Rejestr Czynności Przetwarzania – mapowanie procesów

Do opracowania rejestru czynności przetwarzania niezbędne jest mapowanie procesów. Jak to zrobić w praktyce? Poniżej prezentujemy praktyczny poradnik.

Do czego jest mi potrzebne mapowanie procesów?

Do niedawna większość administratorów danych osobowych, tworząc fundamenty systemu ochrony danych osobowych bazowała na zbiorach danych. Zbiory danych osobowych należało zgłaszać do regulatora bądź ujawniać w tzw. jawnym rejestrze.

RODO wprowadziło w przedmiotowej materii daleko idącą modyfikacje. Nie musimy już zgłaszać zbiorów danych do regulatora, czy prowadzić jawnego rejestru.

Za to w wielu przypadkach naszym obowiązkiem jest prowadzenie rejestru czynności przetwarzania (RCP). Aby przygotować rejestr, konieczne jest jednak mapowanie procesów i powiązanie przetwarzanych danych osobowych w zbiory.

Nawet jeśli nasza organizacja nie musi prowadzić RCP, to musimy być w stanie wykazać się podstawą prawną przetwarzania danych osobowych w danym procesie. Żeby sprawdzić czy nasze procesy przetwarzania danych są legalne, musimy w ogóle wiedzieć o jakich procesach mowa.

W ten sposób wracamy do punktu wyjścia – bez mapowania procesów, jakiekolwiek dalsze kroki dostosowawcze do RODO, nie mają większego sensu.

Dobrze przygotowana mapa procesów przetwarzania danych, będzie stanowiła fundament systemu ochrony danych osobowych w naszej organizacji przez wiele lat.

Wyodrębnienie zbiorów danych

Aby zebrać pełną i jednolitą informację, o wszelkich czynnościach oraz procesach realizowanych na danych, pomocne okaże się przeprowadzenie krótkiego audytu.

Polecam zacząć od analizy schematu organizacyjnego instytucji czy przedsiębiorstwa. Usystematyzowanie wewnętrznej struktury pomoże na wstępie dokonać podziału na bloki danych gromadzonych we wszystkich komórkach organizacyjnych.

Zabieg ten ma na celu wyodrębnienie konkretnych zbiorów danych jako bazy, na którą nałożone będą odpowiednie procesy przetwarzania..

Jak już wcześniej wspominaliśmy Ogólne rozporządzenie o ochronie danych całkowicie znosi wymóg zgłaszania zbiorów danych do regulatora. ochronie danych całkowicie znosi wymóg zgłaszania zbiorów danych do Regulatora.

Samo wyodrębnienie zbiorów danych w organizacji pozostaje niezbędną praktyką, gdyż dokładnie porządkuje, przygotowuje i systematyzuje wszelkie dalsze czynności.

Jest także podstawą do przygotowania wymaganego przez RODO w wielu przypadkach rejestru czynności przetwarzania (RCP).

rcp i rkcp

Rejestr czynności przetwarzania (RCP) i RKCP

Chcesz spełnić wymóg RODO i prowadzić Rejestr Czynności Przetwarzania oraz Rejestr Kategorii Czynności Przetwarzania, ale nie wiesz od czego zacząć?

Działaj na sprawdzonym szablonie, którego autorem są eksperci Lex Artist – lidera na rynku ochrony danych osobowych w Polsce.

Sprawdź

Czym jest zbiór danych i jak go wyodrębnić?

Zbiór danych osobowych, w każdym systemie ochrony danych osobowych to punkt wyjścia i klucz do skutecznego stosowania wymogów prawa. Zgodnie z art. 4 pkt 6 Ogólnego rozporządzenia o ochronie danych  zbiór danych to: „uporządkowany zestaw danych osobowych dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest scentralizowany, zdecentralizowany czy rozproszony funkcjonalnie lub geograficznie”.

Ujmując tę kwestię bardziej praktycznie, sposobem do najprostszego wyodrębnienia zbiorów danych jest uwzględnienie pewnych kryteriów, w oparciu o które należy je rozróżniać, takich jak: dostęp do zbioru, cel i zakres przetwarzania danych, podstawa prawna czy kategorie osób których dane dotyczą.

Najlepiej jednak zrozumieć pojęcie zbioru danych, analizując poniższe aspekty.

Jak nazwać zbiory danych?

Nazewnictwo zbioru danych ma charakter czysto umowny, zbiorom możemy więc nadawać nazwy według własnego uznania. Jednak z praktycznego punktu widzenia przyjmuje się, że nazwa powinna być prosta i czytelna, aby wyszczególnienie struktury zbiorów było logiczne i zrozumiałe. Przykładowe zbiory danych wyodrębniane w organizacjach to:

Przykładowe zbiory danych osobowych

  • pracownicy i współpracownicy
  • rekrutacja
  • kontrahenci
  • klienci
  • potencjalni klienci (zbiór marketingowy)
  • rejestr korespondencji
  • monitoring
  • reklamacje
  • postępowania sądowe
  • księga gości czy rejestr osób wchodzących i wychodzących do budynków
  • serwisy internetowe
  • dane powierzone

Ile zbiorów danych wyodrębnić?

Kolejnym problemem, przed którym możemy stanąć wyodrębniając zbiory danych jest ich liczba. W tym miejscu należy zastanowić się co może podlegać ochronie w naszej organizacji?

Naturalnie katalog danych będzie adekwatny do jej wielkości, struktury czy zakresu działalności, ponieważ każda instytucja czy przedsiębiorstwo ma swoją specyfikę.

W związku z tym występują w nich różnice w posiadanych zbiorach danych. Za każdym razem musi przyświecać nam jednak myśl, czy w przypadku mojej organizacji wyodrębnienie danej liczby zbiorów będzie uzasadnione, praktyczne i co najważniejsze – funkcjonalne?

Zdecydowanie sugerujemy nie wyróżnianie zbyt dużej ilości zbiorów danych osobowych. W praktyce średnie ilości wyróżnianych zbiorów danych to 8 – 20 w organizacji.

Rejestr Czynności Przetwarzania – mapowanie procesów a zbiory danych

Po wyodrębnieniu zbiorów danych, czas na przyporządkowanie do nich procesów funkcjonujących w organizacji. To właśnie na tym polega tzw. podejście procesowe, które jest mocno promowane przez RODO.

Aby lepiej zrozumieć zależność pomiędzy zbiorami danych, a procesami przetwarzania danych w ramach zbioru, poniżej przedstawiam przykładowe propozycje, odpowiednie dla dokumentacji ochrony danych średniej wielkości instytucji czy przedsiębiorstwa:

Nazwa zbioruProcesy

Pracownicy i współpracownicy

• realizacja praw i obowiązków pracowniczych w ramach zatrudnienia

• przetwarzanie danych w ramach Zakładowego Funduszu Świadczeń Socjalnych

• korzystanie przez pracowników z dodatkowych benefitów (kart sportowych, ubezpieczenia, opieki medycznej)

• konkursy pracownicze

• wykorzystywanie wizerunku pracowników

• monitorowanie aktywności pracowników w sieci teleinformatycznej

• podnoszenie kwalifikacji i szkolenia pracowników

• prowadzenie floty samochodów

Rekrutacja• prowadzenie bieżących rekrutacji

• wykorzystywanie dokumentów aplikacyjnych kandydatów do pracy w przyszłych rekrutacjach

Kontrahenci

• nawiązywanie współpracy

• czynności związane z realizacją zawartych umów

• procedura zatwierdzania i monitorowania dostawców

• księgowanie i archiwizowanie dokumentów księgowych

Klienci

• nawiązywanie współpracy

• realizacja zawartych umów/zamówień

• informowanie klientów na temat nowych produktów

Rejestr korespondencji• ewidencja korespondencji oraz odbiór i wysyłanie korespondencji
Reklamacje• rozpatrywanie reklamacji klientów w zakresie oferowanych produktów
Postępowania sądowe• dochodzenie roszczeń, podejmowanie działań o charakterze windykacyjnym
Serwisy internetowe

 • świadczenie usługi Newsletter

• autorzy komentarzy

• użytkownicy posiadający konto

Rejestr Czynności Przetwarzania – mapowanie procesów – najczęstsze błędy

 W toku mapowania procesów wystrzegajmy się podstawowych błędów.

Błąd nr 1 - zbyt szczegółowo

Zmapowane przez nas procesy staną się w przyszłości kluczowym elementem RCP. Jeśli mapując procesy, zrobimy to zbyt szczegółowo, doprowadzimy do tego, że system ochrony danych osobowych nie będzie skuteczny.

Zarządzanie np. trzystoma procesami przetwarzania danych osobowych w średniej wielkości organizacji nie będzie możliwe w praktyce. Pamiętajmy o tym, że każdy zmapowany proces musimy powiązać z przesłanką legalności, przeanalizować pod kątem powierzenia etc.

W audycie finansowym istnieją specjalne procedury, mówiące o tym, że jeśli wykryte nieścisłości są odpowiednio mało istotne – to nie zajmujemy się nimi w ogóle. Takie zdroworozsądkowe podejście jest wskazane również w audycie RODO.

Błąd nr 2 - zbyt ogólnikowo

Jeśli podejdziemy do tematu na zbyt ogólnym poziomie, może okazać się, że pominęliśmy jakiś istotny proces. Nie zostanie on sprawdzony pod kątem przesłanki legalności, nie zostanie podpisana umowa powierzenia etc.

Proces będzie funkcjonował całkowicie obok budowanego przez nas systemu. To potencjalnie niebezpieczna sytuacja.

Z perspektywy naszego doświadczenia, procesy szczególnie warte zmapowania i uwzględnienia w RCP to procesy:

  • powtarzalne, realizowane na masową skalę
  • w ramach których przetwarzana jest duża ilość danych osobowych
  • budzące duże ryzyka prawne, a więc działania powiązane z działalnością marketingową czy te które dotyczą danych wrażliwych
  • w ramach których już wystąpiły jakieś trudności, skargi czy zastrzeżenia osób, których dane dotyczą

Przygotowanie rejestru czynności przetwarzania (RCP)

Jeśli udało Ci się wyodrębnić zbiory danych i nanieść na nie procesy przetwarzania – brawo!

Na tym właśnie polega mapowanie procesów, o którym tak dużo się mówi. Dzięki odpowiednio zmapowanym procesom, masz teraz świadomość tego co dokładnie dzieje się z danymi osobowymi w Twojej organizacji.

Jednak to dopiero początek góry RODOwej…Teraz zebrane dane posłużą do stworzenia rejestru czynności przetwarzania, do którego prowadzenia większość przedsiębiorców zobowiązuje art. 30 ust. 5 RODO.

Rejestr czynności przetwarzania jest czymś znacznie więcej niż sama mapa zbiorów i procesów. Jednak to właśnie zmapowane przez Ciebie zbiory i procesy staną się fundamentem RCP.

Poradnik dotyczący tworzenia i prowadzenia samego RCP – już wkrótce.

e-learning RODO

Zminimalizuj ryzyko naruszenia RODO w Twojej organizacji – przeszkól zespół.

Zależy Ci na tym aby Twoi pracownicy otrzymali certyfikat i poznali praktyczną wiedzę z zakresu RODO zamiast nużących regułek?

Sprawdź nasze interaktywne szkolenia e-learningowe.

Sprawdź

 

Powiązane artykuły

rodo faq
Zgodność z RODO – jak efektywnie raportować ją Zarządom?
Kontrola trzeźwości – co na to nowelizacja kodeksu pracy?
Praca zdalna a RODO – co na to nowelizacja kodeksu pracy?

30 Odpowiedzi

  1. Dzień dobry.
    Jeżeli jesteśmy osobowo (osobami z Zarządu) powiązani z szwajcarską spółką X i ściśle współpracujemy, między innymi np przy rekrutacji – przekazujemy dane kandydatów specjalistom z tamtej spółki, w celu weryfikacji kandydatów. To czy spółka szwajcarska jest współadministratorem, czy odbiorcą danych?

    A również – jeżeli my przekazujemy księgowej jedynie ewidencję czasu pracy, a ona przygotowuje wszystkie rozliczenia, formularze, zgłoszenia ZUS – to czy my jesteśmy administratorami tych czynności i powinniśmy je uwzględnić w naszym rejestrze, czy jako że powierzamy to podmiotowi przetwarzającemu, nie musimy uwzględniać tego w rejestrze?

    Z góry dziękuję za informacje!

    1. Kancelaria Lex Artist

      Dzień dobry. Z uwagi na prostszą konstrukcję, w przypadku przekazywania danych do Szwajcarii należy zastosować powierzenie przetwarzania danych osobowych. Jednocześnie, realizując obowiązek informacyjny, należy poinformować kandydatów do pracy, że ich dane będą przekazywane do państwa trzeciego, jakim jest Szwajcaria i że państwo to, na mocy decyzji Komisji Europejskiej z 2000 r. jest państwem, w którym stwierdzono odpowiedni poziom ochrony. Z kolei w przypadku księgowej – należy zawrzeć umowę powierzenia przetwarzania danych osobowych i zarazem umieścić tę czynność przetwarzania w rejestrze czynności przetwarzania administratora danych. Pozdrawiamy!

      1. Magda

        Dziękuję za szybką odpowiedź. Doprecyzowując temat księgowej – w rejestrze wpisuję „czynność przekazania powierzenia danych do Biura Księgowego celem obsługi kadrowej”, czy dokładnie „Tworzenie rozliczeń ZUS, rozliczenia płacowe, itd” ?

  2. Łukasz

    Witam, artykuł świetny jednak dalej nie wynika z niego co tak naprawdę powinno się znaleźć w RCP – rejestr zbiorów czy rejestr procesów. Jeżeli rejestr zbiorów to po co mapować procesy skoro we wzorze RCP zamieszczonym przez GIODO nie ma miejsca na wyliczanie procesów, natomiast jeżeli ma to być rejestr procesów to po co w ogóle tworzyć ogólnikowe zbiory danych jeżeli takich procesów tak jak w mojej firmie dla jednego zbioru jest 28. Kolejna sprawa to same zbiory – firmy, które już dawno powinny mieć politykę bezpieczeństwa informacji oraz instrukcję zarządzania systemem informatycznym takie „mapowanie procesów” już dawno mają wykonane. W mojej firmie w polityce znajduje się 10 zbiorów danych, a procesy o których mowa w artykule to znajdujące się w zbiorach dokumentacje służące do przetwarzania zbioru danych

    1. Kancelaria Lex Artist

      Dzień dobry. Dziękujemy za miłą recenzję. Cóż – każdy podmiot ma nieco inne podejście do tego jak definiować procesy, czy wyodrębniać jeszcze wyższą kategorię, jaką są zbiory. Decyzja w tym zakresie należy do administratora danych. GIODO, zamieszczając przykładowy RCP, wyraźnie wskazał, iż jest on „przykładowy”, także mamy w tym zakresie pewien luz decyzyjny. Formalnie nie jest to rejestr procesów, tylko rejestr czynności przetwarzania, które mogą się nieco różnić od procesów biznesowych, które znamy z nauki o procesach. Pozdrawiamy!

  3. Admin

    Witam,
    W końcu ktoś jasnym językiem wyjaśnił co to są zbiory i procesy. Pracuję w szkole i mieliśmy ostatnio prawnika, który nam robił z tego szkolenie jednak mówił takim językiem i tak ogólnikowo, że nic z tego szkolenia nie wyniosłem.
    Jeżeli chodzi o komentarze to dobrze rozumiem, że w polityce musimy mieć zamieszczony rejestr zbiorów danych oraz procesów i jednocześnie prowadzić jeszcze rejestr czynności przetwarzania, czy RPC zastępuje posiadany przez nas rejestr zbiorów….
    Pozdrawiam wszystkich wkręconych w rodo 🙂

    1. Kancelaria Lex Artist

      Dzień dobry. Dziękujemy za miłą opinię! 😀 RCP zastępuje prowadzony rejestr zbiorów. Obowiązku prowadzenia rejestru zbiorów w Polityce ochrony danych nie ma, ale nie ma również przeszkód, by go tam zamieścić – to pozostaje do decyzji administratora danych. Pozdrawiamy!

  4. Julia

    Witam! jesteśmy firmą budowlaną, zastanawiam się, czy powinniśmy wysłać maile informacyjne do każdej z firm z którą współpracowaliśmy (nadal posiadamy ich dane) i z którą współpracujemy nadal (firmy podwykonawcze, Inwestorzy, hurtownie, gdzie zamawiamy materiały) z informacją o celu i zasadach przetwarzania przez Naszą firmę danych osobowych oraz o przysługujących prawach związanych z przetwarzaniem wspomnianych danych? Czy maile, które otrzymujemy od innych firm o treści powyżej, powinniśmy zachowywać w celu rejestracji, gdzie została wyrażona zgoda na przetwarzanie danych? Pozdrawiam!

    1. Kancelaria Lex Artist

      Dzień dobry. Generalnie RODO takiego obowiązku nie stawia przed administratorami danych, ale spełnienie zaktualizowanego obowiązku informacyjnego na pewno jest dobrą praktyką. Pozdrawiamy!

  5. Łukasz

    Witam ponownie,
    Czytałem dzisiaj artykuł, że firmy zatrudniające mniej niż 250 osób są zwolnione z prowadzenia RCP o ile nie przetwarzają danych wrażliwych – w związku z tym, że pracuję w szkole, gdzie zatrudnionych jest niecałe 50 osób w takim RCP zawieram tylko te zbiory, w których są dane wrażliwe?
    Pozdrawiam

    1. Kancelaria Lex Artist

      Dzień dobry. Obowiązki w zakresie prowadzenia rejestru czynności przetwarzania nie mają zastosowania do przedsiębiorcy lub podmiotu zatrudniającego mniej niż 250 osób, chyba że przetwarzanie, którego dokonują, może powodować ryzyko naruszenia praw lub wolności osób, których dane dotyczą, nie ma charakteru sporadycznego lub obejmuje szczególne kategorie danych osobowych (co dotyczy także szkoły). Zgodnie z opinią grupy roboczej artykułu 29 ds. ochrony danych osobowych w sprawie wyjątków od obowiązku prowadzenia rejestru czynności przetwarzania zgodnie z artykułem 30 ust 5 RODO, organizacje takie jak Państwa szkoła muszą prowadzić RCP jedynie dla czynności wskazanych w artykule 30 ust 5 RODO, tj. „danych wrażliwych”. W związku z tym, obowiązek prowadzenia RCP istnieje jedynie dla rodzajów przetwarzania, które zawierają „dane wrażliwe”. Pozdrawiamy!

      1. Łukasz

        Dziękuję za wyczerpującą odpowiedź – proszę jeszcze powiedzieć, czy dobrze myślę – sąsiad prowadzi małą firmę zatrudniającą 3 osoby, faktury wypisuje komputerowo, a sprawy finansowe (ZUS itp.) wykonuje mu księgowa. W takiej sytuacji kolega musi posiadać politykę, instrukcję, umowę powierzenia danych do firmy księgowej ale RCP już nie robi?

  6. Agnieszka

    Dzień Dobry,

    Mam pytanie dotyczące tego, kto powinien prowadzić rejestr czynności przetwarzania w firmie? wiem, że administrator, ale jeśli firma jest naprawdę rozbudowana ponad 5 tyś. pracowników i wiele działów i procesów, czy jego prowadzenie powinno należeć do każdego działu, który przetwarza dane?

    1. Kancelaria Lex Artist

      Dzień dobry. Powinien prowadzić go administrator, jednak nie ma przeszkód, aby każdy dział dodał do rejestru „coś od siebie” tzn. uzupełnił te czynności, którymi dany dział się zajmuje. Pozdrawiamy!

      1. Ania

        Witam! Chciałabym się dowiedzieć, co to znaczy „prowadzić rejestr czynności”. Czy to oznacza, że np. co miesiąc wpisuję w rejestrze czynności, które miały miejsce w danym miesiacu (np. kandydaci do pracy- prowadzenie rekrutacji). Czy może stwarzam rejest obejmujący czynnosći, które najczęśćiej występują w firmie i ew. dodaję nowe czynnosci, które mogą się pojawić (mogą powstać) podczas prowadzenia firmy?
        Kiedy ukaże się „Poradnik dotyczący tworzenia i prowadzenia samego RCP”?

        1. Kancelaria Lex Artist

          Dzień dobry. Prowadzenie rejestru to raczej ta druga opcja, którą Pani przedstawiła. Co do poradnika – konkretnego terminu nie jesteśmy w stanie w tej chwili podać. Zachęcamy do zapoznania się z przykładowym RCP na stronie jeszcze ówczesnego GIODO. Pozdrawiamy!

  7. Anna

    Witam, jak rozumieć pojęcie „zautomatyzowanego przetwarzania danych” w kontekście obowiązku informacyjnego? Chodzi o to, że dane przetwarzane są w jakimś programie księgowym?

    1. Kancelaria Lex Artist

      Dzień dobry. Musimy wyprowadzić Panią z błędu, obowiązek informacyjny dotyczy wyłącznie „zautomatyzowanego podejmowania decyzji” – to coś zupełnie innego niż wspomniane przez Panią zautomatyzowane przetwarzanie danych. Korzystanie z programu księgowego jest zautomatyzowanym przetwarzaniem danych, ale nie jest zautomatyzowanym podejmowaniem decyzji. 🙂 Pozdrawiamy!

  8. Gabrysia

    Dziękuję Wam za cenne porady! Dostałam dzisiaj umowę powierzenia przetwarzania danych osobowych między firmą a weterynaryjnym laboratorium diagnostycznym, które jako podmiot przetwarzający chce przetwarzać takie dane OSOBOWE jak na przykład „wiek zwierzęcia”, „płeć zwierzęcia”, „dane dotyczące wycinków histopatologicznych”… co z takim „fantem” zrobić?
    Pozdrawiam

    1. Kancelaria Lex Artist

      Dzień dobry i na początek dziękujemy za miłe słowa! 🙂 Podane dane nie są danymi osobowymi, niezależnie jak bardzo kochamy nasze zwierzaki. 😀 Pozdrawiamy!

  9. Alicja

    Wspaniały blog, pełen cennych porad 🙂
    Mam pytanie odnośnie zakresu upoważnienia do przetwarzania danych przez kierowników. Czy mogą mieć dostęp do wynagrodzeń i listy obecności swoich pracowników? Czy potrzebna jest tu zgoda podwładnego?

    1. Kancelaria Lex Artist

      Dziękujemy! 🙂 Jeśli chodzi o dostęp do listy obecności – nie widzimy tutaj problemu. Natomiast co do wynagrodzeń – należałoby wpierw ustalić jaki jest cel gromadzenia takich informacji przez kierownika i czy w przepisach RODO znajdzie się podstawa prawna do tego, aby tę kategorię danych pracowników przetwarzać. W relacjach pracodawca (kierownik) – pracownik, należy raczej unikać zgody jako podstawy prawnej, ponieważ łatwo można narazić się na zarzut naruszenia dobrowolności zgody. Pozdrawiamy!

  10. Łukasz

    Czy powinienem wyodrębnić w osobny zbiór danych, informacje DANE DO WYSYŁKI w przypadku kiedy mój klient może podać dowolny adres wysyłki? – czasem podaje własny – towar wysyła do siebie, czasem wysyła bezpośrednio do swojego klienta – podaje wtedy jego adres. Dane te są zapisane w panelu sklepu.
    Pozdrawiam Łukasz

    1. Lex Artist

      Dzień Dobry 🙂 Jeśli dane do wysyłki zapisywane są w panelu sklepu nie widzimy potrzeby wyodrębnienia zbioru DANE DO WYSYŁKI. Można zastanowić się nad wyodrębnieniem zbioru KLIENCI E-SKLEPU, ale w tej kwestii mamy za mało informacji. W razie potrzeby zapraszamy na indywidualne konsultacje Telefon: + 48 535 400 091. pozdrawiamy

Zostaw odpowiedź

* pola obowiązkowe

Administratorem danych osobowych jest Lex Artist sp. z o.o., ul. Szańcowa 74/1, 01-458 Warszawa. Dane osobowe będą przetwarzane w celu umieszczenia i obsługi komentarza na blogu. Przysługują Panu/Pani następujące prawa: prawo dostępu do treści danych, prawo do sprostowania danych, prawo do usunięcia danych, prawo do ograniczenia przetwarzania danych, prawo do wniesienia sprzeciwu, prawo do wniesienia skargi do organu nadzorczego. Pełna treść klauzuli informacyjnej znajduje się tutaj.

Zanonimizowany ciąg znaków stworzony na podstawie Pani/Pana adresu email (tak zwany hash) może zostać przesłany do usługi Gravatar w celu sprawdzenia czy jej Pan/Pani używa. Polityka prywatności usługi Gravatar jest dostępna tutaj. Po zatwierdzeniu komentarza obrazek profilowy jest widoczny publicznie w kontekście twojego komentarza.

Czas na rodo

Czy wiesz że?

Prowadzimy najpopularniejszy w Polsce kanał na YouTube poświęcony RODO.

Oglądaj czas na RODO