Ochrona danych osobowych osób fizycznych prowadzących działalność gospodarczą w polskim porządku prawnym miała różne oblicza od wyłączenia tych danych spod reżimu ustawy po całkowitą ich ochronę.

Wiele osób zastanawia się jak ta kwestia będzie wyglądała w świetle RODO w szczególności, iż RODO wyraźnie wyłącza osoby prawne. Rozporządzenie stanowi, że jego przepisy nie znajdują zastosowania do oznaczeń osób prawnych.

Osoby fizyczne prowadzące działalność gospodarczą w polskim porządku prawnym nie są osobami prawnymi. Według wyjaśnienia tej kwestii przez KE „jeżeli w polskim porządku prawnym osoby fizyczne prowadzące działalność gospodarczą nie są osobami prawnymi, lecz fizycznymi, czyli nie mają charakteru spółek, to znaczy, że w pełni podlegają nowym przepisom o ochronie danych osobowych.”

Taka też była interpretacja krajowa po wykreśleniu art. 39 b ustawy o swobodzie działalności gospodarczej, który regulował zakres podlegania osób fizycznych prowadzących działalność pod reżim ustawy o ochronie danych osobowych. Komisja potwierdziła tę interpretację.

Wracamy więc do sytuacji, w której dane osobowe osób fizycznych prowadzących działalność podlegają w całości pod RODO

Solidarna odpowiedzialność w RODO

Każda osoba, która poniesie szkodę majątkową lub niemajątkową w wyniku naruszenia  RODO ma prawo uzyskać od administratora lub procesora odszkodowanie za poniesioną szkodę.

Nie tak dawno, jeszcze w aktualnym stanie prawnym, zapadł głośny wyrok, w którym SN orzekł odpowiedzialność administratora danych osobowych, mimo, iż ten powierzył przetwarzanie danych osobowych profesjonalnej firmie a szkoda na osobie powstała podczas wykonywania usług przez procesora.

Sądy orzekające w omawianej sprawie nie do końca wiedziały jak ugryźć problem. Sprawa dotyczyła bezprawnego ujawnienia na portalu internetowym pliku graficznego zawierającego skan dowodu osobistego powoda. Kopia dowodu osobistego została przez powoda udostępniona pozwanemu operatorowi telekomunikacyjnemu w związku z zawarciem umowy o świadczenie usług telekomunikacyjnych.

Skan dowodu osobistego skarżącego powoda wyciekł do internetu. Co istotne został umieszczony na portalu internetowym i opatrzony obraźliwym komentarzem. Sprawa znalazła swój finał w sądzie. Skarżący na podstawie art. 415 k.c. żądał od operatora sieci komórkowej zapłaty wielomilionowego zadośćuczynienia w związku z naruszeniem dóbr osobistych  w postaci: godności, wizerunku i prawa do prywatności, w tym prawa do ochrony danych osobistych.

Sąd okręgowy uznał, że doszło do naruszenia dóbr osobistych powoda  w ten sposób, że pozwana jako administrator danych osobowych dopuściła do ich przetworzenia – awersu jego dowodu osobistego – przez nieupoważnione do tego osoby, na stronie portalu internetowego. Uznał też, że pozwanej nie zwalnia od odpowiedzialności zlecenie administrowania bazą danych podmiotowi profesjonalnemu.

Sąd apelacyjny jako sąd drugiej instancji  oddalił powództwo uznając, iż pozew został wniesiony przeciwko podmiotowi, który nie powinien być pozwanym w zainicjowanym procesie, gdyż czynu niedozwolonego wobec powoda dopuszczono się, gdy bazą danych klientów pozwanej  zarządzał podwykonawca (procesor).

Sąd Apelacyjny  na podstawie art. 429 w związku z art. 415 k.c. uznał, że pozwana skutecznie zwolniła się od odpowiedzialności, powierzając obowiązki przetwarzania podmiotowi zawodowo trudniącemu się wykonywaniem powierzonych czynności. Ustalono bowiem, iż wyciek skanu dowodu nastąpił, gdy bazą zarządzał podwykonawca wykonujący na rzecz pozwanej usługi call center.

Sprawa ostatecznie znalazła się przed Sądem Najwyższym, który zważył, co następuje i orzekł, iż pozwana nie może uwolnić się od odpowiedzialności cywilnej przez zastosowanie ogólnego przepisu, jakim jest art. 429 k.c.

Sąd Najwyższy orzekł ponadto, iż administrator danych osobowych, będący firmą telekomunikacyjną odpowiada na podstawie art. 415 k.c. za własną winę wobec klienta – strony umowy o świadczenie usług telekomunikacyjnych, jeżeli nadużył zaufania tego klienta, powierzając bez jego zgody i wiedzy wykonywanie części umówionych usług osobie trzeciej – profesjonalnej firmie, która dopuściła do przetworzenia przez nieupoważnione osoby jego danych.

Powyżej przytoczone konkluzje wyroku Sądu Najwyższego odbiły się szerokim echem oraz były komentowane przez prawników specjalizujących się w prawie ochrony danych osobowych na łamach prasy i grup dyskusyjnych. Aktualnie obowiązujące przepisy dla skutecznego i legalnego powierzenia danych do przetwarzania nie wymagają bowiem zgody podmiotów danych. Nie wymagają takiej zgody również przepisy RODO.

W związku z powszechnym w obrocie gospodarczym, korzystaniem przez firmy z outsourcingu usług, powierzanie danych do przetwarzania stało się naturalną koniecznością. Na powierzenie danych w związku z outsourcingiem usług administratorzy danych nie pozyskują dodatkowych zgód od podmiotów danych. W tym kontekście wywód SN o braku zgody klienta na powierzenie jego danych osobowych musi szokować.

RODO przychodzi z pomocą i dylematy takie, jak dokładnie te, z którymi mierzyły się sądy orzekające w opisywanej sprawie, czyli kto odpowiada za szkodę wyrządzoną podmiotowi danych i na jakiej podstawie nie powinny już mieć miejsca. RODO wprowadza bowiem solidarną odpowiedzialność administratora oraz procesora.

Jeżeli w tym samym przetwarzaniu uczestniczy więcej niż jeden administrator lub procesor   ponoszą  oni odpowiedzialność solidarną za całą szkodę spowodowaną przetwarzaniem, tak by zapewnić osobie, której dane dotyczą, rzeczywiste uzyskanie odszkodowania.

Solidarna odpowiedzialność ułatwi dochodzenie roszczeń podmiotom danych, ułatwi też życie sądom, które nie będą musiały rozstrzygać kwestii który z podmiotów posiada legitymację, aby być pozwanym. Jednakże nie rozwiąże ona problemów podmiotom przetwarzającym dane czyli administratorowi i procesorowi.

Administrator lub podmiot przetwarzający, który  zapłaci odszkodowanie za całą wyrządzoną szkodę, ma prawo żądania od pozostałych administratorów lub podmiotów przetwarzających, którzy uczestniczyli w tym samym przetwarzaniu, zwrotu części odszkodowania odpowiadającej części szkody, za którą ponoszą odpowiedzialność.

I tutaj moim zdaniem zacznie się zabawa. Aktualnie umowy regulujące świadczenie usług, z którymi związane jest powierzenie ale także udostępnianie danych do przetwarzania często są bardzo enigmatyczne z reguły cytując wprost przepisy prawa. Są i takie, które  powierzenia nie regulują w ogóle lub wprowadzają tam, gdzie ono nie występuje. Dochodzi jeszcze powszechne mylenie powierzenia z udostępnieniem i odwrotnie.

Koniec końców może być tak, że ten podmiot, który zostanie pozwany jako pierwszy może mieć  trudne zadanie, aby odzyskać od innych podmiotów uczestniczących w procesie przetwarzania, część zapłaconego odszkodowania z wyjątkiem spraw oczywistych.

Wobec solidarnej odpowiedzialności przewidzianej w RODO, podmioty uczestniczące w procesie przetwarzania, w sposób przejrzysty i konkretny, powinny określić i zdefiniować odpowiednie zakresy swojej odpowiedzialności dotyczącej wypełniania obowiązków wynikających z RODO. W przypadku dochodzenia przez podmioty przetwarzające ewentualnych roszczeń regresowych takie umowy mogą mieć nieocenione znaczenie.

 

 

Na stronie GIODO zegar odlicza czas do 25 maja 2018 r. przypominając, że czas upływa i na dostosowanie się do wymogów RODO jest go coraz mniej.

W temacie reformy ochrony danych osobowych mówi się coraz więcej w szczególności na szkoleniach, konferencjach, ale coraz więcej też o reformie słychać w różnych mediach. W tym tygodniu pojawiły się projekty przepisów krajowych regulujące kwestie pozostawione państwom członkowskim do szczegółowego określenia. Mamy więc projekt nowej ustawy o ochronie danych osobowych oraz projekt ustawy przepisy wprowadzające ustawę o ochronie danych osobowych.

W jakim więc punkcie jesteśmy rzeczywiście i czy proces przygotowywania się do RODO można uznać za ogólnie zaawansowany. Okazuje się, że na tak postawione pytanie nie ma jednoznacznej odpowiedzi.

Na jednej z ostatnich konferencji tematycznych poświęconej projektom nowych przepisów krajowych  wybrzmiało kilka interesujących kwestii, z którymi nie sposób się nie zgodzić. Podzielę się niektórymi z nich.

Zagadnienia stanu przygotowania przedsiębiorców do RODO komentowali zaproszeni na konferencję przedstawiciele MAC, GIODO a także prawnicy praktycy i inni eksperci, którzy na co dzień zajmują się pomocą w porządkowaniu obszaru ochrony danych osobowych. Byli oni zgodni co do jednego, że stan przygotowania w firmach jest bardzo zróżnicowany.

Są organizacje, które od miesięcy analizują procesy związane z przetwarzaniem danych w celu należytego ich rozpoznania i doprowadzenia do stanu zgodności. Są też takie, które takich działań nie rozpoczęły. Czyli mamy całe spektrum możliwości, jeśli chodzi o stan przygotowań.

Według jednego z ekspertów organizacja, która nie rozpoczęła jeszcze w ogóle  porządkowania obszaru ochrony danych osobowych, może już nie zdążyć, aby do 25 maja 2018 r. dostosować się w sposób należyty.  Osobiście zgadzam się z tak postawioną tezą. Jako prawnik praktyk, który na co dzień obserwuje obszary związane z ochroną danych osobowych w różnych organizacjach, widzę jak często jest to obszar zapomniany.

Uczestniczący w konferencji dr. Sibiga stwierdził, iż proces, który powinien aktualnie toczyć się w organizacjach nie jest tak naprawdę procesem dostosowawczym do RODO a często jest to proces naprawczy mający na celu naprawienie tych wszystkich uchybień i niezgodności z dotychczas obowiązującym prawem. W moje ocenie brak zgodności z dotychczasowym prawem to meritum problemu , jeśli chodzi o dostosowanie się do wymogów RODO.

Trudno bowiem dostosowywać organizację w zakresie nieznanych dotychczas instytucji, gdy procesy przetwarzania danych osobowych zawierają podstawowe niezgodności na przykład w zakresie zapewnienia legalności przetwarzania danych.

O RODO mówi się często jako o rewolucji w ochronie danych osobowych, ale jest to pewne uogólnienie związane z nowym podejściem do ochrony danych i wyjątkowo wysokimi karami. RODO jednak w znaczącej części pokrywa się z dotychczas obowiązującymi przepisami o ochronie danych osobowych. Podstawowe instytucje, zasady oraz pojęcia dotychczasowych regulacji zostały zachowane. Pojawiły się co prawda nieznane czy nie wyartykułowane wcześniej instytucje prawne i one aktualnie są głównym przedmiotem analiz i debat.

Jak wiadomo GIODO  nie miał ani możliwości ani środków, aby zapewnić egzekwowanie przepisów ustawy o ochronie danych osobowych. Stan faktyczny był więc taki, że większość administratorów danych nie zapewniała zgodności przetwarzania danych z przepisami.

Wyobraźmy sobie znaczną organizację, z rozbudowaną strukturą prawną i organizacyjną, z wieloma procesami przetwarzania danych, dużym systemem informatycznym i brak odniesienia do wymogów obowiązującej od dwudziestu już lat polskiej ustawy o ochronie danych osobowych.

Każdy prawnik, który zetknął się z taką organizacją chociaż raz wie, że proces naprawczy w takiej organizacji jest żmudny, problematyczny i często bardzo kosztowny.

Przedstawiciel GIODO obecny na konferencji rozwiewał krążące mity, że po 25 maja 2018 r. będzie jeszcze czas na udzielanie upomnień a nie czas kar jak również i ten, że od pierwszego dnia będą wymierzane kary w najwyższym wymiarze. Komunikat był czytelny czas na dostosowanie do RODO właśnie płynie a potem już nie jest przewidywany jakiś dodatkowy okres przejściowy. Nie oznacza to z drugiej strony nastawienia na karanie od 25 maja 2018 r., ale też i tego nie wyklucza.

Pojawiły się też uzasadnione w mojej opinii, uwagi pod adresem GIODO za jego zbyt małą aktywność i pomoc w zakresie udzielania przedsiębiorcom konkretnych wskazówek i wytycznych, dotyczących nowych rozwiązań prawnych. Wskazywano na dużo większą aktywność w tym zakresie innych europejskich organów ochrony danych osobowych, co jest zgodne z prawdą.

I tak na koniec. Z moich doświadczeń wynika, iż większość firm zupełnie nie zdaje sobie sprawy, iż proces dostosowawczy czy proces naprawczy w obszarze przetwarzania danych wymaga czasu, pracy i kosztów. Wśród wielu przedsiębiorców panuje wręcz przeświadczenie, że proces naprawczy w tym obszarze nie może zająć dużo czasu. Trudno im pojąć, iż ustalenie stanu zgodności jest pracochłonne i czasochłonne.

Temat jest niszowy i aktualnie wciąż jeszcze panuje ogólny brak świadomości w temacie o co tak naprawdę chodzi z tymi danymi osobowymi i o co tyle hałasu.

Aktualnie administratorzy danych osobowych niedostatecznie respektują prawa osób, których dane są przetwarzane choćby w zakresie realizacji obowiązków informacyjnych o administratorze danych, celach przetwarzania, przysługujących im prawach.

Większość z nas otrzymuje telefony z ofertami nabycia przeróżnych towarów lub usług. Bezpłatne badania, darmowe konsultacje, promocyjne ceny towarów lub usług itd. itd. Jednak rzadko  podczas takich połączeń przekazywane są wymagane prawem informacje. A zapytanie osoby dzwoniącej o podstawę prawną przetwarzania danych z reguły powoduje przerwanie połączenie lub niejasne wyjaśnienia.

Już w świetle aktualnie obowiązujących przepisów administrator danych ma szereg obowiązków informacyjnych, które powinien wypełnić wobec osób, których dane przetwarza. Jednak RODO wprowadza kilka nowych obowiązków a także szczegółowo precyzuje niektóre kwestie np. w zakresie sposobu przekazywania informacji.

Zgodnie z RODO administrator podejmuje odpowiednie środki, aby w zwięzłej, przejrzystej, zrozumiałej i łatwo dostępnej formie, jasnym i prostym językiem – w szczególności gdy informacje są kierowane do dziecka – udzielić osobie, której dane dotyczą, wszelkich wymaganych informacji.

RODO przyznaje osobom, których dane są przetwarzane szereg uprawnień takich jak:

  • prawo do bycia poinformowanym o operacjach przetwarzania,
  • prawo dostępu,
  •  prawo do sprostowania/uzupełnienia danych,
  • prawo do usunięcia danych,
  • prawo do ograniczenia przetwarzania,
  • prawo do przenoszenia danych,
  • prawo do sprzeciwu,
  • prawo do tego, by nie podlegać profilowaniu.

Ważne, aby wdrożone przez Ciebie procedury przetwarzania danych uwzględniały możliwość realizacji
tych praw przez osoby, których dane przetwarzasz.

Jak radzi GIODO:

„To jest  dobry moment by sprawdzić skuteczność zastosowanych procedur i wypracować sposób reakcji, np. w sytuacji, w której ktoś poprosi o usunięcie swoich danych osobowych.”

Aktualnie u wielu administratorów danych ten obszar nie jest  uporządkowany stąd pytania o dane osobowe są kłopotliwe oraz budzą niepokój, co dowodzi braku wypracowanych procedur oraz sposobów reakcji na żądanie osób, którzy dane są przetwarzane.

Istotną kwestią będzie ustalenie kto w organizacji będzie odpowiedzialny za usunięcie danych, kto będzie władny podjąć taką decyzję. Jest to w praktyce bardzo istotna kwestia i bardzo zaniedbana a świadomość prawna w tym zakresie znikoma, co powoduje, że większość administratorów przetwarza dane o wiele dłużej niż jest to uzasadnione celem, dla którego dane zostały zebrane a niektórzy wręcz myślą, że raz zebrane dane można przetwarzać wiecznie.

Wdrażanie RODO – Zabezpieczenia

Każdy administrator danych odpowiedzialny jest za bezpieczeństwo i ochronę przetwarzanych danych osobowych przede wszystkim przed przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem.

RODO jednak nie zawiera szczegółowych wymogów w zakresie środków technicznych i organizacyjnych, które powinny być przez administratorów wdrażane w celu odpowiedniego zabezpieczenia danych. Decyzja o zastosowaniu odpowiednich środków będzie należała do administratora danych.

Dobierając odpowiednie zabezpieczenia administrator danych powinien przede wszystkim uwzględnić ryzyko związane z przetwarzaniem danych w swojej organizacji wynikające np. z przypadkowego lub niezgodnego z prawem zniszczenia, utraty, modyfikacji, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.

Środki organizacyjne i techniczne stosowane w celu zapewnienia bezpieczeństwa danym aktualnie mogą pozostać aktualne również po 25 maja 2018 r., jeśli oczywiście administrator danych uzna, że zapewnią one zgodność przetwarzania danych z wymogami RODO.

Więcej na zasygnalizowany temat przeczytasz na stronach GIODO Tutaj.

W świetle RODO zgoda osoby, której dane dotyczą, oznacza dobrowolne, konkretne, świadome i jednoznaczne okazanie woli, którym osoba, której dane dotyczą, w formie oświadczenia lub wyraźnego działania potwierdzającego, przyzwala na przetwarzanie dotyczących jej danych osobowych.

Zgodnie z RODO nowością będzie wyrażenie zgody przez „wyraźne działanie potwierdzające” z tym jednak zastrzeżeniem, iż przyzwolenie na przetwarzanie danych powinno być jednoznaczne, a więc nie budzić wątpliwości co do zamiaru osoby, która takie działanie podejmuje.

Zgodnie z dotychczasowymi przepisami zgoda nie może być dorozumiana lub domniemana z oświadczeń woli innej treści. Co do zasady więc musi stanowić odrębną klauzulę od na przykład regulaminu świadczenia usługi.

Jednakże również na podstawie RODO w przypadku zgody wyrażanej w pisemnym oświadczeniu, które dotyczy także innych kwestii, zapytanie o zgodę musi zostać przedstawione w sposób pozwalający wyraźnie odróżnić je od pozostałych kwestii, w zrozumiałej i łatwo dostępnej formie, jasnym i prostym językiem.

Oznacza to, że nie będzie można ukrywać oświadczenia o zgodzie pośród innych oświadczeń, treść oświadczenia dotyczącego zgody powinna być czytelna.

W RODO nie ma wymogu pisemności nawet dla zgody na przetwarzanie danych wrażliwych, jednakże jeżeli przetwarzanie odbywa się na podstawie zgody, administrator musi być w stanie  wykazać, że osoba, której dane dotyczą, wyraziła zgodę na przetwarzanie swoich danych osobowych.

Zgoda może być więc wyrażona ustnie a także pisemnie w tym w formie elektronicznej poprzez zaznaczenie okienka wyboru podczas przeglądania strony internetowej lub poprzez dokonanie wyboru ustawień technicznych korzystania z usługi.

W każdym przypadku jednak administrator musi być w stanie  wykazać, że osoba, której dane dotyczą, wyraziła zgodę na przetwarzanie swoich danych osobowych

Milczenie, okienka domyślnie zaznaczone lub niepodjęcie działania nie będą oznaczać zgody.

Przetwarzanie, które w dniu rozpoczęcia stosowania  RODO już się toczy, powinno w terminie dwóch lat od wejścia go w życie, zostać dostosowane do jego przepisów.

Zgodnie z powyższym czas na wdrażanie postanowień RODO właśnie płynie, co oznacza, że przegląd stanu ochrony danych osobowych należy rozpocząć tak, aby za rok móc wykazać zgodność z nowymi przepisami.

GIODO podpowiada jak powinien wyglądać prawidłowy przegląd stanu ochrony danych osobowych publikując systematycznie kolejne zagadnienia, które należy sprawdzić w firmie. Zachęcam do lektury.

Zgodnie z zasadą rozliczalności za rok ADO będzie musiał wykazać, że przetwarza dane osobowe w zgodzie z zasadami przyjętymi w rozporządzeniu. Tę zgodność można wykazać na przykład poprzez wdrożenie polityk i procedur przetwarzania danych.

I to teraz właśnie jest czas na przeglądy, audyty, sprawdzenia na przykład w zakresie  jakie dane osobowe przetwarzasz, skąd pochodzą i co cię uprawnia do ich wykorzystywania, czy i komu je udostępniasz oraz jak zabezpieczasz”.

Kolejne istotne zagadnienie, które należy dokładnie sprawdzić to wywiązywanie się z obowiązków informacyjnych wobec podmiotów danych.  Rozporządzenie zwiększa zakres informacji, które należy przekazać.

Od 25 maja 2018 r. administratorzy danych będą musieli poinformować również m.in. o okresie, przez który dane osobowe będą przetwarzane (retencja danych), o ewentualnym fakcie profilowania i jego konsekwencjach czy też o danych kontaktowych inspektora ochrony danych, jeśli został on wyznaczony. Szerszy katalog informacji, które należy przekazać wymusza aktualizację obecnie stosowanych klauzul informacyjnych.

Począwszy do 25 maja 2018 r. będziesz zobowiązany wykazać już zgodność z RODO. Niestety w przypadku braku takiej zgodności organ nadzorczy będzie uprawniony do rozliczenia ADO ze stwierdzonych uchybień i nałożenia stosownych kar pieniężnych. Z tego powodu jest tak ważne, aby przegląd w obszarze danych osobowych rozpocząć już dziś.

Pierwsze wyniki sprawdzeń ABI

Są już pierwsze wyniki ze sprawdzeń ABI. Sprawdzenia zostały przeprowadzone w bankach i przede wszystkim wykazały błędy w formułowaniu treści klauzul zgody.

Okazuje się, w treści jednej klauzuli łączone są zgody na przetwarzanie marketingowe, przesyłanie informacji handlowych drogą elektroniczną oraz używanie telekomunikacyjnych urządzeń końcowych. Do tego dochodzi jeszcze łączenie zgód na przetwarzanie w celach własnych i podmiotów trzecich.

Zgoda na przetwarzanie danych nie może mieć charakteru abstrakcyjnego, lecz winna odnosić się do skonkretyzowanego stanu faktycznego, obejmując tylko określone dane oraz sprecyzowany sposób i cel ich przetwarzania. Osoba nie może być  wprowadzona w błąd. Jeżeli zatem oświadczenie woli dotyczyć ma różnych celów przetwarzania, zgoda powinna być wyrażona wyraźnie pod każdym z tych celów przetwarzania.

Chodzi o to, aby osoba, której dane dotyczą miała swobodę wyboru wyrażenia zgody na przetwarzanie jej danych osobowych w różnych celach. Zgoda nie może być wymuszona.

Jak poradzili sobie ABI ze sprawdzeniami i sprawozdaniami z nich. Czytamy więc:

Treść sprawozdań wskazywała także na niepełną wiedzę ABI w zakresie ochrony danych osobowych niezbędną do sporządzenia sprawozdania ze sprawdzenia, w szczególności w zakresie zgromadzenia adekwatnych dowodów w stosunku do istniejącego stanu faktycznego.”

i kolejna ciekawostka:

Spośród 20 administratorów bezpieczeństwa informacji, którzy dokonali sprawdzenia przetwarzania danych osobowych przez banki w zakresie marketingu kierowanego do klientów oraz osób nie będących klientami banków, tylko jeden z nich stwierdził naruszenie przepisów o ochronie danych osobowych, mimo iż w wielu przypadkach ustalenia dokonane przez administratorów bezpieczeństwa informacji w toku sprawdzeń dawały podstawę do stwierdzenia takich uchybień

Czy mnie to dziwi? A więc nie dziwi zupełnie. W środowisku od początku nowelizacji uodo mówiło się, że sprawozdania ABI dla GIODO to będą laurki, co aktualne wyniki potwierdziły.

Pełen raport w powyższym temacie znajdziesz Tutaj.

W ramach sprawdzianu gotowości do RODO na stronach GIODO publikowane są w odcinkach pomocne we wdrażaniu RODO wyjaśnienia.

Czy RODO to rewolucja, czy zmiany będą zasadnicze, na czym będą polegały i co to oznacza dla administratora danych tego dowiemy się w kolejnym odcinku pomocnych wyjaśnień GIODO, które znajdziesz Tutaj.

Z mojej praktyki wynika, że ogólny stan świadomości o RODO jest w dalszym ciągu bardzo niski, dlatego takie edukacyjne akcje GIODO są bardzo ważne. Administratorzy danych zwłaszcza Ci mali i średni, ale więksi też często nie mają świadomości o istnieniu RODO a jeśli nawet niektórzy coś słyszeli, to już na pewno nie zdają sobie sprawy z wagi problemu.

Został rok, aż rok a może tylko rok, aby się przygotować na rewolucję. W przygotowaniu na pewno bardzo pomocne są wszelkie wytyczne i wyjaśnienia GIODO.

GIODO publikuje zestaw pytań

Biuro GIODO wychodząc na przeciw oczekiwaniom przedsiębiorców zwłaszcza tych mniejszych aktywnie edukuje w zakresie RODO. Tym razem na stronie GIODO znajdziesz listę pytań pomocniczych, które pozwolą Ci ocenić swoją gotowość w zakresie stosowania RODO.

W załączeniu ( Tutaj ) link do listy dla tych, którzy jeszcze się nie zapoznali. Rok to naprawdę już mało czasu w szczególności dla tych, którzy tak naprawdę nigdy porządnie nie uporządkowali sfery ochrony danych osobowych w swojej organizacji.

Warto zatem skorzystać z zestawu pytań opracowanych przez GIODO i w oparciu o nie sprawdzić stan gotowości swojej firmy na przyjęcie i stosowanie nowych przepisów w zakresie ochrony danych osobowych już za rok.