowa, operator płatności, hosting) W codziennej praktyce sklepy internetowe do realizacji swoich celów biznesowych bardzo często korzystają z usług firm zewnętrznych. W związku z tym pojawia się problem dostępu do danych i ich przetwarzania przez osoby trzecie. Sprzedawcy internetowi mają w związku z tym obowiązek zabezpieczenia danych osobowych swoich klientów przed ich bezprawnym wykorzystaniem poprzez spełnienie ustawowo określonych obowiązków. Zgodnie z ustawą o ochronie danych osobowych, administrator danych osobowych może powierzyć przetwarzanie danych innemu podmiotowi w drodze umowy zawartej na piśmie – czyli tzw. umowy powierzenia przetwarzania danych osobowych. Czym jest powierzenie danych? Przetwarzanie danych osobowych jest dopuszczalne tylko wtedy, gdy jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa, na co wskazuje bezpośrednio art. 23 ust. 1 pkt 2 ustawy o ochronie danych osobowych. Powierzenie przetwarzania danych uregulowane jest w art. 31 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych. Art. 31 ust. 1 Administrator danych może powierzyć innemu podmiotowi, w drodze umowy zawartej na piśmie, przetwarzanie danych. Polega ono na tym, że administrator danych powierza w drodze pisemnej umowy ich przetwarzanie – w całości lub w części – innemu podmiotowi. Oznacza to, że administrator nie musi sam wykonywać wszystkich czynności związanych z procesem przetwarzania danych osobowych. Najczęściej umowy powierzenia przetwarzania danych zawierane są np. w celu dochodzenia wierzytelności lub w związku ze zleceniem innemu podmiotowi realizacji części zadań administratora (tzw. outsourcing). W pewnym uproszczeniu chodzi o przekazanie innej firmie zebranych przez administratora danych osobowych po to, by ta firma zrobiła coś z tymi nimi w jego imieniu i na jego rzecz. Czy przekazując dane zawsze je powierzam? Są sytuacje gdy prowadząc działalność administrator przekaże dane osobowe osobie trzeciej, która będzie je przetwarzać w swoim własnym imieniu i na swoją rzecz. W tej sytuacji będziemy mieli do czynienia z udostępnieniem danych – może to mieć miejsce np. w przypadku sprzedaży bazy danych. Udostępnienie jest przekazaniem danych innemu podmiotowi (odbiorcy danych), który staje się ich administratorem, zaś powierzenie polega na przetwarzaniu danych przez podmiot, który nie jest administratorem tych danych. Komu mogę powierzyć przetwarzanie danych osobowych? Hosting Duża część sklepów internetowych, ze względu na wysokie koszty, nie utrzymuje własnych serwerów, lecz wynajmuje od wyspecjalizowanych firm świadczących usługi hostingu. Wówczas dane osobowe klientów sklepu są przetwarzane przez inną firmę w jej systemie informatycznym. Definicja przetwarzania w ustawie o ochronie danych osobowych jest jednoznaczna: są to „jakiekolwiek operacje wykonywane na danych osobowych”, a wśród nich także „utrwalanie” i „przechowywanie”. Księgowość Prowadzenie dokumentacji księgowej nierozerwalnie wiąże się z przetwarzaniem danych osobowych klientów oraz osób zatrudnionych w sklepie internetowym. Wprawdzie zgodnie z ustawą o ochronie danych osobowych nie trzeba rejestrować zbiorów danych osobowych, które służą tylko do przetwarzania danych w celu wystawienia faktury, jednak wymogi dotyczące zabezpieczenia zbiorów danych osobowych, o których mowa w art. 36 ustawy, odnoszą się do wszystkich zbiorów, w których przetwarzane są dane osobowe. Art. 36. 1. Administrator danych jest obowiązany zastosować środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, a w szczególności powinien zabezpieczyć dane przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem. Obowiązek zabezpieczenia danych nie jest zatem uzależniony od celu przetwarzania, rodzaju podmiotu będącego administratorem, jak również przywilejów, do których należy zwolnienie administratorów danych z obowiązku rejestracji określonego typu zbiorów. Dlatego tak ważne by podpisując z firmą zewnętrzną umowę na obsługę księgową, sklep internetowy oraz biuro księgowe obok umowy określającej zasady współpracy w zakresie prowadzenia ksiąg rachunkowych, zawarli ze sobą odrębną umowę, której przedmiotem będzie powierzenie przetwarzania danych osobowych. Poczta Polska Jeśli e-sklep przekaże dane osobowe Poczcie Polskiej w celu realizacji usług pocztowych, Poczta będzie przetwarzać je zgodnie z art. 23 ust 1 pkt 2 ustawy o ochronie danych osobowych na podstawie ustawy Prawo Pocztowe i jest ich administratorem. Art. 23. ust 1. Przetwarzanie danych jest dopuszczalne tylko wtedy, gdy: osoba, której dane dotyczą, wyrazi na to zgodę, chyba że chodzi o usunięcie dotyczących jej danych, zezwalają na to przepisy prawa, jest niezbędne osobie, której dane dotyczą, w celu wywiązania się z umowy, której jest stroną, lub na jej życzenie w celu podjęcia niezbędnych działań przed zawarciem umowy, jest niezbędne do wykonania określonych prawem zadań realizowanych dla dobra publicznego, jest niezbędne do wypełnienia usprawiedliwionych celów administratorów danych, o których mowa w art. 3 ust. 2, a przetwarzanie danych nie narusza praw i wolności osoby, której dane dotyczą. Jednak w przypadku realizacji usług niestanowiących usług pocztowych, przekazanie Poczcie Polskiej danych osobowych klientów podmiotów zewnętrznych wymagać będzie podpisania umowy powierzenia zgodnie z art. 31 ww. ustawy. Wówczas dopiero Poczta Polska stanie się procesorem, tj. podmiotem, któremu administrator danych osobowych powierzył przetwarzanie danych osobowych w celu i zakresie przewidzianym w umowie. 1. [Prawo Pocztowe] Tajemnica pocztowa obejmuje informacje przekazywane w przesyłkach, informacje dotyczące realizacji przekazów pocztowych, dane dotyczące podmiotów korzystających z usług pocztowych oraz dane dotyczące faktu i okoliczności świadczenia usług pocztowych lub korzystania z tych usług. 2. Do zachowania tajemnicy pocztowej są obowiązani: operator; osoby, które z racji wykonywanej działalności mają dostęp do tajemnicy pocztowej. Kurier Firmy kurierskie jako podmioty świadczące usługi pocztowe nie posiadają statusu administratora danych, jaki nadaje Poczcie Polskiej ustawa Prawo Pocztowe, toteż powierzając dane kurierowi staje się on procesorem, a zatem niezbędne jest podpisanie umowy powierzenia przetwarzania danych osobowych z takimi podmiotami, w przypadku korzystania z ich usług. Operator płatności Sklepy internetowe często korzystają z firm obsługujących płatności elektroniczne. Firmy te jak np. PayU nie wymagają podpisywania umów papierowych, wymagają jedynie zaakceptowania regulaminu (w nim zawarte są zasady powierzania danych). np. § 16 regulaminu PAYU: DANE OSOBOWE 3. W związku z zawarta Umową, Partner powierza PayU przetwarzanie danych osobowych osób, które są umocowane do dokonywania czynności w imieniu Partnera lub do wykonywania wszystkich praw i obowiązków Partnera. 5. Powierzenie PayU przez Partnera przetwarzania danych osobowych osób, o których mowa w § 16 ust. 3 Regulaminu, następuje na czas trwania Umowy, następuje w celu świadczenia przez PayU usług w ramach Umowy (w tym usług płatniczych) oraz obejmuje dane osobowe niezbędne do realizacji tego celu. W przypadku płatności elektronicznych, do powierzenia najczęściej nie dojdzie, gdyż korzystając z nich to Klient sam wprowadza swoje dane osobowe na stronie pośrednika płatności. Dropshipping Sklepy internetowe coraz częściej korzystają z modelu dropshippingu opierającego się na wysyłce kupionego w e-sklepie towaru bezpośrednio z hurtowni. Decydując się na takie rozwiązanie należy podpisać z hurtownią umowę o powierzeniu przetwarzania danych osobowych, która ureguluje kwestie związane z przekazaniem danych w celu realizacji zamówień i która to zawiera informacje o przekazaniu danych przez sklep – hurtowni oraz nakłada na przetwarzającego obowiązki związane z zapewnieniem odpowiednich środków gwarantujących bezpieczeństwo danych. To tylko przykładowe z możliwych przykładów powierzenia przetwarzania danych w e-sklepie. Do powierzenia może dojść również w innych przypadkach np. podczas korzystania z oprogramowania w chmurze tzw. SaaS (do fakturowania czy też system CRM) czy też chociażby w przypadku korzystania z usług obsługującej newsletter (np. FreshMail, MailChimp). Forma umowy powierzenia danych osobowych Umowa powierzenia przetwarzania danych osobowych powinna zostać zawarta na piśmie (ale jest to forma zastrzeżona dla celów dowodowych). Powinna ona określać przede wszystkim rodzaje operacji na danych osobowych i cel przetwarzania danych, a także prawa i obowiązki zarówno administratora danych, jak i procesora. Podsumowanie Korzystając z usług podmiotów zewnętrznych e-sklep powinien trzymać rękę na pulsie. W każdej z tych sytuacji bowiem może dojść do naruszenia bezpieczeństwa przetwarzania danych osobowych jego klientów. Wybierając sposób przekazania danych osobowych osobom trzecim, e-sklep powinien pamiętać o podstawowych różnicach pomiędzy udostępnieniem a powierzeniem przetwarzania danych i wszelkimi wynikającymi z tego konsekwencjami. W takich sytuacjach, będąc administratorem danych, e-sklep musi zawierać pisemne umowy o powierzeniu danych z podmiotami zewnętrznymi. Jest to szczególnie ważne z uwagi na fakt, iż jest on odpowiedzialny nie tylko za wypełnienie poszczególnych obowiązków wynikających z ustawy przez siebie samego, ale także przez podmiot, któremu te dane powierzył. "Językowe SOS. Rozmówki ukraińsko-polsko-angielsko-niemieckie" to nowa publikacja zrealizowana przez Wydział Humanistyczny Uniwersytetu Szczecińskiego. Opracował ją zespół autorów pod merytoryczną opieką prof. dr hab. Ewy Kołodziejek. Rozmówki mają pomóc w codziennych sytuacjach, np. u lekarza, w aptece, w sklepie, w restauracji, na poczcie, w urzędzie, w środkach lokomocji, w mieście. Pomogą znaleźć odpowiednie słowa, by się przywitać, pożegnać, przedstawić, podziękować, przeprosić czy określić czas. Pozwolą też nawiązać kontakt przy poszukiwaniu pracy albo gdy zdarzy się wypadek. Publikacja została sfinansowana ze środków Gminy Miasta Szczecin. Można ją pobrać ze strony Uniwersytetu, w zakładce "US dla Ukrainy". Obecnie na rynku dość powszechnie można spotkać się z praktyką dążenia do zawarcia umowy powierzenia przetwarzania danych osobowych w każdym przypadku, gdy dane osobowe udostępnianie są pomiędzy dwoma firmami. Dążenie do zawarcia takiej umowy pojawia się jako uzupełnienie czy aneks do umowy głównej, regulującej współpracę obu firm. Czytaj także: RODO: osiem czynności w pracy, które zaczną być groźne Dotyczy to najczęściej sytuacji, gdy firma B świadczy dla firmy A określoną usługę. Usługi tej nie można zrealizować bez dostępu do określonych danych osobowych, dla których administratorem jest firma A. Stąd firma A udostępnia firmie B dane osobowe - np. swoich pracowników czy kontrahentów. W takiej sytuacji może rzeczywiście dochodzić do powierzenia danych osobowych firmie B przez firmę A. Ale nie zawsze. To nie jest sytuacja zerojedynkowa. Udostępnienie i przetwarzanie Zgodnie z definicją „przetwarzania" zamieszczoną w art. 4 RODO, przetwarzaniem danych osobowych są również różne rodzaje udostępniania (ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie). Jak każde inne przetwarzanie, udostępnianie danych osobowych na zewnątrz organizacji musi być oparte o jedną z przesłanek legalizacyjnych z art. 6 RODO i realizowane w zgodzie z innymi zasadami przetwarzania opisanymi w art. 5 RODO. Trzeba też pamiętać o prawidłowej realizacji obowiązku informacyjnego opisanego w art. 13 lub art. 14 RODO. W szczególności podmioty, którym dane są udostępniane, powinny być wymienione jako odbiorcy danych. Nie zawsze jednak udostępnianie będzie powierzeniem danych do przetwarzania w rozumieniu art. 28 RODO. Powierzenie danych osobowych do przetwarzania ma miejsce, gdy przetwarzanie danych udostępnionych „ma być dokonywane w imieniu administratora". Tak wyraźnie stanowi zdanie pierwsze art. 28 ust. 1 RODO. Przykład 1. Z powierzeniem danych osobowych do przetwarzania mamy do czynienia wtedy, gdy firma, która otrzymuje dane do przetwarzania, przetwarza je w celach, które określa firma udostępniająca dane osobowe. Firma B realizuje dla firmy A usługi w postaci wyliczenia wynagrodzeń dla pracowników i związanych z tym danin publicznych – podatków i składek na ubezpieczenie społeczne i zdrowotne. Firma A przekazuje dane osobowe swoich pracowników w celu naliczania wynagrodzeń. Firma B przetwarza dane osobowe w celach określonych przez firmę A. Gdyby nie doszło do tzw. outsourcingu usług, firma A musiałaby samodzielnie naliczać wynagrodzenia. Firma B nie przetwarza danych we własnych celach, realizuje ona cele przetwarzania firmy A. W takim przypadku mamy do czynienia z powierzeniem przetwarzania danych osobowych. Firma B jest w takim przypadku tzw. procesorem danych osobowych, dla których administratorem jest firma A. Przykład 2. Z udostępnieniem danych osobowych niebędącym powierzeniem, mamy do czynienia, gdy firma, która otrzymuje dane osobowe, przetwarza je w celach, które samodzielnie kształtuje – nie w celach własnych udostępniającego. Firma B otrzymuje od firmy A dane osobowe, aby móc świadczyć usługi ubezpieczeniowe dla pracowników firmy (ubezpieczenie grupowe). Firma B sama kształtuje cele przetwarzania danych osobowych. Dane przetwarzane są bowiem w celu zawarcia i realizacji polisy ubezpieczeniowej. Taki cel przetwarzania nie jest celem firmy A. Firma A zatem nie może powierzać danych do przetwarzania w tym celu. W takim przypadku nie mamy do czynienia z powierzeniem przetwarzania danych osobowych. Jest to udostępnienie danych osobowych pomiędzy dwoma administratorami danych osobowych, z których każdy realizuje swoje własne cele. Dostęp do platform online Stosunkowo często w relacjach z firmami świadczącymi masowo usługi dla pracowników firm, pojawia się kwestia dostępu do platform online usługodawców. Chodzi tu głównie o dostawców usług medycznych, ubezpieczeniowych lub benefitów pracowniczych. Co do zasady wymiana danych osobowych pomiędzy firmą będącą usługobiorcą a tego typu usługodawcą nie stanowi powierzenia danych do przetwarzania. Niemniej pewien wycinek współpracy może takiej umowy wymagać. Chodzi tu o dostęp pracowników usługobiorców do platform online usługodawców. Przykładem może być dostęp do portalu ubezpieczeniowego usługodawcy, w którym pracownik firmy – usługobiorcy – przetwarza dane pracowników w ramach zgłoszenia szkody. W zależności od charakteru przetwarzania może być w takim przypadku konieczne zawarcie umowy powierzenia obejmującej wycinek współpracy. Wtedy jednak, w tym wąskim wycinku, to usługodawca powierzałby dane osobowe do przetwarzania usługobiorcy. Wzajemne udostępnienia W relacjach pomiędzy firmami warto dbać o przejrzystość sytuacji prawnej. Kwestię wzajemnego udostępniania danych osobowych pomiędzy firmami, niebędącą powierzeniem danych osobowych do przetwarzania, można sformalizować, zawierając umowę regulującą aspekty tego udostępnienia. Umowa taka nie jest wprost uregulowana w RODO, niemniej jej zawarcie w żaden sposób nie pozostaje w sprzeczności z przepisami RODO i jest całkowicie dopuszczalne na gruncie zasady swobody umów wyrażonej w Kodeksie cywilnym. Umowa taka opisywać może zasady wzajemnego udostępnienia danych osobowych pomiędzy dwoma „równoległymi" administratorami danych. W umowie można nawiązać do okoliczności współpracy, określić zakres i cele udostępniania danych osobowych. Umowa może mieć charakter wyjaśniający i porządkujący wzajemne relacje w zakresie udostępnienia danych osobowych. Umowa może także regulować techniczne kwestie wymiany danych, uwzględniające w szczególności środki bezpieczeństwa przyjęte przez każdego z administratorów. Może to uwzględnić choćby konieczność szyfrowania wiadomości mejlowych, w których przesyłane są dane osobowe. Strony mogą także zapewnić się wzajemnie o legalności przetwarzania, w tym udostępniania danych osobowych, wskazując, że wykonały wobec osób, których dane są przetwarzane własne obowiązki informacyjne. Co więcej, w sytuacji, gdy byłoby to pożądane i dogodne dla stron, na podstawie postanowienia tego typu umowy można uregulować kwestię pomocy (pośrednictwa) w wykonywaniu obowiązków informacyjnych płynących z art. 14 RODO. Chodzi tutaj o obowiązek przekazania osobie, której dane są przetwarzane, określonych w tym przepisie informacji, w sytuacji, gdy administrator otrzymuje dane osobowe nie bezpośrednio od tej osoby. Kontrahent może być pośrednikiem w dostarczeniu klauzuli informacyjnej swojego partnera biznesowego do np. swoich pracowników. Skutki niewłaściwej umowy RODO nakłada szereg obowiązków na podmiot przetwarzający dane osobowe na zlecenie. Obowiązkom tym towarzyszą uprawnienia administratora powierzającego dane osobowe do przetwarzania. Sytuacja zbyt pochopnego zawierania umów powierzenia powoduje konieczność zupełnie niewłaściwego i niepotrzebnego obarczania się obowiązkami, za których nieprzestrzeganie grożą wysokie kary. Prowadzi to również do sytuacji absurdalnych. Jedną z nich jest możliwość kontroli przetwarzania danych osobowych przez powierzającego. W praktyce łączy się to z możliwością przeprowadzenia audytu w systemach przetwarzania danych osobowych procesora. Jest to sytuacja całkowicie nieprzystająca do rzeczywistości w przypadku zwykłej współpracy stron związanej jedynie z wymianą danych osobowych, niezbędnych do wykonania umowy wzajemnej. Szymon Szurgacz radca prawny w Sendero Tax & Legal Można zaobserwować tendencję zbyt pochopnego łączenia wymiany danych pomiędzy firmami z koniecznością zawarcia umowy powierzenia regulowanej przez art. 28 RODO. Zupełnie niesłusznie konieczność zawarcia takiej umowy traktuje się jako zasadę, warunek dalszej współpracy stron. Tymczasem obowiązek zawarcia umowy powierzenia nie pojawia się zawsze w przypadku, gdy partnerzy biznesowi udostępniają sobie nawzajem dane osobowe. Aktualizuje on się wyłącznie wtedy, gdy jeden z partnerów realizuje wyłącznie cele przetwarzania danych osobowych drugiego i na jego rzecz. Należy unikać zawierania umów powierzenia w sytuacjach, gdy nie ma do tego podstaw faktycznych. Może rodzić to negatywne skutki prawne i prowadzić do absurdalnych sytuacji. W dzisiejszych czasach znaczenie outsourcingu usług stale rośnie. Firmy najczęściej korzystają z usług informatycznych, kadrowych, księgowych i prawniczych. Taka forma współpracy często wiąże się z przekazaniem danych osobowych podmiotom zewnętrznym, stanowiącym formę powierzenia przetwarzania danych osobowych. Powierzenie przetwarzania danych osobowych Administrator danych może powierzyć przetwarzanie danych innemu podmiotowi w ramach zawartej umowy. Procesor zajmuje się przetwarzaniem danych jedynie w zakresie i celu określonym w umowie. Czy wiedzą Państwo co powinna zawierać taka umowa? Treść umowy Umowa powierzenia przetwarzania danych osobowych powinna określać:  cel i zakres przetwarzania danych;  dostępność powierzonych danych;  informacje o danych przetwarzanych przez firmę zewnętrzną;  zasady i formy kontroli oraz nadzoru nad przetwarzanymi danymi;  ewentualną możliwość zlecenia zadań podwykonawcom;  klauzulę, dotyczącą obowiązku dopuszczania do przetwarzania danych jedynie osób upoważnionych;  zobowiązanie procesora do usunięcia powierzonych mu danych po zakończeniu czasu trwania umowy. W przypadku, gdy administrator zawarł umowę powierzenia, pozostaje on nadal osobą odpowiedzialną za przestrzeganie przepisów ustawy o ochronie danych osobowych. Fakt ten nie wyłącza jednak odpowiedzialności procesora za przetwarzanie danych niezgodnie z umową. Decyzja o podjęciu współpracy z firmą zewnętrzną powinna wiązać się ze starannym i dokładnym sprawdzeniem podmiotu, czy jest on w stanie zapewnić ochronę danych na jak najwyższym poziomie. Tytułem wstępu Jeśli nadajesz przesyłkę za pośrednictwem serwisu w związku z wykonywaną działalnością, w szczególności gospodarczą lub zawodową (np. w ramach sklepu internetowego lub fundacji) to Ty jesteś administratorem danych osobowych osób, które wskazujesz w formularzu zamówienia. Serwis jest podmiotem przetwarzającym te dane. W związku z art. 28 ust. 3 RODO jesteśmy zobowiązani do zawarcia umowy powierzenia przetwarzania danych – Ty jako administrator danych osobowych, a administrator serwisu – jako podmiot przetwarzający dane osobowe. Niniejszą umowę możemy zawrzeć w formie elektronicznej (pozwala na to art. 28 ust. 9 RODO). Umowa powierzenia przetwarzania danych osobowych (dalej jako: Umowa powierzenia) zawarta pomiędzy: 1. Użytkownikiem Serwisu który zakłada konto lub składa zamówienie/a za pomocą Serwisu w ramach wykonywanej działalności, zwanym dalej: Administratorem lub Użytkownikiem a 2. Kurierovo Sp. z ograniczoną odpowiedzialnością Sp. komandytowa z siedzibą w Łukowie, przy ul. Sochacz 16a, 21-400 Łuków, wpisaną do Rejestru Przedsiębiorców Krajowego Rejestru Sądowego, prowadzonego przez Sąd Rejonowy Lublin-Wschód w Lublinie, z siedzibą w Świdniku, VI Wydział Gospodarczy Krajowego Rejestru Sądowego, pod nr KRS: 0000826879, REGON: 385468101, NIP: 8252188154, zwaną dalej: „Kurierovo” lub Podmiot przetwarzający. Użytkownik i Kurierovo dalej zwani są łącznie „Stronami”, a każdy z osobna „Stroną”. §1 Oświadczenia – Kurierovo 1. Kurierovo oświadcza, że jest administratorem danych osobowych. §2 Definicje 1. Administrator – administrator danych osobowych w rozumieniu art. 4 pkt 7 RODO. 2. Dane osobowe – dane osobowe w rozumieniu art. 4 pkt 1 RODO, określone w § 3 ust. 2 Umowy powierzenia. 3. Naruszenie ochrony danych osobowych – naruszenie ochrony danych osobowych w rozumieniu art. 4 pkt 12 RODO. 4. Podmiot przetwarzający – podmiot przetwarzający w rozumieniu art. 4 pkt 8 RODO. 5. Przetwarzanie – przetwarzanie danych osobowych w rozumieniu art. 4 pkt 2 RODO. 6. Serwis – serwis którego administratorem jest Kurierovo Sp. z ograniczoną odpowiedzialnością Sp. komandytowa z siedzibą w Łukowie przy ul. Sochacz 16a, 21-400 Łuków, wpisana do Rejestru Przedsiębiorców Krajowego Rejestru Sądowego, prowadzonego przez Sąd Rejonowy Lublin-Wschód w Lublinie, z siedzibą w Świdniku, VI Wydział Gospodarczy Krajowego Rejestru Sądowego, pod nr KRS: 0000826879, REGON: 385468101, NIP: 8252188154. 7. RODO – Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych). 8. Umowa pośrednictwa – Umowa pośrednictwa w doręczaniu przesyłek, którą Kurierovo zawiera z Użytkownikiem Serwisu 9. Usługi – usługi związane z pośrednictwem przez Kurierovo w doręczeniu przesyłek, nadawanych przez Administratora za pośrednictwem Serwisu §3 Przedmiot umowy 1. Umowa powierzenia określa warunki Przetwarzania przez Kurierovo w imieniu Administratora Danych osobowych określonych w ust. 2 poniżej w zakresie Usług wykonywanych przez Kurierovo na podstawie Umowy pośrednictwa. 2. Użytkownik, składając zamówienie w Serwisie powierza Kurierovo następujące dane osobowe osób trzecich: rodzaj danych osobowych: dane zwykłe, tj. imię i nazwisko, dane teleadresowe, takie jak: adres, numer telefonu, e-mail; kategorie osób, których dane dotyczą: adresaci przesyłek zlecanych przez Użytkownika. §4 Przetwarzanie danych osobowych 1. Podmiot przetwarzający będzie przetwarzał dane osobowe powierzone przez Administratora wyłącznie w celu, w zakresie i na warunkach określonych w Umowie powierzenia. Podmiot przetwarzający zobowiązuje się, że nie będzie modyfikował, usuwał ani wykorzystywał powierzonych mu do Przetwarzania Danych osobowych w jakikolwiek inny sposób niż na potrzeby świadczenia Usług na rzecz Administratora. 2. Podmiot przetwarzający będzie przetwarzał dane osobowe powierzone przez Administratora w zakresie świadczenia Usługi w formie elektronicznej, w systemie informatycznym Kurierovo oraz w formie papierowej (druki księgowe ). 3. Strony uzgadniają, że dane osobowe powierzone przez Administratora będą przetwarzane zgodnie z poleceniami Administratora przez które rozumie się każdorazowe zlecenie przesyłki za pomocą Serwisu §5 Okres przetwarzania 1. Dane osobowe powierzone przez Administratora danych będą przetwarzane przez Kurierovo w okresie wykonywania Usługi, z zastrzeżeniem następujących ustępów. 2. Po rozwiązaniu lub wygaśnięciu Umowy pośrednictwa, Podmiot przetwarzający usuwa lub zwraca Administratorowi Dane osobowe i usuwa ich kopie. Przez rozwiązanie lub wygaśnięcie Umowy pośrednictwa dla potrzeb niniejszej Umowy powierzenia rozumie się wygaśnięcie wszystkich obowiązków Kurierovo, z którymi wiąże się przetwarzanie Danych osobowych. 3. Z uwagi jednak na możliwość zaistnienia sporu pomiędzy Stronami, związanego z realizacją Umowy pośrednictwa lub Umowy powierzenia – Kurierovo usunie Dane osobowe oraz ich kopie po upływie okresu niezbędnego do ustalenia, dochodzenia lub obrony roszczeń wynikających lub mogących wynikać z Umowy współpracy lub Umowy powierzenia. §6 Obowiązki Podmiotu przetwarzającego 1. Strony zobowiązują się do wykonywania zobowiązania z najwyższą starannością zawodową, w tym do przestrzegania Umowy powierzenia i właściwych przepisów prawa mających zastosowanie do Przetwarzania danych osobowych, w szczególności zobowiązują się do przestrzegania obowiązków Stron wynikających z RODO. 2. Podmiot przetwarzający, uwzględniając charakter przetwarzania oraz dostępne mu informacje, pomaga Administratorowi danych wywiązać się z obowiązków określonych w art. 32–36 RODO. 3. Podmiot przetwarzający podejmuje środki organizacyjne i techniczne właściwe zgodnie z art. 32 RODO do przetwarzania Danych osobowych powierzonych przez Administratora w zakresie usług świadczonych zgodnie z Umową pośrednictwa w celu zabezpieczenia powierzonych do przetwarzania Danych osobowych w należyty, odpowiedni do zagrożeń sposób. 4. W zakresie pomocy Administratorowi przy realizacji obowiązku dokonywania zgłoszenia Naruszenia ochrony danych osobowych do organu nadzorczego oraz zawiadamiania o Naruszeniu ochrony Danych osobowych osób, których dane dotyczą, o których mowa w art. 28 ust. 3 lit. f) RODO, uwzględniając charakter Przetwarzania danych oraz dostępne mu informacje Podmiot przetwarzający zobowiązany jest do: zgłoszenia Administratorowi danych podejrzenia naruszenia lub stwierdzenia Naruszenia ochrony danych osobowych nie później niż w terminie 36 (słownie: trzydziestu sześciu) godzin od chwili powzięcia informacji o podejrzeniu naruszenia lub stwierdzeniu Naruszenia ochrony danych osobowych w związku z wykonywaniem Umowy powierzenia na adres email wskazany w koncie/ zamówieniu Użytkownika; w zawiadomieniu o podejrzeniu naruszenia lub stwierdzeniu Naruszenia ochrony danych osobowych Podmiot przetwarzający jest zobowiązany wskazać: 1) okoliczności zdarzenia, 2) prawdopodobne przyczyny zdarzenia, 3) środki, jakie zostały zastosowane w związku ze zdarzeniem, w celu zminimalizowania negatywnych skutków — wraz z niezbędną dokumentacją; zapewnienia Administratorowi możliwości uczestniczenia w wyjaśnianiu okoliczności zdarzenia, w tym udzielenia informacji oraz wyjaśnień, jak również podjęcia innych działań, które umożliwią Administratorowi wywiązanie się z obowiązku notyfikacyjnego wobec Prezesa Urzędu Ochrony Danych Osobowych. 5. Podmiot przetwarzający oświadcza, że osobom zatrudnionym przy Przetwarzaniu powierzonych Danych osobowych nadane zostały upoważnienia do przetwarzania danych osobowych oraz że osoby te zostały zapoznane z przepisami o ochronie danych osobowych, w szczególności RODO oraz z odpowiedzialnością za ich nieprzestrzeganie. 6. Podmiot przetwarzający zapewnia, że osoby upoważnione przez Podmiot przetwarzający do Przetwarzania Danych osobowych powierzonych przez Administratora zobowiązały się do zachowania tajemnicy lub podlegają odpowiedniemu ustawowemu obowiązkowi zachowania tajemnicy. §7 Uprawnienia Administratora danych 1. Administrator jest upoważniony do przeprowadzenia audytu w celu weryfikacji przestrzegania Umowy powierzenia przez Kurierovo, bezpośrednio lub za pośrednictwem upoważnionego audytora, z zastrzeżeniem następujących warunków: 2. audyt będzie przeprowadzany nie częściej niż raz w roku kalendarzowym, a jego termin powinien być uzgodniony przez Strony, przy czym Użytkownik zgłosi zamiar przeprowadzenia audytu co najmniej 30 dni przed jego proponowanym terminem w formie pisemnej pod rygorem nieważności na adres wskazany w komparycji Umowy powierzenia lub wysyłając wiadomość email na adres […]; 3. audytorem Użytkownika nie może być podmiot prowadzący działalność konkurencyjną wobec Kurierovo; 4. audyt nie może obejmować informacji lub dokumentów dotyczących innych klientów/ użytkowników Kurierovo, ani zmierzać lub skutkować uzyskaniem dostępu Użytkownika do danych osobowych innych niż Dane osobowe Użytkownika lub do danych poufnych Kurierovo lub innych podmiotów powiązanych (współadministratorów z Kurierovo); 5. Kurierovo może uzależnić udział audytora lub wyznaczonego pracownika Użytkownika w audycie od uprzedniego zawarcia odpowiedniej umowy poufności z Kurierovo; 6. w czasie audytu Użytkownik i audytor mają obowiązek przestrzegania wewnętrznych procedur i polityk Kurierovo dotyczących bezpieczeństwa i poufności; 7. Administrator pokrywa koszty audytu. §8 Podpowierzenie 1. Administrator wyraża zgodę na wykorzystanie przez Podmiot przetwarzający innych podmiotów przetwarzających (dalej jako: Podwykonawcy) do dalszego przetwarzania danych w ramach świadczenia Usług, przy czym każdy Podwykonawca Kurierovo zapewnia niezbędne gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych w celu zapewnienia zgodności przetwarzania z przepisami ochrony danych osobowych, w szczególności z RODO. 2. Podmiot przetwarzający ponosi pełną odpowiedzialność, jeżeli Podwykonawca nie wywiąże się ze spoczywających na nim obowiązków ochrony danych. 3. Podmiot przetwarzający zawarł lub zawrze umowy powierzenia przetwarzania danych osobowych z Podwykonawcami. 4. Podmiot przetwarzający utrzymuje listę Podwykonawców, na której znajdują się w szczególności: firmy kurierskie odpowiedzialne za realizację Usługi, firmy odpowiedzialne za kontakt w związku z realizacją Usługi, hostingodawcy Podmiotu przetwarzającego oraz firmy IT odpowiedzialne za serwisowanie platformy Kurierovo. 5. W przypadku zastąpienia podwykonawców lub dodania nowych podwykonawców, Kurierovo poinformuje o tym Administratora z dwutygodniowym wyprzedzeniem drogą mailową na adres Użytkownika wskazany w koncie lub złożonym zamówieniu. Administrator ma prawo do zgłoszenia sprzeciwu odnośnie do tych zmian w ciągu 5 dni roboczych – brak zgłoszenia sprzeciwu w tym terminie traktowany jest jako akceptacja Podwykonawcy. 6. Podmiot przetwarzający zobowiązuje się współpracować wyłącznie z takimi podwykonawcami, którzy zapewniają wdrożenie takich środków technicznych i organizacyjnych, aby Przetwarzanie odpowiadało wymogom RODO. 7. Podmiot przetwarzający zawrze z każdym podwykonawcą, który będzie przetwarzał Dane osobowe stosowną umowę, nakładającą na podwykonawcę odpowiednie obowiązki ochrony danych osobowych. 8. Jeżeli podwykonawca Kurierovo nie wywiąże się ze spoczywających na nim obowiązków ochrony danych osobowych Administratora, Podmiot przetwarzający ponosi wobec Administratora odpowiedzialność za niewypełnienie obowiązków przez Podwykonawcę tak jak za własne działania i zaniechania. §9 Odpowiedzialność Stron Umowy 1. Użytkownik odpowiada za prawidłowe wykonywanie obowiązków Administratora zgodnie z RODO, i innymi właściwymi przepisami ochrony danych osobowych, jak też niniejszą Umową powierzenia. W szczególności, Użytkownik zobowiązany jest do wypełnienia obowiązku informacyjnego wynikającego z art. 13 RODO wobec swoich klientów, których dane powierza do przetwarzania Podmiotowi przetwarzającemu, w tym do poinformowania ich, że podmiotem przetwarzającym ich dane jest Kurierovo. 2. Administrator zapewnia, że Dane osobowe są przetwarzane zgodnie z prawem, w tym zgodnie z zasadami wynikającymi z RODO, w szczególności, że dane są przetwarzane w minimalnym zakresie (Administrator nie przetwarza więcej danych niż jest to wymagane do jego celów). 3. Administrator gwarantuje, że w momencie przekazania Danych osobowych do Przetwarzania istnieje ku temu ważna podstawa prawna, co na każde żądanie Podmiotu przetwarzającego wykaże poprzez wskazanie podstawy prawnej przetwarzania i jej należyte udokumentowanie. 4. Postanowienia §9 pozostają w mocy po rozwiązaniu lub wygaśnięciu Umowy powierzenia. 5. Całkowite i maksymalne zobowiązanie Kurierovo w związku z wykonywaniem Umowy powierzenia jest ograniczone do kwoty 10 tys. zł § 10 Postanowienia końcowe 1. Strony uzgadniają, że właściwe dla Umowy powierzenia będzie prawo obowiązujące w Polsce, zaś do rozstrzygania sporów właściwy będzie sąd powszechny właściwy dla siedziby Kurierovo w dniu zawarcia niniejszej Umowy. 2. W sprawach nieuregulowanych w niniejszej Umowie powierzenia zastosowanie będzie miało RODO oraz właściwe przepisy prawa polskiego. 3. Umowa powierzenia jest w mocy tak długo, jak Podmiot przetwarzający przetwarza Dane osobowe w imieniu Administratora, zgodnie z §5, niezależnie od trwania Umowy pośrednictwa.

umowa powierzenia przetwarzania danych osobowych z pocztą polską rodo