27 Mar

Doczekaliśmy się pierwszej „kary RODO”

Wczoraj mój telefon rozgrzał się do czerwoności w związku z konferencją prasową, na której Pani Prezes UODO powiadomiła o nałożeniu pierwszej kary finansowej za przetwarzanie danych niezgodnie z przepisami prawa. Oczekiwania były takie, że kara zostanie nałożona na podmioty, o których było głośno w ostatnim czasie w związku z wykradzeniem im dużej ilości danych lub niewłaściwym zabezpieczeniem danych, które doprowadziły do ujawnienia danych osobowych klientów. Stąd duże zdziwienie wywołała informacja, że została nałożona kara za niewypełnienie obowiązków informacyjnych wobec osób, prowadzących działalność gospodarczą, których dane zostały pozyskane do bazy spółki z ogólnodostępnych źródeł (CEiDG KRS, GUS, CEPiK, Monitorze Sądowym i Gospodarczym). Zaskakujące było także to, że podczas konferencji Prezes UODO powiedziała, że kara wyniosła 943 tys. złotych! Pierwsza kara i od razu prawie milion złotych. Przyczyną nałożenia kary było niewypełnienie obowiązku informacyjnego z artykułu 14 RODO wobec przedsiębiorców, których dane z ogólnodostępnych źródeł zostały pozyskane do bazy. W sumie w bazie było około 6 milinów danych osób, które powinny otrzymać klauzulę informacyjną, jednak firma z ogólnodostępnych źródeł pozyskała adresy e-mail jedynie do 90 tys. Wobec tych osób, wypełniła obowiązek informacyjny, wysyłając wiadomość z odpowiednią klauzulą.  W przypadku pozostałych osób ukarana spółka postanowiła skorzystać z wyjątku z art. 14 pkt 5 lit b RODO, który pozwala odejść od obowiązku informowania o przetwarzaniu danych, jeżeli wymagałoby to niewspółmiernie dużego wysiłku. W związku z tym zamieściła klauzulę jedynie na swojej stronie internetowej. Wśród poinformowanych, aż 12 tys. zgłosiło sprzeciw na przetwarzanie ich danych, co zdaniem Prezes UODO świadczyło o tym, jak istotne znaczenie dla pozostałych 6 milionów osób, było uzyskanie informacji o prawach przysługujących w związku z przetwarzaniem ich danych. Dodatkowo w bazie było ponad 2,33 mln danych przedsiębiorców, którzy zawiesili działalność. Spółka ma prawo złożyć skargę do Wojewódzkiego Sądu Administracyjnego. Read More

25 Mar

Uczelnie wyższe nie mogą (już) kopiować dowodów osobistych

Wpis  jest wynikiem rozmów z osobami które zapisują się na studia podyplomowe z ochrony danych osobowych o tym jakie dane osobowe może pozyskiwać od nich uczelnia wyższa.  Jak wiadomo, osoby które zawodowo zajmują się ochroną danych osobowych są na co dzień bardziej uczulone na punkcie swojego prawa do prywatności niż Przeciętny Kowalski w związku z tym zapisując się na uczelnię wyższą zwracają szczególną uwagę na to jakie dane są od nich pozyskiwane oraz jak wypełniony wobec nich obowiązek informacyjny. Mówiąc krótko nie ma litości 😀

Ponad rok temu podjęłam temat legalności kopiowania dowodu osobistego przez pracowników dziekanatu.  Ponieważ nie jestem alfą i omegą zwróciłam się wówczas z pytaniem do Łukasza Wojciechowskiego, który na co dzień jest adiunktem w WSEI w Lublinie, aby pomógł mi ustalić czy jest podstawa prawna do realizacji tego działania.  Okazało się że uczelnie wyższe były tak naprawdę zobligowane do pozyskania kopii osobistej przyszłego studenta. Obowiązek ten wynikał z rozporządzenia Ministra Nauki i Szkolnictwa Wyższego z dnia 16 września 2016 r. w sprawie dokumentacji przebiegu studiów. Jednak rozporządzenie zostało uchylone wraz z nowelizacją Prawa o szkolnictwie wyższym i nauce w 2018 roku. W tym momencie nie ma przepisu, który wymagałby zbierania kopii dowodów osobistych studentów. Co ciekawe ten obowiązek niekoniecznie szedł w parze z adekwatnością tych danych do celu przetwarzania, ponieważ w praktyce uczelnia wyższa nie potrzebowała kopii dowodu do realizacji swojego celu ustawowego.  Temat kopiowania dowodów wraca do mnie jak bumerang wraz z każdym nowym rocznikiem studentów, których mam przyjemność uczyć ochrony danych osobowych w Politechnice Białostockiej lub w Wyższej Szkole ekonomii i Innowacji w Lublinie. Ponieważ staram się być rzetelna w tym co robię, nawet jeżeli wydaje mi się, że znam odpowiedź, zanim udzielę studentom odpowiedzi zawsze wcześniej upewniam się, czy nie zaszły zmiany w obowiązujących przepisach.  Jest to bardzo dobra zasada, gdyż pozwala ustrzec się od błędów. Zwłaszcza, że w dzisiejszych czasach przepisy zmieniają się tak szybko, że czasami naprawdę trudno za nimi nadążyć. Potwierdziła to praktyka dalszego kopiowania dowodów osobistych przyszłych studentów przez uczelnie wyższe, pomimo uchylenia rozporządzenia które je do tego obligowało.

Read More

13 Mar

Jak uzasadnić niezbędność wprowadzenia monitoringu

Nie doczekaliśmy się jeszcze ustawy o monitoringu wizyjnym, tym bardziej ustawy dotyczącej monitorowania wykorzystywanych przez pracowników narzędzi pracy (np. kontrola poczty), czy biometrii do kontroli dostępu. Natomiast wraz z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych zostały wprowadzone zmiany do niektórych przepisów sektorowych, stanowiące punkt wyjścia do stosowania monitoringu przez administratora danych. Gdy na szkoleniach pytam uczestników co administrator musi zrobić, aby móc wprowadzić monitoring? Najczęściej odpowiadają poinformować pracowników. Jest to jeden z elementów związanych ze stosowaniem monitoringu, jednakże punktem wyjścia powinno być uzasadnienie niezbędności zastosowania monitoringu. Wynika to wprost z przepisów prawa, np:

  1. Jeżeli jest to niezbędne do zapewnienia bezpieczeństwa pracowników lub ochrony mienia lub kontroli produkcji lub zachowania w tajemnicy informacji, których ujawnienie mogłoby narazić pracodawcę na szkodę, pracodawca może wprowadzić szczególny nadzór nad terenem zakładu pracy lub terenem wokół zakładu pracy w postaci środków technicznych umożliwiających rejestrację obrazu (monitoring) (art. 22^2 par. 1. Kodeksu pracy)
  2. Jeżeli jest to niezbędne do zapewnienia organizacji pracy umożliwiającej pełne wykorzystanie czasu pracy oraz właściwego użytkowania udostępnionych pracownikowi narzędzi pracy, pracodawca może wprowadzić kontrolę służbowej poczty elektronicznej pracownika (monitoring poczty elektronicznej). (art. 22^3 par. 1. Kodeksu pracy)
  3. Jeżeli jest to niezbędne do zapewnienia bezpieczeństwa uczniów i pracowników lub ochrony mienia dyrektor szkoły lub placówki, w uzgodnieniu z organem prowadzącym szkołę lub placówkę oraz po przeprowadzeniu konsultacji z radą pedagogiczną, radą rodziców i samorządem uczniowskim, może wprowadzić szczególny nadzór nad pomieszczeniami szkoły lub placówki lub terenem wokół szkoły lub placówki w postaci środków technicznych umożliwiających rejestrację obrazu (monitoring) (art. 108a ust. 1. ustawy Prawo oświatowe)
  4. Gmina w celu zapewnienia porządku publicznego i bezpieczeństwa obywateli oraz ochrony przeciwpożarowej i przeciwpowodziowej może stosować środki techniczne umożliwiające rejestrację obrazu (monitoring) w obszarze przestrzeni publicznej, za zgodą zarządzającego tym obszarem lub podmiotu posiadającego tytuł prawny do tego obszaru lub na terenie nieruchomości i w obiektach budowlanych stanowiących mienie gminy lub jednostek organizacyjnych gminy, a także na terenie wokół takich nieruchomości i obiektów budowlanych, jeżeli jest to konieczne do zapewnienia porządku publicznego i bezpieczeństwa obywateli lub ochrony przeciwpożarowej i przeciwpowodziowej (art. 9a ust. 1. ustawy o samorządzie gminnym)
  5. Powiat w celu zapewnienia porządku publicznego i bezpieczeństwa obywateli oraz ochrony przeciwpożarowej i przeciwpowodziowej może stosować środki techniczne umożliwiające rejestrację obrazu (monitoring) w obszarze przestrzeni publicznej, za zgodą zarządzającego tym obszarem lub podmiotu posiadającego tytuł prawny do tego obszaru lub na terenie nieruchomości i w obiektach budowlanych stanowiących mienie powiatu lub jednostek organizacyjnych powiatu, a także na terenie wokół takich nieruchomości i obiektów budowlanych, jeżeli jest to konieczne do zapewnienia porządku publicznego i bezpieczeństwa obywateli lub ochrony przeciwpożarowej i przeciwpowodziowej (art. 4b ust. 1. ustawy o samorządzie powiatowym)

Co ciekawe nie ma analogicznego wymogu w ustawie o samorządzie województwa (art. 60 a ust. 1 i 2): Obowiązkiem osób uczestniczących w zarządzaniu mieniem województwa jest zachowanie szczególnej staranności przy wykonywaniu zarządu zgodnie z przeznaczeniem tego mienia i jego ochrona.  Ochrona mienia obejmuje w szczególności możliwość korzystania ze środków technicznych umożliwiających rejestrację obrazu (monitoring) na terenie nieruchomości i w obiektach budowlanych stanowiących mienie województwa, a także na terenie wokół takich nieruchomości i obiektów budowlanych.

Jednakże użycie słowa w szczególności oznacza, że jest to jeden z możliwych do zastosowania środków nadzoru, a nie środek wymagany do sprawowania nadzoru. Stosowanie monitoringu jest przywilejem administratora, nawet jeżeli korzystał z narzędzi służących do monitoringu przed nowelizacją przepisów, musi być w stanie wykazać adekwatność zastosowanego narzędzia służącego do przetwarzania danych osobowych do celu tego przetwarzania. W końcu z artykułu 5 RODO wynikają zasady minimalizacji danych i adekwatności do celu przetwarzania. Read More

28 Lut

Zgoda jako „świadome działanie”

W zasadzie ogólne rozporządzenie o ochronie danych osobowych [RODO] nie zmieniło nic w zakresie sposobu uzyskiwania zgody na przetwarzanie danych, gdyż w naszej ustawie o ochronie danych osobowych już od samego początku zdefiniowano „zgodę, jako oświadczenie woli, którego treścią jest zgoda na przetwarzanie danych osobowych tego, kto składa oświadczenie; zgoda nie może być domniemana lub dorozumiana z oświadczenia woli o innej treści (uchylona uodo: Dz.U.2016 poz. 922). Jednakże to sformułowanie definicji zgody powodowało problem z interpretacją, jaką formę powinno przyjąć oświadczenie woli, a także jakie dane osoby, której dane dotyczą należy pozyskać biorąc od niej zgodę.

RODO, a szczególnie preambuła, przyniosło odpowiedzi na pytanie, jak skutecznie pozyskiwać pozyskiwać zgodę i kiedy jest ona uważana za domniemaną lub nieważną.

Formy wyrażenia zgody

Zgoda może być (motyw 32 RODO):

  • złożona na piśmie
  • ustna
  • wyrażona poprzez świadomy gest
  • elektroniczna, np. poprzez zaznaczenie checkbox lub kliknięcie „zgadzam się”

Świadomy gest jest bardzo istotnym aspektem wyrażenia zgody, który może ułatwić administratorom oraz osobom, których dane dotyczą wzajemną komunikację i współpracę. Wyobraźmy sobie sytuację, że podczas dużego wydarzenia, organizator podczas rejestracji uczestników przedstawi im prosty regulamin imprezy, z którego będzie wynikało, że wydarzenie będzie dokumentowane fotograficznie oraz filmowo. Uczestnik może wyrazić zgodę na rozpowszechnianie jego wizerunku na zasadach określonych w regulaminie na przykład poprzez wybór koloru smyczy lub silikonowej bransoletki. Są to proste i skuteczne rozwiązania, które później pozwalają administratorowi dokonać łatwego wyboru zdjęć uczestników, którzy wyrazili świadomą zgodę. Podobnie zamieszczenie przed tak zwaną „ścianką” tablicy informacyjnej, że pozowanie oznacza zgodę na rozpowszechnianie wizerunku. Należy jednak pamiętać, że administrator ma obowiązek udowodnienia, że rzeczywiście uczestnik wyraził zgodę. Istotne jest także uwzględnienie zasady ograniczonego czasu przechowywania/rozpowszechniania/wykorzystywania danych pozyskanych na podstawie zgody. Artykuł 5 RODO wskazuje, że dane powinny być przechowywane przez rozsądny okres czasu, do wyczerpania celu przetwarzania. Nie należy bać się usuwania danych zebranych do celów promocyjnych. Po pewnym czasie ich atrybut promocyjny zupełnie wygasa, a koszty przechowywania materiałów oraz dowodów pozyskania zgody rosną. Read More

18 Lut

Obowiązki IOD w związku z ustawą o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości

Doczekaliśmy się uregulowania kwestii przetwarzania danych osobowych przez właściwe organy do celów zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykrywania i ścigania czynów zabronionych lub wykonywania kar, w tym ochrony przed zagrożeniami dla bezpieczeństwa publicznego i zapobiegania takim zagrożeniom, które zgodnie z art. 2 ust. 2 lit d RODO było wyłączone spod jego stosowania. Zasady przetwarzania danych przez te podmioty reguluje ustawa z dnia 14 grudnia 2018 r. o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości (dalej będę używać określenia uodopzzzp). Podkreślenia wymaga fakt, że ustawa odnosi się do przetwarzania danych osobowych do wskazanych celów, czyli w pozostałym zakresie zastosowanie będzie miało RODO, w szczególności do zasad przetwarzania danych pracowników, kandydatów do pracy, kontrahentów, uczestników przetargów.

Nowa ustawa reguluje zasady wyznaczenia, a także obowiązki Inspektora Ochrony Danych Osobowych w podmiocie zobligowanym do jej stosowanie. Nie sposób oprzeć się wrażeniu, że to powrót do korzeni, czyli (uchylonej) ustawy o ochronie danych osobowych z 2015 roku (dalej stara uodo), która miała „przygotować” administratorów danych na przyjście RODO. Być może niektórzy pamiętają jeszcze dwa rozporządzenia wykonawcze do tej ustawy, określające sposób realizacji obowiązków przez ówczesnego ABI:

Read More

07 Lut

Ochrona danych osobowych w procesie rekrutacji (wpis gościnny)

 Najcenniejszym kapitałem każdej organizacji są ludzie, aby ich pozyskać niezbędne jest przeprowadzenie procesu rekrutacji. Wielu rekrutujących pracodawców zadaje sobie pytanie, co zrobić, aby proces ten przeprowadzić zgodnie z przepisami. Kandydaci do pracy coraz częściej zwracają uwagę na to, czy potencjalny pracodawca respektuje ich prawo do prywatności i ochrony danych. Warto zastanowić się w jaki sposób przeprowadzamy rekrutację, albowiem prawidłowy proces z całą pewnością wpłynie na pozytywny wizerunek pracodawcy. Znalezienie odpowiedniego pracownika nie jest łatwym zadaniem tym bardziej, iż dokonanie oceny kwalifikacji zawodowych czy też doświadczenia danej osoby możliwe jest wyłącznie w oparciu o pozyskane od kandydata dane osobowe.

Poniższy wpis dotyczy przetwarzania przez pracodawcę danych osobowych kandydatów do pracy.

Gromadzenie, przechowywanie, niszczenie zebranych w procesie rekrutacji danych osobowych kandydatów do pracy stanowi przetwarzanie danych (art. 4 ust. 2 RODO). Pracodawca staje się administratorem danych osobowych kandydatów do pracy niezależnie od sposobu otrzymania dokumentów rekrutacyjnych (tj. w wersji papierowej oraz elektronicznej). Na administratorze spoczywają konkretne obowiązki o czym będzie mowa w dalszej części wpisu.

Obowiązki pracodawcy

Potocznie zwykło mówić się, że pracownikiem jest każdy wykonujący pracę, ale projektując procesy przetwarzania danych osobowych należy odróżniać pracowników od osób współpracujących. W myśl art. 2 Kodeksu pracy pracownikiem jest „osoba zatrudniona na podstawie umowy o pracę, powołania, wyboru, mianowania lub spółdzielczej umowy o pracę. Pracownikiem nie jest osoba, która wykonuje czynności na innych podstawach niż wymienione w art. 2 (np. umowa zlecenia, umowa o dzieło, agencyjna). Pracodawcą zaś jest jednostka organizacyjna, choćby nie posiadała osobowości prawnej, a także osoba fizyczna, jeżeli zatrudniają one pracowników (art. 3 Kodeksu pracy). Read More

31 Sty

Określanie podstawy przetwarzania danych osobowych

Ogólne rozporządzenie o ochronie danych osobowych określa sytuacje, w których przetwarzanie jest legalne. Wystarczy, że jest spełniony jeden z warunków z artykułów 6, 9 lub 10 (a w przypadku zgody i przetwarzania danych dzieci także należy uwzględnić wymagania artykułów 7 i 8) i możemy uznać przetwarzanie danych osobowych za zgodne z przepisami prawa. Wydaje się bardzo proste, ale to tylko pozory. W praktyce okazuje się, że często trudno jest jednoznacznie wskazać podstawę legalizującą przetwarzanie, nawet gdy działa się zgodnie z konkretnym przepisem prawa, ciężko jest uzasadnić, że to właśnie ten przepis reguluje celowość oraz adekwatność przetwarzania danych, w szczególności zakres niezbędnych do realizacji celu danych. Należy także zwrócić uwagę, że przesłanki legalizujące przetwarzanie mogą zachodzić jednocześnie (nie są wykluczające).

Punkt wyjścia: zanim zaczniesz szukać przesłanki legalizującej przetwarzanie danych osobowych, przeczytaj najpierw artykuły 6-10 RODO. To nie żart. Często, szczególnie przy przetwarzaniu danych szczególnych kategorii, znajdziesz od razu informację, że dane przetwarzanie jest legalne, jeżeli służy wskazanym celom. Przy okazji utrwalisz sobie w pamięci treść tych artykułów, co na pewno przyda Ci się w przyszłości. Read More

25 Sty

Ruszyły prace nad Kodeksem Postępowania RODO dla bibliotek

Kilka tygodni temu, wraz z moim zespołem wyszliśmy z inicjatywą opracowania Kodeksu postępowania i dobrych praktyk w zakresie przetwarzania danych osobowych w bibliotekach. Rozpoczęliśmy burzę mózgów, jak to zrealizować, a przede wszystkim jak konsultować z branżą. Na szczęście wyszedł nam na przeciw solidny partner – Stowarzyszenie Bibliotekarzy Polskich. W zasadzie od samego początku okazało się, że jesteśmy zgodni w tym, że Kodeks, czyli ogólnodostępne wytyczne jak w praktyce postępować z danymi osobowymi w bibliotece, jest bardzo potrzebny i jak powinien przebiegać proces jego tworzenia. Rozmowy o współpracy rozpoczęliśmy jeszcze w grudniu, a w tym tygodniu wypracowaliśmy porozumienie, którego efektem ma być Kodeks. Read More

13 Sty

Jak pracownicy powinni zabezpieczyć dane przesyłane elektronicznie

Prowadzenie korespondencji mailowej stanowi obecnie trzon codziennej działalności firm, a także podmiotów publicznych. Z mojego doświadczenia wynika, że osoby, które w imieniu administratora przesyłają oraz otrzymują wiadomości e-mail, zazwyczaj przechodzą przeszkolenie w zakresie przetwarzania danych osobowych zgodnie z RODO, jednakże na tych szkoleniach mówi się im jedynie o tym, że muszą dane zabezpieczać i nie ujawniać nieuprawnionym osobom. Bardzo rzadko szkoli się je z prowadzenia bezpiecznej korespondencji z odbiorcami, a jeszcze rzadziej wprowadza procedury w tym zakresie. W praktyce okazuje się, że pracownik nie do końca wie, jak powinien postępować – sam podejmuje decyzję, jakie rozwiązania zastosować.

Wysyłanie danych wewnątrz organizacji, np. przesyłanie danych pomiędzy dwoma pracownikami

To że dane są przekazywane wewnątrz organizacji, nie powinno usypiać naszej czujności. Często zdarza się, że na przykład pracownik działu kadr przesyła dane do pracownika działu płac lub na przykład kierownik działu przekazuje dane dotyczące wypracowanych przez pracowników akordów. W praktyce może zdarzyć się, że program pocztowy podpowie dane niewłaściwej osoby (często z tym się spotykam) lub osoba, do której ma trafić wiadomość jest nieobecna i przekierowała pocztę na inną osobę, która akurat w zakresie tych wiadomości nie jest uprawniona.

Rozwiązanie nr 1: dane powinny być wpisane do pliku (np. Wor, Excel), a następnie zabezpieczone hasłem, które będzie znane tylko odbiorcy. Można ustalić stałe hasło na wspólną komunikację.

Instrukcja jak założyć hasło na plik

Instrukcja jak skompresować plik z hasłem (rozwiązanie wygodne, gdy jest więcej niż jeden plik)

Typowy błąd: zabezpieczenie danych hasłem i przekazanie hasła w tej lub kolejnej wiadomości e-mail.

Rozwiązanie nr 2: wrzucenie danych na wspólny serwer plików, do folderu, do którego dostęp mają tylko nadawca i odbiorca (ewentualnie wszystkie osoby uprawnione z danego działu).

Typowy błąd: wrzucenie danych na serwer plików do ogólnodostępnego folderu lub przesłanie za pośrednictwem zewnętrznego narzędzia, np. google drive, WeTransfer. W przypadku konieczności skorzystania z tych narzędzi, należy bezwzględnie wcześniej zaszyfrować dane kompresując je z hasłem (Instrukcja jak skompresować plik z hasłem )

Read More

02 Sty

Zakres obowiązków IOD w umowie

W rozmowach z moimi znajomymi, pełniącym obowiązki Inspektorów, często przewija się temat zadań, jakie powinien wykonywać inspektor, a tym czego oczekuje administrator danych i co próbuje zamieścić w umowie z Inspektorem. Rozbieżność w oczekiwaniach obu stron jest duża, a jej główną przyczyną często jest to, że administrator chciałby zapłacić komuś, aby wziął na siebie „problem RODO” i nie zawracać sobie tym tematem głowy, a także fakt, że przed RODO zakres obowiązków ówczesnego ABI wynikający z obowiązujących wówczas przepisów był szerszy, niż obecnie. Polski ustawodawca uczynił ABI wykonawcą wielu obowiązków, które na mocy RODO należą do administratora danych. Osoby, które z ABI stały się IOD, stanęły przed dylematem, jak działać „po nowemu”.

Ponieważ pojawiła się potrzeba, aby spisać obowiązki inspektora, które będzie można wpisać w umowie z nim, postanowiłam zrobić ten wpis. Tutaj warto podkreślić, że zakres obowiązków administratora został podany także, dlatego żeby było wiadomo, jak te obowiązki nie powinny brzmieć.

Zakres obowiązków IOD wynikający z RODO

  • powinien być właściwie i niezwłocznie włączany we wszystkie sprawy dotyczące ochrony danych osobowych,
  • jest punktem kontaktowym dla osób, których dane dotyczą w sprawach dotyczących ich danych,
  • jest punktem kontaktowym dla organu nadzorczego w sprawach, które dotyczą przetwarzania danych przez administratora danych,
  • ma ustawowy obowiązek zachowania poufności,
  • doradzanie administratorowi, podmiotom przetwarzającym, a także personelowi administratora w zakresie sposób przetwarzania danych osobowych zgodnie z RODO,
  •  zapewnienie przeszkolenia osób przetwarzających dane osobowe z obowiązków wynikających z RODO,
  •  nadzorowanie zgodności przetwarzania danych osobowych z RODO, w szczególności poprzez przeprowadzanie audytów i opracowywanie sprawozdań z zaleceniami dla administratora danych,
  • monitorowanie polityk bezpieczeństwa danych osobowych oraz podziału obowiązków u administratora,
  • uwzględnianie ryzyka związanego z operacjami przetwarzania, tzn. charakteru, zakresu, kontekstu i celi przetwarzania, w wypełnianiu swoich obowiązków,
  • wspieranie administratora danych przy podejrzeniach oraz naruszeniach dla ochrony danych osobowych, szacowaniu ryzyka dla ochrony danych, ocenie skutków dla ochrony danych, prowadzeniu rejestru czynności oraz kategorii przetwarzania danych, powierzaniu, udostępnianiu, współadministrowaniu danych.

Read More