Porozumienie w sprawie wyznaczenia Inspektora Ochrony Danych dla Grupy Przedsiębiorstw

Porozumienie dotyczące wyznaczenia jednego Inspektora Ochrony Danych dla Grupy Przedsiębiorstw

z dnia 15.07/2023

Niniejsze Porozumienie dotyczy zakresu i zasad pełnienia funkcji i wykonywania zadań Inspektora Ochrony Danych na rzecz Grupy "Tech Solutions Group" i zostaje zawarte w dniu 15 lipca roku w Warszawie pomiędzy:

1. Tech Solutions Sp. z o.o. z siedzibą w Warszawie, ul. Kwiatowa 1, wpisaną do KRS pod numerem 0000123456,

2. Software Development Sp. z o.o. z siedzibą w Krakowie, ul. Słoneczna 2, wpisaną do KRS pod numerem 0000654321,

3. Data Analysis Sp. z o.o. z siedzibą w Wrocławiu, ul. Deszczowa 3, wpisaną do KRS pod numerem 0000987654,

4. IT Consulting Sp. z o.o. z siedzibą w Poznaniu, ul. Mroźna 4, wpisaną do KRS pod numerem 0000456789,

(dane przedsiębiorstw, u których ma być wyznaczony wspólny IOD) każde zwane z osobna "Stroną" lub "Administratorem", wspólnie zwane dalej Grupą przedsiębiorstw.

§1

Powierzenie funkcji Inspektora Ochrony Danych

1. Na podstawie art. 38 ust 2 RODO wyznacza się jednego Inspektora Ochrony Danych (dalej również "IOD") w grupie przedsiębiorstw stanowiących "Tech Solutions Group" (nazwa Grupy)

2. W wymienionych poniżej przedsiębiorstwach Inspektor Ochrony Danych będzie wykonywać zadania zgodnie i na podstawie przepisów określonych w Sekcji 4 RODO - rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych).

3. Inspektor ochrony danych będzie wykonywać zadania dla następujących przedsiębiorstw będących samodzielnymi Administratorami danych:

1) Tech Solutions Sp. z o.o.

2) Software Development Sp. z o.o.

3) Data Analysis Sp. z o.o.

4) IT Consulting Sp. z o.o.

4. Do pełnienia obowiązków inspektora ochrony danych Grupa przedsiębiorstw wyznacza Anna Kowalska, legitymujący/ą się Dowodem Osobistym Nr 98765432109,

5. Oświadczenie o przyjęciu na siebie obowiązków IOD dla każdego z Administratorów z Grupy przedsiębiorstw i odpowiedzialności określonych w niniejszym porozumieniu stanowi Załącznik nr 2 do porozumienia.

6. Zmiana osoby wykonującej zadania Inspektora ochrony danych na rzecz Grupy przedsiębiorstw wymagana jest na piśmie, co najmniej z 1-miesięcznym wyprzedzeniem i musi zostać zaakceptowana przez każdego z Administratorów. Zmiana IOD jest skuteczna z dniem podpisania przez nowego IOD oświadczenia o przyjęciu na siebie obowiązków i odpowiedzialności określonych w załączniku nr 2 do niniejszego porozumienia.

§2

Zadania Inspektora Ochrony Danych

1. Inspektor Ochrony Danych wyznaczony przez Grupę przedsiębiorstw na podstawie niniejszego Porozumienia ma następujące zadania:

a) informowanie każdego z Administratorów, ich pracowników, którzy przetwarzają dane osobowe oraz innych osób upoważnionych do przetwarzania danych osobowych lub uprawnionych do przebywania w pomieszczeniach, w których są przetwarzane dane osobowe, o obowiązkach spoczywających na nich na mocy przepisów RODO, innych przepisów Unii lub państw członkowskich o ochronie danych, a także wewnętrznych procedur i polityk ochrony danych oraz doradzanie im w tej sprawie;

b) monitorowanie przestrzegania RODO, innych przepisów Unii lub państw członkowskich o ochronie danych oraz wewnętrznych polityk każdego z Administratorów w dziedzinie ochrony danych osobowych, a także regularne przekazywanie każdemu z Administratorów sprawozdań z wyników prowadzonych audytów wraz z zaleceniami działań mających podnieść skuteczność systemów ochrony danych osobowych w Grupie przedsiębiorstw. w tym podział obowiązków;

c) prowadzenie działań zwiększających świadomość w zakresie ochrony danych osobowych, w szczególności organizowanie szkoleń dla personelu uczestniczącego w operacjach przetwarzania oraz udzielanie zaleceń w zakresie właściwego przetwarzania danych osobowych zgodnie z zasadami privacy by design oraz privacy by default;

d) udzielanie na żądanie każdego z Administratorów zaleceń co do oceny skutków dla ochrony danych, wsparcie w procesie oceny skutków oraz monitorowanie jej wykonania zgodnie z art. 35 RODO;

e) współpraca z Prezesem UODO w imieniu każdego z Administratorów, w tym pełnienie funkcji punktu kontaktowego dla organu nadzorczego w kwestiach związanych z przetwarzaniem, w szczególności z uprzednimi konsultacjami, o których mowa w art. 36 RODO, oraz w stosownych przypadkach prowadzenie konsultacji we wszelkich innych sprawach;

f) pełnienie funkcji punktu kontaktowego dla osób, których dane dotyczą, w związku z chęcią skorzystania przez nie z praw przysługujących im na mocy przepisów RODO wobec każdego z Administratorów;

g) wspieranie każdego z Administratorów w postępowaniu przy naruszeniach dla ochrony danych osobowych, w szczególności w ocenie ryzyka naruszenia, zgłaszaniu naruszenia do organu nadzorczego, a także zawiadamianiu osób, których dane dotyczą;

h) wspieranie każdego z Administratorów w wywiązywaniu się z innych wymagań wynikających z przepisów o ochronie danych osobowych, w szczególności przy ocenie ryzyka i zagrożeń dla procesów przetwarzania danych osobowych.

2. Inspektor ochrony danych wypełnia swoje zadania z należytym uwzględnieniem ryzyka związanego z operacjami przetwarzania u każdego z Administratorów, mając na uwadze charakter, zakres, kontekst i cele przetwarzania.

3. Inspektor ochrony danych jest zobowiązany do zachowania tajemnicy lub poufności co do wykonywania swoich zadań - zgodnie z prawem Unii lub prawem krajowym.

4. Dodatkowe, szczegółowe zadania i obowiązki IOD u każdego z Administratorów opisuje załącznik nr 1 do niniejszego porozumienia (zastosować wedle uznania).

§3

Status inspektora ochrony danych

1. Każdy z Administratorów zapewnia, by Inspektor ochrony danych był właściwie i niezwłocznie włączany we wszystkie sprawy dotyczące ochrony danych osobowych.

2. Każdy z Administratorów wspiera Inspektora ochrony danych w wypełnianiu przez niego zadań, zapewniając mu zasoby niezbędne do wykonania tych zadań, w tym, jeżeli to konieczne uprawnienie do dostępu do danych osobowych i operacji przetwarzania w niezbędnym zakresie na podstawie nadanego przez każdego z Administratorów upoważnienia, a także zasoby niezbędne do utrzymania jego wiedzy fachowej.

3. Grupa przedsiębiorstw wyznaczając jednego Inspektora ochrony danych zapewnia z nim łatwy kontakt z każdej komórki organizacyjnej, poprzez wspólny adres poczty elektronicznej: [email protected], a także służbowy numer telefonu: +48 123 456 789.

4. Osoby, których dane dotyczą, mogą kontaktować się z inspektorem ochrony danych we wszystkich sprawach związanych z przetwarzaniem ich danych osobowych oraz z wykonywaniem praw przysługujących im na mocy RODO pod wskazanym w punkcie 3 adresem poczty elektronicznej i/lub numerem telefonu.

5. Każdy z Administratorów zapewnia, aby pracownicy upoważnieni przez niego do przetwarzania danych osobowych mieli możliwość osobistego kontaktowania się z IOD Grupy przedsiębiorstw w swoim miejscu pracy.

6. Każdy z Administratorów udostępnia dane IOD w zakresie: Anna, Kowalska oraz ul. Polna 1, 00-001 Warszawa i/lub +48 987 654 321, niezwłocznie po jego wyznaczeniu, na swojej stronie internetowej (np. w Polityce prywatności).

7. Grupa przedsiębiorstw publikuje dane IOD, o których mowa w punkcie poprzednim na wspólnej dla wszystkich Administratorów stronie internetowej.

8. Administratorzy zapewniają, aby dane kontaktowe wyznaczonego dla Grupy przedsiębiorstw IOD były zamieszczane w ich klauzulach informacyjnych kierowanych do osób, których dane dotyczą na mocy przepisów art. 13 i 14 RODO.

9. Jeżeli to niezbędne, w Grupie przedsiębiorstw zostanie wyznaczony zespół, którego zadaniem będzie zapewnienie Inspektorowi ochrony danych sprawnego komunikowania się z osobami, których dane dotyczą, współpracy z właściwym organem nadzorczym, jak również wypełnianiem obowiązków wewnątrz Grupy przedsiębiorstw. Osoby wyznaczone do zespołu zostaną zobowiązane do wykonywania poleceń IOD.

10. Każdy z Administratorów zapewnia, by Inspektor ochrony danych nie otrzymywał instrukcji dotyczących wykonywania swoich zadań.

11. Inspektor nie może być odwoływany ani karany przez żadnego z Administratorów za wypełnianie swoich zadań.

12. Inspektor ochrony danych u każdego z Administratorów będzie podlegał bezpośrednio najwyższemu kierownictwu Administratora.

§4

Wyznaczenie Inspektora ochrony danych

1. Każdy z Administratorów zawiadamia Prezesa Urzędu Ochrony Danych Osobowych o wyznaczeniu Inspektora Ochrony Danych w terminie 14 dni od dnia wyznaczenia, tzn. od podpisania niniejszego porozumienia, wskazując Anna, Kowalska oraz ul. Polna 1, 00-001 Warszawa i/lub +48 987 654 321.

2. Zawiadomienia każdy z Administratorów dokonuje zgodnie z instrukcją udostępnioną na stronie internetowej Urzędu Ochrony Danych Osobowych.

§5

Postanowienia końcowe

1. Zmiana postanowień niniejszego porozumienia wymaga dla swej ważności zachowania formy pisemnej.

2. W sprawach nieunormowanych niniejszym porozumieniem mają zastosowanie przepisy polskiego Kodeksu cywilnego.

3. W przypadku ewentualnych sporów jakie mogą wyniknąć z realizacji porozumienia Strony będą dążyć do ich polubownego rozstrzygnięcia, a w razie braku porozumienia podlegają rozstrzygnięciu właściwym sądom powszechnym.

4. Porozumienie zostało spisane w czterech jednobrzmiących egzemplarzach, po jednym dla każdej ze Stron.

W imieniu każdego z Administratorów:

1) Tech Solutions Sp. z o.o. Jan Nowak 15.07.2023 Przedsiębiorstwo Podpis i data

2) Software Development Sp. z o.o. Piotr Wiśniewski 15.07.2023 Przedsiębiorstwo Podpis i data

3) Data Analysis Sp. z o.o. Maria Kamińska 15.07.2023 Przedsiębiorstwo Podpis i data

4) IT Consulting Sp. z o.o. Tomasz Zieliński 15.07.2023 Przedsiębiorstwo Podpis i data

Załącznik nr 1

Dodatkowe obowiązki Inspektora ochrony danych osobowych

§1

Poza obowiązkami wskazanymi w par. 2 Porozumienia, wyznaczony dla Grupy przedsiębiorstw IOD będzie realizował także dodatkowe obowiązki wskazane w niniejszym załączniku.

§2

Dodatkowe obowiązki IOD u Administratora Tech Solutions Sp. z o.o. (wskazać Administratora/ów)

1. Ocena przestrzegania przepisów o ochronie danych osobowych, w szczególności przez:

1) nadzór nad zgodnością przetwarzania danych osobowych z przepisami o ochronie danych osobowych oraz opracowanie w tym zakresie sprawozdania dla Administratora,

2) wsparcie przy opracowaniu i aktualizowaniu wewnętrznych polityk ochrony danych, dokumentacji oraz przestrzegania zasad w nich określonych, w tym nadzór nad aktualnością i adekwatnością tych polityk,

3) zapoznanie osób upoważnionych do przetwarzania danych osobowych z przepisami o ochronie danych osobowych.

2. Wsparcie przy opracowaniu i aktualizacji rejestrów czynności i kategorii czynności przetwarzania danych osobowych.

3. Wsparcie przy ustanowieniu i przeprowadzeniu procedury zarządzania ryzykiem w obszarze ochrony danych osobowych.

4. Wparcie przy opracowaniu instrukcji postępowania w przypadku naruszenia ochrony danych osobowych.

5. Wsparcie przy wypracowaniu zasad realizowaniu obowiązków informacyjnych oraz praw osób, których dane dotyczą.

6. Opiniowanie umów powierzenia przetwarzania danych, zgodnie z art. 28 RODO.

7. Zapewnienie, aby okresowe audyty wewnętrzne w zakresie bezpieczeństwa informacji odbywały się, nie rzadziej niż raz na rok, a także po stwierdzeniu każdego naruszenia dla ochrony danych osobowych i opracowywanie sprawozdania w tym zakresie dla właściwego Administratora.

8. Nadzór nad procesem nadawania/zmiany/odwoływania upoważnień do przetwarzania danych osobowych i prowadzenia ewidencji osób upoważnionych.

9. Opiniowanie wniosków o udostępnienie danych osobowych.

10. Nadzór nad procesem powierzania danych osobowych innym podmiotom, w tym:

1) opiniowanie zasad i sposobu powierzenia danych osobowych;

2) weryfikowanie treści umów powierzenia przetwarzania danych osobowych z wymaganiami art. 28 RODO;

3) sprawdzenie czy prawidłowo zostały sformułowane klauzule poufności, oświadczenia dotyczące zapewnienia ochrony powierzanych danych i sposób kontroli podmiotu przetwarzającego dane dla Administratora;

11. Weryfikacja zgodności z przepisami RODO sposobów wypełniania obowiązków informacyjnych oraz realizowania praw osób, których dane dotyczą.

12. Weryfikowanie treści klauzul wyrażenia zgody na przetwarzanie danych osobowych, tam gdzie zgoda miałaby być przesłanką przetwarzania danych, a także sposobu pozyskania i udokumentowania zgody.

13. Współpraca z Administratorem Systemu Informatycznego (Działem IT) w zakresie kontroli bezpieczeństwa systemu informatycznego, w którym przetwarzane są dane osobowe, ze szczególnym uwzględnieniem planów ciągłości działania, tworzenia i testowania kopii bezpieczeństwa.

14. Wspieranie Administratora w procesie analizy zagrożeń i oceny ryzyka dla procesów przetwarzania danych.

15. Przygotowanie materiałów informacyjnych dla pracowników i dystrybuowanie ich z wykorzystaniem wewnętrznych zasobów komunikacyjnych (e-mail, intranet).

16. Organizowanie szkoleń dla pracowników i innych osób upoważnionych do przetwarzania danych osobowych z zakresu ochrony danych w organizacji.

17. Sprawdzanie zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych oraz opracowanie w tym zakresie sprawozdania dla Administratora danych.

Przyjmuję powyższe obowiązki do stosowania.

Data i podpis IOD zawierający imię i nazwisko: Anna Kowalska 15.07.2023

Załącznik nr 2

Oświadczenie Inspektora Ochrony Danych

Oświadczam, że zapoznałem/am się z treścią Porozumienia dotyczącego wyznaczenia jednego Inspektora Ochrony Danych dla Grupy Przedsiębiorstw z dnia 15.07/2023 , potwierdzam, że posiadam niezbędną wiedzę i kwalifikacje, do realizowania obowiązków IOD w Grupie przedsiębiorstw wskazanej w Porozumieniu, wynikających z przepisów RODO, a także treści Porozumienia. Jestem świadomy/a, że składając niniejsze oświadczenie zobowiązuję się do realizowania obowiązków IOD na rzecz każdego z Administratorów, a także że przez każdego z nich zostanę zgłoszona/y do Prezesa UODO.

Dodatkowo oświadczam, że zapoznałem/am się z zakresem obowiązków określonych w treści Porozumienia i zobowiązuję się do ich rzetelnego realizowania na rzecz każdego z Administratorów.

Anna Kowalska 15.07.2023 data i podpis IOD zawierający imię i nazwisko