Nasze usługiUtrzymanie Systemów Ochrony Danych

W wielu momentach prowadzenia działalności organizacje mogą zetknąć się z koniecznością wejścia w interakcję z organem nadzorczym – Prezesem Urzędu Ochrony Danych Osobowych. Począwszy od takich sytuacji jak:

1. Notyfikacja wyznaczenia Inspektora Ochrony Danych lub jego zastępcy
2. Notyfikacja naruszeń ochrony danych
3. Kontrola prowadzona przez Prezesa Urzędu Ochrony Danych Osobowych
4. Konsultacje z organem
5. Występowanie w charakterze strony w postępowaniu przed Prezesem Urzędu Ochrony Danych Osobowych
6. Odpowiadanie na skargi skierowane do Prezesa Urzędu Ochrony Danych Osobowych
7. Zatwierdzenie Wiążących Reguł Korporacyjnych
8. Certyfikacja i Kodeksy postępowania

Kancelaria oferuję usługę reprezentacji w postępowaniu przed Prezesem Urzędu Ochrony Danych Osobowych. Usługa świadczona jest osobiście i wyłącznie przez adwokatów i radców prawnych. W sytuacjach skomplikowanych, wymagających większego zaangażowania Kancelaria może świadczyć usługi poprzez zespół prawników. Usługa świadczona jest kompleksowo – od momentu rozpoczęcia sprawy do jej zakończenia. Obejmuje wszystkie czynności procesowe – zastępstwo, wymianę pism, stawiennictwo w siedzibie organu.

W niektórych sytuacjach przepisy RODO wymagają od organizacji wyznaczenia osoby koordynującej zagadnienia związane z ochroną danych. Sytuacje te dotyczą obszarów:

1. Przetwarzania danych przez podmioty publiczne – katalog ten określa art. 9 określający jednostki sektora finansów publicznych oraz instytuty badawcze a także Narodowy Bank Polski.
2. Przetwarzania danych związanych z regularnym i systematycznym monitorowaniem zachowań osób na dużą skalę – np. banki, firmy ubezpieczeniowe, dostawców różnych usług IT, spółki komunalne, szpitale itd.
3. Przetwarzania na dużą skalę danych szczególnych kategorii oraz danych dotyczących wyroków skazujących i czynów zabronionych.

Niezależnie od tego w wielu sytuacjach wskazane jest, aby organizacja pomimo braku formalnego obowiązku wyznaczyła Inspektora Ochrony Danych. Jego zadania obejmują bowiem:

1. Informowanie organizacji i jej personelu o obowiązkach wynikających z przepisów o ochronie danych osobowych – w tym szkolenia.
2. Monitorowanie przestrzegania przepisów o ochronie danych osobowych w organizacji – w tym audyty.
3. Współpraca z Prezesem Urzędu Ochrony Danych Osobowych.
4. Pełnienie funkcji punktu kontaktowego w sprawach dotyczących ochrony danych osobowych.

Status Inspektora Ochrony Danych określają przepisy. Do najważniejszych cech należy zaliczyć:

1. Włącznie we właściwy sposób, niezwłocznie w we wszystkie sprawy dotyczące choćby pośrednio ochrony danych w organizacji.
2. Niezależność rozumiana jako zakaz wydawania instrukcji dotyczących zadań inspektora.
3. Kompetencja rozumiana jako fachowa wiedza nt. prawa i praktyk związanych z ochroną danych osobowych.
4. Tajemnica zawodowa Inspektora Ochrony Danych.
5. Dostępność rozumiana jako możliwość skontaktowania się z Inspektorem Ochrony Danych wszystkich osób, których dane dotyczą i są przetwarzane przez organizację.

Kancelaria świadczy usługę outsourcingu funkcji Inspektora Ochrony Danych. Usługa świadczona jest wyłącznie przez adwokatów i radców prawnych posiadających co najmniej wieloletnie doświadczenie w obszarze ochrony danych osobowych.

Inspektor Ochrony Danych może być członkiem personelu organizacji. jest wyznaczany na podstawie kwalifikacji zawodowych, a w szczególności wiedzy fachowej na temat prawa i praktyk w dziedzinie ochrony danych oraz umiejętności wypełnienia zadań, o których mowa w RODO.

W niektórych sytuacjach korzystniejsze dla organizacji może być wyznaczenie Inspektora spośród własnego personelu. W takich sytuacjach nie zawsze jest jednak spełniony wymóg posiadania odpowiedniej wiedzy fachowej.

W takiej sytuacji Kancelaria świadczy usługę wsparcia merytorycznego funkcji Inspektora Ochrony Danych. Usługa świadczona jest wyłącznie przez adwokatów i radców prawnych posiadających co najmniej wieloletnie doświadczenie w obszarze ochrony danych osobowych.

Zagadnienia związane z ochroną danych osobowych przenikają wszystkie zasadnicze procesy zachodzące praktycznie w każdej organizacji. Dane osobowe pojawiają się bowiem zarówno w procesach zarządzania, kadrowych, sprzedażowych, administracyjnych. Uprzednie podejście do tego zagadnienia pozwala nie tylko na spełnienie prawnego obowiązku uwzględnienia ochrony danych w na etapie projektowania (privacy by design). Daje organizacji także dodatkowe narzędzie zarządzania mitygujące ryzyka prawne związane z ochroną danych.

Kancelaria świadczy usługę wsparcia organizacji w kwestiach związanych z udzielaniem porad prawnych w obszarze ochrony danych. Usługa świadczona jest wyłącznie przez adwokatów i radców prawnych posiadających co najmniej wieloletnie doświadczenie w obszarze ochrony danych osobowych.

Jednym z najbardziej doniosłych nowych obowiązków, jakie przepisy RODO nałożyły na organizacje, jest obowiązek notyfikacji naruszeń do organu nadzorczego oraz – w niektórych wypadkach – także do osób, których ochrona danych została naruszona.

Wykonanie tego obowiązku powinno nastąpić niezwłocznie, a w każdym wypadku nie później niż w terminie 72 godzin od daty stwierdzenia naruszenia. Czas ten jest wyjątkowo krótki. Za jego przekroczenie grożą surowe kary.

Zgłoszenie powinno być poprzedzone rzetelną weryfikacją przyczyn i skutków (skali) naruszenia. Dodatkowo analizy wymaga wpływ naruszenia na możliwość naruszenia praw i wolności osób, których dane dotyczą.

Kancelaria wspiera organizację w procesie notyfikacji naruszeń ochrony danych. W uzasadnionych wypadkach usługa świadczona jest w trybie całodobowym. Obejmuje ona:

1. wsparcie organizacji w ustaleniu okoliczności zdarzenia;
2. analizę jego wpływu na kwestie związane z prawami i wolnościami osób, których dane dotyczą;
3. wsparcie lub przejęcie komunikacji z Prezesem Urzędu Ochrony Danych.

Zagadnienie przekazywania danych poza Europejski Obszar Gospodarczy nabiera coraz większego znaczenia w zglobalizowanym i coraz bardziej cyfrowym środowisku gospodarczym. Wiele organizacji nie zdaje sobie sprawy, że już tylko dostęp do danych na cele serwisowania oprogramowania przechowującego jakieś dane osobowe może być uznane za przetwarzanie danych.

Z kolei jednoczesne skupienie większości kluczowych usług IT w firmach wywodzących się ze Stanów Zjednoczonych, coraz powszechniejsze korzystanie z rozwiązań chmurowych, gdzie poszczególne Centra Danych (Data Center) rozsiane są po całym świecie a także rozsianie kompetencji organizacji po spółkach znajdujących się w różnych lokalizacjach i jurysdykacjach powoduje, że z takim przekazywaniem danych mamy coraz częściej do czynienia.

Przepisy RODO ustanawiają szereg przesłanek legalizujących takie transfery. Zazwyczaj wiążą się one z dość dużymi wymogami formalnymi. Zaliczyć do nich można przede wszystkim Standardowe Klauzule Umowne (Standard Contractual Clauses) oraz Wiążące Reguły Korporacyjne (Biding Corporate Rules).

Sytuację transferów komplikuje rygorystyczne orzecznictwo Trybunału Sprawiedliwości Unii Europejskiej. Najbardziej doniosłe z orzeczeń – wyrok z 16 lipca 2020 r. w sprawie C-311/18 tzw. wyrok w sprawie Schrems II – wprowadziło cały szereg nowych obowiązków, jakie spoczywają na organizacjach zamierzających transferować dane. Należą do nich m.in. obowiązek uprzedniej analizy prawodawstwa kraju, do którego organizacja zamierza przekazywać dane.

Kancelaria świadczy usługi wsparcia organizacji w obszarze transferów danych do Państw spoza Europejskiego Obszaru Gospodarczego. Wsparcie polega m.in. na przygotowaniu projektów Standardowych Klauzul Umownych, Wiążących Reguł Korporacyjnych oraz ew. zastępstwo przed Prezesem Urzędu Ochrony Danych Osobowych.

W aktualnie panujących warunkach praktycznie żadna organizacja nie jest w stanie zapewnić sobie świadczenia wszystkich usług koniecznych dla jej niezakłóconego funkcjonowania. Outsourcing poszczególnych procesów biznesowych wiąże się niekiedy z koniecznością zawierania umów powierzenia przetwarzania (art. 28 ust. 3 RODO). Dotyczy to sytuacji, gdy dostawca konkretnych usług dokonuje przetwarzania w imieniu i na rzecz powierzającego dane (administratora danych osobowych lub podmiotu przetwarzającego wyższego rzędu).

Do obowiązków powierzającego należy zawarcie odpowiedniej umowy oraz sprawowanie nadzoru nad poprawnością powierzonych procesów przetwarzania. Dodatkowo powierzający powinien korzystać wyłącznie z podmiotów dających rękojmię właściwego postępowania z danymi. Odróżnienie sytuacji, w których dochodzi do powierzenia przetwarzania od sytuacji, w których dochodzi do udostępnienia danych nie jest zawsze łatwe. Nie sprzyja temu niejednolite stanowisko organu nadzorczego oraz szeroko pojęty szum informacyjny w tym zakresie.

Kancelaria świadczy usługę wsparcia w procesie zawierania umów powierzenia przetwarzania danych osobowych. Usługa obejmuje m.in.:

1. Identyfikację ról podmiotowych (np. administrator, podmiot przetwarzający I rzędu, II rzędu i dalszych).
2. Identyfikację zakresu przekazywanych danych, zakresu osób, których dane dotyczą oraz procesów z nimi związanych.
3. Weryfikację podmiotu przetwarzającego w obszarze gwarancji poprawnego i bezpiecznego przetwarzania danych.
4. Przygotowanie wzoru umowy powierzenia przetwarzania.