GoldenLine
Zaloguj się

konto usunięte

Temat: regulamin a umowa powierzanie danych?

Witam

Chce wysyłać towary do klientów. Upatrzyłam blokera kurierskiego, ale on nie podpisuje umów. Jest jedynie możliwość założenia konta tzn. rejestracji u niego.
Czy wystarczy taki zapis regulaminu, aby zastąpić umowę powierzenia danych i ich przetwarzania?:
"
1. Administratorem danych osobowych jest Zleceniobiorca.
2. Zleceniobiorca przetwarza dane osobowe Zleceniodawców, Nadawców oraz Odbiorców i przekazanych mu dobrowolnie w celu zawarcia umowy przewozu, a także w celu zawarcia usług świadczonych drogą elektroniczną.
3. Dane osobowe Zleceniodawców, Odbiorców i Nadawców są przetwarzane przez Usługodawcę z uwzględnieniem przepisów prawa, w tym ustawy z dnia 29 sierpnia 1997 roku o ochronie danych osobowych lub na podstawie wyrażonej zgody.
4. Podanie danych osobowych jest dobrowolne.
5. Nie podanie wymaganych danych osobowych może uniemożliwić złożenie Zamówienia, bądź wykonanie innej usługi przez Zleceniobiorcę.
6. Każdemu przysługuje prawo dostępu do swoich danych osobowych, a także prawo do żądania ich aktualizacji, poprawiania lub zaprzestania przetwarzania.
7. Zleceniodawca przekazuje dane osobowe Przewoźnikowi w zakresie niezbędnym do realizacji umowy przewozu.
"
Link do wypowiedziLink

konto usunięte

Temat: regulamin a umowa powierzanie danych?

Czy przy zawieranej umowy na odległość poprzez rejestracje na stronie i akceptacje regulaminu muszę dodatkowo podpisywać umowę powierzenia danych i ich przetwarzania?

Wiem, że przy wersji papierowej nie potrzeba, gdyż chodzi o realizacje warunków umowy, a jak to jest w powyższej formie?Ten post został edytowany przez Autora dnia 28.05.15 o godzinie 23:28
Link do wypowiedziLink
Paweł Lada

Paweł Lada Administrator
Bezpieczeństwa
Informacji

Temat: regulamin a umowa powierzanie danych?

Jeżeli wysyłamy przesyłkę przez operatora pocztowego, to zastosowanie ma Ustawa z dnia 23 listopada 2012 r. Prawo pocztowe. Wtedy na podstawie art. 23 ust 1 pkt 2 UODO przetwarzanie danych jest dopuszczalne ze względu na to, że jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa.
W przypadku, gdy wysyłamy przesyłkę do klienta przez firmę nie będącą operatorem pocztowym konieczne jest podpisanie umowy powierzenia przy zawieraniu umowy na usługi.

Jeżeli chodzi o samo zawieranie umowy.
Umowa o świadczenie usług nie wymaga specjalnej formy (o ile nie jest wymagana specjalna forma uregulowana ustawą lub umową stron), wobec czego można zawrzeć ją na zasadzie rejestracji, czy zwykłej kupna-sprzedaży (przykład). Jeżeli podpisanie wymaga specjalnej formy (elektronicznej) wymagany będzie podpis kwalifikowany.
W przypadku umowy powierzenia KONIECZNA jest forma pisemna o czym mówi art. 31 ust 1 UODO. Analogicznie, jeżeli chcielibyśmy zawrzeć umowę powierzenia wewnątrz zwykłej umowy (bo tak to w rzeczywistości wygląda) potrzebna byłaby forma pisemna, nie elektroniczna.

Mam nadzieję, że pomogłem,
Pozdrawiam
Link do wypowiedziLink
Paweł G.

Paweł G. IOD, podmiot danych

Temat: regulamin a umowa powierzanie danych?

Paweł L.:
W przypadku umowy powierzenia KONIECZNA jest forma pisemna o czym mówi art. 31 ust 1 UODO.

Formalnie prawda, tylko życie wyprzedziło ustawę. Uważam, że w dobie umów zawieranych na odległość wymogu pisemności umowy powierzenia nie należy traktować zbyt dosłownie.
Tym bardziej, że większość firm nas wyśmieje. Prawie nikt tego nie zawiera, a mimo to jakoś życie gospodarcze toczy się dalej :)

"Grożą" za to co najwyżej zalecenia GIODO, żeby umowę pisemną zawrzeć. No to się zawrze.
Link do wypowiedziLink
Jarosław Żabówka

Jarosław Żabówka Administrator
Bezpieczeństwa
Informacji (ABI).

Temat: regulamin a umowa powierzanie danych?

Pozostaje wówczas wyśmiać taką firmę i zadzwonić do konkurencji…
Jako ABI nie powiem przedsiębiorcy, że ma niepoważnie traktować ustawę - nie płaci mi za to, żebym mówił mu to co chce usłyszeć. Jeżeli zdecyduje się przekazać dane bez zawarcia umowy – jego sprawa, ja będę mu to w sprawozdaniach wytykał.
Link do wypowiedziLink
Tomasz Korolko

Tomasz Korolko Radca prawny.
Prowadzi bloga Dane
osobowe w firmie.

Temat: regulamin a umowa powierzanie danych?

W kwestii umowy o powierzeniu przetwarzania danych osobowych dodam tylko, że należy stosować przepisy kodeksu cywilnego. Zgodnie z nimi, jeżeli ustawa zastrzega dla czynności prawnej formę pisemną, czynność dokonana bez zachowania zastrzeżonej formy jest nieważna tylko wtedy, gdy ustawa przewiduje rygor nieważności. A więc jeżeli umowa o powierzeniu przetwarzania danych osobowych zostanie zawarta w innej formie niż pisemna, będzie ważna - strona, której powierzono przetwarzanie, będzie związana jej postanowieniami.

Niemniej jednak, niezachowanie formy pisemnej będzie stanowiło naruszenie ustawy o ochronie danych osobowych i z tego powodu nie powinno mieć miejsca.
Link do wypowiedziLink
Paweł G.

Paweł G. IOD, podmiot danych

Temat: regulamin a umowa powierzanie danych?

Jarosław Ż.:
Pozostaje wówczas wyśmiać taką firmę i zadzwonić do konkurencji…

Też bym chciał móc podchodzić tak ostro, zgodnie z literą prawa. Prawda taka, że konkurencja ma usługi gorsze, droższe i ...też umów powierzenia "nie zawiera". Dlaczego nie zawiera? Bo nie. Bo może - i bata na nich nie ma
Jeżeli zdecyduje się przekazać dane bez zawarcia umowy – jego sprawa, ja będę mu to w sprawozdaniach wytykał.

Formalnie racja. Niemniej jednak znam większe ryzyka, o których redukcję naprawdę warto kruszyć kopie.
Link do wypowiedziLink
Paweł G.

Paweł G. IOD, podmiot danych

Temat: regulamin a umowa powierzanie danych?

Nawiasem mówiąc ja się b. cieszę ze zmian w ustawie i wzmocnienia roli ABI. Od pewnego czasu mam ten komfort, że mogę zadzwonić do ABI-iego po drugiej stronie i powiedzieć: - Bardzo proszę posprzątać ten bałagan również od swojej strony. I nie muszę się oglądać na ich istniejącą (częściej nie) politykę bezpieczeństwa, lecz mogę powiedzieć: rozporządzenie, akt prawa powszechnie obowiązującego nakazuje Panu/Pani w takiej sytuacji rozpocząć sprawdzenie doraźne i sporządzić sprawozdanie dla swojego ADO.

I od razu lepiej mi się żyje :)
Już nie muszę być tym jedynym dociekliwym, który zawsze szuka problemu tam, gdzie inni przymykają oczy.
Link do wypowiedziLink
Grzegorz Krzemiński

Grzegorz Krzemiński 600+ projektów w
bezpieczeństwie |
Trener | RODO | HSSE
|...

Temat: regulamin a umowa powierzanie danych?

Panowie, a dlaczego nie zgodnie ze sztuką? Wybaczcie rolę "adwokata diabła" ale jakoś nie zauważyłem, aby ktoś spróbował wyjaśnić o co biega. Tylko - przepis prawa i przepis prawa.

Na jednym z ostatnich szkoleń o bezpieczeństwie informacji, zgodnie z ISO 27001 rozkminialiśmy kontekst organizacyjny, powołując rzecz jasna ISO 31000, ale wszystko w kontekście rzeczonego powierzenia. Przypadek podobny - brak pisemności umowy. Czynnik w PEST - kategoria P (prawne i polityczne, to na prostym PEST, nie PESTLE), czyli P/UODO/31.1.

A dane sobie latają.

Co to oznacza - może w tym kierunku iść? Bo...
Czy procesor ma tytuł do przetwarzania danych? NIE? hm... to może dane przetwarzają osoby nieupoważnione?
ADO - powierzający, ale nie udzielający (nie nadzorujący formalnie) powierzenia danych osobowych - czy przypadkiem nie zachodzi okoliczność przekazania osobie nieupoważnionej?

Czy o tym wiedzą szefowie po obu stronach? I czy świadomość nie jest podstawą? Bo.. jak uzyskać zgodność np. z normą, żeby mieć zaangażowanie kierownictwa? Ze straszenia i ostrego traktowania?

Sorry, ale nie wyda. Szef (ADO) ma zrozumieć. Czym jest to co robi i po co jest cały 31, 31a i dlaczego jeszcze mamy sprawdzać realizację rozdziału 5. Zacząć moim zdaniem trzeba od jednej rzeczy - uświadomienia że te dane osobowe to jest NASZ zasób.

To tak nieco ... dystansując sie od "ostrego" podchodzenia do realizacji.
Link do wypowiedziLink
Paweł G.

Paweł G. IOD, podmiot danych

Temat: regulamin a umowa powierzanie danych?

Ja rozumiem, o czym się do mnie rozmawia ;P
Niemniej jednak gdy na rynku są sami tacy usługodawcy, którzy umów "nie zawierają" i tak sytuacja praktycznie bez wyjścia. Nie podejmę się jechać do gabinetu ich prezesa i uczyć go ustawy. Może jest skuteczniejszy sposób, chętnie posłucham mądrzejszych.

PS.
Proszę spróbować zawrzeć pisemną umowę powierzenia z Microsoftem na Office'a 365 :)
Ciekaw jestem, co powiedziałby GIODO. Bo Microsoft też umów powierzenia "nie zawiera". Bo? Bo nie.
Link do wypowiedziLink
Daniel Wieszczycki

Daniel Wieszczycki prawnik i
konsultant, DPO
m.in. w Pepco Poland
i Burda Me...

Temat: regulamin a umowa powierzanie danych?

Paweł G.:
Proszę spróbować zawrzeć pisemną umowę powierzenia z Microsoftem na Office'a 365 :)
Ciekaw jestem, co powiedziałby GIODO. Bo Microsoft też umów powierzenia "nie zawiera". Bo? Bo nie.

A nie da się?
https://products.office.com/en-us/business/office-365-t...
"Microsoft is willing to sign data processing agreements containing EU standard contractual clauses with all our Office 365 and Microsoft Dynamics CRM Online customers regardless of the customer’s size or the value of the customer’s Office 365 or Microsoft Dynamics CRM Online service contract."

I screen z mojego panelu administracyjnego:

Obrazek
Link do wypowiedziLink
Paweł G.

Paweł G. IOD, podmiot danych

Temat: regulamin a umowa powierzanie danych?

Mnie powiedzieli jasno: nie zawieramy.
Link do wypowiedziLink
Grzegorz Krzemiński

Grzegorz Krzemiński 600+ projektów w
bezpieczeństwie |
Trener | RODO | HSSE
|...

Temat: regulamin a umowa powierzanie danych?

Paweł G.:
Ja rozumiem, o czym się do mnie rozmawia ;P
Niemniej jednak gdy na rynku są sami tacy usługodawcy, którzy umów "nie zawierają" i tak sytuacja praktycznie bez wyjścia. Nie podejmę się jechać do gabinetu ich prezesa i uczyć go ustawy. Może jest skuteczniejszy sposób, chętnie posłucham mądrzejszych.

Uczyć ustawy to ma się ABI, nie prezes. Prezes ma wiedzieć, jakie ma z tego ryzyka. Kodeksu pracy nikt go nie uczy, a BHP jakoś działa. Ustawy o ochronie PPOŻ również - a nadal działa ta ochrona i IBP jakoś tam funkcjonuje.

Dlatego powiedziałem, że jestem adwokatem diabła w tej sprawie, bo moim zdaniem wielu ABI zachłystując sie radosnymi zmianami w ustawie poczuli MOC. I już MOGĄ. Tylko, ze nadal nie o to w tym wszystkim chodzi, żeby na siłę, bo na siłę nic nie zadziała. Będą kwity, będą działania pozorowane, a potem posty, ze prezes kasy nie daje i co robić. ;-)

Sorry, nic osobistego, po prostu tak mi sie nasuneło.
Link do wypowiedziLink
Paweł G.

Paweł G. IOD, podmiot danych

Temat: regulamin a umowa powierzanie danych?

Czy zgodzi się Pan, że od uświadamiania prezesowi firmy kurierskiej ryzyk występujących po ich stronie jest ABI kontrahenta? Ja skupię się na swoim prezesie ;)

Nadal prawda taka, że mój prezes odbije się od ściany, bo kontrahent umów powierzenia "nie zawiera". Co wtedy? Mamy świadomość ryzyka, ale usługodawca ma mocną pozycje na rynku i musimy mu dać zlecenie. Co robić?
Link do wypowiedziLink
Paweł Lada

Paweł Lada Administrator
Bezpieczeństwa
Informacji

Temat: regulamin a umowa powierzanie danych?

Paweł G.:
Paweł L.:
W przypadku umowy powierzenia KONIECZNA jest forma pisemna o czym mówi art. 31 ust 1 UODO.

Formalnie prawda, tylko życie wyprzedziło ustawę. Uważam, że w dobie umów zawieranych na odległość wymogu pisemności umowy powierzenia nie należy traktować zbyt dosłownie.
Tym bardziej, że większość firm nas wyśmieje. Prawie nikt tego nie zawiera, a mimo to jakoś życie gospodarcze toczy się dalej :)

Jeżeli nadal jesteśmy w temacie op. pocztowych, to jak wcześniej się wypowiedziałem zastosowanie ma z dnia 23 listopada 2012 r. Prawo pocztowe. Operator pocztowy (a czy firma nim jest można sprawdzić w rejestrze dostępnym za free w necie) nie ma obowiązku zawierania umów powierzenia, jeżeli dane będą przekazane tylko w celu realizacji usług pocztowych.
Chcesz podawać jakieś inne dane, które nie są potrzebne w realizacji tych usług? Jakbym był ABI u op. pocztowego to tak bym zrozumiał twoją chęć zawierania umowy powierzenia. Może dlatego nie chcą? Podałeś im zakres przekazywanych danych?

Jeżeli chodzi ci o firmę nie będącą op... Nikogo nie zmusisz do zawierania jakichkolwiek umów lub podpisywania ich z odpowiednimi klauzurami.
Paweł G.:
Czy zgodzi się Pan, że od uświadamiania prezesowi firmy kurierskiej ryzyk występujących po ich stronie jest ABI kontrahenta? Ja skupię się na swoim prezesie ;)

Nadal prawda taka, że mój prezes odbije się od ściany, bo kontrahent umów powierzenia "nie zawiera". Co wtedy? Mamy świadomość ryzyka, ale usługodawca ma mocną pozycje na rynku i musimy mu dać zlecenie. Co robić?


Twoim zadaniem jest teraz przekonanie swojego prezesa, że firma X nie oferuje usług, które zapewnią spełnienie wymogów uodo (mówię tu o um. pow.) przez Twoją firmę. Z tego powodu musi wybrać firmę Y lub Z. Wcześniej radzę upewnić się oczywiście, czy firmy te zawierają umowy powierzenia (jeżeli istnieje taka potrzeba).
To co się dzieje w firmach trzecich cie nie interesuje dopóki będą spełniały warunki umowy oraz ustawy (PB, IZSI, upoważnienia itp.). W umowie możesz(powinieneś) zastrzec kontrolę zgodności przetwarzania danych z ustawą w określonym przez ciebie zakresie.

Jeżeli wyłożysz prawidłowo prezesowi jakie są wymagania i konsekwencje nie stosowania ustawy - bez cytowania paragrafów, to powinien zmienić zdanie. Szczególnie, że później będziesz musiał ująć to 'niedopatrzenie' w sprawdzeniu. Jesteś na stanowisku, które jest nie tylko audytorem/kontrolerem, ale również doradcą w zakresie przestrzegania zasad ochrony danych osobowych.Ten post został edytowany przez Autora dnia 07.07.15 o godzinie 10:22
Link do wypowiedziLink
Grzegorz Krzemiński

Grzegorz Krzemiński 600+ projektów w
bezpieczeństwie |
Trener | RODO | HSSE
|...

Temat: regulamin a umowa powierzanie danych?

Paweł G.:
Czy zgodzi się Pan, że od uświadamiania prezesowi firmy kurierskiej ryzyk występujących po ich stronie jest ABI kontrahenta? Ja skupię się na swoim prezesie ;)

Nie zgodzę się. Bo np. musiałbym np się zgodzić, że jeśli powierzamy np. materiał do obróbki przez warsztat mechaniczny, to sobie mogą robić co chcą a nam nic do tego.

Nasz zasób, to nasz zasób.
Nadal prawda taka, że mój prezes odbije się od ściany, bo kontrahent umów powierzenia "nie zawiera". Co wtedy? Mamy świadomość ryzyka, ale usługodawca ma mocną pozycje na rynku i musimy mu dać zlecenie. Co robić?

Ocenić - korzystając z 5 sił Portera, pójść pokazać to prezesowi i zastanowić się na szczeblu nie realizacji, a planowania strategicznego, komu i co dawać. I umowy podpisywać ZE ŚWIADOMOŚCIĄ. Czyli ZANIM podpisana, ocena. A nie podpisana, czy zlecona i potem się trzeba babrać w odkręcanie.

Ale znowu wszystko zaczyna się od świadomości. Jeśli w tej chwili nie ma śwadomości co do tego jak sprawa wygląda i jakie są ryzyka to znaczy, że nie jest dobrze.
Link do wypowiedziLink
Paweł Lada

Paweł Lada Administrator
Bezpieczeństwa
Informacji

Temat: regulamin a umowa powierzanie danych?

Grzegorz K.:
Paweł G.:
Czy zgodzi się Pan, że od uświadamiania prezesowi firmy kurierskiej ryzyk występujących po ich stronie jest ABI kontrahenta? Ja skupię się na swoim prezesie ;)

Nie zgodzę się. Bo np. musiałbym np się zgodzić, że jeśli powierzamy np. materiał do obróbki przez warsztat mechaniczny, to sobie mogą robić co chcą a nam nic do tego.

Nasz zasób, to nasz zasób.

Zgadzam się Panie Grzegorzu, z tym, że nasz zasób to nasz zasób.
Jednak jak Pan Paweł napisał od uświadamiania konsekwencji prezesowi innej firmy jest jego ABI. Nas interesuje tylko, żeby NASZE dane były odpowiednio przetwarzane i zabezpieczone. Nie możemy się mieszać do polityk innych firm.
Proszę też pamiętać, że prezesi lubią się powoływać na opinie, a rzadko prawidłowo je zapamiętują. Dlatego jak prezes innej firmy powoła się na naszą (dzięki naukom ABI) to firma może tylko na tym stracić.
Link do wypowiedziLink
Grzegorz Krzemiński

Grzegorz Krzemiński 600+ projektów w
bezpieczeństwie |
Trener | RODO | HSSE
|...

Temat: regulamin a umowa powierzanie danych?

Paweł L.:
Zgadzam się Panie Grzegorzu, z tym, że nasz zasób to nasz zasób.
Jednak jak Pan Paweł napisał od uświadamiania konsekwencji prezesowi innej firmy jest jego ABI. Nas interesuje tylko, żeby NASZE dane były odpowiednio przetwarzane i zabezpieczone. Nie możemy się mieszać do polityk innych firm.

No o to właśnie chodzi. Proces powierzenia danych osobowych powinien wyglądać mniej więcej następująco:
1. ocena czy procesor posiada wdrożone zabezpieczenia - zgodnie z wymaganiami art 31.
2. Po ocenie - wynik musi być pozytywny - podpisujemy umowę.
3. Dane lądują u procesora.

Ten schemat wskazuje na jedną rzecz. ZANIM procesor otrzyma dane - MY musimy mieć pewność, że one będą właściwie zabezpieczone. W przeciwnym razie - to NASZ ADO w pierwszej kolejności pozwoli na przetwarzane danych niezgodnie z ustawą. W tym przypadku - jeśli nie ma umowy, to po prostu bez zgody.

A dopiero jak procesor PODEJMIE przetwarzanie danych - dopiero jemu można coś przypisać.

Innymi słowy, jeśli NASZ ADO nie narozrabia, to procesor nie będzie miał możliwości narozrabiać (w tym konkret przypadku braku umowy).

I mam prośbę. Nie odwracajmy kota ogonem, bo napisałem wcześniej o odpowiedzialności przede wszystkim naszego ADO, a odpowiedzialność procesora została wskazana jako narzędzie "pola walki". Na dziś z firm które spełniają wymogi - kurierzy DPD - art 23. Home - w ramach umów ma paragraf (spełniający kryteria). Mało tego - Home nawet daje wzory umów powierzenia przy określonych pakietach, jako dodatek (dla innych klientów). Home też prowadzi usługę Office 365.

Patrząc przez pryzmat tego, co było jeszcze 5 lat temu po stronie kurierów i hostingu a dziś, naprawdę ciężko mi dziś uwierzyć w to, że gdzies ktoś w PL nie będzie miał umów i nie będzie miał spełnionych wymogów.

5 lat temu może więcej był problem. Dyskutowałem z wieloma radcami prawnymi i hostingu i firm kurierskich. Kuriozalne opinie i co ciekawsze "interpretacyje" mam do dziś. Niemniej - to było 5 lat temu i więcej.
Link do wypowiedziLink
Paweł Lada

Paweł Lada Administrator
Bezpieczeństwa
Informacji

Temat: regulamin a umowa powierzanie danych?

Zgadzam się Panie Grzegorzu i widzę, że mamy takie samo zdanie odnośnie całego procesu i odpowiedzialności.

Na tą chwilę zdecydowana większość firm podpisuje umowy powierzenia, ponieważ jest coraz większa świadomość odpowiedzialności wśród ich klientów. Rynek wymaga zmian polityk i procedur, dlatego firmy muszą się dostosować.
Link do wypowiedziLink
Daniel Wieszczycki

Daniel Wieszczycki prawnik i
konsultant, DPO
m.in. w Pepco Poland
i Burda Me...

Temat: regulamin a umowa powierzanie danych?

Grzegorz K.:

DPD - art 23. Home - w ramach umów ma paragraf (spełniający kryteria). Mało tego - Home nawet daje wzory umów powierzenia przy określonych pakietach, jako dodatek (dla innych klientów). Home też prowadzi usługę Office 365.

Dziś już multum hostingów podpisuje umowy powierzenia: Home, Zenbox, dhosting, IQ, Hostersi, a jak ktoś potrzebuje na Windowsie to hostedwindows, czy Webio). Warto wiedzieć, żeby móc podpowiedzieć Klientowi, gdzie nie będzie problemów z umową powierzenia.
Link do wypowiedziLink
« Wróć do tematów
Odpowiedz

Podobne tematy


Następna dyskusja:

Kancelaria Adwokacka - umow...




Wyślij zaproszenie do
Anuluj