Szkolenie i audyt RODO

W ramach usłu­gi — obsłu­ga praw­na firm — ofe­ru­je­my m.in dla klien­tów z War­sza­wy i Łodzi sze­reg  usług z zakre­su ochro­ny danych oso­bo­wych, w tym pro­wa­dzi­my szko­le­nia dla przed­się­bior­ców i ich pra­cow­ni­ków, jak rów­nież inspek­to­rów ochro­ny danych oso­bo­wych z zakre­su prze­pi­sów roz­po­rzą­dze­nia Par­la­men­tu Euro­pej­skie­go i Rady UE 2016/679 z dnia 27 kwiet­nia 2016 r. w spra­wie ochro­ny osób fizycz­nych w związ­ku z prze­twa­rza­niem danych oso­bo­wych i w spra­wie swo­bod­ne­go prze­pły­wu takich danych oraz uchy­le­nia dyrek­ty­wy 95/46/WE (ogól­ne roz­po­rzą­dze­nie o ochro­nie danych – RODO) oraz usta­wy o ochro­nie danych oso­bo­wych z dnia 10 maja 2018 r. Orga­ni­zo­wa­ne przez nas szko­le­nia RODO słu­żą zazna­jo­mie­niu pra­cow­ni­ków z obo­wią­zu­ją­cy­mi regu­la­cja­mi w zakre­sie ochro­ny danych oso­bo­wych (usłu­ga: szko­le­nie ochro­na danych oso­bo­wych).

Kan­ce­la­ria Praw­na Rad­kie­wicz Adwo­ka­ci i Rad­co­wie Praw­ni prze­pro­wa­dza rów­nież audy­ty RODO, któ­rych celem jest ana­li­za pro­ce­dur wewnętrz­nych z zakre­su ochro­ny danych oso­bo­wych oraz jej prze­strze­ga­nia przez pra­cow­ni­ków klien­ta. Kan­ce­la­ria spraw­dza kom­plet­ność wpro­wa­dzo­nej u klien­ta doku­men­ta­cji wewnętrz­nej pod wzglę­dem wymo­gów praw­nych, np. wpro­wa­dze­nie reje­strów wyma­ga­nych przez RODO (“audyt ochro­ny danych oso­bo­wych”). Kan­ce­la­ria wery­fi­ku­je rów­nież zakres i ilość danych prze­twa­rza­nych w pod­mio­cie pod wzglę­dem zasa­dy mini­ma­li­za­cji danych.

Szko­le­nie RODO oraz audyt funk­cjo­nu­ją­cych w orga­ni­za­cji pro­ce­dur ochro­ny danych oso­bo­wych zapew­ni mak­sy­mal­ne bez­pie­czeń­stwo gro­ma­dze­nia i prze­twa­rza­nia infor­ma­cji.

Ponad­to Kan­ce­la­ria Praw­na Rad­kie­wicz Adwo­ka­ci i Rad­co­wie Praw­ni ofe­ru­je swym klien­tom out­so­ur­cing funk­cji inspek­to­ra ochro­ny danych oso­bo­wych (out­so­ur­cing IOD). Jed­nym z obo­wiąz­ków, jakie zosta­ły wpro­wa­dzo­ne dnia 25 maja 2018 r. była koniecz­ność powo­ła­nia inspek­to­ra ochro­ny danych oso­bo­wych (inspek­tor RODO). Prze­pi­sy RODO pre­cy­zu­ją, na jakich pod­mio­tach obo­wią­zek ten spo­czy­wa (np. ze wzglę­du na wiel­kość bądź struk­tu­rę wła­ści­ciel­ską). Inspek­tor ochro­ny danych oso­bo­wych może zostać powo­ła­ny tak­że przez pozo­sta­łe pod­mio­ty, na któ­re obo­wią­zek taki nie został nało­żo­ny, aby mieć pew­ność speł­nia­nia przez pod­miot wszel­kich wyma­gań, jakie na nim spo­czy­wa­ją zgod­nie z prze­pi­sa­mi RODO.

Szkolenie RODO

Posia­da­my doświad­cze­nie w pro­wa­dze­niu szko­leń RODO w szcze­gól­no­ści dla człon­ków Busi­ness Cen­tre Club. Szko­le­nie RODO przez nas pro­wa­dzo­ne posia­da dwie for­mu­ły – szko­le­nie ogól­ne z zakre­su ochro­ny danych oso­bo­wych (tzw. ogól­ne szko­le­nie RODO) oraz szko­le­nie sek­to­ro­we, dosto­so­wa­ne do potrzeb kon­kret­ne­go klien­ta oraz spe­cy­fi­ki pro­wa­dzo­nej przez nie­go dzia­łal­no­ści gospo­dar­czej (tzw. sek­to­ro­we szko­le­nie RODO, np. z zakre­su pra­wa medycz­ne­go). Prze­pro­wa­dza­my rów­nież dla naszych klien­tów szko­le­nia onli­ne z zakre­su ochro­ny danych oso­bo­wych (szko­le­nie RODO onli­ne).

Szko­le­nie RODO obej­mu­je m. in. nastę­pu­ją­ce zagad­nie­nia:

1. naj­waż­niej­sze zmia­ny, jakie wpro­wa­dzi­ło RODO, w tym o nowych insty­tu­cjach, m.in. o poję­ciu pro­fi­lo­wa­nia, pra­wie do bycia zapo­mnia­nym itp.;
2. obo­wiąz­ki nało­żo­ne na admi­ni­stra­to­rów danych oso­bo­wych;
3. kie­dy nale­ży powo­łać inspek­to­ra ochro­ny danych (IOD), jego sta­tus oraz zada­nia;
4. reje­stro­wa­nie czyn­no­ści prze­twa­rza­nia;
5. zgła­sza­nie naru­sze­nia ochro­ny danych oso­bo­wych;
6. obo­wią­zek infor­ma­cyj­ny;
7. kary admi­ni­stra­cyj­ne — zasa­dy ich nakła­da­nia i wyso­kość;
8. zasa­dy prze­twa­rza­nia danych oso­bo­wych, a w tym m. in. zasa­da mini­ma­li­zmu;
9. szcze­gól­ne kate­go­rie danych;
10. pra­wa przy­słu­gu­ją­ce oso­bom, któ­rych dane doty­czą oraz zwią­za­ne z nimi obo­wiąz­ki admi­ni­stra­to­rów i pod­mio­tów prze­twa­rza­ją­cych;
11. pod­miot prze­twa­rza­ją­cy i umo­wa powie­rze­nia;
12. zada­nia i rola orga­nu nad­zor­cze­go (PUODO).

Głów­ne korzy­ści szko­le­nia RODO prze­pro­wa­dzo­ne­go przez spe­cja­li­stów z Kan­ce­la­rii Praw­nej Rad­kie­wicz Adwo­ka­ci i Rad­co­wie Praw­ni to przede wszyst­kim uzy­ska­nie rze­tel­nych, mery­to­rycz­nych i przej­rzy­stych infor­ma­cji o aktu­al­nym sta­nie praw­nym z zakre­su ochro­ny danych oso­bo­wych (szko­le­nie ochro­na danych oso­bo­wych).

Czym jest RODO?

RODO jest to Roz­po­rzą­dze­nie Par­la­men­tu Euro­pej­skie­go i Rady (UE) 2016/679 sta­no­wią­ce akt wewnętrz­ny Unii Euro­pej­skiej (dalej: „UE”) regu­lu­ją­cy zasa­dy prze­twa­rza­nia danych oso­bo­wych i ich ochro­nę. Celem wpro­wa­dze­nia RODO było zhar­mo­ni­zo­wa­nie pra­wa z zakre­su ochro­ny danych oso­bo­wych we wszyst­kich pań­stwach człon­kow­skich. Pol­ski usta­wo­daw­ca, dzia­ła­jąc z upo­waż­nie­nia wska­za­ne­go w RODO, wpro­wa­dził usta­wę o ochro­nie danych oso­bo­wych i wła­śnie ta usta­wa z dnia 10 maja 2018 r. dopre­cy­zo­wu­je nie­któ­re insty­tu­cje prze­wi­dzia­ne w prze­pi­sach RODO.

Nowe obowiązki w świetle RODO

RODO wpro­wa­dza m.in. sze­reg nowych obo­wiąz­ków nało­żo­nych na admi­ni­stra­to­rów danych oso­bo­wych takich jak: poin­for­mo­wa­nie o naru­sze­niu danych oso­bo­wych, powo­ła­nie inspek­to­ra ochro­ny danych oso­bo­wych, jak rów­nież wdro­że­nie wszel­kich nie­zbęd­nych środ­ków, zarów­no orga­ni­za­cyj­nych, jak i tech­nicz­nych celem zabez­pie­cze­nia prze­twa­rza­nych danych oso­bo­wych. Dla­te­go tak waż­ne jest, aby prze­pro­wa­dzić szko­le­nie RODO dla pra­cow­ni­ków celem zazna­jo­mie­nia ich z nowy­mi regu­la­cja­mi praw­ny­mi z zakre­su ochro­ny danych oso­bo­wych. Takie dzia­ła­nie sprzy­ja zagwa­ran­to­wa­niu efek­tyw­nej ochro­ny danych oso­bo­wych zgro­ma­dzo­nych w fir­mo­wych bazach.

Podstawowe obowiązki administratora danych osobowych

Do pod­sta­wo­wych obo­wiąz­ków admi­ni­stra­to­ra danych oso­bo­wych nale­żą m. in.:

1. wdra­ża­nie odpo­wied­nich środ­ków tech­nicz­nych i orga­ni­za­cyj­nych, w tym nie­zbęd­nych zabez­pie­czeń, celem prze­twa­rza­nia danych oso­bo­wych zgod­nie z prze­pi­sa­mi RODO;
2. powo­ła­nie inspek­to­ra ochro­ny danych oso­bo­wych;
3. pro­wa­dze­nie reje­stru czyn­no­ści prze­twa­rza­nia danych oso­bo­wych;
4. prze­pro­wa­dza­nie ana­li­zy ryzy­ka naru­sze­nia danych oso­bo­wych;
5. współ­dzia­ła­nie z orga­nem nad­zor­czym – Pre­ze­sem Urzę­du Ochro­ny Danych Oso­bo­wych, w tym infor­mo­wa­nie o naru­sze­niu ochro­ny danych oso­bo­wych.

Pod poję­ciem wdra­ża­nia odpo­wied­nich środ­ków orga­ni­za­cyj­nych celem prze­twa­rza­nia danych oso­bo­wych zgod­nie z RODO rozu­mie się rów­nież koniecz­ność zazna­jo­mie­nia pra­cow­ni­ków z zasa­da­mi ochro­ny danych oso­bo­wych obo­wią­zu­ją­cy­mi u dane­go przed­się­bior­cy oraz z prze­pi­sa­mi doty­czą­cy­mi ochro­ny danych oso­bo­wych.

Szkolenie RODO — podsumowanie

Prze­pi­sy RODO doty­czą zarów­no orga­nów publicz­nych, jak rów­nież przed­się­bior­ców, w tym spół­ek pra­wa han­dlo­we­go i to nie­za­leż­nie od wiel­ko­ści pro­wa­dzo­nej dzia­łal­no­ści gospo­dar­czej. Każ­dy pod­miot prze­twa­rza­ją­cy dane oso­bo­we w ramach pro­wa­dzo­nej przez sie­bie dzia­łal­no­ści winien pod­jąć wszel­kie nie­zbęd­ne kro­ki celem wdro­że­nia odpo­wied­nich środ­ków tech­nicz­nych i orga­ni­za­cyj­nych zgod­nie z prze­pi­sa­mi RODO. Jed­nym z takich środ­ków orga­ni­za­cyj­nych jest zaś z całą pew­no­ścią prze­szko­le­nie swych pra­cow­ni­ków w zakre­sie ochro­ny danych oso­bo­wych oraz zazna­jo­mie­nie ich z zasa­da­mi wpro­wa­dzo­ny­mi w danym pod­mio­cie (np. w zakre­sie pro­ce­du­ry zgła­sza­nia naru­szeń ochro­ny danych oso­bo­wych). Nie spo­sób bowiem wyma­gać od pra­cow­ni­ków prze­strze­ga­nia prze­pi­sów doty­czą­cych ochro­ny danych oso­bo­wych, jeśli ich nie zna­ją bądź zna­ją jedy­nie w ogra­ni­czo­nym zakre­sie. Odpo­wied­nie szko­le­nie RODO pro­wa­dzo­ne przez naszą Kan­ce­la­rię pozwo­li nie­wąt­pli­wie zmi­ni­ma­li­zo­wać praw­do­po­do­bień­stwo nało­że­nia przez organ nad­zor­czy na admi­ni­stra­to­ra danych oso­bo­wych wyso­kich kar pie­nięż­nych. Tym samym choć­by tyl­ko z tego powo­du prze­zna­czo­ne przez admi­ni­stra­to­ra danych oso­bo­wych środ­ki pie­nięż­ne na szko­le­nie RODO są opła­cal­ną inwe­sty­cją w kapi­tał ludz­ki. Zachę­ca­my do kon­tak­tu z Kan­ce­la­rią Praw­ną Rad­kie­wicz Adwo­ka­ci i Rad­co­wie Praw­ni, któ­ra pro­wa­dzi szko­le­nia RODO m.in dla klien­tów z War­sza­wy i Łodzi (szko­le­nie ochro­na danych oso­bo­wych).

Szkolenie, audyt i inspektor RODO — Warszawa

Kan­ce­la­ria Praw­na Rad­kie­wicz Adwo­ka­ci i Rad­co­wie Praw­ni ofe­ru­je szko­le­nia z zakre­su ochro­ny danych oso­bo­wych w War­sza­wie. Kan­ce­la­ria do tej pory prze­pro­wa­dzi­ła sze­reg szko­leń RODO, w tym w sie­dzi­bie Busi­ness Cen­tre Club. Szko­le­nia RODO ofe­ro­wa­ne przez Kan­ce­la­rie mogą przy­brać for­mę szko­leń ogól­nych, gdzie poru­sza­ne są zagad­nie­nia doty­czą­ce każ­de­go przed­się­bior­cy, bądź szko­leń sek­to­ro­wych, dosto­so­wa­nych do spe­cy­fi­ki bran­ży, dla któ­rej jest prze­pro­wa­dza­ne (szko­le­nie ochro­na danych oso­bo­wych). Moż­li­wość udzia­łu w szko­le­niach RODO bez­sprzecz­nie poma­ga pra­cow­ni­kom lepiej wypeł­niać nało­żo­ne na nich zada­nia, jed­no­cze­śnie wspo­ma­ga­jąc pra­co­daw­cę we wdro­że­niu środ­ków tech­nicz­nych oraz orga­ni­za­cyj­nych wyma­ga­nych prze­pi­sa­mi RODO celem ochro­ny danych oso­bo­wych prze­twa­rza­nych w pod­mio­cie. Kan­ce­la­ria zlo­ka­li­zo­wa­na jest pod adre­sem ul. Wierz­bo­wa 9/11, War­sza­wa, dane kon­tak­to­we: 22 489 52 65 lub 801 50 10 50.

Szkolenie, audyt i inspektor RODO — Łódź

Kan­ce­la­ria Praw­na Rad­kie­wicz Adwo­ka­ci i Rad­co­wie Praw­ni posia­da wyso­kie doświad­cze­nie w zakre­sie pro­wa­dze­nia szko­leń RODO. Dotych­czas Kan­ce­la­ria prze­pro­wa­dza­ła szko­le­nia m. in. dla Busi­ness Cen­tre Club w War­sza­wie. Szko­le­nia RODO pro­wa­dzo­ne są rów­nież na tere­nie Łodzi. Szko­le­nia te sta­ły się nie­odzow­nym ele­men­tem pro­wa­dze­nia wszel­kiej dzia­łal­no­ści, gdzie prze­twa­rza­ne są dane oso­bo­we. Zda­niem Kan­ce­la­rii wyłącz­nie wie­dza pra­cow­ni­ków i przed­się­bior­ców, w jaki spo­sób powin­no postę­po­wać z dany­mi oso­bo­wy­mi oraz jak je chro­nić może spo­wo­do­wać kom­plek­so­we wypeł­nia­nie obo­wiąz­ków nało­żo­nych prze­pi­sa­mi RODO. Filia Kan­ce­la­rii usy­tu­owa­na jest przy ul. Wól­czań­skiej 125, 90–521 Łódź (kon­takt 801 50 10 50).

Audyt RODO

Kan­ce­la­ria Praw­na Rad­kie­wicz Adwo­ka­ci i Rad­co­wie Praw­ni w ramach usłu­gi — obsłu­ga praw­na firm — ofe­ru­je m.in. fir­mom z War­sza­wy i Łodzi sze­reg usług w zakre­sie ochro­ny danych oso­bo­wych. Wśród sze­ro­kiej gamy naszej ofer­ty znaj­du­je się rów­nież moż­li­wość prze­pro­wa­dze­nia audy­tów pod wzglę­dem zgod­no­ści z RODO u przed­się­bior­ców, zarów­no spół­ek, jak i osób fizycz­nych pro­wa­dzą­cych dzia­łal­ność gospo­dar­czą (“audyt ochro­ny danych oso­bo­wych”). W ramach powyż­szych usług udzie­la­my wspar­cia w dosto­so­wa­niu doku­men­ta­cji do wyma­gań roz­po­rzą­dze­nia Par­la­men­tu Euro­pej­skie­go i Rady UE 2016/679 z dnia 27 kwiet­nia 2016 r. w spra­wie ochro­ny osób fizycz­nych w związ­ku z prze­twa­rza­niem danych oso­bo­wych i w spra­wie swo­bod­ne­go prze­pły­wu takich danych oraz uchy­le­nia dyrek­ty­wy 95/46/WE (dalej: „RODO”) oraz usta­wy o ochro­nie danych oso­bo­wych z dnia 10 maja 2018 r. Zle­ca­jąc czyn­no­ści Kan­ce­la­rii Praw­nej Rad­kie­wicz Adwo­ka­ci i Rad­co­wie Praw­ni otrzy­ma­ją Pań­stwo kom­plet doku­men­ta­cji wyma­ga­nej prze­pi­sa­mi RODO (np. rejestr czyn­no­ści prze­twa­rza­nia danych oso­bo­wych) oraz pro­ce­du­ry wprost nie­wy­ma­ga­ne przez RODO, ale zale­ca­ne przez pol­ski organ nad­zo­ru, takie jak pro­ce­du­ra zarzą­dza­nia sys­te­mem infor­ma­tycz­nym.

Przetwarzanie danych osobowych zgodnie z RODO

Aby dobrze zro­zu­mieć, czym jest prze­twa­rza­nie danych oso­bo­wych, naj­pierw nale­ży zde­fi­nio­wać sobie czym jest w ogó­le dane oso­bo­we oraz jakie infor­ma­cje mogą za takie dane zostać uzna­ne. Zgod­nie z defi­ni­cją zawar­tą w RODO dany­mi oso­bo­wy­mi są takie infor­ma­cje o oso­bie fizycz­nej, któ­re słu­żą do jej ziden­ty­fi­ko­wa­nia lub umoż­li­wia­ją jej ziden­ty­fi­ko­wa­nie. Wśród przy­kła­do­we­go kata­lo­gu zawar­te­go w prze­pi­sach RODO unij­ny usta­wo­daw­ca wska­zu­je m. in. na imię i nazwi­sko danej oso­by, jej numer tele­fo­nu, jej adres e‑mail czy adres kore­spon­den­cyj­ny. Obo­wią­zu­ją­ce prze­pi­sy praw­ne wska­zu­ją na koniecz­ność ochro­ny danych, za pomo­cą któ­rych moż­na ziden­ty­fi­ko­wać dany pod­miot.

Prze­twa­rza­nie danych oso­bo­wych RODO defi­niu­je nato­miast jako ope­ra­cję lub zestaw ope­ra­cji. Ope­ra­cje te muszą być wyko­ny­wa­ne na danych oso­bo­wych. Wśród przy­kła­do­we­go kata­lo­gu ope­ra­cji, jakie poda­ją prze­pi­sy RODO zna­la­zły się nastę­pu­ją­ce czyn­no­ści:

1. zbie­ra­nie danych oso­bo­wych;
2. prze­cho­wy­wa­nie danych oso­bo­wych;
3. prze­glą­da­nie danych oso­bo­wych itp.

Kata­log zawar­ty w RODO jest otwar­ty, zatem rów­nież inne czyn­no­ści wyko­ny­wa­ne na danych oso­bo­wych mogą zostać uzna­ne za ich prze­twa­rza­nie.

Prawa i obowiązki wprowadzone przepisami RODO

Nale­ży mieć świa­do­mość, iż RODO jest roz­po­rzą­dze­niem Unii Euro­pej­skiej i jest sto­so­wa­ny bez­po­śred­nio we wszyst­kich pań­stwach człon­kow­skich UE. Regu­lu­je on swo­bo­dę prze­pły­wu danych oso­bo­wych, a w szcze­gól­no­ści ich ochro­nę.

Ana­li­zo­wa­ny akt praw­ny wpro­wa­dza nowe obo­wiąz­ki dla prze­twa­rza­ją­cych dane oso­bo­we a jed­no­cze­śnie pra­wa dla osób, któ­rych dane są prze­twa­rza­ne. Wśród obo­wiąz­ków wska­za­nych w RODO wpro­wa­dzo­no koniecz­ność pro­wa­dze­nia przez admi­ni­stra­to­rów danych oso­bo­wych oraz pro­ce­so­rów szcze­gó­ło­wej doku­men­ta­cji świad­czą­cej o zgod­no­ści prze­twa­rza­nia przez nich danych oso­bo­wych z obo­wią­zu­ją­cy­mi prze­pi­sa­mi praw­ny­mi, któ­rą to Kan­ce­la­ria spo­rzą­dza w ramach peł­ne­go audy­tu RODO.

Obowiązki administratorów danych osobowych i procesorów

W pierw­szej kolej­no­ści war­tym wyja­śnie­nia jest kto jest admi­ni­stra­to­rem danych oso­bo­wych. Prze­pi­sy RODO za admi­ni­stra­to­ra danych uzna­ją każ­dy pod­miot, któ­ry usta­la cele i spo­so­by prze­twa­rza­nia danych oso­bo­wych. Zabra­kło w nich jed­nak dopre­cy­zo­wa­nia czym jest „usta­la­nie celów”. Może to w prak­ty­ce stwa­rzać sze­reg pro­ble­mów inter­pre­ta­cyj­nych, zatem fero­wa­nie opi­nii w zakre­sie czy dany pod­miot posia­da przy­miot admi­ni­stra­to­ra danych oso­bo­wych win­no być doko­ny­wa­ne w opar­ciu o kon­kret­ne oko­licz­no­ści.

Wśród sze­re­gu obo­wiąz­ków, jakie zosta­ły nało­żo­ne na admi­ni­stra­to­ra danych oso­bo­wych zna­lazł się obo­wią­zek:

1. wdra­ża­nia środ­ków tech­nicz­nych i orga­ni­za­cyj­nych odpo­wied­nich dla prze­twa­rza­nia danych oso­bo­wych posia­da­nych przez pod­miot (np. na pod­sta­wie prze­pro­wa­dzo­ne­go uprzed­nio audy­tu;
2. wyzna­cze­nia inspek­to­ra ochro­ny danych oso­bo­wych;
3. pro­wa­dze­nia reje­stru czyn­no­ści prze­twa­rza­nia, gdy jest to wyma­ga­ne;
4. prze­pro­wa­dze­nia ana­li­zy ryzy­ka naru­sze­nia danych oso­bo­wych posia­da­nych przez admi­ni­stra­to­ra.

Zgod­nie z RODO pro­ce­so­rem czy­li pod­mio­tem prze­twa­rza­ją­cym jest każ­dy kto prze­twa­rza dane oso­bo­we w imie­niu admi­ni­stra­to­ra, a kto nie jest jego pra­cow­ni­kiem (np. usłu­gi out­so­ur­cin­gu). Wśród obo­wiąz­ków takie­go pod­mio­tu jest m. in. pro­wa­dze­nie reje­stru kate­go­rii czyn­no­ści prze­twa­rza­nia.

Ocena skutków dla ochrony danych

Jak wska­za­no powy­żej na admi­ni­stra­to­rów danych oso­bo­wych został nało­żo­ny obo­wią­zek prze­pro­wa­dze­nia oce­ny ana­li­zy ryzy­ka naru­sze­nia ochro­ny danych oso­bo­wych. Oce­na taka zawie­ra sze­reg ele­men­tów wska­za­nych w RODO, wśród któ­rych jest opis pla­no­wa­nych ope­ra­cji prze­twa­rza­nia i jego celów. Nad­to doko­nu­je się w niej oce­ny ryzy­ka i wska­zu­je pla­no­wa­ne środ­ki zarad­cze dosto­so­wa­ne do stwier­dzo­nych ryzyk. Obo­wią­zek taki ist­nie­je, gdy rodzaj prze­twa­rza­nia danych oso­bo­wych, jaki dzia­ła u dane­go przed­się­bior­cy z dużym praw­do­po­do­bień­stwem może powo­do­wać wyso­kie ryzy­ko naru­sze­nia praw osób. Celem wyja­śnie­nia za wyso­kie ryzy­ko naru­sze­nia praw osób uzna­je się prze­twa­rza­nie danych szcze­gól­nych (np. o sta­nie zdro­wia), ale musi ono być wyko­ny­wa­ne na dużą ska­lę. Prze­pro­wa­dze­nie takiej oce­ny z całą pew­no­ścią będzie pomoc­ne dla cało­ścio­wej oce­ny doko­ny­wa­nej w ramach audy­tu ochro­ny danych oso­bo­wych (“audyt RODO”).

Rejestr czynności przetwarzania

Zasa­dą jest, iż pro­wa­dze­nie reje­stru czyn­no­ści prze­twa­rza­nia jest ele­men­tem obli­ga­to­ryj­nym każ­de­go pod­mio­tu prze­twa­rza­ją­ce­go dane oso­bo­we. Wyjąt­ki od takiej zasa­dy zosta­ły uwzględ­nio­ne w prze­pi­sach RODO, do któ­rych nale­ży oko­licz­ność, pod­mio­ty zatrud­nia­ją mniej niż 250 osób. Zwol­nie­nie takie nie będzie jed­nak przy­słu­gi­wać, gdy prze­twa­rza­nie danych oso­bo­wych przez taki pod­miot powo­do­wać będzie ryzy­ko naru­sze­nia wol­no­ści lub praw osób, któ­rych dane doty­czą. Usta­le­niu czy oko­licz­no­ści takie zacho­dzą z całą pew­no­ścią pomóc może prze­pro­wa­dzo­ny u dane­go przed­się­bior­cy audyt RODO, w trak­cie któ­re­go ana­li­zu­je się, czy i w jakim stop­niu w fir­mie prze­strze­ga­ne są zasa­dy prze­twa­rza­nia danych oso­bo­wych, w tym prze­pi­sy usta­wy o ochro­nie danych oso­bo­wych.

Obowiązek wyznaczenia inspektora ochrony danych osobowych

Jeże­li w ramach głów­nej dzia­łal­no­ści pod­mio­tu prze­twa­rza on dane oso­bo­we, któ­re zwią­za­ne są z moni­to­ro­wa­niem osób (moni­to­ro­wa­nie to jest regu­lar­ne i sys­te­ma­tycz­ne) bądź prze­twa­rza szcze­gól­ne kate­go­rie danych na dużą ska­lę to taki pod­miot jest zobo­wią­za­ny do powo­ła­nia inspek­to­ra ochro­ny danych oso­bo­wych. Mając na uwa­dze nie­jed­no­znacz­ność uży­tych w prze­pi­sach Roz­po­rzą­dze­nia sfor­mu­ło­wań, zale­ca­my prze­pro­wa­dze­nie audy­tu zgod­no­ści z RODO w swo­jej fir­mie, aby spraw­dzić, czy powo­ła­nie inspek­to­ra ochro­ny danych oso­bo­wych jest przez dane­go przed­się­bior­cę obli­ga­to­ryj­ne (“audyt ochro­ny danych oso­bo­wych”).

Audyt RODO — podsumowanie

RODO wpro­wa­dza sze­reg obo­wiąz­ków nało­żo­nych na admi­ni­stra­to­rów oraz pod­mio­ty prze­twa­rza­ją­ce celem ochro­ny danych oso­bo­wych przez nich prze­twa­rza­nych. Pod­mio­ty te są bowiem obo­wią­za­ne do wdro­że­nia takich dzia­łań, aby zapew­nić odpo­wied­ni sto­pień bez­pie­czeń­stwa danych oso­bo­wych, któ­re zgro­ma­dzi­li w ramach pro­wa­dzo­nej przez sie­bie dzia­łal­no­ści gospo­dar­czej. Bez­pie­czeń­stwo to win­no pole­gać zarów­no nad ochro­ną przed nie­upraw­nio­nym dostę­pem czy moż­li­wo­ścią dostę­pu do nich oso­bom upo­waż­nio­nym do tego. Jed­nym z ele­men­tów takich dzia­łań jest cyklicz­ne prze­pro­wa­dza­nie audy­tów RODO, pod­czas któ­rych bada­na jest dotych­cza­so­wa dzia­łal­ność przed­się­bior­cy pod wzglę­dem jej zgod­no­ści z RODO oraz udzie­la­na pomoc we wdro­że­niu pro­ce­dur mają­cych na celu eli­mi­na­cję dotych­cza­so­wych błę­dów poja­wia­ją­cych się u pod­mio­tu bada­ne­go (“audyt ochro­ny danych oso­bo­wych”). Takie wła­śnie audy­ty ochro­ny danych oso­bo­wych są prze­pro­wa­dza­ne przez Kan­ce­la­rię Praw­ną Rad­kie­wicz Adwo­ka­ci i Rad­co­wie Praw­ni m.in. dla klien­tów z War­sza­wy i Łodzi (“audyt RODO War­sza­wa”, “audyt RODO Łódź”).

IOD, czyli inspektor ochrony danych osobowych

W ramach usłu­gi — obsłu­ga praw­na firm — świad­czy­my kom­plek­so­we usłu­gi z zakre­su ochro­ny danych oso­bo­wych, w tym tak­że usłu­gi out­so­ur­cin­gu funk­cji inspek­to­ra ochro­ny danych na tere­nie War­sza­wy i Łodzi (out­so­ur­cing IOD War­sza­wa, out­so­ur­cing IOD Łódź) zgod­nie z wymo­ga­mi prze­pi­sów roz­po­rzą­dze­nia Par­la­men­tu Euro­pej­skie­go i Rady UE 2016/679 z dnia 27 kwiet­nia 2016 r. w spra­wie ochro­ny osób fizycz­nych w związ­ku z prze­twa­rza­niem danych oso­bo­wych i w spra­wie swo­bod­ne­go prze­pły­wu takich danych oraz uchy­le­nia dyrek­ty­wy 95/46/WE (ogól­ne roz­po­rzą­dze­nie o ochro­nie danych – RODO) oraz usta­wy o ochro­nie danych oso­bo­wych z dnia 10 maja 2018 r.

Nowe obowiązki nałożone na administratorów

Akta­mi praw­ny­mi regu­lu­ją­cy­mi zagad­nie­nie ochro­ny danych oso­bo­wych jest przede wszyst­kim akt pra­wa unij­ne­go — Roz­po­rzą­dze­nie Par­la­men­tu Euro­pej­skie­go i Rady (UE) 2016/679 oraz usta­wa o ochro­nie danych oso­bo­wych z dnia 10 maja 2018 r. RODO wpro­wa­dza m.in. łatwiej­szy dostęp do danych, obo­wią­zek infor­mo­wa­nia o naru­sze­niu danych oso­bo­wych czy sze­reg nowych obo­wiąz­ków nało­żo­nych na admi­ni­stra­to­rów danych oso­bo­wych, a w tym koniecz­ność powo­ła­nia inspek­to­ra ochro­ny danych oso­bo­wych. War­to wska­zać, iż koniecz­ność powo­ła­nia inspek­to­ra ochro­ny danych oso­bo­wych w sytu­acjach okre­ślo­nych prze­pi­sa­mi RODO cią­ży rów­nież na pod­mio­cie prze­twa­rza­ją­cym. Pod­mio­ty te mogą zawrzeć umo­wy z fir­ma­mi zewnętrz­ny­mi, któ­re będą na ich zle­ce­nie pro­wa­dzi­ły czyn­no­ści w ramach usłu­gi out­so­ur­cin­gu funk­cji inspek­to­ra ochro­ny danych (out­so­ur­cing IOD).

Powołanie inspektora ochrony danych osobowych

Zgod­nie z RODO obo­wią­zek wyzna­cze­nia IOD ist­nie­je, gdy:

1. prze­twa­rza­nie danych oso­bo­wych jest doko­ny­wa­ne przez orga­ny publicz­ne;
2. głów­na dzia­łal­ność pod­mio­tów pole­ga na takich ope­ra­cjach prze­twa­rza­nia danych oso­bo­wych, któ­re wyma­ga­ją moni­to­ro­wa­nia osób (musi być to jed­nak moni­to­ro­wa­nie regu­lar­ne i sys­te­ma­tycz­ne);
3. na dużą ska­lę prze­twa­rza­ne są szcze­gól­ne kate­go­rie danych oso­bo­wych lub dane oso­bo­we doty­czą­ce wyro­ków ska­zu­ją­cych i czy­nów zabro­nio­nych.

We wszyst­kich tych oko­licz­no­ściach przed­się­bior­cy będą zmu­sze­ni do powo­ła­nia IOD, a zatem do zawar­cia poro­zu­mień z zakre­su out­so­ur­cin­gu funk­cji IOD.

W prze­pi­sach RODO zabra­kło defi­ni­cji ter­mi­nu „duża ska­la”. W jed­nym z jego moty­wów wska­zu­je się jed­nak m. in. na prze­twa­rza­nie znacz­nej ilo­ści danych oso­bo­wych, co wpły­wać może na dużą licz­bę osób, któ­rych dane doty­czą. Oce­na czy kry­te­rium takie zacho­dzi musi więc być doko­ny­wa­ne za każ­dym razem indy­wi­du­al­nie.

Za prze­twa­rza­nie danych na „dużą ska­lę” uznać moż­na nastę­pu­ją­ce oko­licz­no­ści:

1. prze­twa­rza­nie danych pacjen­tów przez szpi­tal;
2. śle­dze­nie osób za pomo­cą kart miej­skich;
3. dzia­łal­ność ban­ko­wa, ubez­pie­cze­nio­wa itp.

Prze­pi­sy RODO nie wpro­wa­dza­ją defi­ni­cji pod­mio­tów admi­ni­stra­cji publicz­nej, pozo­sta­wia­jąc to do kogni­cji usta­wo­dawstw kra­jo­wych. Pol­ski usta­wo­daw­ca dopre­cy­zo­wał w usta­wie o ochro­nie danych oso­bo­wych, iż za orga­ny i pod­mio­ty publicz­ne uwa­ża­ne być powin­ny m. in.:

1. jed­nost­ki sek­to­ra finan­sów publicz­nych;
2. insty­tu­ty badaw­cze;
3. Naro­do­wy Bank Pol­ski.

War­to wska­zać, iż gru­pa przed­się­bior­ców może wyzna­czyć jed­ne­go IOD.

Ponad­to nale­ży pod­kre­ślić, iż Gru­pa Robo­cza powo­ła­na na mocy art. 29 dyrek­ty­wy 95/46/WE Par­la­men­tu Euro­pej­skie­go i Rady z dnia 24 paź­dzier­ni­ka 1995 r. będą­ca nie­za­leż­nym orga­nem dorad­czym w zakre­sie ochro­ny danych i pry­wat­no­ści (dalej „Gru­pa Robo­cza”) reko­men­du­je wyzna­cze­nie IOD rów­nież w odnie­sie­niu do pod­mio­tów do tego nie­zo­bo­wią­za­nych.

Zadania IOD  

Zgod­nie z RODO zada­nia­mi IOD są:

1. infor­mo­wa­nie admi­ni­stra­to­ra oraz pod­mio­tu prze­twa­rza­ją­ce­go (jak rów­nież ich pra­cow­ni­ków) o obo­wiąz­kach, jakie spo­czy­wa­ją na nich na grun­cie RODO oraz innych prze­pi­sów powszech­nie obo­wią­zu­ją­cych z zakre­su ochro­ny danych oso­bo­wych;
2. moni­to­ro­wa­nie prze­strze­ga­nia prze­pi­sów o ochro­nie danych oso­bo­wych;
3. udzie­la­nie zale­ceń celem wspar­cia admi­ni­stra­to­ra w stwo­rze­niu oce­ny skut­ków dla ochro­ny danych oso­bo­wych zgod­nie z wymo­ga­mi RODO;
4. współ­pra­ca z Pre­ze­sem Urzę­du Ochro­ny Danych Oso­bo­wych oraz inny­mi orga­na­mi nad­zor­czy­mi;
5. peł­nie­nie funk­cji oso­by kon­tak­to­wej pośred­ni­czą­cej pomię­dzy admi­ni­stra­to­rem (pod­mio­tem prze­twa­rza­ją­cym) a orga­nem nad­zor­czym.

Wszyst­kie czyn­no­ści wska­za­ne powy­żej są rów­nież wyko­ny­wa­ne przez naszą Kan­ce­la­rię w ramach out­so­ur­cin­gu IOD m.in. na tere­nie War­sza­wy i Łodzi (usłu­ga: inspek­tor ochro­ny danych oso­bo­wych War­sza­wa, inspek­tor ochro­ny danych oso­bo­wych Łódź).

Status inspektora ochrony danych osobowych

Inspek­tor RODO może peł­nić swą funk­cję na pod­sta­wie umo­wy cywil­no­praw­nej. Inspek­tor RODO jest zobo­wią­za­ny do zacho­wa­nia tajem­ni­cy lub pouf­no­ści co do wyko­ny­wa­nia swo­ich zadań. Inspek­tor ochro­ny danych oso­bo­wych jest nie­za­leż­ny, co ozna­cza, że nie może otrzy­my­wać jakich­kol­wiek instruk­cji doty­czą­cych wyko­ny­wa­nia swych zadań. Nie jest on rów­nież odwo­ły­wa­ny ani kara­ny za wypeł­nia­nie swo­ich zadań. Inspek­tor RODO pod­le­ga bez­po­śred­nio i wyłącz­nie naj­wyż­sze­mu kie­row­nic­twu admi­ni­stra­to­ra (pod­mio­tu prze­twa­rza­ją­ce­go), np. zarzą­do­wi spół­ki.

Inspektor ochrony danych osobowych — podsumowanie

Obo­wią­zek wyzna­cze­nia IOD ist­nie­je wyłącz­nie w przy­pad­kach wska­za­nych w prze­pi­sach RODO. Mając jed­nak na uwa­dze, iż czę­ścio­wo usta­wo­daw­ca posłu­żył się sfor­mu­ło­wa­nia­mi nie­do­okre­ślo­ny­mi, taki­mi jak „sta­łe moni­to­ro­wa­nie osób”, czy prze­twa­rza­nie danych oso­bo­wych na „dużą ska­lę”, admi­ni­stra­to­rzy oraz pod­mio­ty prze­twa­rza­ją­ce win­ny w spo­sób kom­plek­so­wy prze­ana­li­zo­wać dane przez sie­bie prze­twa­rza­ne oraz cha­rak­ter takie­go prze­twa­rza­nia celem usta­le­nia, czy obo­wią­zek powo­ła­nia inspek­to­ra ochro­ny danych oso­bo­wych spo­czy­wa rów­nież na nich. Obo­wią­zek taki może być rów­nież speł­nio­ny poprzez out­so­ur­cing funk­cji IOD. War­to wska­zać, iż Gru­pa Robo­cza z ostroż­no­ści reko­men­du­je wyzna­cze­nie IOD tak­że przez pod­mio­ty do tego nie­obo­wią­za­ne, zatem rów­nież pozo­sta­li przed­się­bior­cy m.in. z War­sza­wy i Łodzi mogą sko­rzy­stać z ofer­ty naszej Kan­ce­la­rii w zakre­sie peł­nie­nia funk­cji inspek­to­ra ochro­ny danych oso­bo­wych.