Umowa o pracę – podstawa przetwarzania danych. Wykonanie umowy jako przesłanka przetwarzania danych osobowych dotyczy różnego rodzaju umów – zarówno nazwanych, mających swe źródło w przepisach kodeksu cywilnego lub ustaw szczególnych, jak i umów nienazwanych, zawieranych przez strony w ramach swobody kontraktowania.
Umowa Powierzenia przetwarzania danych osobowych; Wzór macierzy analizy ryzyka; Wzór zgłoszenia naruszenia osobie, której dane dotyczą (osobie poszkodowanej) Obwieszczenie o wprowadzeniu monitoringu wizyjnego; Wzór oświadczenia o zapoznaniu się z uregulowaniami dot. ochrony danych osobowych; Wzór upoważnienia do przetwarzania danych
Odpowiedź: Podstawą przetwarzania danych osób wskazanych w umowach jako osoby do kontaktu można przetwarzać na podstawie art. 6 ust. 1 lit. f RODO (prawnie uzasadnione interesy administratora). Wobec takich osób trzeba spełnić obowiązek informacyjny.
Opublikowano 11/10/2022. Chociaż uregulowania wynikające z RODO obowiązują już od maja 2018 r. wciąż wiele agencji pracy tymczasowej nie wie jak stosować nowe przepisy dotyczące ochrony danych osobowych, w sposób odpowiadający specyfice ich branży. Działalność agencji pracy tymczasowej oparta jest bowiem na specyficznym stosunku
Przepisy nie precyzują, w jakiej formie powinna być zgłoszona pracodawcy zmiana danych osobowych pracownika. Można zatem dokonać tego: ustnie, pisemnie, w formie elektronicznej. Niezaprzeczalnie najlepszą formą jest oświadczenie pracownika sporządzone na piśmie, gdyż może być ono istotnym dowodem w razie sporów pomiędzy stronami
NSA uznał, że GIODO nie powinien był rozstrzygać, czy umowa przelewu była ważna czy nie, lecz ograniczyć się do przepisów ustawy o ochronie danych osobowych. Ochrona za daleko idąca
RODO wprowadzono w celu harmonizacji wykorzystania danych osobowych osób fizycznych oraz zapewnienia swobodnego przepływu danych między państwami członkowskimi Unii Europejskiej. Jest to zbiór przepisów – reguł i nakazów, do których muszą się dostosować szczególnie przedsiębiorcy w procesie przetwarzania danych.
Zgodnie z definicją określoną w art. 7 pkt 4 ustawy administratorem danych osobowych jest ten, kto decyduje o celach i środkach. Tak więc, jeżeli zarówno z innych postanowień umowy jak i samego procesu przetwarzania danych wynika, iż podmiot wskazany w umowie jako ten, któremu powierzono przetwarzanie danych, w rzeczywistości
osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), zwanego dalej RODO, informuję: 1. Administratorem danych osobowych jest Państwowa Szkoła Muzyczna II st. im. Władysława Żeleńskiego, ul. Basztowa 9, 31-134 Kraków, NIP: 676-117-40-99, REGON: 00027693728111
W praktyce w upoważnieniu do przetwarzania danych wskazuje się: nazwę administratora, osoby upoważnianej, zakres danych osobowych objętych upoważnieniem, dopuszczalny zakres i sposoby przetwarzania danych osobowych przez upoważnionego, czas obowiązywania upoważnienia. Uwaga. Pobierz wzór upoważnienia do przetwarzania danych osobowych>>.
lUwK2K. Wzór umowy powierzenia przetwarzania danych osobowych dla IODZawarcie umowy powierzenia jest niezbędne, zawsze gdy ma dojść do przekazania innemu podmiotowi danych osobowych innych osób. Z taką właśnie sytuacją mamy do czynienia w przypadku przetwarzania danych osobowych przez zewnętrznego inspektora ochrony danych. Skoro odrębny podmiot mający zamiar świadczyć usługi IOD będzie miał dostęp do danych osobowych, to musi mieć ku temu podstawę prawną, którą będzie stanowiła umowa powierzenia przetwarzania danych osobowych. Jeśli jesteś subskrybentem publikacji Ochrona danych osobowych zaloguj się Zapomniałeś hasła ? kliknij tutaj Zostań subskrybentem publikacji Ochrona danych osobowych ZOBACZ OFERTĘ
Sprawdź, jakie masz prawa i obowiązki dotyczące ochrony danych osobowych, podpisując z firmą umowę ochrony danych osobowych w firmie, które powinni stosować pracownicy, omówiłem w poprzednim artykule. W branży IT bardzo popularne jest zatrudnienie w oparciu umowę B2B (tzw. samozatrudnienie), gdzie prace świadczone są na rzecz jednego klienta, w jego biurze i na udostępnionym przez niego sprzęcie. Tego rodzaju forma zatrudnienia posiada pewne odrębności, co do ochrony danych osobowych, w porównaniu do pracowników zatrudnionych na umowę o pracę. O jakie dane może prosić mnie firma? Katalog danych osobowych, jakie może pozyskiwać od nas firma, będzie określała sama umowa i co do zasady podstawą prawną będzie tu niezbędność do wykonania umowy, której jesteśmy stroną, a nie nasza zgoda (art. 6 ust. 1 lit b RODO).Do katalogu typowych danych, jakie będą przetwarzane w związku ze świadczeniem przez nas usług, będą należały najczęściej: dane kontaktowe oraz dane rozliczeniowe wskazane na fakturze (nazwa firmy, adres siedziby, NIP). Czasem, jeśli osobom B2B proponowane są jakieś dodatkowe nietypowe bonusy (np. karta MultiSport) lub środki ostrożności (np. GPS w służbowym aucie; monitoring poczty firmowej) firmy mogą wymagać dodatkowo naszej zgody na przetwarzanie tych nietypowych zwrócić uwagę, że jeżeli zostaniemy uznani za odrębnego administratora danych, my również powinniśmy w związku z podpisaniem umowy dołączyć do niej klauzulę informacyjną, którą firma powinna przekazać osobom, z którymi współpracujemy w ramach organizacji. W praktyce oczywiście ciężko wyobrazić sobie sytuacje, że w związku z naszym zatrudnieniem firma X informuje w mailu powitalnym, że współpracujemy jako B2B i podane zostają dane naszej działalności. Na pewno warto jednak rozważyć załączenie stosownej klauzuli informującej o nas jako administratorze oraz zobowiązać naszego klienta do przekazania tej informacji osobom, których dane będziemy przetwarzali w ramach współpracy, gdyż pierwsza kara nałożona przez UODO właśnie oparta została o niespełnienie obowiązku informacyjnego. Czy pracodawca może udostępniać moje dane osobowe innym osobom? Tak, wynika to często ze specyfiki organizacji i wykonywania samej umowy np. zewnętrzny dział IT lub księgowość. W przypadku dodatkowych danych np. zdjęcia na identyfikatorze – warto zwrócić uwagi na zapisy naszego kontraktu, gdzie często, nawet jeżeli nie będzie wprost powiedziane, że mamy obowiązek nosić identyfikator na co dzień, to może znaleźć się postanowienie odsyłające do obowiązku przestrzegania wewnętrznych uregulowań pracodawcy, wynikających np. z bezpieczeństwa. Czy jako osoba zatrudniona na umowie B2B mam inne obowiązki niż pracownik? To zależy. Zasadniczo to firma jako administrator danych osobowych odpowiada za cele i środki przetwarzania danych osobowych, a tym samym określa, co nam wolno, a czego nie, w odniesieniu do danych osobowych. Jednak jeżeli z uwagi na stosunek B2B pozostawiono nam dużą swobodę, pozwalając przykładowo korzystać z własnego komputera i środowiska informatycznego, czy kontaktować się służbowo w ramach naszego własnego maila, którego zawartość jest hostingowana na serwerze, który sami wybraliśmy, to wtedy my odpowiadamy za te punktu widzenia osób B2B wydaje się więc bardzo ważne jasne określenie w ramach umowy współpracy, kto zapewnia narzędzia do pracy i kto odpowiada za ich bezpieczeństwo. W celu uniknięcia uznania, że mamy jednak do czynienia ze stosunkiem pracy – można dojść do porozumienia z firmą, że w umowie umieszczony zostanie jedynie jasno określony standard bezpieczeństwa wymagany przez naszego klienta, a to, czy sam komputer wraz z potrzebnym oprogramowaniem otrzymamy w ramach współpracy, ustalić w odrębnym porozumieniu – może mieć to znaczenie szczególnie w przyszłości, w przypadku wprowadzenia sformalizowanych „Testów przedsiębiorcy”. Czy powinienem podpisać z pracodawcą umowę powierzenia? W przypadku, jeżeli osoba nie prowadzi własnej dokumentacji, a jedynie świadczę usługi na sprzęcie i narzędziach udostępnionych przez firmę, która określa zasady bezpieczeństwa i administruje tymi sprzętami, to właściwą formą do udokumentowania dostępu danych powinno być wskazuje Grupa Robocza art. 29 w opinii 1/2010, należy wskazać dwa podstawowe warunki kwalifikowania jako podmiot przetwarzający: posiadanie statusu osoby prawnej odrębnej od administratora danych, przetwarzanie danych osobowych w jego imieniu. W przypadku jednoosobowej działalności, mimo że jest to forma prawna odrębna od administratora, nie stanowi ona oddzielnej osoby prawnej, lecz jest rodzajem wykonywania działalności przez osobę odrębną sytuacją będziemy mieli do czynienia, gdy: będziemy samodzielnie dobierali sprzęt oraz decydowali o infrastrukturze techniczno – informatycznej do komunikowania się z firmą, będziemy zatrudniali inne osoby, które będą miały dostęp do danych udostępnianych nam przez firmę, będziemy świadczyli usługi jako osoba prawna (np. Spółka z ograniczoną odpowiedzialnością lub spółka LTD w Wielkiej Brytanii), firma będzie jednym z naszych kilku klientów, do obsługi których będziemy używali tych samych narzędzi IT. W przypadkach wskazanych w powyższym wyliczeniu wydaje się konieczne podpisanie dodatkowo umowy powierzenia. Co istotne z naszego punktu widzenia, warto w niej zastosować analogiczne zasady ograniczenia odpowiedzialności, jakie udało nam się wynegocjować w umowie współpracy. Umowa powierzenia powinna co najmniej spełniać warunki szczegółowo opisane w art. 28 – 29 (określenie zasad powierzenia) oraz art. 32-34 RODO (określenie zasad bezpieczeństwa). W celu uniknięcia wątpliwości w umowie powierzenia, zawsze warto zawrzeć informacje o sposobie przekazywania informacji o zdarzeniach nagłych po godzinach pracy. Dobrym rozwiązaniem jest tu np. określenie telefonu kontaktowego do administracji IT firmy czynnego w ramach wsparcia 24/7 lub telefonu prywatnego do osoby decyzyjnej. Jaką odpowiedzialność ponoszę z tytułu naruszenia zasad ochrony danych osobowych? W przeciwieństwie do pracowników zatrudnionych na podstawie umowy o pracę, w przypadku kontraktów B2B nie ma limitów odpowiedzialności. Z uwagi na możliwe nałożenie kary, w przypadku naruszenia przez nas zasad bezpieczeństwa, w odniesieniu do przychodu naszego klienta (nawet do 4% jego obrotu lub równowartości 20 milionów euro), w celu zapewnienia nam bezpieczeństwa prawnego, warto w umowie współpracy oraz w umowie powierzenia określić zakres naszej odpowiedzialności, ograniczając ją np. do określonej wielokrotności naszego punktu widzenia codziennego postępowania warto jednak zwrócić uwagę, że nie będzie w zakresie naszej odpowiedzialności szkoda poniesiona przez naszego klienta wskutek naszych działań, jeżeli: będziemy korzystali z niezabezpieczonego odpowiednio sprzętu, udostępnionego nam przez klienta, o czym go poinformowaliśmy wykonywaliśmy czynności zgodnie z procedurami i na sprzęcie udostępnionym przez klienta. Mając na uwadze chęć uniknięcia ewentualnych sporów, warto sygnalizować zauważone luki w standardach bezpieczeństwa oraz archiwizować tego rodzaju korespondencję na wypadek ewentualnych przyszłych sporów.
Klauzula informacyjna Na podstawie art. 13 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), publ. Dz. Urz. UE L Nr 119, s. 1 informujemy, iż: 1) Administratorem Pani/Pana danych osobowych jest Państwowa Szkoła Muzyczna I Stopnia im. Ignacego Jana Paderewskiego w Kartuzach (ul. dr. Aleksandra Majkowskiego 5, 83-300 Kartuzy). 2) W sprawach z zakresu ochrony danych osobowych mogą Państwo kontaktować się z Inspektorem Ochrony Danych Witoldem Wiśniewskim pod adresem e-mail: inspektor@ 3) Dane osobowe będą przetwarzane w celu realizacji umowy cywilnoprawnej. 4)Dane osobowe będą przetwarzane przez okres niezbędny do realizacji ww. celu z uwzględnieniem okresów przechowywania określonych w przepisach odrębnych, w tym przepisów archiwalnych. 5) Podstawą prawną przetwarzania danych jest art. 6 ust. 1 lit. b) ww. rozporządzenia. 6) Odbiorcami Pani/Pana danych będą podmioty, które na podstawie zawartych umów przetwarzają dane osobowe w imieniu Administratora. Osoba, której dane dotyczą ma prawo do: -dostępu do treści swoich danych oraz możliwości ich poprawiania, sprostowania, ograniczenia przetwarzania oraz do przenoszenia swoich danych, a także - w przypadkach przewidzianych prawem - prawo do usunięcia danych i prawo do wniesienia sprzeciwu wobec przetwarzania Państwa danych. - wniesienia skargi do organu nadzorczego w przypadku gdy przetwarzanie danych odbywa się z naruszeniem przepisów powyższego rozporządzenia tj. Prezesa Ochrony Danych Osobowych, ul. Stawki 2, 00-193 Warszawa Podanie danych osobowych jest warunkiem zawarcia umowy cywilnoprawnej. Osoba, której dane dotyczą jest zobowiązana do ich podania. Konsekwencją niepodania danych osobowych jest brak możliwości zawarcia umowy. Ponadto informujemy, iż w związku z przetwarzaniem Pani/Pana danych osobowych nie podlega Pan/Pani decyzjom, które się opierają wyłącznie na zautomatyzowanym przetwarzaniu, w tym profilowaniu, o czym stanowi art. 22 ogólnego rozporządzenia o ochronie danych osobowych. Informacje o publikacji dokumentu Pierwsza publikacja: 15:27 Sebastian Szuman Wytwarzający/ Odpowiadający: PSM I stopnia w Kartuzach Pokaż historię zmian Tytuł Wersja Dane zmiany / publikacji Ochrona danych osobowych 16:28 administrator Ochrona danych osobowych 15:27 Sebastian Szuman Aby uzyskać archiwalną wersję należy skontaktować się z Redakcją BIP
