RODO w firmie

Pełnomocnictwo w formie elektronicznej to np. dokument w formacie DOC opatrzony podpisem potwierdzonym profilem zaufanym ePUAP lub kwalifikowanym podpisem elektronicznym przez osoby upoważnione do reprezentowania administratora/podmiotu przetwarzającego.

Uwaga: Dokument podpisany własnoręcznie i zeskanowany nie będzie uznany za prawidłową formę pełnomocnictwa. Skan pełnomocnictwa nieopatrzony podpisem potwierdzonym profilem zaufanym ePUAP lub kwalifikowanym podpisem elektronicznym przez osoby upoważnione do reprezentowania administratora/podmiotu przetwarzającego, nie będzie miał właściwej formy.

Do wniosku o uprzednie konsultacje należy załączyć pełną ocenę skutków dla ochrony danych dotyczącą przetwarzania, którego dotyczy wniosek (art. 36 ust. 3 lit. e RODO).

Ponadto, jeżeli wniosek podpisuje pełnomocnik należy załączyć oryginał bądź urzędowo poświadczony odpis pełnomocnictwa (art. 33 § 3 i § 3a pkt 1 Kodeksu postępowania administracyjnego) oraz dowód zapłaty należnej opłaty skarbowej w wysokości 17 zł (§ 3 ust. 1 rozporządzenia Ministra Finansów z dnia 28 września 2007 r. w sprawie zapłaty opłaty skarbowej, Dz. U. Nr 187, poz. 1330). Opłatę skarbową należy uiścić w kasie lub na konto Dzielnicy Śródmieście m. st. Warszawy, ul. Nowogrodzka 43, 00 – 691 Warszawa, Nr konta: 60 1030 1508 0000 0005 5001 0038.

Dzięki „cookie” korzystanie ze stron internetowych jest łatwiejsze i przyjemniejsze a ich zawartość – teksty, zdjęcia, ankiety, sondy, ale również reklamy – jest lepiej dopasowana do oczekiwań i preferencji każdego użytkownika internetu.

Źródło: wszystkoociasteczkach.pl

Zgodnie z art. 3 ust. 4 rozporządzenia Komisji (UE) Nr 611/2013, w powiadomieniu skierowanym do abonenta lub osoby fizycznej dostawca zawiera takie informacje, jak:

1. nazwa dostawcy;
2. imię i nazwisko oraz dane kontaktowe inspektora ochrony danych lub innego punktu kontaktowego, w którym można uzyskać więcej informacji;
3. streszczenie zdarzenia, w wyniku którego doszło do naruszenia danych osobowych;
4. przybliżona data zdarzenia;
5. charakter i treść danych osobowych, zgodnie z art. 3 ust. 2 rozporządzenia;
6. prawdopodobne konsekwencje naruszenie danych osobowych dla danego abonenta lub osoby fizycznej, zgodnie z art. 3 ust. 2 rozporządzenia;
7. okoliczności naruszenia danych osobowych, zgodnie z art. 3 ust. 2 rozporządzenia;
8. środki wprowadzone przez dostawcę w celu zaradzenia naruszeniu ochrony danych osobowych;
9. środki zalecane przez dostawcę w celu złagodzenia ewentualnych niekorzystnych skutków.

Biuro SIRENE (Supplementary Information REquest at the National Entries) jest organem powoływanym na podstawie art. 108 Konwencji Wykonawczej do Układu z Schengen (KWS) przez każde państwo będące stroną tej Konwencji jako organ odpowiedzialny za moduł krajowy Systemu Informacyjnego Schengen. Art. 108 Zgodnie z treścią art. 108 KWS został następnie zastąpiony przez art. 7 ust. 2 Decyzji Rady 2007/533/WSiSW z dnia 12 czerwca 2007 r. w sprawie utworzenia, funkcjonowania i użytkowania Systemu Informacyjnego Schengen drugiej generacji (SIS II) oraz art. 7 ust. 2 Rozporządzenia (WE) 1987/2006 Parlamentu Europejskiego i Rady z dnia 20 grudnia 2006 r. w sprawie utworzenia, funkcjonowania i użytkowania Systemu Informacyjnego Schengen drugiej generacji (SIS II). Biuro SIRENE jest jedynym organem uprawnionym do wprowadzania danych do Systemu Informacyjnego Schengen, a jego podstawową funkcją  jest wymiana dodatkowych informacji niezbędnych ze względu na dotyczące osób i przedmiotów wpisy przetwarzane w Systemie Informacyjnym Schenegen.

Zadania Biur SIRENE obejmują trzy obszary: wymiana informacji uzupełniających niezbędnych przy wprowadzaniu wpisów i w celu umożliwienia podjęcia odpowiednich działań w przypadku trafienia w SIS, (czyli gdy w wyniku sprawdzenia w Systemie Informacyjnym Schengen (SIS) odnaleziono osoby lub przedmioty wprowadzone do systemu), przestrzeganie określonych przepisów rozporządzenia i decyzji o SIS II (w tym weryfikacja jakości danych wprowadzanych do SIS II) oraz służenie jako punkt łącznikowy pomiędzy służbami krajowymi oraz organami międzynarodowymi odpowiedzialnymi za bezpieczeństwo publiczne (np. Interpolem).

Co do zasady działania Biur SIRENE regulowane są w Podręczniku SIRENE, który szczegółowo opisuje procedury dotyczące poszczególnych kategorii wpisów w SIS II. Podręcznik SIRENE został przyjęty jako Decyzja wykonawcza Komisji z dnia 29 stycznia 2015r. zastępująca załącznik do decyzji wykonawczej 2013/115/UE w sprawie przyjęcia podręcznika SIRENE i innych środków wykonawczych dla systemu informacyjnego Schengen drugiej generacji (SIS II) (notyfikowana jako dokument nr C(2015) 326).

Polskie Biuro SIRENE zostało utworzone na podstawie art. 35 ustawy z dnia 24 sierpnia 2007 r. o udziale Rzeczpospolitej Polskiej w Systemie Informacyjnym Schengen i Wizowym Systemie Informacyjnym w ramach struktury Komendy Głównej Policji.  Zgodnie z art. 36 ww. ustawy szefa biura SIRENE powołuje i odwołuje Komendant Główny Policji po uzyskaniu zgody ministra właściwego do spraw wewnętrznych. Natomiast art. 37 stanowi, że wszystkie organy uprawnione do dostępu do SIS są obowiązane, w zakresie swojego działania, do współpracy z biurem SIRENE w celu realizacji jego zadań związanych z udziałem w Systemie Informacyjnym Schengen, w tym do wymiany informacji uzupełniających.

Pisma do Biura SIRENE należy kierować na adres: 

Biuro Współpracy Międzynarodowej Policji
Biuro SIRENE
Komenda Główna Policji
ul. Puławska 148/150
02-624 Warszawa

Źródło: uodo.gov.pl

Europejski Zautomatyzowany System Rozpoznawania Odcisków Palców (Eurodac) jest systemem informatycznym pierwotnie utworzonymna podstawie rozporządzenia Rady (WE) nr 2725/2000 z dnia 11 grudnia 2000 r. dotyczące ustanowienia systemu Eurodac do porównywania odcisków palców w celu skutecznego stosowania Konwencji Dublińskiej, które zostało zmienione rozporządzeniem Parlamentu Europejskiego i Rady (UE) nr 603/2013 z dnia 26 czerwca 2013 r. w sprawie ustanowienia systemu Eurodac do porównywania odcisków palców w celu skutecznego stosowania rozporządzenia (UE) nr 604/2013 w sprawie ustanowienia kryteriów i mechanizmów ustalania państwa członkowskiego odpowiedzialnego za rozpatrzenie wniosku o udzielenie ochrony międzynarodowej złożonego w jednym z państw członkowskich przez obywatela państwa trzeciego lub bezpaństwowca oraz w sprawie występowania o porównanie z danymi Eurodac przez organy ścigania państw członkowskich i Europol na potrzeby ochrony porządku publicznego, oraz zmieniające rozporządzenie (UE) nr 1077/2011 ustanawiające Europejską Agencję ds. Zarządzania Operacyjnego Wielkoskalowymi Systemami Informatycznymi w Przestrzeni Wolności, Bezpieczeństwa i Sprawiedliwości (rozporządzenie o Eurodac).

Celem tego systemu jest umożliwienie wskazania państwa właściwego do badania wniosków o azyl wniesionych w Państwie Członkowskim, zgodnie z przepisami Konwencji określającej Państwo właściwe dla rozpatrywania wniosków o udzielenie azylu wniesionych w Państwie Członkowskim Wspólnot Europejskich, podpisanej w dniu 15 czerwca 1990 r. w Dublinie, oraz w celu ułatwienia stosowania tej Konwencji. Konwencja dublińska została zastąpiona przez rozporządzenie Rady (WE) nr 343/2003 z dnia 18 lutego 2003 r. ustanawiające kryteria i mechanizmy określania Państwa Członkowskiego właściwego dla rozpatrywania wniosku o azyl, wniesionego w jednym z Państw Członkowskich przez obywatela państwa trzeciego, które zostało zmienione rozporządzeniem Parlamentu Europejskiego i Rady (UE) nr 604/2013 z dnia 26 czerwca 2013 r. w sprawie ustanowienia kryteriów i mechanizmów ustalania państwa członkowskiego odpowiedzialnego za rozpatrzenie wniosku o udzielenie ochrony międzynarodowej złożonego w jednym z państw członkowskich przez obywatela państwa trzeciego lub bezpaństwowca. 

System Eurodac składa się z:

• jednostki centralnej wyposażonej w skomputeryzowany system rozpoznawania odcisków palców ustanowionej w ramach Komisji Europejskiej;
• skomputeryzowanej centralnej bazy danych, w której dane określone w rozporządzeniu o Eurodac są przetwarzane dla celów porównywania odcisków palców osób ubiegających się o azyl oraz cudzoziemców zatrzymanych w związku z nielegalnym przekroczeniem granicy zewnętrznej oraz cudzoziemców przebywających nielegalnie w Państwie Członkowskim;
• środków służących do przesyłania danych pomiędzy Państwami Członkowskimi i centralną bazą danych.

Źródło: uodo.gov.pl

Przez pojęcie „naruszenia ochrony danych” należy rozumieć „naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych” (art. 4 pkt 12 RODO). 

Aby zaistniało naruszenie muszą być spełnione łącznie trzy przesłanki:

• naruszenie musi dotyczyć danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych przez podmiot, którego dotyczy naruszenie;
• skutkiem naruszenia musi być zniszczenie, utracenie, zmodyfikowanie, nieuprawnione ujawnienie lub nieuprawniony dostęp do danych osobowych;
• naruszenie jest skutkiem złamania zasad bezpieczeństwa danych.

Jednocześnie jak wskazuje Grupa Robocza Art. 29 można wyróżnić trzy typy naruszenia ochrony danych osobowych:

• naruszenie poufności – polega na ujawnieniu danych osobowych nieuprawnionej osobie;

• naruszenie dostępności – polega na trwałej utracie lub zniszczeniu danych osobowych;

• naruszenie integralności – polega na zmianie treści danych osobowych w sposób nieautoryzowany.

Ogólne rozporządzenie o ochronie danych, inaczej rozporządzenie o ochronie danych osobowych, RODO (ang. General Data Protection Regulation, GDPR) – rozporządzenie unijne, zawierające przepisy o ochronie osób fizycznych w związku z przetwarzaniem danych osobowych oraz przepisy o swobodnym przepływie danych osobowych.

Źródło: wikipedia.pl

W dniu 14 czerwca 1985 r. pięć Państw Członkowskich Unii Europejskiej: Belgia, Holandia, Luksemburg, Niemcy oraz Francja podpisały umowę o stopniowym znoszeniu kontroli na granicach wewnętrznych znaną jako Układ z Schengen (O.JL.2000.239.13) mający urzeczywistnić zasadę swobodnego przepływu osób. W kolejnych latach do Układu z Schengen przystępowały kolejne Państwa Członkowskie Unii Europejskiej za wyjątkiem Irlandii i Zjednoczonego Królestwa. Do układu przystąpiły również dwa kraje nienależące do Unii Europejskiej: Islandia i Norwegia. 

Dnia 19 czerwca 1990 r. podpisana została Konwencja Wykonawcza do Układu z Schengen, która dając podstawę prawną do stworzenia Systemu Informacyjnego Schengen umożliwiła w praktyce zrealizowanie postulatu swobody przepływu osób tworząc Obszar Schengen. Krąg państw będących stronami Konwencji Wykonawczej do Układu z Schengen z biegiem czasu rozszerzał się, aby ostatecznie wszystkie państwa będące stronami Układu z Schengen stały się stronami tej Konwencji. 

System Informacyjny Schengen (zwany również SIS) ustanowiony został jako narzędzie rekompensujące zniesienie kontroli na granicach pomiędzy państwami Obszaru Schengen. Jego istota polega na zapewnieniu, aby każde z państw będących stroną Konwencji Wykonawczej do Układu z Schengen posiadało ten sam zestaw informacji pozwalający na dostęp, przy pomocy zautomatyzowanych środków wyszukiwania, do wpisów dotyczących osób i przedmiotów w celu kontroli granicznej oraz innych kontroli policyjnych i celnych prowadzonych w ramach danego kraju oraz w celu wydawania wiz, dokumentów pobytowych i wykonywania przepisów prawnych o cudzoziemcach w kontekście stosowania Konwencji Wykonawczej do Układu z Schengen. Powyższy wymóg zapewniony został przez przyjęcie szczególnej struktury systemu polegającej na utworzeniu jednostki centralnej systemu (C-SIS) oraz modułów krajowych (N-SIS) działających w każdym państwie będącym stroną Konwencji Wykonawczej.

W związku ze stworzeniem Systemu Informacyjnego Schengen drugiej generacji (SIS II) zmieniony zostały podstawy działania sytemu na:

• Rozporządzenie (WE) nr 1987/2006 Parlamentu Europejskiego i Rady z dnia 20 grudnia 2006 r. w sprawie utworzenia, funkcjonowania i użytkowania Systemu Informacyjnego Schengen drugiej generacji (SIS II), który reguluje zasady wprowwadzania i dokonywania sprawdzeń przez służby graniczne i organy wizowe wpisów do celów odmowy pozwolenia na wjazd lub pobyt na terytorium UE;
• Decyzja Rady 2007/533/WSiSW z dnia 12 czerwca 2007 r. w sprawie utworzenia, funkcjonowania i użytkowania Systemu Informacyjnego Schengen drugiej generacji (SIS II), która reguluje zasady wprowadzania i dokonywania sprawdzeń przez organy policyjne i celne wpisów dotyczących osób poszukiwanych do zatrzymania, osób zaginionych oraz przedmiotych powiązanych z popełnionymi czynami zabronionymi.

Więcej informacji o Systemie Informacyjnym Schengen można znaleźć na stronie internetowej Europejskiego Inspektora Ochrony Danych Osobowych, w zakładce dotyczącej Grupy koordynującej nadzór nad SIS II: https://secure.edps.europa.eu/EDPSWEB/edps/site/mySite/CSIS oraz stronie Komisji Europejskiej http://ec.europa.eu/dgs/home-affairs/what-we-do/policies/borders-and-visas/schengen-information-system/index_en.htm. Informacje te dostępne są w języku angielskim.

Źródło: uodo.gov.pl

UODO  to skrót od Urzędu Ochrony Danych Osobowych.

Prezes Urzędu Ochrony Danych Osobowych – organ właściwy do spraw ochrony danych osobowych na terytorium Polski, utworzony ustawą z 10 maja 2018 roku o ochronie danych osobowych. Jest również organem nadzorczym w rozumieniu ogólnego rozporządzenia o ochronie danych (RODO).

Prezes Urzędu jest prawnym kontynuatorem Generalnego Inspektora Ochrony Danych Osobowych. Zachował jego majątek, wierzytelności oraz przejął wszczęte przez niego postępowania.

Źródło: wikipedia.pl

Jeżeli dostawca publicznie dostępnych usług telekomunikacyjnych nie zawiadomił abonenta lub użytkownika końcowego będącego osobą fizyczną o fakcie naruszenia danych osobowych, Prezes UODO może nałożyć, w drodze decyzji, na dostawcę obowiązek przekazania abonentom lub użytkownikom końcowym będącym osobami fizycznymi takiego zawiadomienia, biorąc pod uwagę możliwe niekorzystne skutki naruszenia.

Niedopuszczalne jest powołanie na IOD osoby będącej kierownikiem (zarządzającym) podmiotem posiadającym status administratora lub podmiotu przetwarzającego, takich jak np. członka zarządu stowarzyszenia, dyrektora szkoły, wójta, członka zarządu spółki. Przyjęcie odmiennego stanowiska prowadziłoby do sytuacji, w których IOD w zakresie przestrzegania przepisów o ochronie danych osobowych - oceniałby i monitorował samego siebie.

Zgodnie z art. 38 ust. 3 RODO, IOD ma podlegać bezpośrednio najwyższemu kierownictwu administratora lub podmiotu przetwarzającego, nie zaś być członkiem organu zarządzającego tym podmiotem.

RODO nie określa wprost, jak należy udokumentować organizację przetwarzania i zarządzanie bezpieczeństwem przetwarzanych danych, w tym instrukcji zarządzania systemami informatycznymi. Wymaga jednak, aby zastosowane środki bezpie­czeństwa i wszystkie podejmowane w tym zakresie działania można było wykazać. Jak stanowi art. 24 RODO, wykazując zgodność przetwarzania z obowiązującymi wymaganiami należy uwzględnić:

1. charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze zagrożenia, administrator wdraża odpowiednie środki techniczne i organizacyjne, aby przetwarzanie odbywało się zgodnie z niniejszym rozporządzeniem i aby móc to wykazać. Środki te są w razie potrzeby poddawane przeglądom i uaktualniane.
2. Jeżeli jest to proporcjonalne w stosunku do czynności przetwarzania, środki, o których mowa w ust. 1, obejmują wdrożenie przez administratora odpowiednich polityk ochrony danych.
3. Stosowanie zatwierdzonych kodeksów postępowania, o których mowa w art. 40, lub zatwierdzonego mechanizmu certyfikacji, o którym mowa w art. 42, może być wykorzystane jako element dla stwierdzenia przestrzegania przez administratora ciążących na nim obowiązków.

Ponadto obowiązek prowadzenia dokumentacji przetwarzania danych wynika pośrednio również z art. 32 RODO dotyczącego bezpieczeństwa przetwarzania, który stanowi, że: „Uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia, administrator i podmiot przetwarzający wdrażają odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku (…).”

Biorąc zaś pod uwagę fakt, że jednym z najważniejszych, powszechnie akceptowanych dokumentów prezentujących aktualny stan wiedzy technicznej w zakresie stosowania środków bezpieczeństwa i zarządzania bezpieczeństwem są m.in. normy ISO/IEC z serii 27000, w tym: norma PN-EN ISO/IEC 27001:2017 Technologia informacyjna - Techniki zabezpieczeń, oraz norma PN-EN ISO/IEC 27002:2017 Technika informatyczna - Technika bezpieczeństwa - Praktyczne zasady zabezpieczania informacji, warto zaznaczyć, że wyraźnie podkreśla się w nich fakt, że polityka bezpieczeństwa informacji powinna być: dostępna w formie udokumentowanej informacji, ogłoszona wewnątrz organizacji oraz dostępna dla zainteresowanych stron, jeśli jest to właściwe.

Jeśli chodzi o zawartość dokumentacji przetwarzania, to należy mieć na uwadze zawarte m.in. w art. 24 i 32 RODO wymaganie wskazujące, że opracowana polityka bezpieczeństwa powinna uwzględniać zakres, kontekst i cele przetwarzania oraz ryzyka naruszenia praw i wolności, w tym prawdopodobieństwo ich wystąpienia. Odwołując się w powyższym zakresie do aktualnego stanu wiedzy, można się posłużyć z kolei normą PN-EN ISO/IEC 27002:2017, która zaleca w tym zakresie uwzględnić takie elementy, jak:

• zarządzanie aktywami (przetwarzanymi zbiorami danych),
• kontrole dostępu (rejestrowanie i wyrejestrowywanie użytkowników, zarządzanie hasłami, użycie uprzywilejowanych programów narzędziowych),
• środki ochrony kryptograficznej (polityka stosowania zabezpieczeń, zarządzanie kluczami),
• bezpieczeństwo fizyczne i środowiskowe oraz bezpieczeństwo eksploatacji (zarządzanie zmianami, zarządzanie pojemnością, zapewnienie ciągłości działania, rejestrowanie zdarzeń i monitorowanie),
• bezpieczeństwo komunikacji (zabezpieczenie, rozdzielenie sieci),
• pozyskiwanie, rozwój i utrzymywanie systemów,
• relacje z dostawcami (umowy, w tym umowy powierzenia przetwarzania),
• zarządzanie incydentami związanymi z bezpieczeństwem informacji,
• zarządzanie ciągłością działania,
• zgodność z wymaganiami prawnymi i umownymi.

Część z wymienionych wyżej elementów zgodnie z obowiązującymi dotychczas wymaganiami powinna być zawarta w prowadzonej dotychczas instrukcji zarządzania systemami informatycznymi. Tak więc elementy te również można wykorzystać dla wykazania w nowej dokumentacji zgodności, o której mowa art. 24 RODO.

Źródło: uodo.gov.pl

Administratorzy nie zawsze będą dysponować wszystkimi wymaganymi informacjami dotyczącymi naruszenia w ciągu 72 godzin od jego stwierdzenia. W związku z tym, zgodnie z art. 33 ust. 4 RODO, administrator może udzielać informacji sukcesywnie. W takim przypadku administrator powinien przekazać brakujące informacje, jak tylko wejdzie w ich posiadanie. Zawiadamianie „sukcesywne” jest dopuszczalne pod warunkiem, że administrator poda organowi nadzorczemu przyczyny opóźnienia.

Źródło: uodo.gov.pl

Dostawca publicznie dostępnych usług telekomunikacyjnych prowadzi rejestr naruszeń danych osobowych, w tym faktów towarzyszących naruszeniom, ich skutków i podjętych działań. Rejestr ten powinien obejmować następujące elementy:

1. opis charakteru naruszeń danych osobowych;
2. informacje o zaleconych przez dostawcę usług środkach mających na celu złagodzenie ewentualnych niekorzystnych skutków naruszeń danych osobowych;
3. informacje o działaniach podjętych przez dostawcę usług telekomunikacyjnych;
4. informacje o fakcie poinformowania lub braku poinformowania abonenta o wystąpieniu naruszenia danych osobowych;
5. opis skutków naruszenia danych osobowych;
6. opis zaproponowanych przez „dostawcę" środków naprawczych.

Obecnie prowadzona dokumentacja, na którą składają się polityka bezpieczeństwa i instrukcja zarządzania systemami informatycznymi służącymi do przetwarzania danych osobowych, z powodzeniem może być wykorzystana w celu stworzenia dokumentacji, której celem będzie wykazanie zgodności realizowanych procesów przetwarzania z wymaganiami RODO. Obowiązek wykazania przestrzegania stosowania przepisów RODO wynikający z art. 24 RODO nie określa bowiem w jaki sposób, poprzez jakie dokumenty, czy inne instrumenty zarządzania powinien być zrealizowany. Przepis art. 24 RODO stanowi jedynie, że administrator ma wykazać, że wdraża odpowiednie środki techniczne i organizacyjne, aby przetwarzanie odbywało się zgodnie z RODO. Opracowana w powyższy sposób dokumentacja, powinna zatem opisywać zastosowane w powyższym celu procedury i środki techniczne.

Jeśli zatem prowadzona wg. dotychczas obowiązujących wymagań dokumentacja zawierała wymagane elementy, takie jak inwentaryzacja zasobów informacyjnych, opis przepływy danych między systemami czy specyfikacje środków organizacyjnych i technicznych zastosowanych do ochrony przetwarzanych danych, czego wymagała polityka bezpieczeństwa to w pełni można je przenieść do nowej dokumentacji.

Nie ma również przeszkód, aby do problemu nowej dokumentacji, która będzie spełniała nowe wymagania, o których mowa wyżej podejść w sposób odwrotny, t.j uzupełnić dotychczas stosowaną dokumentacje o nowe elementy wymienione w rozdziale 1 takie jak:

1. rejestr czynności przetwarzania i zakres rejestru kategorii czynności przetwarzania, o których mowa w art. 30 RODO;
2. procedury dotyczące zgłaszanie naruszeń ochrony danych do organu nadzorczego (UODO) – art. 33 ust 3 RODO;
3. procedury dotyczące prowadzenia wewnętrznego rejestru naruszeń ochrony danych, o którym mowa w art. 33 ust 5 RODO;
4. raporty dokumentujące wyniki przeprowadzonych ocen skutków dla ochrony danych – art. 35 ust. 7.

• jeśli zgodnie z przepisami RODO są wymagane (dotyczy punktu 4).

Należy dodatkowo pamiętać, że dokumentując przyjęte procedury i wymagania dotyczące przetwarzania danych osobowych, zgodnie z art. 32 ust 1 RODO, powinniśmy mieć na uwadze, aby przyjęte rozwiązania były adekwatne do obecnego stanu wiedzy technicznej. Dotyczy to nie tylko wiedzy technicznej w zakresie dostępnych środków bezpieczeństwa, ale również wiedzy w zakresie systemów zarządzania bezpieczeństwem, do którego należą takie elementy jak standardy w zakresie zarzadzania, dokumentowania zmian, konfiguracji i innych elementów, które powinny być zawarte w dokumentacji przetwarzania.

Należy przy tym pamiętać również o innych obowiązujących wymaganiach prawnych nadal obowiązujących takich jak wymagania określone w takich przepisach jak:

• ustawa z dnia 17 lutego 2005 r. o informatyzacji działalności podmiotów realizujących zadania publiczne (tekst jednolity Dz. U. z 2014 r. poz. 1114) oraz wydane do niej
• rozporządzenie Rady Ministrów z dnia 12 kwietnia 2012 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych (tekst jednolity Dz. U. z 2016 r. poz. 113), nazywanym w skrócie Rozporządzeniem KRI.

W wyżej wymienionych dokumentach, w kontekście dokumentacji przetwarzania warto zwrócić uwagę w szczególności na § 20ust. 1 KRI, który stanowi, że:

„Podmiot realizujący zadania publiczne opracowuje i ustanawia, wdraża i eksploatuje, monitoruje i przegląda oraz utrzymuje i doskonali system zarządzania bezpieczeństwem informacji zapewniający poufność, dostępność i integralność informacji z uwzględnieniem takich atrybutów, jak autentyczność, rozliczalność, niezaprzeczalność i niezawodność”.

W odniesieniu natomiast do działań jakie chcemy wykazać w kontekście wykazania dbałości o bezpieczeństwo przetwarzanych danych, warto skorzystać z zaleceń wymienionych w § 20 ust 2 rozporządzenia KRI odnoszących się do zarządzania bezpieczeństwem, które stanowi, że powinno to być zapewniane poprzez:

1. zapewnienie aktualizacji regulacji wewnętrznych w zakresie dotyczącym zmieniającego się otoczenia;
2. utrzymywanie aktualności inwentaryzacji sprzętu i oprogramowania służącego do przetwarzania informacji obejmującej ich rodzaj i konfigurację;
3. przeprowadzanie okresowych analiz ryzyka utraty integralności, dostępności lub poufności informacji oraz podejmowania działań minimalizujących to ryzyko, stosownie do wyników przeprowadzonej analizy;
4. podejmowanie działań zapewniających, że osoby zaangażowane w proces przetwarzania informacji posiadają stosowne uprawnienia i uczestniczą w tym procesie w stopniu adekwatnym do realizowanych przez nie zadań oraz obowiązków mających na celu zapewnienie bezpieczeństwa informacji;
5. bezzwłoczna zmiana uprawnień, w przypadku zmiany zadań osób, o których mowa w pkt 4;
6. zapewnienie szkolenia osób zaangażowanych w proces przetwarzania informacji ze szczególnym uwzględnieniem takich zagadnień, jak:
   1. zagrożenia bezpieczeństwa informacji,
   2. skutki naruszenia zasad bezpieczeństwa informacji, w tym odpowiedzialność prawna,
   3. stosowanie środków zapewniających bezpieczeństwo informacji, w tym urządzenia i oprogramowanie minimalizujące ryzyko błędów ludzkich;
7. zapewnienie ochrony przetwarzanych informacji przed ich kradzieżą, nieuprawnionym dostępem, uszkodzeniami lub zakłóceniami, przez:
   1. monitorowanie dostępu do informacji,
   2. czynności zmierzające do wykrycia nieautoryzowanych działań związanych z przetwarzaniem informacji,
   3. zapewnienie środków uniemożliwiających nieautoryzowany dostęp na poziomie systemów operacyjnych, usług sieciowych i aplikacji;
8. ustanowienie podstawowych zasad gwarantujących bezpieczną pracę przy przetwarzaniu mobilnym i pracy na odległość;
9. zabezpieczenie informacji w sposób uniemożliwiający nieuprawnionemu jej ujawnienie, modyfikacje, usunięcie lub zniszczenie;
10. zawieranie w umowach serwisowych podpisanych ze stronami trzecimi zapisów gwarantujących odpowiedni poziom bezpieczeństwa informacji;
11. ustalenie zasad postępowania z informacjami, zapewniających minimalizację wystąpienia ryzyka kradzieży informacji i środków przetwarzania informacji, w tym urządzeń mobilnych;
12. zapewnienie odpowiedniego poziomu bezpieczeństwa w systemach teleinformatycznych, polegającego w szczególności na:
    1. dbałości o aktualizację oprogramowania,
    2. minimalizowaniu ryzyka utraty informacji w wyniku awarii,
    3. ochronie przed błędami, utratą, nieuprawnioną modyfikacją,
    4. stosowaniu mechanizmów kryptograficznych w sposób adekwatny do zagrożeń lub wymogów przepisu prawa,
    5. zapewnieniu bezpieczeństwa plików systemowych,
    6. redukcji ryzyk wynikających z wykorzystania opublikowanych podatności technicznych systemów teleinformatycznych,
    7. niezwłocznym podejmowaniu działań po dostrzeżeniu nieujawnionych podatności systemów teleinformatycznych na możliwość naruszenia bezpieczeństwa,
    8. kontroli zgodności systemów teleinformatycznych z odpowiednimi normami i politykami bezpieczeństwa;
13. bezzwłoczne zgłaszanie incydentów naruszenia bezpieczeństwa informacji w określony i z góry ustalony sposób, umożliwiający szybkie podjęcie działań korygujących;
14. zapewnienie okresowego audytu wewnętrznego w zakresie bezpieczeństwa informacji, nie rzadziej niż raz na rok.

Źródło: uodo.gov.pl

Funkcja inspektora ochrony danych osobowych może być w Polsce pełniona przez obcokrajowca. Należy jednak podkreślić, iż jednym z ważnych zadań IOD jest pełnienie funkcji punktu kontaktowego dla osób, których dane dotyczą (art. 38 ust. 4 RODO) oraz dla organu nadzorczego (art. 39 ust. 1 lit. e RODO). Grupa Robocza art. 29 ds. ochrony danych w Wytycznych dotyczących inspektorów ochrony danych (str. 11) wskazuje, że IOD „powinien mieć możliwość sprawnego komunikowania się z osobami, których dane dotyczą i współpracy z właściwymi organem nadzorczym. Oznacza to również, że komunikacja musi odbywać się w języku lub językach używanych przez organy nadzorcze i osoby, których dane dotyczą.”

W konsekwencji należy uznać, że administrator zobowiązany jest zapewnić sprawną i efektywną komunikacją pomiędzy IOD a organem nadzorczym oraz osobami, których dane dotyczą, w języku polskim. 

Zgodnie z art. 37 ust. 6 RODO inspektorem ochrony danych może zostać zarówno pracownik administratora lub podmiotu przetwarzającego, jak i osoba spoza grona pracowników ww. podmiotów. Możliwe będzie więc nadal pełnienie funkcji inspektora ochrony danych w modelu outsourcingu, na podstawie umowy o świadczenie usług. Podkreślenia wymaga jednak, że osoba wykonująca funkcję IOD na podstawie umowy o świadczenie usług musi spełniać wszystkie wymogi stawiane przez przepisy RODO, np. wymogi dotyczące unikania konfliktu interesów, gwarancji niezależności, łatwości nawiązania z nim kontaktu, właściwego i terminowego włączania go we wszystkie sprawy dotyczące ochrony danych osobowych.

Podkreślenia wymaga fakt, iż konieczne będzie zawiadomienie organu nadzorczego przez każdego z administratorów/podmiotów przetwarzających o wyznaczeniu konkretnej osoby oraz jak wynika z art. 10 ust. 1 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych, podania następujących informacji tj.: imię, nazwisko oraz adres poczty elektronicznej lub numer telefonu inspektora.

Wymogi stawiane inspektorom ochrony danych przez przepisy RODO są podobne do tych stawianych wcześniej ABI, ale nie są identyczne. Zgodnie z art. 36a ust. 5 pkt 2 ustawy o ochronie danych osobowych, osoba powoływana na stanowisko ABI powinna była posiadać odpowiednią wiedzę w zakresie ochrony danych osobowych. RODO zaś w art. 37 ust. 5 stanowi, iż inspektor ochrony danych jest wyznaczany na podstawie kwalifikacji zawodowych, a w szczególności wiedzy fachowej na temat prawa i praktyk w dziedzinie ochrony danych oraz umiejętności wypełnienia zadań, o których mowa w art. 39 ogólnego rozporządzenia.

Wymagany od inspektora poziom wiedzy fachowej nie jest nigdzie jednoznacznie określony, ale zgodnie z Wytycznymi Grupy Roboczej Art. 29 dotyczącymi inspektorów ochrony danych (WP 243) musi być on współmierny do charakteru, skomplikowania i ilości danych przetwarzanych w ramach jednostki. Wyższy poziom wiedzy powinien być wymagany np. w przypadku wyjątkowo skomplikowanych procesów przetwarzania, przetwarzania dużej ilości danych szczególnych kategorii, podmiotów regularnie przekazujących dane do państw trzecich.

Inspektor ochrony danych powinien mieć odpowiednią wiedzę z zakresu krajowych, europejskich oraz sektorowych przepisów i praktyk w zakresie ochrony danych osobowych, a także dogłębną znajomość RODO. Jednocześnie powinien posiadać odpowiednią wiedzę na temat: procesów przetwarzania, systemów informatycznych oraz zabezpieczeń stosowanych u administratora, sektora w którym działa administrator, procedur administracyjnych i funkcjonowania jednostki.

Ocena umiejętności wykonywania zadań wymaga uwzględnienia charakteru i zakresu zadań inspektora, spośród których kilka stanowi nowość w stosunku do wymogów stawianych ABI. Zgodnie z przepisami RODO, inspektor będzie miał m.in. obowiązek identyfikowania poszczególnych obowiązków ciążących na mocy RODO na administratorze (w tym kierownictwie i wszystkich osobach przetwarzających dane) oraz podmiocie przetwarzającym (w tym kierownictwie i wszystkich osobach przetwarzających dane osobowe), informowania o nich oraz doradzania w zakresie tych obowiązków. Specjalnego merytorycznego przygotowania wymagać będzie udzielanie administratorowi i podmiotowi przetwarzającemu zaleceń co do oceny skutków dla ochrony danych (więcej na temat roli inspektora w ocenie skutków dla ochrony danych w Wytycznych Grupy Roboczej Art. 29 dotyczących inspektorów ochrony danych (WP 243) oraz w Wytycznych Grupy Roboczej Art. 29 dotyczących oceny skutków dla ochrony danych). Nowym, ważnym zadaniem będzie obowiązek pełnienia roli punktu kontaktowego dla organu nadzorczego i punktu kontaktowego dla osób, których dane dotyczą (art. 38 ust. 4 RODO).

Grupa Robocza Art. 29 w Wytycznych dotyczących inspektorów ochrony danych w odniesieniu do umiejętności wykonywania zadań inspektora wskazuje, że priorytetem dla niego powinno być zapewnienie przestrzegania rozporządzenia. DPO ma zatem odgrywać kluczową rolę w zakresie wspierania „kultury ochrony danych” oraz pomagać w implementacji niezbędnych elementów RODO, w tym zwłaszcza nowych obowiązków tj., np. ochrony danych w fazie projektowania oraz domyślnej ochrony danych, rejestru czynności przetwarzania, zgłaszania naruszeń.

Znaczenie fachowej wiedzy w zakresie prawa i praktyk zostało dodatkowo podkreślone przez zobowiązanie administratorów danych i podmiotów przetwarzających do zapewnienia inspektorowi ochrony danych zasobów niezbędnych do utrzymania wysokiego i aktualnego poziomu wiedzy (art. 38 ust. 2 RODO). Mimo iż ogólne rozporządzenie o ochronie danych bardzo mocno akcentuje wymóg wiedzy i fachowości DPO, nie reguluje zasad czy trybu weryfikacji spełnienia tego wymogu. Niemniej certyfikaty, dyplomy oraz inne dokumenty poświadczające wiedzę i doświadczenie inspektora niewątpliwie w większości przypadków będą ważnym kryterium kwalifikacyjnym i argumentem przemawiającym na korzyść osoby wyznaczanej do pełnienia tej funkcji.

Źródło: uodo.gov.pl

Zgodnie z art. 37 ust. 6 RODO inspektorem ochrony danych może zostać zarówno pracownik administratora lub podmiotu przetwarzającego, jak i osoba spoza grona pracowników ww. podmiotów (outsourcing).

Źródło: uodo.gov.pl

Zgodnie z art. 38 ust. 6 RODO IOD może wykonywać inne zadania i obowiązki przy czym administrator lub podmiot przetwarzający powinni zapewnić, by takie zadania i obowiązki nie powodowały konfliktu interesów. Wymóg niepowodowania konfliktu interesów jest ściśle związany z wymogiem wykonywania zadań w sposób niezależny. Oznacza to, że IOD nie może zajmować w organizacji stanowiska, na którym określa się sposoby i cele przetwarzania danych. W Wytycznych Grupy Roboczej Art. 29 dotyczące inspektorów ochrony danych (DPO) wskazane zostały przykłady takich stanowisk. Należą do nich: stanowiska kierownicze (dyrektor generalny, dyrektor ds. operacyjnych, dyrektor finansowy, dyrektor ds. medycznych, kierownik działu marketingu, kierownik działu HR, kierownik działu IT), ale również niższe stanowiska, jeśli sprawujące je osoby biorą udział w określaniu celów i sposobów przetwarzania danych (Wytyczne Grupy Roboczej art. 29).

Powołanie na IOD kierownika komórki w organizacji, np. dyrektora departamentu IT, który jako kierownik decydowałby o sposobach zabezpieczeń systemów informatycznych, projektowałby systemy służące przetwarzaniu danych osobowych, bądź dyrektora działu kadr, który decydowałby np. jakie dane są zbierane od potencjalnych kandydatów do pracy, a z drugiej strony – jako IOD badałby zgodność przetwarzania danych z przepisami o ochronie danych osobowych spowoduje, że osoba taka będzie sama kontrolowała procesy przetwarzania danych, o których jako kierownik danej komórki będzie jednocześnie decydować. Warto zaznaczyć, że nawet jeśli osoba ta osobiście nie tworzyłaby wskazanych systemów, ale np. projektowałby je pracownik danej komórki, to fakt ten byłby bez znaczenia, ponieważ to kierownik odpowiada za całość działań komórki, w tym podległych mu pracowników.

Ponadto administrator, rozważając wyznaczenie na IOD kierownika komórki w organizacji, powinien uwzględnić, co najmniej trzy kryteria:

• organizacyjne (IOD powinien podlegać bezpośrednio najwyższemu kierownictwu jednostki organizacyjnej),
• merytoryczne (inne obowiązki nie powinny negatywnie wpływać na niezależne wykonywanie zadań IOD),
• czasowe (IOD powinien dysponować czasem wystarczającym do wykonywania swoich zadań, przy uwzględnieniu m.in. liczby obowiązków czy stopnia ich skomplikowania).

Uwzględnienie kryterium czasowego powinno obejmować analizę, czy IOD pełniący jednocześnie inną funkcję, będzie w stanie wykonywać swoje obowiązki we właściwy sposób, biorąc pod uwagę w szczególności stopień skomplikowania i liczbę innych zadań. IOD powinien dysponować czasem pozwalającym mu na prawidłowe realizowanie wszystkich zadań.

Reasumując, jednoczesne pełnienie funkcji IOD i funkcji kierownika komórki w organizacji nie jest w RODO wprost zakazane, lecz nieprzeprowadzenie analizy w tym zakresie przez administratora oraz nieuwzględnienie wskazanych kryteriów może w konsekwencji spowodować naruszenie przepisów o ochronie danych osobowych.

Zgodnie z art. 37 ust. 6 RODO inspektorem ochrony danych może zostać zarówno pracownik administratora lub podmiotu przetwarzającego, jak i osoba spoza grona pracowników ww. podmiotów (outsourcing).

RODO nie zakazuje wprost łączenia obu tych funkcji. W każdym konkretnym przypadku konieczne jest jednak dokonanie rzetelnej oceny pod kątem spełnienia wszystkich warunków gwarantujących IOD niezależne i prawidłowe wykonywanie swoich zadań.

Po pierwsze, powyższe rozwiązanie nie może wpływać na prawidłowe umiejscowienie IOD w strukturze administratora i wykonywanie jego zadań w sposób niezależny. W zakresie zapewniania przestrzegania przepisów o ochronie danych osobowych, IOD nie może podlegać ani otrzymywać poleceń od jakichkolwiek innych osób niż kierownika jednostki organizacyjnej lub osoby fizycznej będącej administratorem. Analogiczny wymóg dotyczy pełnomocnika ds. ochrony informacji niejawnych, który zgodnie z art. 14 ust. 2 ustawy z dnia 5 sierpnia 2010 r. o ochronie informacji niejawnych, powinien podlegać bezpośrednio kierownikowi jednostki organizacyjnej, w której wykonuje swoje obowiązki.

Po drugie, łączenie tych funkcji nie może prowadzić do konfliktu interesów (art. 38 ust 6 RODO). Wystąpienie sprzecznych priorytetów skutkować mogłoby zaniedbaniem obowiązków pełnionych przez IOD. W każdej konkretnej sytuacji należy zatem starannie przeanalizować (podobnie zresztą jak w przypadku łączenia funkcji IOD z jakimikolwiek innymi zadaniami), czy IOD jest w stanie wykonywać swoje zadania w sposób prawidłowy przy pełnieniu obu funkcji jednocześnie. Należy zatem przemyśleć ilość czasu potrzebnego na wykonywanie poszczególnych obowiązków (w tym na współpracę z innymi służbami kontrolnymi), stopień skomplikowania i ważności zadań, rezerwę czasową na nieplanowane zadania, ilość i rodzaj danych osobowych oraz procesów i systemów informatycznych służących do ich przetwarzania, obszary ryzyka, związane z tymi procesami. Pod rozwagę należy brać również wiele innych czynników, takich jak np. struktura, wielkość i zasoby kadrowe danego podmiotu (w tym również pod kątem obowiązku prowadzenia szkoleń personelu). W szczególności, w przypadku IOD zatrudnionego w niepełnym wymiarze czasu pracy, albo łączącego obowiązki IOD z innymi zadaniami, priorytetem powinno być zapewnienie IOD odpowiedniej ilości czasu na wykonywanie powierzonych zadań.

Zdaniem Grupy Roboczej art. 29 dobrą praktyką byłoby wskazanie czasu, który należy poświęcić na obowiązki IOD. Takiego samego uwzględnienia i analizy wymagają obowiązki związane z pełnieniem funkcji pełnomocnika do spraw informacji niejawnych. Starannie należy rozważyć ilość informacji niejawnych oraz ich rodzaj, a także czas i możliwości wykonywania wszystkich zadań określonych w art. 15 ustawy o ochronie informacji niejawnych, do których należy m.in. zapewnienie ochrony informacji niejawnych, w tym stosowanie środków bezpieczeństwa fizycznego, zapewnienie ochrony systemów teleinformatycznych, w których są przetwarzane informacje niejawne, zarządzanie ryzykiem bezpieczeństwa, w szczególności szacowanie ryzyka, kontrola ochrony informacji niejawnych oraz przestrzegania przepisów o ochronie tych informacji.

W świetle art. 38 ust. 2 RODO administrator oraz podmiot przetwarzający zapewniają inspektorowi zasoby niezbędne do wykonywania zadań wskazanych w art. 39 RODO oraz zasoby niezbędne do utrzymania jego fachowej wiedzy. Obowiązek ten oznacza, że IOD powinien posiadać takie środki organizacyjne, techniczne, technologiczne oraz finansowe, aby móc efektywnie realizować ciążące na nim obowiązki związane z pełnioną funkcją.

Ustawa o ochronie informacji niejawnych przewiduje natomiast w art. 15 ust. 2, że pełnomocnik ds. informacji niejawnych realizuje swoje zadania przy pomocy wyodrębnionej i podległej mu komórki organizacyjnej do spraw ochrony informacji niejawnych, jeżeli jest ona utworzona w jednostce organizacyjnej. Komórką taką może być też kancelaria tajna zgodnie z art. 42 ust. 4 ustawy o ochronie informacji niejawnych. W przypadku utworzenia takiej komórki, pełnomocnik ds. informacji niejawnych może dysponować pomocą i wsparciem pracowników „pionu ochrony” przy realizacji swoich zadań w związku z pełnioną funkcją, co w konkretnych, uzasadnionych przypadkach może pozytywnie wpłynąć na ocenę możliwości łączenia obu omawianych funkcji. IOD również może być wspierany przez zespół IOD.

Warto zaznaczyć, że zadania IOD dotyczą wszystkich danych osobowych przetwarzanych przez administratora, natomiast zadania pełnomocnika ds. informacji niejawnych koncentrują się na szczególnej kategorii informacji, jakimi są informacje niejawne. Niemniej zadania przypisywane obu funkcjom wykazują pewne podobieństwa, a wiedza i doświadczenie potrzebne do pełnienia jednej z tych funkcji mogą być pomocne w pełnieniu drugiej.

Wymogi stawiane inspektorom ochrony danych przez przepisy RODO są podobne do tych stawianych wcześniej ABI, ale nie są identyczne. Zgodnie z art. 36a ust. 5 pkt 2 ustawy o ochronie danych osobowych, osoba powoływana na stanowisko ABI powinna była posiadać odpowiednią wiedzę w zakresie ochrony danych osobowych. RODO zaś w art. 37 ust. 5 stanowi, iż inspektor ochrony danych jest wyznaczany na podstawie kwalifikacji zawodowych, a w szczególności wiedzy fachowej na temat prawa i praktyk w dziedzinie ochrony danych oraz umiejętności wypełnienia zadań, o których mowa w art. 39 ogólnego rozporządzenia.

Wymagany od inspektora poziom wiedzy fachowej nie jest nigdzie jednoznacznie określony, ale zgodnie z Wytycznymi Grupy Roboczej Art. 29 dotyczącymi inspektorów ochrony danych (WP 243) musi być on współmierny do charakteru, skomplikowania i ilości danych przetwarzanych w ramach jednostki. Wyższy poziom wiedzy powinien być wymagany np. w przypadku wyjątkowo skomplikowanych procesów przetwarzania, przetwarzania dużej ilości danych szczególnych kategorii, podmiotów regularnie przekazujących dane do państw trzecich.

Inspektor ochrony danych powinien mieć odpowiednią wiedzę z zakresu krajowych, europejskich oraz sektorowych przepisów i praktyk w zakresie ochrony danych osobowych, a także dogłębną znajomość RODO. Jednocześnie powinien posiadać odpowiednią wiedzę na temat: procesów przetwarzania, systemów informatycznych oraz zabezpieczeń stosowanych u administratora, sektora w którym działa administrator, procedur administracyjnych i funkcjonowania jednostki.

Ocena umiejętności wykonywania zadań wymaga uwzględnienia charakteru i zakresu zadań inspektora, spośród których kilka stanowi nowość w stosunku do wymogów stawianych ABI. Zgodnie z przepisami RODO, inspektor będzie miał m.in. obowiązek identyfikowania poszczególnych obowiązków ciążących na mocy RODO na administratorze (w tym kierownictwie i wszystkich osobach przetwarzających dane) oraz podmiocie przetwarzającym (w tym kierownictwie i wszystkich osobach przetwarzających dane osobowe), informowania o nich oraz doradzania w zakresie tych obowiązków. Specjalnego merytorycznego przygotowania wymagać będzie udzielanie administratorowi i podmiotowi przetwarzającemu zaleceń co do oceny skutków dla ochrony danych (więcej na temat roli inspektora w ocenie skutków dla ochrony danych w Wytycznych Grupy Roboczej Art. 29 dotyczących inspektorów ochrony danych (WP 243) oraz w Wytycznych Grupy Roboczej Art. 29 dotyczących oceny skutków dla ochrony danych). Nowym, ważnym zadaniem będzie obowiązek pełnienia roli punktu kontaktowego dla organu nadzorczego i punktu kontaktowego dla osób, których dane dotyczą (art. 38 ust. 4 RODO).

Grupa Robocza Art. 29 w Wytycznych dotyczących inspektorów ochrony danych w odniesieniu do umiejętności wykonywania zadań inspektora wskazuje, że priorytetem dla niego powinno być zapewnienie przestrzegania rozporządzenia. DPO ma zatem odgrywać kluczową rolę w zakresie wspierania „kultury ochrony danych” oraz pomagać w implementacji niezbędnych elementów RODO, w tym zwłaszcza nowych obowiązków tj., np. ochrony danych w fazie projektowania oraz domyślnej ochrony danych, rejestru czynności przetwarzania, zgłaszania naruszeń.

Znaczenie fachowej wiedzy w zakresie prawa i praktyk zostało dodatkowo podkreślone przez zobowiązanie administratorów danych i podmiotów przetwarzających do zapewnienia inspektorowi ochrony danych zasobów niezbędnych do utrzymania wysokiego i aktualnego poziomu wiedzy (art. 38 ust. 2 RODO). Mimo iż ogólne rozporządzenie o ochronie danych bardzo mocno akcentuje wymóg wiedzy i fachowości DPO, nie reguluje zasad czy trybu weryfikacji spełnienia tego wymogu. Niemniej certyfikaty, dyplomy oraz inne dokumenty poświadczające wiedzę i doświadczenie inspektora niewątpliwie w większości przypadków będą ważnym kryterium kwalifikacyjnym i argumentem przemawiającym na korzyść osoby wyznaczanej do pełnienia tej funkcji.

Zawiadomienie może zostać dokonane przez pełnomocnika administratora/podmiotu przetwarzającego (art. 10 ust. 2 ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. poz. 1000)

Tak. Pamiętaj, że masz możliwość samodzielnego zarządzania plikami „cookies”. Umożliwiają to np. przeglądarki internetowe, z których korzystasz.

Źródło: wszystkoociasteczkach.pl

W większości przypadków zakres obowiązków związanych z pełnieniem funkcji ASI jest uregulowany jedynie w sferze wewnętrznej danego administratora, np. w polityce bezpieczeństwa lub wynika z zakresu obowiązków pracownika bądź z umowy o świadczenie usług zawartej z osobą spoza określonej organizacji. Zdarza się, że zadania ASI w odniesieniu do konkretnych systemów wskazane są w szczególnych przepisach prawa, np. art. 10 ust. 2 ustawy z dnia 22 listopada 2013 r. o systemie powiadamiania ratunkowego; art. 2 pkt 2 ustawy z dnia 28 kwietnia 2011 r. o systemie informacji w ochronie zdrowia. Pełnienie funkcji ASI jest najczęściej powierzane informatykowi lub kierownikowi działu IT, a do jego głównych zadań należy: administrowanie serwerami służącymi przetwarzaniu danych, wdrożenie zabezpieczeń systemów informatycznych, identyfikacja potencjalnych zagrożeń i podatności dla systemów informatycznych, wykrycia nieautoryzowanego dostępu do systemu, zachowanie ciągłości ich funkcjonowania, konfigurowanie kont użytkowników.  Z tego powodu, łączenie funkcji IOD i ASI w konkretnych przypadkach może być uznane za niezgodne z RODO. Oceny w tym zakresie należy dokonywać z punktu widzenia spełnienia wymogów, jakie w RODO wskazano w odniesieniu do IOD, w tym w szczególności jego niezależności, właściwego umiejscowienia w strukturze organizacyjnej administratora oraz realnej możliwości prawidłowego wykonywania wyznaczonych mu zadań. Z tej perspektywy konsolidacja funkcji IOD z funkcją ASI może powodować zagrożenia dla bezpieczeństwa przetwarzania danych osobowych. Osoba odpowiadająca za bieżące prowadzenie przetwarzania danych osobowych i bezpieczeństwo danych w systemach informatycznych będzie bowiem sprawować jednocześnie nadzór nad zgodnością z prawem wykonywanych przez siebie działań. Sytuacja taka powoduje zatem faktyczny brak nadzoru nad zgodnością przetwarzania danych z przepisami prawa, w tym przepisami określającymi wymogi co do bezpieczeństwa danych osobowych.

IOD nie może podlegać jakimkolwiek innym osobom niż najwyższe kierownictwo (art. 38 ust. 3 RODO), co ma mu gwarantować niezależne, prawidłowe i skuteczne wykonywanie funkcji. Najwyższym kierownictwem jednostki organizacyjnej - w zależności od jej rodzaju – może być osoba lub osoby (np. wchodzące w skład organu), które kierują jej pracami (np. ministrowie kierujący działami administracji rządowej, dyrektorzy szkół), prowadzą jej sprawy (np. zarząd spółki) albo podejmują zarobkową działalność (np. przedsiębiorcy jednoosobowi), działając jako administrator. W przypadku jednoczesnego pełnienia funkcji IOD i ASI wykluczone jest rozwiązanie, w którym osoba taka podlegałaby np. dyrektorowi ds. informatycznych, kierownikowi działu IT lub jakiejkolwiek innej osobie (np. dyrektorowi generalnemu urzędu publicznego), która nie jest najwyższym kierownictwem w rozumieniu art. 38 ust. 3 RODO.

Zgodnie z art. 38 ust. 6 RODO IOD może wykonywać inne zadania i obowiązki przy czym administrator lub podmiot przetwarzający powinni zapewnić, by takie zadania i obowiązki nie powodowały konfliktu interesów. RODO nie precyzuje w jakich sytuacjach będzie zachodził, wskazany w art. 38 ust. 6 RODO, konflikt interesów. Wymóg niepowodowania konfliktu interesów jest ściśle związany z wymogiem wykonywania zadań w sposób niezależny. Oznacza to, że IOD nie może zajmować w organizacji stanowiska, na którym określa się sposoby i cele przetwarzania danych.

Za powodujące konflikt interesów uważane będą stanowiska kierownicze (dyrektor generalny, dyrektor ds. operacyjnych, dyrektor finansowy, dyrektor ds. medycznych, kierownik działu marketingu, kierownik działu HR, kierownik działu IT) oraz niższe stanowiska, jeśli osoby je piastujące biorą udział w określaniu celów i sposobów przetwarzania danych.

Dlatego też ww. konflikt interesów może obejmować również stanowiska związane z bezpieczeństwem w organizacji, o ile z ich piastowaniem wiąże się decydowanie - w jakikolwiek sposób o sposobach i celach przetwarzania danych osobowych w organizacji.

Podsumowując, ocena czy w przypadku konkretnej osoby i wykonywanych przez nią zadań nie występuje konflikt interesów, powinna być dokonywana indywidualnie z uwzględnieniem konkretnych okoliczności. Oznacza to, że możliwość zaistnienia konfliktu powinna być stale monitorowana, ponieważ przyczyny zaistnienia takiego konfliktu mogą występować również w późniejszym czasie, po rozpoczęciu pełnienia funkcji przez IOD.

Przepisy o ochronie danych osobowych nie przewidują możliwości wyznaczenia więcej niż jednego IOD. Zarówno wewnątrz podmiotu będącego administratorem danych, jak  w relacjach zewnętrznych, dla wszystkich musi być jasne, kto pełni tę ważną funkcję i jest odpowiedzialny za monitorowanie zgodności przetwarzania danych osobowych z przepisami prawa. Innymi słowy: osoba ta powinna być wyraźnie wskazana przez kierownictwo jednostki zarówno wszystkim zatrudnionym przy przetwarzaniu danych osobowych, jak i - na zewnątrz organizacji - osobom, których dane dotyczą oraz organowi nadzorczemu. Dla osób, których dane dotyczą, oraz dla organu nadzorczego IOD jest punktem kontaktowym zgodnie z art. 38 ust 4 i art. 39 ust 1 lit. e RODO. Przepisy ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (art. 11) zobowiązują administratora i podmiot przetwarzający, którzy wyznaczyli IOD, by udostępnili imię i nazwisko oraz adres poczty elektronicznej lub numer telefonu inspektora na swojej stronie internetowej. Jeżeli administrator lub podmiot przetwarzający nie prowadzi własnej strony, udostępnia informacje o IOD w sposób ogólnie dostępny w miejscu prowadzenia działalności. Dane inspektora w powyższym zakresie muszą być przekazane również Prezesowi UODO (art. 10 tej ustawy).

Jeśli zgłoszenia o wyznaczeniu IOD dokonuje pełnomocnik, do zgłoszenia należy dołączyć podpisane pełnomocnictwo w formie elektronicznej oraz dowód dokonania opłaty skarbowej w postaci dokumentu wykonania zlecenia przelewu przez system bankowości elektronicznej lub w postaci skanu otrzymanego dowodu wpłaty (w przypadku wpłaty za pośrednictwem poczty lub w kasie urzędu).

Zgodnie z przepisami RODO (art. 37 ust. 1) obowiązek wyznaczenia IOD występuje gdy:

• przetwarzania dokonują organ lub podmiot publiczny,
• główna działalność administratora lub podmiotu przetwarzającego polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę,
• główna działalność administratora lub podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych albo danych osobowych dotyczących wyroków skazujących i czynów zabronionych.

Sposób sformułowania przepisu określającego obowiązek wyznaczenia inspektora jest mało precyzyjny, ale takie sformułowanie zostało użyte celowo, właśnie po to, aby administrator danych samodzielnie dokonywał analizy sytuacji i ocenił, czy taki obowiązek w jego przypadku istnieje.

Co więcej – w Wytycznych Grupy Roboczej Art. 29 dotyczących inspektorów ochrony danych (WP 243) zaleca się, aby przeprowadzenie oceny w zakresie istnienia obowiązku wyznaczenia inspektora udokumentować, a nawet powtarzać taką ocenę w razie potrzeby, co jakiś czas. Sytuacja danego podmiotu może się bowiem zmieniać. Na przykład mała przychodnia może stopniowo rozszerzać swoją działalność, obejmując o nowe usługi i świadczenia i po jakimś czasie stać się dużym podmiotem przetwarzającym dane wrażliwe na dużą skalę.

W celu ułatwienia administratorowi dokonania oceny, czy jest zobowiązany do wyznaczenia IOD, Grupa Robocza Artykułu 29 w powołanych wyżej wytycznych zawarła wskazówki, jak należy rozumieć „główną działalność” czy „dużą skalę”, a także wiele praktycznych, konkretnych przykładów sytuacji spełniających te kryteria. Wskazówki oparte są na założeniu, że wraz z rozwojem praktyki ukształtują się standardy, które umożliwią bardziej szczegółowe i/lub kwantytatywne zidentyfikowanie „dużej skali” w odniesieniu do określonych rodzajów przetwarzania.

W Wytycznych zaznaczono, że w przypadku placówek medycznych główną działalnością jest wprawdzie zapewnianie opieki zdrowotnej, ale ta działalność nie byłaby możliwa bez przetwarzania danych w formie dokumentacji medycznej. Jako przykład „działalności głównej polegającej na przetwarzaniu na dużą skalę wrażliwych danych osobowych” jest tam podana działalność szpitali. Natomiast jako przykład przetwarzania nie mieszczący się w definicji dużej skali - zgodnie z motywem 91 RODO - należy wskazać przetwarzanie danych pacjentów przez pojedynczego lekarza lub innego pracownika służby zdrowia (pielęgniarkę, położną).

Warto dodać, że na podstawie tych samych przesłanek RODO przewiduje obowiązek wyznaczenia IOD przez tzw. podmioty przetwarzające, czyli podmioty, które przetwarzają dane osobowe na zlecenie placówek medycznych w związku ze specjalistycznymi usługami, jakie dla nich świadczą, na przykład przechowują dokumentację medyczną lub serwisują sprzęt informatyczny czy diagnostyczny.

Stosownie do art. 83 ust. 4 lit. a ogólnego rozporządzenia o ochronie danych osobowych (RODO), naruszenia obowiązków administratora i podmiotu przetwarzającego odnoszących się do inspektorów ochrony danych (art. 37–39 RODO) podlegają administracyjnej karze pieniężnej do 10 mln euro, a w przypadku przedsiębiorstwa – do 2% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego. Warto sobie uświadomić, że karami administracyjnymi obwarowane są zatem obowiązki administratorów danych i podmiotów przetwarzających dotyczące nie tylko wyznaczania inspektora ochrony danych, posiadania przez niego właściwych kwalifikacji i gwarancji niezależności, ale też zapewnienia, aby wyznaczony inspektor prawidłowo mógł realizować swoje zadania.

Źródło: uodo.gov.pl

Tak, osoba działająca w imieniu administratora/podmiotu przetwarzającego, może do zawiadomienia o wyznaczeniu inspektora ochrony danych załączyć pełnomocnictwo, które będzie uwierzytelnione elektronicznie przez notariusza. W takim przypadku do zawiadomienia należy załączyć pełnomocnictwo poświadczone za zgodność przez notariusza i opatrzone jego kwalifikowanym podpisem elektronicznym (art. 97 § 2 ustawy z dnia 14 lutego 1991 r. Prawo o notariacie, t.j. Dz. U. z 2017 r. poz. 2291 z późn. zm.).

Tak. Opłatę skarbową w kwocie 17 zł uiszcza się w kasie Urzędu Dzielnicy Śródmieście, przy ul. Nowogrodzkiej 43 w Warszawie lub na konto Urzędu Dzielnicy Śródmieście m. st. Warszawy, ul. Nowogrodzka 43, 00 – 691 Warszawa,

Nr konta: 60 1030 1508 0000 0005 5001 0038

W tytule wpłaty, wraz z treścią – opłata skarbowa za pełnomocnictwo - należy zamieścić skrót UODO.

Tak, pełnomocnik ujawniony w CEIDG może dokonać zawiadomienia o wyznaczeniu inspektora ochrony danych. Taki pełnomocnik nie musi przesyłać pełnomocnictwa z uwagi na ww. wpis w CEIDG.

Centra Usług Wspólnych (CUW) są tworzone jako osobne podmioty, a domeną ich działań są najczęściej działania pomocnicze, wykonywane zarówno w odniesieniu do organów wykonawczych, jak i uchwałodawczych samorządu terytorialnego, jak również do obsługi poszczególnych jednostek organizacyjnych, między innymi urzędów, zakładów i jednostek budżetowych. Ostateczną decyzję, zarówno co do powołania samorządowego centrum usług wspólnych, jak i jego kształtu oraz zakresu realizowanych przez niego zadań, podejmuje organ stanowiący danej jednostki samorządu terytorialnego.

CUW nie jest administratorem danych przekazanych przez jednostki obsługiwane. Może je przetwarzać w zakresie i celu niezbędnym do wykonywania zadań w ramach wspólnej obsługi tych jednostek (zgodnie z art. 10d ustawy z dnia 8 marca 1990 r. o samorządzie gminnym, art. 6d ustawy z dnia 5 czerwca 1998 r. o samorządzie powiatowym i art. 8f ustawy z dnia 5 czerwca 1998 r. o samorządzie województwa). W zależności od różnych możliwych rozwiązań stosowanych przez konkretne samorządy, CUW może być natomiast administratorem danych np. swoich pracowników.

Na gruncie ogólnego rozporządzenia o ochronie danych obowiązek wyznaczenia inspektora ochrony danych w sektorze publicznym dotyczyć będzie wszystkich organów i podmiotów publicznych (art. 9 u.o.d.o.), zarówno tych będących administratorami danych, jak i podmiotami przetwarzającymi.

Niemniej nawet w sytuacji, gdyby miał być nim pracownik jednej z tych jednostek, np. pracownik CUW, konieczne jest osobne wyznaczenie IOD przez każdą z tych jednostek, np. każdą szkołę, dom kultury – jako osobnych administratorów. Zatem nawet jeżeli CUW świadczy obsługiwanym podmiotom usługi związane z szeroko rozumianą ochroną danych osobowych, nie jest uprawniony do wyznaczania inspektora ochrony danych w tych podmiotach. Obowiązek wyznaczania inspektora ochrony danych nie może być przeniesiony, np. w drodze uchwały czy porozumienia, na inną jednostkę organizacyjną, np. na CUW.

Każdy z podmiotów zobowiązanych do wyznaczenia inspektora ochrony danych (niezależnie, czy będzie to jedna, ta sama osoba, czy różne osoby) będzie również  zobowiązany - zgodnie z art. 37 ust. 7 RODO  - do opublikowania danych kontaktowych inspektora i zawiadomienia o nich organu nadzorczego. Tak jak obowiązek wyznaczenia inspektora, tak i obowiązek powiadomienia o danych kontaktowych dotyczy zatem każdej jednostki samorządu terytorialnego, o której mowa w art. 37 ust. 1 lit. a RODO.

Zgodnie z art. 37 ust. 3 RODO jednego inspektora będzie mogło powołać - przy uwzględnieniu ich struktury organizacyjnej i wielkości - kilku administratorów danych będących podmiotami publicznymi, np. publiczne placówki oświatowe, muzea. Podmioty takie, np. ze względu na realizowanie zadań publicznych w tym samym obszarze, mogą przyjmować podobne rozwiązania organizacyjne i korzystać z tych samych procedur.

Przepisy RODO nie zawierają wyrażonego wprost zakazu wyznaczania przez kilka podmiotów publicznych tej samej osoby na inspektora ochrony danych poza sytuacją wskazaną w art. 37 ust. 3. Skorzystanie z takiego rozwiązania wymaga dokonania starannej analizy, czy wyznaczona osoba będzie w stanie prawidłowo wypełniać wszystkie swoje obowiązki wobec każdego administratora danych.

Trzeba mieć przy tym świadomość, że wiele z obowiązków inspektorów przewidzianych w RODO wymaga stałego zaangażowania na rzecz administratora, który inspektora wyznaczył oraz tzw. „efektywnej dostępności” inspektora dla osób z danej organizacji. Do zadań IOD należy np. bieżące monitorowanie zgodności przetwarzania danych osobowych z przepisami prawa oraz udzielanie informacji i rad w zakresie obowiązków wynikających z tych przepisów. Zwłaszcza w pierwszych latach stosowania nowych przepisów inspektorzy będą odgrywać ważną rolę we wspieraniu „kultury ochrony danych” i pomagać w zrozumieniu i implementacji wszystkich elementów unijnego rozporządzenia, spośród których wiele jest w naszym systemie prawa nowością.

Trudno będzie również wykonywać równolegle w wielu podmiotach zadania w zakresie punktu kontaktowego dla osób, których dane dotyczą oraz punktu kontaktowego dla organu nadzorczego. Na mocy rozporządzenia każda osoba w każdej sprawie dotyczącej jej danych ma prawo kontaktować się z wyznaczonym dla danej organizacji inspektorem. Organ nadzorczy będzie natomiast mógł wymagać od inspektora gotowości do współpracy w związku z realizacją zadań i uprawnień organu w zakresie prowadzonych postępowań, a także tzw. „uprzednich konsultacji”.

Każda osoba pełniąca funkcję DPO musi unikać konfliktu interesów. Wymóg niepowodowania konfliktu interesów jest ściśle związany z wymogiem wykonywania zadań w sposób niezależny. Zatem z pełnieniem funkcji inspektora wiążą się bardzo konkretne wymagania prawne i wymagań tych trzeba będzie sumiennie przestrzegać.

Źródło: uodo.gov.pl

Podobnie jak w przypadku każdego incydentu związanego z bezpieczeństwem, administrator powinien ustalić, czy naruszenie było wynikiem błędu ludzkiego lub problemu systemowego i zobaczyć w jaki sposób można zapobiec powtórce incydentu - czy to poprzez lepsze procesy, dalsze szkolenia lub inne kroki naprawcze. W celu sprawnej realizacji przez administratorów i podmioty przetwarzające obowiązków w zakresie naruszeń ochrony danych zalecane jest wdrożenie procedur. Ponadto procedura zgłaszania organowi nadzorczemu naruszeń ochrony danych osobowych oraz zawiadamiania o naruszeniach podmiotów danych, powinna być elementem kodeksu postępowania, zgodnie z art. 40 ust. 2 lit. i RODO.

Źródło: UODO

Art. 37 ust. 2 RODO wyraźnie przewiduje możliwość powołania jednego inspektora ochrony danych przez administratorów tworzących grupę przedsiębiorstw, np. grupę kapitałową, o ile będzie można nawiązać z nim kontakt z każdej jednostki organizacyjnej. Grupa przedsiębiorstw została zdefiniowana w przepisach rozporządzenia jako przedsiębiorstwo sprawujące kontrolę oraz przedsiębiorstwa przez nie kontrolowane.

Prawodawca europejski w art. 37 ust. 2 RODO przyjął model niejako „wspólnego wyznaczenia inspektora ochrony danych” przez grupę przedsiębiorstw, ze względu na wzajemne powiązania tych przedsiębiorstw, wspólne regulacje wewnętrzne, podobne zasady i sposoby postępowania z danymi osobowymi.

Każde z przedsiębiorstw, wyznaczając na swojego inspektora tę samą osobę, będzie miało możliwość pozostawania jednocześnie w zgodzie nie tylko z warunkiem wskazanym w tym przepisie (łatwości nawiązania kontaktu z inspektorem), ale też ze wszystkimi innymi wymaganiami określonymi w przepisach prawa co do inspektorów ochrony danych. Co bardzo ważne - w takiej sytuacji możliwe będzie np. racjonalne i wspólne określenie zasad dotyczących zapewnienia takiemu inspektorowi wystarczającej ilości czasu na wypełnianie jego obowiązków, pomoc w stworzeniu planu jego pracy, a w razie potrzeby wsparcie jego funkcjonowania zespołem odpowiednich specjalistów. Inspektor obsługujący grupę podobnie funkcjonujących podmiotów ma możliwość rzetelnego poznania szczegółów ich funkcjonowania oraz obowiązujących je przepisów. Z powyższych powodów rozwiązanie przyjęte w art. 37 ust. 2 wydaje się racjonalne i uzasadnione, i można przypuszczać, że grupy przedsiębiorstw będą chciały z niego korzystać.

Regulacja przyjęta w tym przepisie nie oznacza jednak, że nie jest dopuszczalne wyznaczenie jednej osoby przez kilku administratorów danych poza wskazanym przypadkiem, czyli poza grupą przedsiębiorstw. Przepisy RODO nie zawierają bowiem zakazu w tym zakresie. W każdym przypadku skorzystania z takiego rozwiązania bezwzględnym warunkiem jest to, żeby ta osoba była w stanie autentycznie wypełniać swoje obowiązki wobec każdej obsługiwanej przez niego organizacji i to w sposób w pełni odpowiadający przepisom prawa i potrzebom konkretnego administratora danych (zobacz też odpowiedź na pytanie „Czy podmioty publiczne mogą powołać jednego IOD poza sytuacją uregulowaną w art. 37 ust. 2 RODO?”).

Źródło: uodo.gov.pl

Tak. Rozróżniamy trzy rodzaje cookies:

„Cookies” sesyjne – są to tymczasowe przechowywane w pamięci przeglądarki do momentu zakończenia sesji przeglądarki, czyli do momentu jej zamknięcia. Te cookie są obowiązkowe, aby niektóre aplikacje lub funkcjonalności działały poprawnie.

„Cookies” stałe – dzięki nim korzystanie z często odwiedzanych stron jest łatwiejsze (np. zapewniają optymalną nawigację, zapamiętują wybraną rozdzielczość, układ treści etc.). Te pliki pozostają pamięci przeglądarki przez dłuższy okres. Czas ten zależy od wyboru, którego można dokonać w ustawieniach przeglądarki.

„Cookies” podmiotów zewnętrznych – (ang. third parties cookies) – to pliki pochodzące np. z serwerów reklamowych, serwerów firm i dostawców usług (np. wyszukiwania albo map umieszczanych na stronie) współpracujących z właścicielem danej strony internetowej. Te pliki pozwalają dostosowywać reklamy – dzięki którym korzystanie ze stron internetowych może być bezpłatne – do preferencji i zwyczajów ich użytkowników. Pozwalają również ocenić skuteczność działań reklamowych (np. dzięki zliczaniu, ile osób kliknęło w daną reklamę i przeszło na stronę internetową reklamodawcy).

Źródło: wszystkoociasteczkach.pl

Nie, pliki „cookies” to małe kawałki tekstu. Nie są programami komputerowymi i nie mogą być wykorzystywane jako kody. Ponadto, nie mogą być także wykorzystywane do rozpowszechniania wirusów i każdy użytkownik ma możliwość samodzielnego zarządzania plikami „cookies”. Umożliwiają to np. przeglądarki internetowe, z których korzystamy.

Źródło: wszystkoociasteczkach.pl

W systemie Eurodac odnotowuje się odciski palców następujących kategorii osób, które mają co najmniej 14 lat życia:

1. cudzoziemców ubiegających się o azyl,
2. osób zatrzymanych przez właściwe organy kontrolne w związku z nielegalnym przekroczeniem granicy lądowej, morskiej lub powietrznej Państwa Członkowskiego przybywającej z terytorium państwa trzeciego i nie podlegających zawróceniu,
3. cudzoziemców nielegalnie przebywających na terytorium Państwa Członkowskiego, w celu sprawdzenia czy cudzoziemiec ten nie złożył wcześniej wniosku o udzielenie azylu w innym Państwie Członkowskim,

W systemie oznaczane są dodatkowo dane osób, którym jedno z państw członkowskich UE przyznało ochronę międzynarodową.

Rozporządzenie Eurodac ustanawia ponadto warunki, na jakich wyznaczone organy państw członkowskich oraz Europejski Urząd Policji (Europol) mogą występować z wnioskiem o porównanie danych daktyloskopijnych z danymi przechowywanymi w systemie centralnym na potrzeby ochrony porządku publicznego.

 Źródło: uodo.gov.pl

To niewielkie informacje nazywane ciasteczkami (z ang. cookie – ciastko), wysyłane przez serwis internetowy, który odwiedzamy i zapisywane na urządzeniu końcowym (komputerze, laptopie, smartfonie), z którego korzystamy podczas przeglądania stron internetowych.

Wszystkie działające w internecie serwisy – wyszukiwarki, strony informacyjne, newsowe, sklepy internetowe, strony urzędów państwowych i innych instytucji publicznych, mogą prawidłowo działać dzięki wykorzystaniu „cookies”.

Ciasteczka umożliwiają m.in. zapamiętanie naszych preferencji i personalizowanie stron internetowych w zakresie wyświetlanych treści oraz dopasowania reklam. Dzięki „cookies” możliwe jest też rejestrowanie produktów i usług czy głosowanie w internetowych ankietach.

Źródło: wszystkoociasteczkach.pl