Aneta Kułakowska

radca prawny

Moja praca koncentruje się wokół doradztwa spółkom kapitałowym w bieżącej działalności oraz przedsiębiorcom prowadzącym działalność również w innych formach prawnych...
[Więcej >>>]

Skontaktuj się

Kim jest Inspektor Ochrony Danych

Aneta Kułakowska18 stycznia 2019Komentarze (0)

Rodo w określonych sytuacjach przewiduje obowiązek wyznaczenia inspektora ochrony danych, czyli IOD. Często spotykam się z pytaniem: kim jest Inspektor Ochrony Danych Osobowych? A zaraz potem pojawia się kolejne pytanie: czy w naszej spółce koniecznie musimy powołać IOD? Dzisiaj postaram się odpowiedzieć na te pytania.

Kim jest Inspektor Ochrony Danych

Inspektor Ochrony Danych to osoba powoływana przez spółkę z o.o. jako administratora lub podmiot przetwarzający do pomocy przy przestrzeganiu w spółce przepisów o ochronie danych osobowych. IOD pełni rolę pośrednika pomiędzy Urzędem Ochrony Danych Osobowych (UODO), podmiotem przetwarzającym dane oraz osobą, której dane są przetwarzane.

 

Kim jest Inspektor Ochrony Danych

 

Zadania IOD

Zakres obowiązków oraz zadań IOD określa art. 39 ust. 1 RODO. Zgodnie z nim do obowiązków IOD należą następujące zadania:

  • informowanie spółki oraz jej pracowników, którzy przetwarzają dane osobowe, o obowiązkach spoczywających na nich na mocy RODO oraz innych przepisów dotyczących ochrony danych osobowych, a także doradzanie w/w podmiotom w sprawie ochrony danych osobowych,
  • monitorowanie przestrzegania RODO oraz innych przepisów dotyczących ochrony danych osobowych oraz polityk spółki w dziedzinie ochrony danych osobowych, w tym podział obowiązków, działania zwiększające świadomość, szkolenia personelu uczestniczącego w operacjach przetwarzania oraz powiązane z tym audyty,
  • na żądanie – udzielanie zleceń co do oceny skutków dla ochrony danych osobowych oraz monitorowanie jej wykonania zgodnie z RODO,
  • współpraca z UODO,
  • pełnienie funkcji punktu kontaktowego dla UODO w kwestiach związanych z przetwarzaniem danych osobowych, w tym z uprzednimi konsultacjami oraz w stosownych przypadkach prowadzenie konsultacji we wszelkich innych sprawach,
  • pełnienie funkcji punktu kontaktowego dla osób, których dane dotyczą, we wszystkich sprawach związanych z przetwarzaniem ich danych osobowych oraz wykonywaniem praw przysługujących im na mocy RODO oraz innych przepisów.

Pamiętajcie o tym, że spółka wyznaczając IOD zobowiązana jest mu zapewnić odpowiednie zasoby niezbędne do wykonywania zadań oraz dostęp do danych osobowych i operacji przetwarzania. Zasoby te powinny obejmować zarówno wsparcie infrastrukturalne, finansowe, osobowe, jak i bieżące wsparcie ze strony zarządu, zapewnienie możliwości uczestniczenia w szkoleniach oraz zapewnienie dostępu do innych działów w spółce.

Spółka ponadto musi zagwarantować IOD, by był on niezwłocznie włączany we wszystkie sprawy dotyczące ochrony danych osobowych. IOD powinien zatem brać udział w podejmowaniu decyzji dotyczących ochrony danych osobowych, a wszelkie sprawy z tym związane powinny być z nim konsultowane.

Kto może zostać IOD

W RODO znajdziecie ogólne wymogi co do IOD. Możecie przeczytać, że zgodnie z art. 37 ust. 5 RODO IOD jest wyznaczany na podstawie kwalifikacji zawodowych, a w szczególności wiedzy fachowej na temat prawa i praktyk w dziedzinie ochrony danych oraz umiejętności wypełnienia zadań, o których mowa w art. 39 RODO. Jednak wymagany poziom wiedzy fachowej nie jest nigdzie określony.

Jak wskazuje Grupa Robocza art. 29 wymagany poziom wiedzy fachowej nie jest nigdzie jednoznacznie określony, ale musi być współmierny do charakteru, skomplikowania i ilości danych przetwarzanych w ramach jednostki. Wobec czego wybór inspektora ochrony danych powinien być dokonany z zachowaniem należytej staranności i z uwzględnieniem charakteru przetwarzania danych osobowych w spółce.

Wiedza fachowa obejmuje zatem wiedzę z zakresu krajowych i europejskich przepisów o ochronie danych osobowych, wiedzę z zakresu praktyk w dziedzinie ochrony danych osobowych, znajomość przepisów RODO, a także wiedzę biznesową dotycząca działalności spółki, w której pełni swoją funkcję. A ponadto wiedzę na temat operacji przetwarzania danych i systemów informatycznych. Z kolei jeśli chodzi o osobiste cechy IOD kwalifikujące go do wykonywania funkcji, to możemy mówić o rzetelnym podejściu do wykonywania swoich obowiązków i wysokim poziomie etyki zawodowej.

Spółka funkcję IOD może powierzyć zarówno swojemu pracownikowi, jak i podmiotowi spoza spółki. Podmiotem tym może być osoba fizyczna, jak i osoba prawna. Bez względu na to czy jest to pracownik spółki czy podmiot trzeci, osoby pełniące funkcję IOD muszą spełniać wymogi w zakresie zarówno kwalifikacji, jak i unikania konfliktu interesów.

Pamiętajcie również, że RODO umożliwia wyznaczenie jednego IOD dla kilku spółek. Oczywiście pod warunkiem, że będzie on w stanie podołać swoim obowiązkom wobec wszystkich spółek.

Kiedy spółka musi wyznaczyć IOD

Art. 37 ust. 1 RODO przewiduje obowiązek wyznaczenia inspektora dla spółek z o.o. wówczas, gdy:

  • główna działalność spółki jako administratora lub przetwarzającego polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą na dużą skalę,
  • główna działalność spółki jako administratora lub przetwarzającego polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych, o których mowa w art. 9 ust. 1 RODO oraz danych osobowych dotyczących wyroków skazujących i czynów zabronionych, o których mowa w art. 10 RODO.

Ten temat wymaga dodatkowego rozwinięcia i dlatego poświęcę mu oddzielny wpis na blogu.

 

Niezależność IOD

IOD w spółce powinien zajmować samodzielne i niezależne stanowisko, zapewniające mu swobodę należytego wykonywania jego funkcji. Przede wszystkim musi on być niezależny, tj.:

  • nie może otrzymywać instrukcji co do wykonywania swoich zadań,
  • nie może być odwoływany ani karany przez spółkę za wypełnianie swoich zadań,
  • podlega bezpośrednio najwyższemu kierownictwu spółki z o.o., czyli zarządowi.

 

Często pytacie czy IOD może wykonywać również inne zadania. Może wykonywać inne zadania poza pełnioną przez siebie funkcją pod warunkiem jednak, że te inne obowiązki nie powodują konfliktu interesów. Poświęcę temu jeden z kolejnych wpisów. Zatem zapraszam do śledzenia wpisów na blogu.

 

*****

Zapraszam również do śledzenia wpisów na blogu Zarząd w spółce z o.o.

Zapraszam do zapoznania się z poprzednimi wpisami:

Termin spełnienia obowiązku informacyjnego

Kontrola Rodo w spółce z o.o. 

Członek zarządu spółki inspektorem ochrony danych

Rodo w spółce z o.o.

Czy zarząd spółki jest administratorem danych?

Prawnicze blogi dla biznesu

Aneta Kułakowska06 grudnia 2018Komentarze (1)

Od poniedziałku miałam taki niecny plan, aby każdego dnia przez cały tydzień pisać o jednym blogu z prawniczej blogosfery, który czytam i polecam. Nie wiem kiedy minął poniedziałek, a zanim wtorek i środa, a ja nie znalazłam na to czasu. Jak to możliwe? Nie mam pojęcia Dzisiaj nawet liczyłam, że dotrę wcześniej pod salę rozpraw i tam w spokoju oddam się pisaniu. Nie udało się….

 

Prawnicze blogi dla biznesu

Prawnicze blogi dla biznesu

Tym razem nie odpuszczam i zamierzam napisać kilka słów o kilku prawniczych blogach dla biznesu. Blogach, które czytam, lubię i Wam również polecam. Zatem oto moja subiektywna lista blogowa:

Wszystko o czym musicie wiedzieć, aby zabezpieczyć swoją markę, zastrzec logo czy zarejestrować znak towarowy znajdziecie na blogu rzecznika patentowego Mikołaja Lecha https://znakitowarowe-blog.pl/ Na blogu możecie również obejrzeć filmy oraz odsłuchać podcasty.

Jeśli działacie w branży gastronomicznej nie możecie nie śledzić wpisów na blogu adwokat Marty Koseckiej http://przepisnagastronomie.pl/.

 

Prawnicze blogi dla biznesuWsparciem w Waszych podatkowych zmaganiach będzie blog doradcy podatkowego Wojciecha Pietrasiewicza https://www.kulturalnieopodatkach.pl. Jeśli szukacie przystępnych, zrozumiałych i w dodatku ciekawie napisanych informacji ze świata podatków, to się nie zawiedziecie.

Niezwykle pomocnym źródłem informacji przedsiębiorcom w zakresie ochronie tajemnicy przedsiębiorstwa i obrony przed nieuczciwą konkurencją będzie blog radcy prawnego Roberta Solgi https://tajemnica-przedsiebiorstwa.pl/ Na blogu znajdziecie również podcasty do posłuchania w wolnym czasie.

Z kolei na sporą dawkę wiedzy w sprawach prawniczych możecie liczyć na blogu radcy prawnego Marty Kopeć http://jakzwolnicpracownika.pl/ oraz blogu radcy prawnego Agaty Kicińskiej https://prawodlapracodawcy.pl/

W zestawieniu nie może oczywiście zabraknąć bloga adwokata Bartosza Gajek https://naratunekkreatywnym.pl/, który niezwykle barwnie tworzy posty dla agencji marketingowych i nie tylko.

To tylko kilka wybranych blogów. Na pewno jeszcze o kilku wkrótce napiszę. Pozostałe blogi prawnicze możecie znaleźć na stronie http://lexmonitor.pl/  Zapewniam Was, że jest co czytać! Zapraszam.

 

*****

Zapraszam również do śledzenia wpisów na blogu Zarząd w spółce z o.o.

Zapraszam do zapoznania się z poprzednimi wpisami:

Termin spełnienia obowiązku informacyjnego

Kontrola Rodo w spółce z o.o. 

Członek zarządu spółki inspektorem ochrony danych

Rodo w spółce z o.o.

Czy zarząd spółki jest administratorem danych?

 

O obowiązku informacyjnym pisałam w postach Zakres obowiązku informacyjnego i Termin spełnienia obowiązku informacyjnego. W związku z tym, iż trafiło do mnie w ostatnim czasie sporo pytań dotyczących warstwowego spełnienia obowiązku informacyjnego to postanowiłam dzisiaj o tym krótko napisać.

Jak zapewne zauważyliście, że od momentu stosowania Rodo, klauzule obowiązku informacyjnego nabrały objętości. Narzekają na to zarówno ci, którzy obowiązek informacyjny muszą spełnić, jak i ci, wobec których ten obowiązek jest spełniany. Niewielu ma ochotę na czytanie całości klauzul informacyjnych. A czasem zwyczajnie nie ma na to akurat czasu. A klauzula obowiązku informacyjnego poza tym, że musi przekazywać niezbędne i wymagane informacje, ma być opracowana w sposób jasny, zrozumiały, zwięzły i przejrzysty oraz ma być łatwo dostępna dla osób, których dotyczy.

 

Warstwowe spełnienie obowiązku informacyjnego

Warstwowe spełnienie obowiązku informacyjnego

Administratorzy głowią się jak spełnić obowiązek informacyjny, spełniając jednocześnie wszystkie związane z nim wymagania w przypadku braku możliwości przekazania pełnej i dość obszernej informacji. Kiedy będziemy mieli do czynienia z takimi przypadkami?

Chociażby pod formularzem kontaktowym, na tabliczce informującej o terenie monitorowanym, podczas pozyskiwania danych osobowych z nagrywania rozmów telefonicznych, ogłoszeniu rekrutacyjnym i wszędzie tam, gdzie sytuacja faktyczna i występujące ograniczenia uniemożliwiają nam zamieszczenie pełnej treści klauzuli informacyjnej. W praktyce działania spółek takich przypadków może być mnóstwo.

Z pomocą przychodzi nam wówczas warstwowe spełnianie obowiązku informacyjnego.  Polega ono na tym, że w pierwszej warstwie przekazywanej osobie, której dane dotyczą, zawiera się tylko najważniejsze informacje. W szczególności tożsamość administratora, cele i podstawę przetwarzania, dobrowolność podania danych wraz z konsekwencjami ich nie podania. Ponadto informacje o prawach osoby, której dotyczą. Z kolei w drugiej warstwie należy podać wszystkie brakujące i szczegółowe informacje w sposób pełny.

Stanowisko Grupy Roboczej Art. 29

Grupa Robocza Art. 29 została rozwiązana 25 maja 2018 roku, a w jej miejsce została powołana Europejska Rada Ochrony Danych. Jednak wszelkie wytyczne Grupy są wciąż aktualne.

Grupa Robocza Art. 29 w wytycznych zaleca warstwowe spełnianie obowiązku informacyjnego, zamiast wyświetlania wszystkich informacji w pojedynczych informacjach, aby uniknąć zmęczenia informacyjnego. Zdaniem Grupy Roboczej warstwowe informacje mogą pomóc w rozwiązaniu napięcia między kompletnością a zrozumieniem, poprzez umożliwienie użytkownikom bezpośredniego przejścia do tych części informacji, które chcą przeczytać. Projekt i układ pierwszej warstwy informacji powinien być taki, aby osoba, której dane dotyczą, miała jasny przegląd dostępnych dla niej informacji na temat przetwarzania jej danych osobowych oraz tego, gdzie i jak może znaleźć te szczegółowe informacje wśród warstw informacji.

Ponadto ważne jest, aby informacje zawarte w różnych warstwach warstwowych informacji były spójne i aby te warstwy nie zapewniały sprzecznych informacji. W odniesieniu do istotnych informacji, które mogą być zawarte w pierwszej warstwie oświadczenia, stanowisko Grupy Roboczej jest takie, że powinny one zawsze zawierać informacje dotyczące przetwarzania, które ma największy wpływ na osobę, której dane dotyczą oraz przetwarzania, które mogłoby zaskoczyć osobę, której dane dotyczą. W związku z tym osoba, której dane dotyczą, powinna być w stanie zrozumieć z informacji zawartych w pierwszej warstwie, jakie będą konsekwencje przedmiotowego przetwarzania dla osoby, której dane dotyczą.

Sposoby warstwowego spełniania obowiązku informacyjnego

Warstwowe spełnianie obowiązku informacyjnego można realizować na różne sposoby, np.:

  • zamieszczenie skróconej klauzuli informacyjnej oraz linku do pełnej wersji klauzuli informacyjnej zamieszczonej na stronie internetowej administratora, np. pod formularzem kontaktowym,
  • skrócona klauzula informacyjna pod formularzem zapisu na newsletter oraz link do pełnej wersji klauzuli informacyjnej zamieszczonej na stronie internetowej administratora w polityce prywatności lub w mailu potwierdzającym zapis na newsletter (double opt-in),
  • pierwsza warstwa klauzuli informacyjnej oraz link do pełnej wersji klauzuli informacyjnej zamieszczonej w polityce prywatności, np. pod ogłoszeniem rekrutacyjnym,
  • zamieszczenie skróconej klauzuli informacyjnej na tablicy informującej o monitorowanym terenie oraz link do pełnej wersji klauzuli informacyjnej dostępnej w sekretariacie spółki.

Możliwości warstwowego spełniania obowiązku informacyjnego jest znacznie więcej.

Przykłady warstwowego obowiązku informacyjnego

Przykładowa pierwsza warstwa obowiązku informacyjnego w przypadku zapisu na newsletter:

Administratorem Twoich danych osobowych jest spółka pod firmą ABCD Spółka z ograniczoną odpowiedzialnością z siedzibą w Warszawie (adres: ……….). Twoje dane w postaci imienia i adresu e-mail będą przetwarzane na podstawie art. 6 ust. 1 lit. a RODO w celu przesyłania Ci newslettera. Podanie danych jest dobrowolne, ale niezbędne do zapisu do newsletter. Dane będą przechowywane przez administratora przez czas funkcjonowania newslettera, chyba że wcześniej zrezygnujesz z jego otrzymywania. Masz prawo dostępu do treści swoich danych, ich poprawiania, ich sprostowania, usunięcia lub ograniczenia przetwarzania, prawo do wniesienia sprzeciwu wobec przetwarzania, prawo do przenoszenia danych, prawo żądania dostępu do danych, a także prawo wniesienia skargi do organu nadzorczego. Szczegółowe informacje o przetwarzaniu danych osobowych znajdują się w polityce prywatności.

 

Prawidłowość zapisu może być kwestionowana, jednak zapewne częściej spotkacie się ze znacznie skróconą pierwszą warstwą obowiązku informacyjnego:

Administratorem Twoich danych osobowych jest spółka pod firmą ABCD Spółka z ograniczoną odpowiedzialnością z siedzibą w Warszawie (adres: ……….). Szczegółowe informacje o przetwarzaniu danych osobowych znajdują się w polityce prywatności.

 

Warto zamieścić aktywny link do polityki prywatności, aby można było z łatwością zapoznać się z jej treścią.

 

*****

Zapraszam do zapoznania się z poprzednimi wpisami:

Wskazówki UODO dla administratorów

Termin spełnienia obowiązku informacyjnego

Kontrola Rodo w spółce z o.o. 

Członek zarządu spółki inspektorem ochrony danych

Rodo w spółce z o.o.

Czy zarząd spółki jest administratorem danych?

 

Zapraszam również do śledzenia wpisów na blogu Zarząd w spółce z o.o.

Wskazówki UODO dla administratorów

Aneta Kułakowska26 listopada 2018Komentarze (0)

Na stronie Urzędu Ochrony Danych Osobowych umieszczono wskazówki na podstawie praktyki pierwszego półrocza w stosowaniu Rodo. Na bazie skarg, pytań i wpływających sygnałów UODO przygotował 10 pomocnych wskazówek w stosowaniu Rodo na co dzień. Możecie zapoznać się z nimi na stronie UODO, jak i poniżej we wpisie.

 

Wskazówki UODO dla administratorów

Wskazówki UODO dla administratorów

Poniżej 10 zamieszczonych wskazówek pochodzi w całości ze strony UODO: 10 wskazówek dla administratorów – jak stosować RODO – doświadczenia z pierwszego półrocza z dnia 23 listopada 2018 r.

Źródło: www.uodo.gov.pl

1 – Ustal właściwą podstawę zbierania i wykorzystywania danych osobowych

Pamiętaj, że zgoda nie jest jedyną podstawą uprawniającą do przetwarzania danych osobowych. Nie pozyskuj jej, gdy do zbierania i wykorzystywania danych  osobowych, uprawnia Cię przepis prawa, lub gdy dane są niezbędne do zawarcia umowy. Takie działanie wprowadza Twoich klientów w błąd, bo przecież w takich przypadkach zgody nie mogą wycofać.

2 – Dopełniaj obowiązku informacyjnego zgodnie z nowymi zasadami

Pamiętaj, że RODO wprowadziło istotne zmiany dotyczące dopełniania tzw. obowiązku informacyjnego. Teraz musisz podać osobom, których dane przetwarzasz, więcej informacji. Jeśli wyznaczyłeś inspektora ochrony danych (IOD), musisz podać jego dane kontaktowe. Twoim obowiązkiem jest również wskazanie okresu, przez który będziesz przechowywał dane. Musisz też przekazać więcej informacji o prawach osób – m.in. o możliwości wycofania zgody oraz prawie wniesienia skargi do Prezesa UODO. Nie zapominaj też, że gdy zbierasz czyjeś dane od osób trzecich lub ze źródeł powszechnie dostępnych albo je kupujesz, stajesz się ich administratorem i również musisz dopełnić obowiązku informacyjnego. Nawet gdy jest to tylko numer telefonu lub adres e-mail.

3 – Komunikuj się w sposób przejrzysty

Pamiętaj, że wprowadzona przez RODO zasada przejrzystości ma być stosowana na wszystkich etapach komunikowania się z osobą, której dane są przetwarzane. Przesądza ona, że wszelkie informacje i wszelkie komunikaty związane z przetwarzaniem danych osobowych mają być zwięzłe, przejrzyste i zrozumiałe oraz sformułowane jasnym i prostym językiem. Chodzi o to, żeby nie były to noty pisane przez prawników dla prawników – jak to często bywało dotąd. Mają też być łatwo dostępne. Zatem odpowiednio zorganizuj proces komunikacji z osobami, których dane przetwarzasz, i zadbaj o właściwe formułowanie kierowanych do nich przekazów i informacji. Kiedy to uzasadnione, korzystaj z możliwości warstwowego informowania – najpierw podaj podstawowe informacje i poinformuj, gdzie można zapoznać się z pozostałymi.

4 – W każdej sytuacji dbaj o respektowanie praw osób

Pamiętaj o realizacji praw osób, których dane przetwarzasz. Zadbaj o to także wówczas, gdy w Twoim imieniu działa podmiot zewnętrzny, z którym zawierasz umowę powierzenia przetwarzania danych osobowych swoich klientów. Jeśli np. prowadzi dla Ciebie działania marketingowe, zadbaj o to, by informował Cię o wnoszonych sprzeciwach lub wnioskach o sprostowanie danych. Warto, by odpowiednie postanowienia w tej sprawie znalazły się w umowie, którą z nim zawierasz. Twoi klienci na pewno to docenią.

5 – Pamiętaj, że zgoda może być wycofana w każdym momencie

RODO wprost wskazuje, że osoba, której dane przetwarzasz na podstawie zgody, może w dowolnym momencie ją cofnąć i nie powinno to rodzić dla niej żadnych negatywnych konsekwencji (np. podwyższenia opłaty za usługi). O tym prawie musisz ją poinformować. Dopilnuj, aby cofnięcie zgody było równie łatwe jak jej udzielenie.

6 – Naruszenia ochrony danych zgłaszaj do Prezesa UODO, a gdy trzeba informuj o nich również osoby, których dane zostały naruszone

W przypadku naruszenia ochrony danych osobowych (np. ich wycieku, zagubienia czy przypadkowego udostępnienia osobie nieuprawnionej) jako administrator musisz bez zbędnej zwłoki –  w miarę możliwości, nie później niż w ciągu 72 godzin po stwierdzeniu naruszenia – zgłosić je Prezesowi Urzędu Ochrony Danych Osobowych. Wyjątek to sytuacja, gdy jest mało prawdopodobne, by zdarzenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych. Gdy ryzyko naruszenia tych praw i wolności jest wysokie, musisz również powiadomić osoby, których dane zostały naruszone. Udziel im wskazówek co do dalszego postępowania, pomocnych w podjęciu przez nich działań zapobiegających lub ograniczających negatywne konsekwencje naruszenia, np. ryzyko kradzieży tożsamości.

 7 – Nie twórz niepotrzebnej dokumentacji

Zasada rozliczalności zobowiązuje Cię do wprowadzenia wewnętrznych procedur, które mają zapewnić przestrzeganie RODO oraz to, abyś był w stanie wykazać, że prawidłowo przetwarzasz dane osobowe. Pamiętaj, że dla udowodnienia różnych działań, np. pozyskania zgody, nie zawsze musisz gromadzić dokumentację w formie papierowej i zbierać podpisy osób, które Ci jej udzieliły. Może też być ona nagrana lub zapisana w systemie informatycznym. Także przyjęte przez Ciebie i wdrożone procedury potwierdzone oświadczeniami pracowników mogą stanowić wystarczający dowód.

8 – Masz prawo profilować, ale pamiętaj o ograniczeniach

RODO nie wprowadza zakazu profilowania. Pamiętaj jednak, że jeśli tego dokonujesz, musisz poinformować o tym osobę, której dane dotyczą, i wskazać konsekwencje takiego działania. Gdy jednak na podstawie profilowania podejmujesz zautomatyzowane decyzje (bez udziału człowieka), wywołujące skutki prawne lub istotnie wpływające na osobę, musisz mieć na to jej zgodę, chyba że działanie to legalizuje niezbędność do zawarcia lub wykonania umowy albo fakt, że jest to dozwolone prawem UE lub państwa członkowskiego.

9 – Zainwestuj w fachowego IOD

Nawet jeśli nie masz takiego obowiązku, to rozważ wyznaczenie inspektora ochrony danych (IOD). Jako fachowiec wesprze Cię w prawidłowym zorganizowaniu procesów przetwarzania danych osobowych, chroniąc przed roszczeniami klientów czy sankcjami ze strony organu nadzoru. Jeśli już to zrobiłeś, zadbaj, aby jego dane kontaktowe były łatwo dostępne.

Wskazówki UODO dla administratorów

10 – Uważaj na oszustów

Straszenie wysokimi karami lub wzywanie do wniesienia opłaty to popularne metody działania oszustów, którzy w łatwy sposób chcą zarobić na RODO! Bądź czujny i nie daj się nabrać! Czytaj uważniej korespondencję przychodzącą. Sprawdź, przez kogo została przesłana i czego dotyczy. Jeśli miałaby pochodzić od Urzędu Ochrony Danych Osobowych, zweryfikuj, czy zawiera wymagane elementy, np.: właściwą nazwę urzędu, poprawne adresy, autentyczne podpisy, a urzędowa pieczęć jest oryginalna. Od kontrolera żądaj okazania upoważnienia do kontroli i legitymacji służbowej. Jeśli chcesz skorzystać ze wsparcia działających na rynku firm, sprawdzaj ich wiarygodność i doświadczenie, a szkolenia i kursy na temat ochrony danych osobowych wybieraj z rozwagą.

 

*****

Zapraszam do zapoznania się z poprzednimi wpisami:

Termin spełnienia obowiązku informacyjnego

Kontrola Rodo w spółce z o.o. 

Członek zarządu spółki inspektorem ochrony danych

Rodo w spółce z o.o.

Czy zarząd spółki jest administratorem danych?

 

Zapraszam również do śledzenia wpisów na blogu Zarząd w spółce z o.o.

Rodo oszuści

Aneta Kułakowska13 listopada 2018Komentarze (0)

Nie planowałam tego wpisu. Jednak docierające zewsząd informacje o oszustwach i wyłudzeniach na Rodo, skłoniły mnie do tego krótkiego wpisu. Otóż, w ostatnim czasie przedsiębiorcy dostają wezwania do zapłaty za nieprawidłowości w stosowaniu Rodo. Jednak nie wysyła ich Urząd Ochrony Danych Osobowych (UODO), a coś co ten urząd próbuje przypominać.

 

Rodo oszuści

Rodo oszuści

O próbach oszustwa ostrzega Prezes UODO i Ministerstwo Cyfryzacji. Oszuści  działają w ten sposób, iż zawiadamiają przedsiębiorcę o  wyniku przeprowadzonych czynności sprawdzających. Należy dodać, iż czynności sprawdzających, które nigdy nie miały miejsca. Informują jednocześnie o wykrytych na tej podstawie nieprawidłowościach. A te z kolei, skutkują wezwaniem przedsiębiorcy do dokonania opłaty w terminie 7 dni na wskazane konto bankowe. W przypadku braku zapłaty, grożą nałożeniem dodatkowej kary w wysokości do 20 mln euro lub do 4 % wartości wolumenu światowego obrotu przedsiębiorstwa.

Faktem jest, iż na pierwszy rzut oka wezwanie może przypominać pismo UODO, jednak takim pismem nie jest. Ma ono jedynie wprowadzić w błąd i skłonić przedsiębiorcę do dokonania zapłaty. Kwota nie jest wygórowana, więc niektórzy dla tzw. świętego spokoju, przynajmniej jeśli chodzi o Rodo, mogą chcieć ją zapłacić.

Prezes Urzędu Ochrony Danych Osobowych ostrzega wszystkie osoby, które otrzymają taką korespondencję, by nie dokonywały żadnych przelewów, a o zaistniałej sytuacji powiadamiały organy ścigania.

Prezes UODO zwraca ponadto uwagę, że w Polsce jedyną instytucją uprawnioną do nadzoru nad przestrzeganiem przepisów o ochronie danych osobowych oraz do nakładania administracyjnych kar finansowych jest UODO.

Link do wpisu na stronie UODO: Oszuści wykorzystują RODO, by wyłudzić pieniądze.

 

*****

Zapraszam również do śledzenia wpisów na blogu Zarząd w spółce z o.o.

Zachęcam do zapoznania się z poprzednimi wpisami:

Dane kontaktowe IOD

Termin spełnienia obowiązku informacyjnego

Kontrola Rodo w spółce z o.o. 

Członek zarządu spółki inspektorem ochrony danych