skutecznyiod.pl
Kto musi powołać inspektora ochrony danych?
Jedną ze zmian jakie wprowadza RODO jest określenie administratora danych, którzy zobowiązani są do wyznaczenia Inspektora Ochrony Danych. Podobną funkcję, znaną wcześniej na gruncie polskiej ustawy o ochronie danych osobowych, pełnił Administrator Bezpieczeństwa Informacji (ABI), jednak ustawa o ochronie danych nie nakładała powszechnego obowiązku powoływania ABI.
Trzy rodzaje podmiotów zobligowane do powołania IOD
Przepisy RODO przewidują trzy przypadki, w których powołanie IOD jest obowiązkiem administratora danych. Pierwszy z nich ma charakter podmiotowy, bowiem odnosi się do kategorii podmiotów, które zobligowane zostały do wyznaczenia IOD, dwa kolejne mają charakter przedmiotowy – dotyczą przedmiotu działalności administratorów danych.
Obowiązek powołania IOD określa art. 37 ust. 1 RODO:
Administrator i podmiot przetwarzający wyznaczają inspektora ochrony danych, zawsze gdy:
a) przetwarzania dokonują organ lub podmiot publiczny, z wyjątkiem sądów w zakresie sprawowania przez nie wymiaru sprawiedliwości;
b) główna działalność administratora lub podmiotu przetwarzającego polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę; lub
c) główna działalność administratora lub podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych albo danych osobowych dotyczących wyroków skazujących i naruszeń prawa.
Użyte w treści przepisu słowa „wyznaczają (…) zawsze gdy” oznaczają prawny obowiązek wyznaczenia IOD dla określonych kategorii podmiotów. Brak dostosowania się do powyższego będzie oceniany negatywnie przez organ kontrolujący i może skutkować karami finansowymi dla organizacji. W sytuacji, gdy organizacja uzna, że nie podlega powyższemu przepisowi i nie musi wyznaczyć Inspektora Ochrony Danych, powinna ta decyzję udokumentować odpowiednio przeprowadzoną analizą wewnętrzną realizującą zasadą rozliczalności.
W przypadku, gdy przedsiębiorca nie jest zobligowany do wyznaczenia IOD, może on fakultatywnie skorzystać z tego uprawnienia, aby np. podnieść poziom bezpieczeństwa danych w swojej organizacji. IOD powołany bez obowiązku prawnego będzie podlegał tym samym prawom i obowiązkom, co inspektorzy wyznaczeni obligatoryjnie. O plusach powołania IOD pisaliśmy w tym artykule.
Organy lub podmioty publiczne
RODO nie przyjmuje jednoznacznej definicji organów lub podmiotów publicznych. W wytycznych Grupy Roboczej Art. 29: „Wytyczne dotyczące inspektorów ochrony danych” wskazano, że pojęcie to powinno zostać określone na poziomie ustawodawstwa krajowego. Do podmiotów takich najczęściej zalicza się organy władzy krajowej, organy regionalne i lokalne, ale również – na mocy właściwego prawa krajowego – szereg innych podmiotów prawa publicznego. We wszystkich tych przypadkach powołanie IOD jest obowiązkowe.
Odnosząc powyższe do polskich przepisów, należy przyjąć, że powyższe dotyczy podmiotów wymienionych w art. 9 ustawy o ochronie danych osobowych oraz wymienionych w art. 9 ustawy z dnia 27 sierpnia 2009 r. o finansach publicznych, tj.:
- organy władzy publicznej, w tym organy administracji rządowej, organy kontroli państwowej i ochrony prawa oraz sądy i trybunały;
- jednostki samorządu terytorialnego oraz ich związki;
- związki metropolitalne;
- jednostki budżetowe;
- samorządowe zakłady budżetowe;
- agencje wykonawcze;
- instytucje gospodarki budżetowej;
- państwowe fundusze celowe;
- Zakład Ubezpieczeń Społecznych i zarządzane przez niego fundusze oraz Kasa Rolniczego Ubezpieczenia Społecznego i fundusze zarządzane przez Prezesa Kasy Rolniczego Ubezpieczenia Społecznego;
- Narodowy Fundusz Zdrowia;
- samodzielne publiczne zakłady opieki zdrowotnej;
- uczelnie publiczne;
- Polska Akademia Nauk i tworzone przez nią jednostki organizacyjne;
- państwowe i samorządowe instytucje kultury;
- inne państwowe lub samorządowe osoby prawne utworzone na podstawie odrębnych ustaw w celu wykonywania zadań publicznych, z wyłączeniem przedsiębiorstw, instytutów badawczych, banków i spółek prawa handlowego;
- Instytutów badawczych;
- Narodowego Banku Polskiego.
Istnieją również sytuacje, w których podmioty sektora prywatnego realizują zadania publiczne. Wykonywanie zadań publicznych przez podmiot prywatny powinno wynikać albo z przepisów prawa, albo ze stosownej umowy zawartej przez ten podmiot z podmiotem prawa publicznego zobowiązanym do wykonywania określonego zadnia publicznego. Możliwość przeniesienia kompetencji w ten sposób na podmiot niepubliczny powinna wprost wynikać z przepisów prawa. Powołanie w tych przypadkach IOD nie jest obligatoryjne, jednak zalecane jako dobra praktyka, ponieważ dane osobowe w takich przypadkach znajdują się w podobnej sytuacji, jaka ma miejsce przy przetwarzaniu ich przez organy publiczne.
Ostatnie zdanie art. 37 ust. 1 lit a RODO wskazuje na wyłączenie obowiązku wyznaczenia IOD przez sądy w zakresie sprawowania przez nie wymiaru sprawiedliwości. Należy zwrócić uwagę, że dotyczy ono tylko sytuacji przetwarzania danych w związku z rozstrzyganiem sporów sądowych, jednak nie zwalnia całkowicie ze stosowania przepisów dot. ochrony danych osobowych, np. względem danych pracowników sądu.
Powołanie IOD, a rodzaj prowadzonej działalności
Art. 37 ust. 1 lit. b i c RODO odwołują się do pojęć, które nie zostały zdefiniowane w treści RODO, a mianowicie do „głównej działalności administratora lub podmiotu przetwarzającego”, „przetwarzania na duża skalę” i „regularnego i systematycznego monitorowania osób, których dane dotyczą”. Brak dokładnej definicji tych pojęć sugeruje, że podmioty przetwarzające dane niejako same mogą zdecydować o tym, czy podlegają obowiązkowi wyznaczenia IOD. Rozporządzenie nie określa bowiem kategorii podmiotów ani ilości przetwarzanych rekordów, które wskazywałyby dokładniej, kogo mogą dotyczyć wymogi art. 37 ust. 1 lit. b i c RODO. Okoliczność ta ma jednak również swoje wady – organ nadzoru będzie podejmował ocenę tych kryteriów arbitralnie, opierając ją na swoich indywidualnych przekonaniach.
Główna działalność administratora lub podmiotu przetwarzającego
Zgodnie z motywem 97 ogólnego rozporządzenia o ochronie danych „główna działalność administratora” oznacza „zasadnicze, a nie poboczne czynności” podejmowane przez podmiot. Wytyczne Grupy Roboczej Art. 29 wskazują, że „główną działalnością” będzie zatem działalność kluczowa z punktu widzenia osiągnięcia celów administratora lub procesora.
Należy jednak zwrócić uwagę, że czynności nierozerwalnie związane z działalnością główną administratora lub podmiotu przetwarzającego, nawet jeśli nie stanowią celu same w sobie, również będą wchodziły w zakres „głównej działalności”. Grupa Robocza Art. 29 podaje przykład spółki świadczącej usługi ochrony mienia, która prowadzi monitoring w szeregu nieruchomości. Działalnością główną tej spółki będzie ochrona mienia, jednak jest ona nierozerwalnie związana z prowadzeniem monitoringu ww. miejsc, zatem monitoring należy do zakresu głównej działalności spółki, co oznacza, że jest ona zobligowana do wyznaczenia IOD.
W tym miejscu należy rozróżnić działalność wspierającą, która występuję w większości podmiotów i choć jest nierozerwalnie związana z prowadzeniem działalności głównej, nie jest do niej zaliczana, np. prowadzenie listy płac pracowników, korzystanie z obsługi informatycznej.
Przetwarzanie na dużą skalę
Zgodnie z motywem 91 : operacje przetwarzania o dużej skali – które służą przetwarzaniu znacznej ilości danych osobowych na szczeblu regionalnym, krajowym lub ponadnarodowym i które mogą wpłynąć na dużą liczbę osób, których dane dotyczą, oraz które mogą powodować wysokie ryzyko.
Poza tym krótkim wyjaśnieniem, przepisy RODO nie wskazują konkretnych wartości ani liczby rekordów danych lub podmiotów, których dane dotyczą, uznawanych za „przetwarzanie na dużą skalę”. Grupa Robocza Art. 29 zaleca uwzględnianie poniższych czynników przy określaniu rozmiaru skali przetwarzania:
- liczba osób, których dane dotyczą – konkretna liczba albo procent określonej grupy społeczeństwa;
- zakres przetwarzanych danych osobowych;
- okres, przez jaki dane są przetwarzane;
- zakres geograficzny przetwarzania danych osobowych.
Jako przykłady „przetwarzania na dużą skalę” Grupa Robocza Art. 29 podaje:
- przetwarzanie danych pacjentów przez szpital w ramach prowadzonej działalności;
- przetwarzanie danych dotyczących podróży osób korzystających ze środków komunikacji miejskiej (np. śledzenie za pośrednictwem kart miejskich);
- przetwarzanie danych geolokalizacyjnych klientów w czasie rzeczywistym przez wyspecjalizowany podmiot na rzecz międzynarodowej sieci fast food do celów statystycznych;
- przetwarzanie danych klientów przez banki albo ubezpieczycieli w ramach prowadzonej działalności;
- przetwarzanie danych do celów reklamy behawioralnej przez wyszukiwarki;
- przetwarzanie danych (dotyczących treści, ruchu, lokalizacji) przez dostawców usług telefonicznych lub internetowych.
Na zakończenie warto dodać, że motyw 91 RODO statuuje również, że przetwarzanie danych osobowych nie powinno być uznawane za przetwarzanie na dużą skalę, jeżeli dotyczy danych osobowych pacjentów lub klientów i jest dokonywane przez pojedynczego lekarza, innego pracownika służby zdrowia lub prawnika.
„Regularne i systematyczne monitorowanie” – art. 37 ust. 1 lit. b RODO
Jak w przypadku poprzednich pojęć, informacje o „regularnym i systematycznym monitorowaniu osób, których dane dotyczą” odnajdujemy w motywie RODO. Motyw 24 rozporządzenia stanowi: aby stwierdzić, czy czynność przetwarzania można uznać za „monitorowanie zachowania” osób, których dane dotyczą, należy ustalić, czy osoby fizyczne są obserwowane w Internecie, w tym także czy później potencjalnie stosowane są techniki przetwarzania danych polegające na profilowaniu osoby fizycznej, w szczególności w celu podjęcia decyzji jej dotyczącej lub przeanalizowania lub prognozowania jej osobistych preferencji, zachowań i postaw. Powyższe oznacza, że monitorowanie to obejmuje wszelkie formy śledzenia i profilowania w sieci, w tym na potrzeby reklam behawioralnych. Grupa Robocza Art. 29 wskazuje również, że motyw ten jest tylko wskazówką w dekodowaniu pojęcia „monitorowania”, co oznacza, że nie musi być ono ograniczone do środowiska on-line, jest to tylko przykład zawarty w treści RODO.
Grupa Robocza Art. 29 definiuje „regularne” jako jedno lub więcej z następujących pojęć:
- stałe albo występujące w określonych odstępach czasu przez ustalony okres;
- cykliczne albo powtarzające się w określonym terminie;
- odbywające się stale lub okresowo.
GR Art. 29 definiuje „systematyczne” jako jedno lub więcej z następujących pojęć:
- występujące zgodnie z określonym systemem;
- zaaranżowane, zorganizowane lub metodyczne;
- odbywające się w ramach generalnego planu zbierania danych;
- przeprowadzone w ramach określonej strategii.
Przykładami działań, które mogą być uznane za „regularne i systematyczne monitorowanie osób, których dane dotyczą” są: obsługa sieci telekomunikacyjnej, śledzenie lokalizacji przez aplikacje mobilne, reklama behawioralna, programy lojalnościowe, monitoring wizyjny, inteligentne samochody, automatyka domowa etc.
Szczególne kategorie danych oraz dane dotyczące wyroków skazujących i naruszeń prawa – art. 37 ust. lit. c RODO
Trzeci przypadek, który obliguje do wyznaczenia IOD, zawiera pojęcia, które zostały zdefiniowane w treści RODO, albowiem szczególne kategorie danych określone w art. 9 rozporządzenia stanowią: dane osobowe ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych oraz dane genetycznych, dane biometrycznych wykorzystywane w celu jednoznacznego zidentyfikowania osoby fizycznej lub dane dotyczących zdrowia, seksualności lub orientacji seksualnej. Art. 10 RODO dotyczy danych osobowych dotyczących wyroków skazujących oraz naruszeń prawa lub powiązanych środków bezpieczeństwa, które wolno przetwarzać wyłącznie pod nadzorem władz publicznych lub w oparciu o przepisy prawa, zachowując odpowiednie zabezpieczenia praw i wolności osób, których dane dotyczą. Wykładnia literalna art. 37 ust. 1 lit. c RODO wydaje się statuować twierdzenie, że obowiązek wyznaczenia IOD nie ciąży na administratorach, którzy przetwarzają dane dotyczące „powiązanych środków bezpieczeństwa”, ponieważ nie zostały one wskazane wprost w analizowanym przepisie. Jednak z uwagi na cel przepisu, czyli zagwarantowanie wysokiego poziomu ochrony danych osobowych przez określone podmioty poprzez obowiązek powołania IOD, wydaje się, że również ci administratorzy zobowiązani są do wyznaczenia inspektora ochrony danych.
Grupa Robocza Art. 29 zwróciła uwagę na spójnik użyty w przepisie, albowiem chociaż wykładnia językowa zakłada wyznaczenie IOD tylko w przypadku, gdy przetwarzane są przez jeden podmiot dwa powyższe rodzaje danych, to nie ma powodu, dla którego zasadne byłoby wymaganie spełnienie tych dwóch przesłanek jednocześnie. Zdaniem Grupy Roboczej Art. 29 zastosowanie powinien mieć spójnik „lub”.
Administrator czy procesor?
Obowiązek wynikający z wyżej przywołanego przepisu dotyczy niezależnie zarówno administratorów danych, jak i podmioty przetwarzające, bez względu na sektor prowadzonej działalności. Obowiązek powołania IOD aktualizuje się względem tego podmiotu, który spełnia przesłanki wymienione w art. 37 ust. 1 RODO, zatem może spoczywać wyłącznie na procesorze lub wyłącznie na administratorze. Możliwa jest również sytuacja, gdy obydwa te podmioty będą zobowiązane wyznaczyć IOD. W takim przypadku powołani inspektorzy powinni współpracować ze sobą.
W wytycznych wskazano, że może zdarzyć się sytuacja, w której obowiązek wyznaczenia IOD będzie spoczywał tylko na jednym z wyżej wymienionych podmiotów, mimo przetwarzania tego samego zestawu danych. Drugi podmiot może w takim przypadku wyznaczyć IOD w ramach dobrej praktyki. Przykładem podanym przez Grupę Roboczą Art. 29 jest małe rodzinne przedsiębiorstwo zajmujące się dystrybucją artkułów gospodarstwa domowego, które zleca obsługę podmiotowi świadczącemu usługi analityki internetowej oraz pomocy w ukierunkowanej reklamie i marketingu. Działalność rodzinnego przedsiębiorstwa prowadzona jest w małej skali. Natomiast działalność podmiotu przetwarzającego świadczącego usługi marketingu i reklamy behawioralnej, który posiada wielu podobnych klientów, zbiorczo kwalifikuje się jako przetwarzanie „na dużą skalę”, co wypełnia przesłankę powołania IOD z art. 37 ust. 1 lit. b RODO. Mimo to działalność rodzinnego przedsiębiorstwa nie obliguje go do powołania IOD. W tym przypadku podmiotem, który musi wyznaczyć inspektora, będzie tylko procesor.
Czy na pewno musze powołać IOD?
Wyznaczenie Inspektora Ochrony Danych, choć wydaje się być jedną z fundamentalnych powinności, którą RODO w określonych przypadkach nakłada na administratorów danych, może budzić wiele wątpliwości oraz być związane z wieloma praktycznymi problemami. Przepisy RODO nie określają bowiem precyzyjnie kategorii podmiotów, które podlegają temu obowiązkowi. Każdy administrator danych samodzielnie musi rozważyć, przyjmując odpowiednią procedurę, przesłanki wyznaczenia RODO w swojej organizacji, podjąć odpowiednią decyzję oraz udokumentować ją.
W dokonywaniu rozstrzygnięcia dot. obowiązku powołania IOD nieocenione mogą się okazać wskazówki Grupy Roboczej Art. 29, które uszczegóławiają ogólne postanowienia RODO. Pozostaje również mieć nadzieję, że w ramach praktycznego stosowania przepisów RODO część wątpliwości zostanie rozstrzygnięta zaleceniami polskiego organu nadzoru lub utartą praktyką.
Należy zwrócić uwagę, że naruszenie przepisów dotyczących wyznaczenia IOD zostało zagrożone w karą wynikającą z art. 84 ust. 4 lit. a RODO w wysokości do 10 000 000 EUR, a w przypadku przedsiębiorstwa – w wysokości do 2 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa.
W przypadku podjęcia decyzji o powołaniu IOD mamy również kilka możliwości co do formy jego powołania. IOD może być pracownikiem naszej organiacji, ale także możemy skorzystać z pomocy zewnętrznego IOD. O plusach i minusach tych dwóch modeli więcej napisaliśmy w tym artykule.
Współautorem wpisu jest Katarzyna Woźniczak, młodszy specjalista ds. ODO w Data Legal Solutions Sp. z o.o.
Opracowano na podstawie:
- E. Bielak-Jomaa, D. Lubasz (red)., RODO Ogólne Rozporządzenie o Ochronie Danych. Komentarz, Warszawa 2018 r.;
- Grupa Robocza Art. 29 ds. ochrony danych, 16/EN WP 243 rew. 01 Wytyczne dotyczące inspektorów ochrony danych (‘DPO’), przyjęte w dniu 13 grudnia 2016 r. w wersji zmienionej i przyjętej w dniu 05 kwietnia 2017 r.;
- P. Litwiński (red.), P. Barta, M. Kawecki, Rozporządzenie UE w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i swobodnym przepływem takich danych. Komentarz, Warszawa 2018.
Post Kto musi powołać inspektora ochrony danych? pojawił się poraz pierwszy w Jak chronić informacje. Blog o byciu skutecznym IOD.
Source: jchi
Wewnętrzny vs zewnętrzny Inspektor Ochrony Danych
Administratorzy i podmioty przetwarzające, którzy są zobligowani albo podjęli decyzję o powołaniu Inspektora Ochrony Danych w swojej organizacji, mają do wyboru szerokie spektrum możliwości pomoc specjalistów w tym zakresie. Powołanie IOD znacząco podnosi poziom bezpieczeństwa w organizacjach. Jednak czy IOD musi pochodzić koniecznie z personelu Administratora Danych? W tym artykule odpowiadamy na to oraz inne częstsze pytania moich klientów dotyczące powołania zewnętrznych i wewnętrznych IOD.
Czy IOD może być tylko pracownikiem Administratora?
Inspektor Ochrony Danych może mieć charakter wewnętrzny lub zewnętrzny względem organizacji, w której został wyznaczony. Rozporządzenie umożliwia bowiem powołanie IOD spośród obecnych pracowników lub pracownika firmą wyspecjalizowanej w ochronie danych osobowych. RODO nie stawia wymogów odnośnie formy wyznaczenia, daje ono nam w tym zakresie wybór, którego możemy dokonać na podstawie własnych preferencji.
Wewnętrzny czy zewnętrzny IOD?
Jeśli zastanawiasz się, jaka forma współpracy z Inspektorem Ochrony Danych byłaby najkorzystniejsza dla Twojej organizacji, poniżej przedstawiamy tabelę z porównaniem zalet i wad wewnętrznego i zewnętrznego IOD.
Dla kogo wewnętrzny a dla kogo zewnętrzny IOD?
Jak wskazano powyżej, każda z dostępnych opcji wyznaczenia IOD posiada swoje plusy i minusy. Należy zatem rozważyć, który model współpracy jest bardziej korzystny dla konkretnej organizacji.
Małe i średnie firmy podmioty powinny rozważyć outsourcing IOD, ponieważ często nie potrzebują dodatkowego etatu przeznaczonego tylko dla pracownika zajmującego się ochroną danych. Wyznaczenie IOD spośród zatrudnionych pracowników może nadmiernie obciążyć tę osobę oraz spowodować konflikt interesów, który jest wprost zakazany przez RODO. Może mieć on mieć miejsce wtedy, gdy IOD w ramach obowiązków niezwiązanych ze swoją funkcją może określać cele i sposoby przetwarzania danych osobowych (w imieniu ADO jako np. osoba odpowiedzialna za kadry, marketingu czy IT). Ponadto małe podmioty zazwyczaj nie posiadają bardzo rozbudowanej struktury, więc zewnętrzny Inspektor Ochrony Danych może szybko zapoznać się z działalnością i procesami przetwarzania danych przedsiębiorstwa, a także zapewnić profesjonalną obsługę w tym zakresie. Powołanie IOD w tym wypadku przełoży się na wyższy poziom bezpieczeństwa danych oraz większe prawdopodobieństwo uniknięcia kar finansowych.
Duże organizacje powinny jednak posiadać kompleksową obsługę pod względem bezpieczeństwa danych, którą w przypadku złożoności strukturalnej i mnogości procesów przetwarzania danych lepiej gwarantuje wewnętrzny IOD. Podmioty takie często też funkcjonują większym budżetem, który może zostać spożytkowany na utworzenie nowej funkcji oraz doskonalenie wiedzy IOD. Należy przy tym pamiętać, że IOD musi posiadać określone wymogami RODO umiejętności i kompetencje oraz stale je poszerzać. Sposobem na pozyskanie takich umiejętności lub ich poszerzanie może być udział w szkoleniu dla Inspektorów Ochrony Danych.
Czy IOD to jedyne wyjście?
Warto zwrócić uwagę, że organizacje, która nie mają obowiązku i nie chcą dobrowolnie wyznaczyć IOD, mogą oddelegować zadania związane z odo na swoich pracowników lub zewnętrznych konsultantów. Często takie osoby w organizacji posiadają funkcję pełnomocników lub koordynatorów ochrony danych osobowych. Nazwa jest oczywiście dowolna, jednak należy zadbać o to, by nazwa funkcji, które obejmie taka osoba, jej pozycja i zakres obowiązków nie wzbudzały wątpliwości oraz błędnego zakwalifikowania tej osoby jako IOD. Dlatego też we wszelkich komunikatach publikowanych w ramach działalności organizacji, a także we wszelkich informacjach adresowanych do organów ochrony danych, podmiotów danych etc. należy jednoznacznie wskazać, że taki pracownik lub konsultant nie pełni funkcji Inspektora Ochrony Danych. Plusem powołania takie osoby jest brak realizacji gwarancji, które dla wielu organizacji mogą być uciążliwe. Brak tych gwarancji może jednak wpłynąć negatywnie na wykonywanie przez tą osobę funkcji. Minusem jest to, że należy taką osobę upoważnić do wszystkich czynności związanych z ochroną danych osobowych, ponieważ nie jest ona upoważniona do tego z mocy prawa.
Podsumowanie
Każda organizacja przed podjęciem decyzji o powołania IOD powinna przeprowadzić analizę czy jest do tego obowiązana oraz czy może dokonać tego dobrowolnie. Za powołaniem IOD przemawia wiele korzyści, jednak organizacja powinna również zapewnić mu określone gwarancje wykonywania jego funkcji. Inną możliwością jest ustanowienie np. Pełnomocnika ds. ODO. Podjęcie tej decyzji powinno zostać udokumentowane np. analizą zasadności powołania IOD.
Artykuł powstał przy wsparciu Katarzyny Woźniczak, młodszego specjalisty ds. ODO w Data Legal Solutions Sp. z o.o.
Post Wewnętrzny vs zewnętrzny Inspektor Ochrony Danych pojawił się poraz pierwszy w Jak chronić informacje. Blog o byciu skutecznym IOD.
Source: jchi
Rejestr czynności przetwarzania (wzór)
Każdy administrator danych osobowych zatrudniający powyżej 250 osób od 25 maja 2018 r. będzie obowiązany prowadzić rejestr czynności przetwarzania danych osobowych. Obowiązek ten spoczywa również na procesorze. Do prowadzenia rejestru czynności będą również zobowiązane podmioty, które nie zatrudniają 250 osób, jednak: Przetwarzanie, którego dokonują może powodować ryzyko naruszenia praw i wolności dla osób fizycznych; Przetwarzanie to nie ma charakteru sporadycznego oraz dotyczy danych „wrażliwych” (art.9 RODO) Administratorzy spełanijący powyższe warunki są obowiązani prowadzić rejestr czynności przetwarzania danych, natomiast podmioty przetwarzające rejestr kategorii przetwarzania. Mimo wskazania wprost w RODO, jakie podmioty powinny prowadzić rejestr chciałbym Ciebie również zainspirować do stworzenia rejestru czynności…
Więcej przeczytasz: Rejestr czynności przetwarzania (wzór)
6 rzeczy o Privacy Shield, o których powinno się wiedzieć
Zapraszam do lektury mojego artykułu opublikowanego na portalu e-ochronadanych.pl o Privacy Shield. Post 6 rzeczy o Privacy Shield, o których powinno się wiedzieć pojawił się poraz pierwszy w Jak chronić informacje. Blog o byciu skutecznym ABI.
Więcej przeczytasz: 6 rzeczy o Privacy Shield, o których powinno się wiedzieć
Obowiązek informacyjny w GDPR
Zapraszam do lektury dwóch moich artykułów opublikowanych na portalu e-ochronadanych.pl o tematyce obowiązku informacyjnego w GDPR. Jak będzie wyglądał obowiązek informacyjny w GDPR? – Artykuł ma na celu zarysowanie zakresu informacji, jakie powinny być przekazywane osobom, których dane dotyczą. Kiedy będziemy musieli spełniać obowiązek informacyjny, gdy zacznie obowiązywać GDPR? – Artykuł poświęcony jest przesłankom spełniania obowiązku informacyjnego oraz momentowi jego spełnienia. W ciągu najbliższych tygodni na moim blogu wystartuje też cykl artykułów poświęconych zmianom jakie przyniesie GDPR oraz porównaniu ich z UODO. Na początku jednak planuje dokończyć cykl poświęcony obowiązkom ABI. Wobec tego proszę o śledzenie mojego bloga. reklama
Więcej przeczytasz: Obowiązek informacyjny w GDPR