Klienci biznesowi
KONTROLA PODATKOWA I CELNO-SKARBOWA
Własność intelektualna i prawo AI
Wsparcie software house’ów i GameDev
KONTRAKTY BUDOWLANE I INFRASTRUKTURALNE
NIERUCHOMOŚCI I INWESTYCJE BUDOWLANE
Łączenie spółek, fuzje i przejęcia. (M&A)
WSPARCIE DZIAŁÓW HR/KSIĘGOWYCH/KADROWYCH
Kancelaria Achtelik Siwka i Wspólnicy Adwokaci i Radcy Prawni sp. p., z siedzibą w Katowicach, zapewnia wsparcie w zakresie RODO. Z dniem 25 maja 2018 roku na terenie Polski rozpoczęto stosowanie Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), powszechnie znane jako RODO. Wywołało to konieczność reorganizacji systemu ochrony danych osobowych, na szczeblu ustawodawstwa krajowego. Wszystkie przepisy RODO stosuje się w państwach Unii Europejskiej bezpośrednio, natomiast ustawy krajowe stanowią jedynie uszczegółowienie zasad przedstawionych w Rozporządzeniu. Niemniej, wraz z wejściem w życie powyższych aktów prawnych, pojawiły się liczne wątpliwości w zakresie interpretacji poszczególnych regulacji, a dalszych trudności nastręczyły kwestie ich praktycznego wdrożenia w działalności prowadzonej przez administratorów przetwarzających dane osobowe. Prawnicy, Adwokaci i Radcowie Prawni Kancelarii, pomagają w przeprowadzeniu audytu RODO, wdrożeniu niezbędnej dokumentacji RODO, oraz zapewniają bieżącą kontrolę przy przestrzeganiu zasad i norm wynikających z rozporządzenia oraz regulacji wewnętrznych.
Warto wiedzieć, że z pełnieniem funkcji administratora danych osobowych wiążę się szereg obowiązków, jakie musi on spełnić względem osoby fizycznej w związku z przetwarzaniem jej danych osobowych. Administratorem jest podmiot, który samodzielnie lub wspólnie z innymi podmiotami ustala cele i sposoby przetwarzania danych osobowych osób fizycznych. Jednocześnie osoby te muszą być zidentyfikowane lub możliwe do zidentyfikowania, w sposób pośredni lub bezpośredni. Jeśli zatem w danym konkretnym przypadku będziemy mogli mówić o przetwarzaniu danych osobowych, wówczas administrator zobowiązany będzie spełnić szereg obowiązków ściśle skorelowanych z uprawnieniami podmiotów danych osobowych.
Osobom, których dane dotyczą, przysługuje bowiem prawo do uzyskania informacji dotyczących danych o Administratorze, informacji o celach przetwarzaniach danych, o okresach przechowywania danych, zautomatyzowanym podejmowaniu decyzji, prawo dostępu do danych osobowych, uzyskanie ich kopii, prawo do żądania sprostowania, usunięcia, przenoszenia, ograniczenia przetwarzania oraz prawo do wniesienia sprzeciwu wobec przetwarzania, prawo wycofania udzielonej zgody, realizowane na żądanie podmiotu uprawnionego.
Leżący po stronie administratora obowiązek umożliwienia osobom zainteresowanym wykonania powyższych uprawnień stanowi jedynie wąski wycinek zadań, jakie spoczywają na Administratorze, przy projektowaniu systemu ochrony danych osobowych w ramach prowadzonej działalności. Znacznie bardziej złożonym wyzwaniem jest takie zaprojektowanie i przygotowanie procesów przetwarzania danych osobowych, aby zapewnić ich zgodność z zasadami ochrony danych określonymi w RODO. Prawnicy Kancelarii Achtelik Siwka i Wspólnicy Adwokaci i Radcy Prawni w Katowicach, zapewniają kompleksową pomoc prawną w zakresie wdrażania regulacji dotyczącej RODO w działalności gospodarczej, świadcząc wsparcie administratorów ochrony danych osobowych, na terenie miasta Katowice i innych miast województwa śląskiego. Staramy się przy tym, wdrażać rozwiązania adekwatne do rozmiaru prowadzonej działalności, zakresu przetwarzanych danych i niebezpieczeństw z tym związanych.
Przygotowanie organizacji czy przedsiębiorstwa do wprowadzenia lub dostosowania systemu ochrony danych osobowych do realizacji zasad przewidzianych przepisami RODO i aktów prawa krajowego powinno zostać poprzedzone przeprowadzeniem audytu ochrony danych osobowych. Kancelaria wspiera audyt RODO. Audyt taki przeprowadza delegowany adwokat lub radca prawny, lub w zależności od rozmiaru przedsiębiorstwa i jego potrzeb, zespół prawników. Audyt przeprowadzany przez Kancelarię, opiera się na dwóch płaszczyznach, tj. w zakresie zgodności wdrożonych (lub planowanych) procedur z wymogami formalnymi określonymi Rozporządzeniem, jak również dotyczy weryfikacji stosowanych środków bezpieczeństwa przez pryzmat ryzyka wiążącego się z przetwarzaniem danych osobowych w ramach organizacji administratora.
Audyt RODO w pierwszej kolejności ma na celu ustalenie, jakie dane osobowe i w jaki sposób przetwarza administrator, a także wskazanie niebezpieczeństw związanych z przetwarzaniem tychże danych oraz określenie czy stosowane środki bezpieczeństwa pozwalają na zminimalizowanie potencjalnych zagrożeń dla bezpieczeństwa danych osobowych. Audyt RODO przeprowadza się najczęściej w miejscu prowadzenia działalności przez administratora, jednak gdy organizacja nie jest zbyt rozbudowana, nie przeszkód, aby nastąpił on wyłącznie w formie wywiadu, także zdalnego.
Zakończenie audytu RODO kończy się sporządzeniem raportu przedstawiającego analizę procesów przetwarzania danych osobowych pod względem ich zgodności z prawem i zasadami ochrony danych osobowych czy możliwości realizacji uprawnień osób, których dane dotyczą, a także prawidłowości i adekwatności stosowanych w tych procesach środków technicznych i organizacyjnych mających na celu zapewnienie bezpieczeństwa danych. Prawnik, adwokat lub radca prawny przeprowadzający audyt RODO wskazuje jednocześnie, w jakim stopniu administrator spełnia wymogi RODO i przedstawia działania, które administrator powinien jeszcze podjąć, aby zapewnić zgodność przetwarzania z tymi zasadami.
Każda zmiana w sposobie prowadzenia działalności przez administratora, wprowadzenie nowych ścieżek przetwarzania danych osobowych czy też zmiana przepisów prawa lub ogłoszenie nowych wytycznych właściwych organów, może powodować, iż dotychczasowe środki bezpieczeństwa staną się nieadekwatne do przeprowadzanych procesów przetwarzania danych, a stosowane procedury będą wymagały uaktualnienia. Kancelaria Achtelik Siwka i Wspólnicy Adwokaci i Radcy Prawni sp.p., z siedzibą w Katowicach stale monitoruje zmiany w zakresie regulacji RODO, wskazując Klientom czynności wymagające podjęcia, celem zapewnienia zgodności przetwarzania danych osobowych z przepisami prawa.
Kancelaria Achtelik Siwka i Wspólnicy Adwokaci i Radcy Prawni z siedzibą w Katowicach opracowuje oraz wdraża w organizacji niezbędną dokumentacje RODO dotyczącą ochrony danych osobowych. Warto wiedzieć, że ani przepisy rozporządzenia RODO, ani przepisy krajowe praktycznie nie zawierają wymagań formalnych co do sposobu prowadzenia dokumentacji wewnętrznej czy też jej zawartości. Nie jest to jednak równoznaczne z tym, że na administratorze nie spoczywają żadne obowiązki w tej kwestii. Administrator jest bowiem zobowiązany do wdrożenia odpowiednich środków technicznych i organizacyjnych w taki sposób, aby zapewnić zgodność przetwarzania z RODO. Jednocześnie administrator musi wykazać, iż stosuje się do zasad ochrony danych osobowych. W tym celu należy wdrożyć odpowiednie polityki ochrony danych, co w praktyce oznacza, że kwestie te powinny zostać uwzględnione w stosownej dokumentacji, np. w formie polityk bezpieczeństwa czy regulaminów ochrony danych osobowych określających procedury przetwarzania danych oraz system ich ochrony.
W przypadku przetwarzania danych osobowych w bardziej rozbudowanych systemach informatycznych czy teleinformatycznych, Kancelaria zaleca dodatkowo opracowanie instrukcji zarządzania systemami informatycznymi, która będzie przedstawiać inwentaryzację zasobów informatycznych administratora, opisy przepływów danych w systemach czy specyfikację technicznych i organizacyjnych ich środków bezpieczeństwa. Nasi Prawnicy, adwokaci i racy prawni, przygotowują rejestry czynności przetwarzania (RCP), którego konstrukcja została ściśle określona przepisami Rozporządzenia. Przygotowywany także przez Kancelarię rejestr naruszeń, gwarantuje, że w razie wystąpienia naruszenia bezpieczeństwa danych osobowych organ nadzorczy będzie w stanie zweryfikować, czy zasadnym było podjęcie przez administratora decyzji o zgłoszeniu lub braku zgłoszenia danego naruszenia.
Podkreślić należy, że w ramach prowadzonej działalności, administrator najczęściej zezwala na dostęp do danych osobowych podmiotom zewnętrznym. Dostęp ten powinien również zostać uregulowany w sposób formalny stosowną dokumentacją. Mowa tutaj o oświadczeniach o poufności, upoważnieniach do przetwarzania danych czy umowach powierzenia przetwarzania. O formie dokumentacji stosowanej w danym przypadku, zadecyduje przede wszystkim to, czy podmiot uzyskujący dostęp do danych będzie działał w ramach własnej struktury organizacyjnej administratora danych osobowych oraz jak szeroki będzie zakres dostępu.
Inspektor ochrony danych osobowych jest organem o charakterze doradczym, który ma wspomagać administratora w monitorowaniu przestrzegania przepisów RODO, w ramach jego organizacji wewnętrznej. Głównym jego zadaniem jest bieżące informowanie o obowiązkach spoczywających na administratorze na mocy unijnych i krajowych aktów normatywnych w zakresie ochrony danych oraz pełnienie funkcji pomocniczych w tych kwestiach. Co więcej, IODO zobowiązany jest do monitorowania przestrzegania zasad ochrony danych oraz polityk wprowadzonych przez administratora, w tym nadzorowania podział obowiązków oraz przeprowadzać szkolenia personelu uczestniczącego w operacjach przetwarzania, jak i wykonywania powiązanych z tym audytów. Inspektor prowadzi również współpracę z organem nadzorczym, pełniąc jednocześnie funkcję punktu kontaktowego dla tego organu w sprawach związanych przetwarzaniem, w szczególności przy różnego rodzaju konsultacjach.
W celu prawidłowej realizacji powyższych zadań przepisy RODO wymagają, aby jako inspektora wyznaczać wyłącznie osobę dysponującą kwalifikacjami zawodowymi, w szczególności wiedzą fachową na temat prawa i praktyk w dziedzinie ochrony danych. W tej roli najczęściej odnajdują się osoby z wykształceniem prawniczym pozwalającym na kompleksowy nadzór nad systemem ochrony danych administratora również z uwzględnieniem powiązanych dziedzin prawa. Zgodnie z opiniami naczelnych organów samorządowych, a to Naczelnej Rady Adwokackiej oraz Krajowej Rady Radców Prawnych, nie ma żadnych przeszkód, aby funkcję IODO pełnił adwokat czy też radca prawny. Względnie z zależności od decyzji Klienta, funkcję Inspektora Ochrony Danych może pełnić prawnik wyznaczony z grona specjalistów Kancelarii.
Mając na uwadze fakt, iż w sektorze prywatnym działalność większości administratorów wymaga stałego przetwarzana danych osobowych oraz złożoność problematyki ochrony danych osobowych Kancelaria zaleca, aby w zależności od rozmiaru organizacji, zasadą było konsultowanie przetwarzanie danych przez administratorów z osobami posiadającymi wiedzę fachową w tym zakresie.