r. pr.  Aleksandra Otok-Zagajewska

 

  • usługi Inspektora Ochrony Danych
    – usługi świadczone przez radcę prawnego z wieloletnim doświadczeniem
    – usługi wychodzące poza minimalny zakres wskazany w RODO – wzbogacone o obsługę prawną w przedmiocie ochrony danych osobowych
  • kompleksowe audyty prawne w zakresie ochrony danych osobowych w przedsiębiorstwie
  • bieżące doradztwo prawne
  • tworzenie dokumentacji wewnętrznej przedsiębiorstwa wymaganej przez RODO
  • tworzenie dokumentacji/procedur do wykorzystania w relacji z klientem
  • klauzule informacyjne
  • umowy o powierzenie danych do przetwarzania
  • RODO w HR
  • RODO w podmiotach leczniczych
  • RODO w sklepach internetowych i innych usługach e-commerce
  • szkolenia

FAQ

  • Czy szkolenie pracowników z zakresu RODO jest obowiązkowe?

    RODO stworzone zostało jako akt prawny o charakterze na tyle ogólnym, aby mógł podążać za zmieniającą się rzeczywistością. Dlatego też RODO formułuje często normy (zalecenia) o takim właśnie ogólnym (generalnym) charakterze. Nakazuje m.in., aby administrator wdrożył odpowiednie środki techniczne i organizacyjne, zaprojektowane w celu skutecznej realizacji zasad ochrony danych oraz w celu nadania przetwarzaniu niezbędnych zabezpieczeń. Jednym z takich środków organizacyjnych są właśnie szkolenia pracowników. Pracownicy muszą bowiem znać przynajmniej podstawowe zasady przetwarzania danych oraz bezwzględnie procedury wewnętrzne obowiązujące w tym zakresie w przedsiębiorstwie. Tylko w takim wypadku przedsiębiorca będzie mógł wykazać, że zadbał o to, żeby dane przetwarzane były zgodnie z wymogami RODO, a prawa osób, których dane dotyczą, były respektowane.

    Skuteczne szkolenia powinny przedstawiać zasady postępowania z danymi osobowymi obowiązujące w danym przedsiębiorstwie, tj. powinny przykładowo odnosić się do kategorii danych faktycznie przetwarzanych, często wynikających z przedmiotu działalności przedsiębiorcy. Zatem np. szkolenie w podmiocie leczniczym powinno dotyczyć w szczególności przetwarzania danych osobowych pacjentów, przy uwzględnieniu faktu, że zasady przetwarzania danych dotyczących stanu zdrowia reguluje nie tylko RODO, ale także przepisy branżowe.

  • Czym jest powierzenie danych do przetwarzania?

    Powierzenie danych do przetwarzania zachodzi, gdy administrator danych powierza dane osobowe ze swoich zbiorów do przetwarzania innym podmiotom. Ma to miejsce zawsze w sytuacji, gdy administrator przekazuje podmiotom trzecim dane osobowe, np. swoich klientów, pracowników czy kontrahentów, zwykle w celu świadczenia przez te podmioty jakiejś usługi na swoją rzecz. Przykładowo – obsługę księgowo-kadrową wykonuje podmiot zewnętrzny. Żeby biuro rachunkowe mogło zaksięgować fakturę wystawioną osobie fizycznej (klientowi) albo zgłosić pracowników do ZUS-u, musi mieć dostęp do ich danych osobowych. Bez tego nie wykona swojej usługi. Wówczas administrator danych ma obowiązek powierzyć przetwarzanie danych klientów/pracowników na rzecz biura rachunkowego, które staje się tzw. podmiotem przetwarzającym i ma prawo (i obowiązek) korzystać z tych danych TYLKO w celu, w jakim zostały mu powierzone (który wynika z zakresu zlecenia). Biuro nie będzie administratorem tych danych i nie będzie mogło podejmować w stosunku do nich żadnych samodzielnych decyzji. Po zakończeniu przetwarzania (po zakończeniu współpracy), podmiot przetwarzający zobowiązany będzie do zwrotu wszelkich powierzonych mu danych i usunięcia u siebie ich kopii, chyba że przepisy prawa nakazują mu dalsze przechowywanie tych danych.

    RODO cz. V – Życie „po RODO”, czyli największe absurdy i najczęstsze problemy

  • Co to są klauzule informacyjne RODO?

    Posiadając podstawę prawną do przetwarzania danych osobowych, kolejnym warunkiem, jaki musi spełnić administrator, aby owo przetwarzanie odbywało się legalnie, jest przekazanie podmiotowi danych (tj. osobie, której dane dotyczą), szeregu wskazanych przez RODO informacji. Informacje takie zamieszcza się właśnie w tzw. klauzulach informacyjnych. RODO, w stosunku do poprzednio obowiązującej ustawy o ochronie danych osobowych, znacząco rozszerzyło katalog informacji, jakich należy udzielić osobie, której dane dotyczą. Katalog ten różni się w zależności od tego, czy dane zbierane są bezpośrednio od osoby, której dotyczą, czy też w inny sposób.

    RODO cz. IV – Podstawy prawne przetwarzania danych osobowych i NOWE obowiązki informacyjne

  • Czy RODO nakazuje prowadzenie jakiejś dokumentacji wewnętrznej?

    Zgodnie z art. 24 ust. 2 RODO, administrator powinien zdecydować, czy środki techniczne i organizacyjne, zapewniające przetwarzanie zgodne z rozporządzeniem, obejmują wdrożenie przez administratora odpowiednich polityk ochrony danych. RODO nie przewiduje szczegółowych wymogów dotyczących zarówno zakresu merytorycznego, jak i formy dokumentacji ochrony danych. Pozostawia administratorowi swobodę, podkreślając jedynie, że dokumenty te służyć mogą do realizacji zasady rozliczalności.

    Niezależnie od regulacji art. 24 ust. 2, w RODO wprowadzono szereg innych obowiązków dokumentacyjnych:
    – prowadzenie przez administratorów rejestru czynności przetwarzania, zaś przez procesorów – rejestru kategorii przetwarzania,
    – prowadzenie dokumentacji wszelkich naruszeń ochrony danych osobowych, w tym okoliczności naruszenia ochrony danych osobowych, skutków naruszenia oraz podjętych działań zaradczych,
    – w niektórych przypadkach – prowadzenie dokumentacji oceny skutków dla ochrony danych,
    – w niektórych przypadkach – prowadzenie dokumentacji uprzednich konsultacji z organem nadzorczym,
    – w niektórych przypadkach – nadawanie pisemnych upoważnień do przetwarzania danych osobowych.

  • Po co przeprowadzać audyt prawny w zakresie ochrony danych osobowych?

    Audyt prawny w zakresie ochrony danych osobowych pozwala odpowiedzieć na pytanie, czy dotychczasowe postępowanie było zgodne z regulacjami prawnymi. Audyt pozwoli nam ocenić, gdzie jesteśmy i co mamy do zrobienia. Kolejność działań nie jest tutaj przypadkowa – najpierw badanie, potem wdrożenie. Dlaczego? Dlatego też żadna, choćby najlepsza, wzorcowa dokumentacja, nigdy nie będzie dostosowana konkretnie do potrzeb danego przedsiębiorstwa, a potrzeby te, co oczywiste, trzeba najpierw zidentyfikować. Może się na przykład okazać, że wcale nie ma konieczności, aby pytać klienta o zgodę na przetwarzania jego danych osobowych, a nawet więcej – że takie postępowanie jest po prostu nieprawidłowe.

    Jak przeprowadzić audyt? Zakres audytu będzie ściśle uzależniony od stopnia obecnego wdrożenia przedsiębiorstwa w tematykę ochrony danych osobowych. Co do zasady – trzeba zacząć od podstaw i ustalić m.in.:
    – jakie kategorie danych osobowych są lub będą przetwarzane i jakich podmiotów danych dotyczą,
    – na jakiej podstawie dane osobowe mogą być przetwarzane,
    – czy wypełniane są obowiązki informacyjne,
    – czy respektowane są zasady przetwarzania danych m.in. minimalizacji danych, ograniczenia celu, czy ograniczenia przechowywania,
    – czy dane są udostępniane lub powierzane do przetwarzania innym podmiotom i na jakiej podstawie,
    – czy w sposób prawidłowy  przetwarzane są dane osobowe pracowników i współpracowników,
    – czy zostały zastosowane wymagane zabezpieczenia organizacyjne służące ochronie danych.

    Dopiero tak przeprowadzony audyt może być podstawą i punktem wyjścia do postawienia diagnozy zastanego stanu faktycznego, a następnie sformułowania rekomendacji i wskazania sposobu ich wykonania. Oczywiście, aby można było mówić o spełnieniu wymogów prawnych w zakresie ochrony danych osobowych, należy postawić jeszcze kropkę nad “i” i wdrożyć wszystkie zalecenia i rekomendacje.

  • Kim jest inspektor ochrony danych i kto musi go wyznaczyć?

    Głównym zadaniem IOD jest zapewnianie przestrzegania przepisów o ochronie danych osobowych. IOD ma informować administratora o spoczywających na nim obowiązkach, monitorować przestrzeganie tych obowiązków, szkolić pracowników, współpracować i pełnić funkcję punktu kontaktowego dla PUODO.

    Obowiązek wyznaczenia inspektora ochrony danych spoczywa na administratorze i podmiocie przetwarzającym w sytuacjach gdy:

    • przetwarzania dokonują organ lub podmiot publiczny, z wyjątkiem sądów w zakresie sprawowania przez nie wymiaru sprawiedliwości;
    • główna działalność administratora lub podmiotu przetwarzającego polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę; lub
    • główna działalność administratora lub podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych (danych wrażliwych) oraz danych osobowych dotyczących wyroków skazujących i naruszeń prawa.

    Przykładowo, obowiązek wyznaczenia IOD mają zawsze podmioty lecznicze.
    IOD może być pracownikiem lub wykonywać zadania na podstawie umowy o świadczenie usług – dopuszczalny jest więc outsourcing tej funkcji. IOD jest wyznaczany na podstawie kwalifikacji zawodowych, a w szczególności wiedzy fachowej na temat prawa i praktyk w dziedzinie ochrony danych. O wyznaczeniu IOD zawiadamia się PUODO.

    RODO cz. III – Inspektor ochrony danych