Czy powiadamiać Cię o nowych wpisach?

Bądź na bieżąco - z nami nie ominą Cię żadne zmiany w przepisach.

Zapisz się

Informujemy, że Administratorem danych osobowych jest Lex Artist sp. z o.o., ul. Szańcowa 74/1, 01-458 Warszawa. Dane osobowe zostały przekazane dobrowolnie i będą przetwarzane wyłącznie w celu przesłania powiadomień o nowych wpisach na blogu oraz nowych usługach. Bez wyraźnej zgody dane osobowe nie będą udostępniane innym odbiorcom danych. Mają Państwo prawo dostępu do swoich danych oraz ich poprawiania poprzez kontakt: newsletter@blog-daneosobowe.pl

Rejestr Czynności Przetwarzania (RCP)

Jest to trzecia część serii artykułów - poradników poświęconych opracowaniu dokumentacji RODO. Poniżej lista artykułów z cyklu "Dokumentacja RODO", które do tej pory zostały opublikowane:

Ogólne rozporządzenie o ochronie danych (RODO) nakłada na Administratora Danych obowiązek prowadzenia rejestru czynności przetwarzania, za które jest on odpowiedzialny. Obligatoryjne elementy rejestru oraz warunki jego prowadzenia, w tym przewidywane zwolnienia z tego obowiązku, określa art. 30 RODO.

Tak jak to ma miejsce w innych przypadkach, tak i ten przepis RODO może budzić wątpliwości, co do znaczenia użytych w jego treści pojęć. To z kolei może wpłynąć na prawidłowość wykonania nałożonego przez RODO obowiązku. Bazując na naszych dotychczasowych doświadczeniach, w naszym artykule postaramy się jasno wskazać co konkretnie powinno się w tym rejestrze znaleźć i jakie są najpraktyczniejsze sposoby jego prowadzenia.

Czynność przetwarzania danych

Rejestr czynności przetwarzania stanowi podstawową dokumentację związaną z przetwarzaniem danych osobowych. Zastąpił on obowiązek zgłaszania zbiorów danych do organu nadzorczego oraz jawny rejestr Administratora Bezpieczeństwa Informacji, które były przewidziane Ustawą o ochronie danych osobowych z 1997 r.

Rejestr ma charakter wewnętrzny, tj. nie musi być nigdzie ujawniany (np. na stronie internetowej). Prawidłowo prowadzony, pozwoli Administratorowi Danych rozliczyć się przed organem nadzorczym w przypadku kontroli.

W rejestrze powinny zostać wskazane wszelkie czynności związane z przetwarzaniem danych osobowych. Nie należy przy tym utożsamiać pojęcia czynności przetwarzania z operacjami przetwarzania. Operacje przetwarzania zostały zdefiniowane w art. 4 pkt 2 RODO i są to m.in. zbieranie, porządkowanie, usuwanie danych osobowych. Z kolei na czynności przetwarzania należy patrzeć przez pryzmat celu, dla którego dane osobowe są przetwarzane. W tym zakresie, zbliżamy się więc do pojęcia zbioru danych osobowych. W praktyce bowiem, wyodrębnianie zbiorów przez Administratora Danych następowało właśnie w oparciu o kryterium celu. Postawienie znaku równości pomiędzy tymi dwoma pojęciami byłoby jednak zbyt daleko idące. W każdym bowiem zbiorze, czyli uporządkowanym zestawie danych osobowych, jesteśmy w stanie zdefiniować kilka czynności (nazywanych również procesami) przetwarzania.

Przykład

Zbiór Czynność przetwarzania
Kadry
  • Prowadzenia akt osobowych
  • Prowadzenie dokumentacji umów cywilnoprawnych
  • Prowadzenie dokumentacji ZUS
  • Prowadzenie dokumentacji podatkowej
  • Bezpieczeństwo i higiena pracy
  • Zarządzanie flotą samochodów służbowych
Klienci
  • Zawieranie i realizacja umowy
  • Windykacja
  • Przesyłanie informacji o nowych usługach

Więcej informacji o tym, jak prawidłowo zmapować czynności przetwarzania zachodzące w strukturze Administratora Danych, znajduje się w naszym wcześniejszym artykule: https://blog-daneosobowe.pl/rejestr-czynnosci-przetwarzania-mapowanie-procesow/

Elementy obligatoryjne

Obok wskazania czynności przetwarzania danych, Administrator Danych zobowiązany jest do zamieszczenia w swoim rejestrze szeregu innych informacji, które zostały określne w artykule 30 ust. 1 RODO.

1. Imię i nazwisko lub nazwa oraz dane kontaktowe administratora, współadministratorów, przedstawiciela administratora oraz inspektora ochrony danych

Określenie podmiotu prowadzącego rejestr, czyli Administratora Danych, nie powinno stanowić problemu. To samo dotyczy wskazania Inspektora Ochrony Danych. Oczywiście, o ile został on powołany w organizacji. Należy przy tym wskazać, że w rejestrze oprócz danych kontaktowych IOD, wskazujemy również jego imię oraz nazwisko (inaczej niż np. w klauzulach informacyjnych kierowanych do osób, których dane dotyczą, gdzie wystarczy sam kontakt).

Wyznaczenie i wskazanie w rejestrze przedstawiciela jest obowiązkowe dla Administratorów Danych niemających jednostek organizacyjnych w Unii, którzy przetwarzają dane osobowe osób przebywających w Unii, a prowadzone przez nich czynności przetwarzania wiążą się z oferowaniem towarów lub usług takim osobom lub monitorowaniem ich zachowania, o ile dochodzi do niego w Unii. Jest to o tyle istotne, że często zdarza się błędna interpretacja pojęcia przedstawiciela. Niektórzy Administratorzy Danych jako przedstawicieli wskazują osoby uprawnione do ich reprezentowania. Należy zdecydowanie podkreślić, że z przedstawicielem mamy do czynienia jedynie wówczas, gdy Administratorem Danych jest podmiot spoza terytorium Unii Europejskiej.

To co może budzić większe wątpliwości, to wskazanie współadministratorów. Dla przypomnienia, za współadministratorów uznaje się co najmniej dwóch administratorów, wspólnie ustalających cele i sposoby przetwarzania danych (art. 26 RODO). Współadministrowanie może dotyczyć wszystkich, bądź tylko wybranych czynności przetwarzania (np. wspólne akcje marketingowe). O ile zatem określenie Administratora Danych, IOD czy też przedstawiciela ma charakter całościowy, to wskazanie współadministratorów powinno odbywać się w ramach konkretnej czynności przetwarzania ujawnionej w rejestrze.

Co interesujące, prawodawca unijny użył liczby mnogiej przy wskazywaniu danych kontaktowych (ang. contact details). Może to sugerować, że wymagane jest wskazanie co najmniej kilku kanałów komunikacji z Administratorem Danych, jego przedstawicielem, współadministratorami lub Inspektorem Ochrony Danych. Za niewystarczające uznaje się m.in. podanie jedynie adresu strony internetowej lub adresu email. Ma to m.in. związek z obowiązkiem udostępniania rejestru organowi nadzorczemu. Dokładne wskazanie dróg kontaktu z podmiotami odpowiedzialnymi za procesy przetwarzania danych osobowych zdecydowanie ułatwi organowi prowadzenie konsultacji w tym zakresie.

2. Cele przetwarzania

Cele przetwarzania danych osobowych powinny zostać wskazane w rejestrze w sposób precyzyjny w oparciu o istniejący w tym zakresie stan faktyczny. Tak jak zostało to wskazane na wstępie, cele przetwarzania ściśle związane są z dokonywanymi czynnościami przetwarzania danych. Administrator Danych określa cel oraz legitymizuje prowadzone przez siebie przetwarzanie, zgodnie z odpowiednią podstawą prawną wskazaną w art. 6 ust. 1 RODO lub art. 9 ust. 2 RODO.

3. Opis kategorii osób, których dane dotyczą oraz kategorii danych osobowych

Wskazanie w rejestrze kategorii osób, których dane dotyczą nastąpić powinno poprzez określenie grup podmiotów danych, np. pracownicy, klienci, kontrahenci, subskrybenci Newslettera, itp. Określając je, Administrator Danych powinien uwzględnić cechy oraz wspólne powiązania tych osób.

Przykład

Kategoria osób Powiązania
Pracownicy Osoby współpracujące z Administratorem Danych na podstawie umowy o pracę
Współpracownicy

 

Osoby współpracujące z Administratorem Danych na podstawie umów cywilnoprawnych
Klienci Podmioty, z którymi Administratora Danych łączą umowy na oferowane usługi
Przedstawiciele klientów Osoby kontaktowe z ramienia Klientów uczestniczące w realizacji zawartych umów na oferowane usługi


Określenie
kategorii przetwarzanych danych osobowych może nastąpić dwojako, albo poprzez wskazanie typów i rodzajów danych (np. dane identyfikacyjne, dane kontaktowe) albo poprzez wskazanie zakresu informacji (np. imię, nazwisko, email, adres). Biorąc pod uwagę zasadę rozliczalności, zasadnym będzie przyjęcie przez Administratora Danych drugiego ze wskazanych rozwiązań. Warto również określić, czy mamy do czynienia z danymi zwykłymi, czy też ze szczególnymi kategoriami danych osobowych (art. 9 ust. 1 RODO), bądź z danymi podlegającymi szczególnym warunkom przetwarzania (art. 10 RODO).

4. Kategorie odbiorców, którym dane osobowe zostały lub zostaną ujawnione, w tym odbiorców w państwach trzecich lub w organizacjach międzynarodowych

Pod pojęciem odbiorcy danych rozumiemy wszelkie podmioty, którym ujawnia się dane osobowe, czyli zarówno podmioty, którym dane osobowe są udostępniane, jak i podmioty, którym Administrator Danych powierzył przetwarzanie danych osobowych.

Pomimo tego, że RODO nie wymaga podania pełnych danych odbiorców, dopuszczając wymienianie tylko ich kategorii, to punktem wyjścia, w ramach realizacji powoływanej już zasady rozliczalności, powinna być jednak próba konkretnego zdefiniowania tych podmiotów. Tym bardziej, że ich tożsamość powinna być znana Administratorowi Danych. Istnieje bowiem, albo konieczność zwarcia umowy powierzenia z takim podmiotem, bądź też wskazania podstawy prawnej udostępnienia mu danych osobowych.

Odbiorcy danych powinni zostać określeni do każdej czynności przetwarzania oddzielnie. Warto również zdefiniować jaki charakter ma ujawnienie danych, tj. czy mamy do czynienia z powierzeniem przetwarzania danych, czy też udostępnieniem. Administrator Danych powinien znać również cel takiego ujawnienia, który dla gwarancji rozliczalności również warto wskazać w rejestrze.

5. Przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej, w tym nazwa tego państwa trzeciego lub organizacji międzynarodowej, a w przypadku przekazań, o których mowa w art. 49 ust. 1 akapit drugi RODO, dokumentacja odpowiednich zabezpieczeń

Jeżeli przekazanie danych osobowych następuje do państwa trzeciego lub organizacji międzynarodowej, Administrator Danych jest obowiązany ujawnić te informacje w prowadzonym przez siebie rejestrze czynności przetwarzania.

W szczególnych sytuacjach, tj. kiedy przekazanie następuje ze względu na ważne, prawnie uzasadnione interesy realizowane przez Administratora Danych (art. 49 ust. 1 akapit drugi RODO) rejestr powinien określać zabezpieczenia, które zostały zastosowane przy takim przetwarzaniu. Najbardziej praktycznym rozwiązaniem w takim przypadku, jest jednak zastosowanie w rejestrze odesłania do konkretnej dokumentacji określającej te zabezpieczenia.

6. Planowane terminy usunięcia poszczególnych kategorii danych

Obowiązek wskazania planowanych terminów usunięcia danych osobowych związany jest z realizacją zasady ograniczenia przetwarzania (art. 5 ust. 1 lit. e) RODO), zgodnie z którą m.in. przechowywanie danych ma następować przez okres nie dłuższy, niż jest to niezbędne do celów, w których dane te są przetwarzane.

Przy czym, wskazuje się, że ujawnienie w rejestrze terminów usunięcia danych następuje jedynie wówczas, gdy jest to możliwe. Biorąc, jednakże pod uwagę zasadę, o której mowa powyżej oraz zestawiając ją z zasadą rozliczalności, Administrator Danych zawsze powinien być w stanie wskazać okresy przez które zamierza przetwarzać zgromadzone dane osobowe. Tym bardziej, że o tych okresach musi poinformować osoby, których dane dotyczą w stosowanych przez siebie klauzulach informacyjnych.

Administrator Danych, określając terminy usunięcia przetwarzanych przez siebie danych, może posłużyć się albo przedziałami czasowymi (np. przez okres 6 lat, przez okres obowiązywania zawartej umowy, etc.) lub konkretnymi sytuacjami (np. do momentu wycofania zgody, do momentu wniesienia skutecznego sprzeciwu, etc.). Tam, gdzie jest to możliwe, Administrator Danych powinien stosować terminy jakie przewidują odpowiednie przepisy prawa, np. w przypadku akt osobowych pracowników ich usunięcie będzie mogło nastąpić po upływie 50 lat od ustania zatrudnienia. Warto wziąć również pod uwagę przepisy prawa podatkowego, bądź okresy związane z przedawnieniami roszczeń.

7. Ogólny opis technicznych i organizacyjnych środków bezpieczeństwa

W tym miejscu rejestru, Administrator Danych powinien wskazać rzeczywiste środki jakie wdrożył dla ochrony przetwarzanych przez siebie danych osobowych. Zdecydowanie częstszym rozwiązaniem jest określanie tych środków w innej dokumentacji przetwarzania, np. Polityce ochrony danych bądź dokumentacji IT (jeżeli chodzi o zabezpieczenia techniczne). Dlatego też nic nie stoi na przeszkodzie, aby w tym miejscu rejestru odwołać się do istniejących już dokumentów, które w sposób szczegółowy opisują stosowane środki bezpieczeństwa.

Elementy dodatkowe

Mimo, że celem rejestru czynności przetwarzania nie jest zapewnienie przejrzystości przetwarzania względem podmiotów danych (nie jest on im przekazywany ani w inny sposób udostępniany publicznie) to nie da się ukryć, że jego zawartość merytoryczna koresponduje w istotnej części m.in. z zakresem obowiązków informacyjnych (art. 13 i 14 RODO), jak również prawem dostępu do danych (art. 15 RODO).

Tym samym, warto, aby oprócz elementów obligatoryjnych wskazanych przez przepisy RODO znalazły się tam również dodatkowe informacje związane z dokonywanymi czynnościami przetwarzania. Pozwoli to Administratorowi Danych na zebranie, w jednym miejscu, wiedzy na temat przetwarzanych przez siebie danych. Zdecydowane ułatwi to również realizację innych obowiązków wskazanych w RODO, m.in. w zakresie wskazanych już wyżej obowiązków informacyjnych, czy też działań związanych z realizacją praw osób, których dane dotyczą.

Opierając się na naszym dotychczasowym doświadczeniu, rekomendujemy zamieszczenie w rejestrze czynności przetwarzania, takich informacji jak:
  1. Podstawa prawna przetwarzania która ze wskazanych w art. 6 lub 9 RODO przesłanek legalizujących przetwarzanie jest stosowana – informacja ta ułatwi wykazanie zgodności z zasadą zgodności przetwarzania z prawem, jak również ułatwi tworzenie klauzul informacyjnych,
  2. Źródło danych czy dane osobowe gromadzone są przez Administratora Danych od osoby, której dane dotyczą, czy też od innego podmiotu (jeżeli tak, warto dodatkowo wskazać jaki to podmiot) – informacja ta będzie stanowiła wskazówkę, który z obowiązków informacyjnych powinien zostać zrealizowany (obowiązek z art. 13 czy też 14 RODO),
  3. Profilowanie czy dane osobowe podlegają profilowaniu, a jeżeli tak czy mamy do czynienia z profilowaniem zwykłym czy może z profilowaniem kwalifikowanym (związanym z automatycznym podejmowaniem decyzji) – informacja ta będzie pomocna przy weryfikacji prawidłowości stosowanych podstaw prawnych przetwarzania (art. 22 RODO ogranicza przesłanki legalizujące profilowanie kwalifikowane do trzech enumeratywnie w nim wskazanych), jak również będzie miała wpływ na treść stosowanego obowiązku informacyjnego,
  4. Systemy informatyczne czy dane przetwarzane są z wykorzystaniem systemów informatycznych (jeżeli tak, to jakich), czy też przetwarza się je jedynie w formie papierowej – taka informacja pomaga w zlokalizowaniu miejsc gromadzenia danych, jak również może być pomocna przy określaniu odbiorców danych (np. podmiotów świadczących usługi wsparcia dla konkretnych systemów informatycznych),
  5. Daty wpisu i ostatniej aktualizacji informacje, kiedy czynność została wpisana do rejestru oraz kiedy miała miejsce ostatnia aktualizacja informacji dotyczących tej czynności – ta adnotacja będzie stanowić podstawę dla rozliczalności informacji ujawnianych w rejestrze.

Forma

RODO wprowadza pełną dowolność, jeżeli chodzi o formę rejestru czynności przetwarzania. Rejestr może być bowiem prowadzony w formie pisemnej, w tym elektronicznej. Istotne jest to, aby rejestr czynności był na bieżąco aktualizowany, a jego zawartość odpowiednio chroniona przed nieuprawnionymi osobami.

Najpraktyczniejszą formą prowadzenia rejestru jest forma elektroniczna, zwłaszcza w przypadku Administratorów Danych z wieloma, ciągle zmieniającymi się czynnościami przetwarzania. Niekoniecznie musi być to dedykowany system informatyczny. Prowadzenie rejestru w pliku Excel sprawdza się bardzo dobrze. Zwłaszcza wówczas, gdy rejestr prowadzony jest sumiennie, a każda dokonywana w nim zmiana jest odnotowywana np. w oddzielnym arkuszu.

Z uwagi na obowiązek udostępnienia rejestru na żądanie organu nadzorczego, ważne jest, aby rejestr prowadzony w formie elektronicznej mógł zostać np. wydrukowany. Innym rozwiązaniem może być również nadanie czasowego dostępu upoważnionemu pracownikowi organu. Niemniej, mając ma uwadze nasze doświadczenia związane z kontrolami UODO, pierwsze rozwiązanie zdecydowanie bardziej zda egzamin.

Osoba odpowiedzialna

Prowadzenie rejestru czynności przetwarzania jest obowiązkiem Administratora Danych. Oczywistym jest jednak to, że w jego strukturze powinna zostać wyznaczona osoba, której zadaniem będzie czuwanie nad jego aktualnością, jak również wprowadzanie stosownych zmian.

W przypadkach, kiedy Administrator Danych powołał Inspektora Ochrony Danych, naturalnym wydaje się, aby powierzyć mu prowadzenie rejestru czynności przetwarzania. Obowiązek taki nie jest wprawdzie wymieniony w zadaniach IOD w art. 39 ust. 1 RODO, jednakże katalog ten nie jest katalogiem zamkniętym. Zadanie to nie będzie wpływać na niezależność Inspektora ani też powodować powstania konfliktu interesów, a jest wręcz ściśle związane z jego podstawowymi obowiązkami.

W sytuacji, kiedy w strukturze Administratora Danych brak jest IOD, wówczas prowadzenie rejestru należy powierzyć innej osobie, nadzorującej zachodzące procesy przetwarzania danych osobowych. Mniej praktycznym, ale również możliwym rozwiązaniem, jest podział rejestru i wskazanie osób odpowiedzialnych za aktualizację jego konkretnych części np. dyrektor działu HR odpowiadałby za czynności przetwarzane związane z kadrami, a dyrektor działu marketingu za czynności związane z wysyłką informacji handlowych czy też organizacją konkursów.

Zwolnienia

Z obowiązku prowadzenia rejestru czynności przetwarzania zwolnieni są Administratorzy Danych, którzy zatrudniają mniej niż 250 osób.

Zwolnienie to będzie miało zastosowanie przede wszystkim w przypadku jednoosobowych działalności gospodarczych, bądź mniejszych przedsiębiorstw produkcyjnych. Niemniej, ze zwolnienia mogą skorzystać wszystkie mniejsze podmioty, bez względu na formę prawną prowadzonej działalności, jej cel oraz prywatnoprawny lub publicznoprawny charakter. O ile oczywiście spełniają jego warunki.

Poprzez zatrudnienie, należy rozumieć nie tylko zatrudnienie sensu stricte, ale również współpracę na podstawie umów cywilnoprawnych. Chodzi tu oczywiście o przypadki stałej współpracy, która swoim charakterem zbliżona jest do relacji pracowniczej.

Wskazany wyżej wyjątek od prowadzenia rejestru czynności przetwarzania, nie ma jednak charakteru bezwzględnego. Istnieją bowiem trzy rodzaje przetwarzania, do których nie znajdzie on zastosowania.

Administrator Danych pomimo tego, że liczba zatrudnionych przez niego osób jest mniejsza niż 250, będzie musiał prowadzić rejestr, gdy dokonywane przez niego przetwarzanie:
  1. Może powodować ryzyko (nie tylko wysokie) naruszenia praw lub wolności osób, których dane dotyczą,
  2. Nie ma charakteru sporadycznego,
  3. Obejmuje szczególne kategorie danych osobowych, o których mowa w art. 9 ust. 1 RODO, lub dane osobowe dotyczące wyroków skazujących i czynów zabronionych.

Wymienione rodzaje przetwarzania danych osobowych, do których wyjątek nie ma zastosowania, mają charakter alternatywny i wystąpienie któregokolwiek z nich samodzielnie wywołuje obowiązek prowadzenia rejestru czynności przetwarzania. Rejestr trzeba jednak prowadzić jedynie dla tych, wskazanych rodzajów przetwarzania. Pomimo tego częściowego zwolnienia, zalecamy jednak prowadzenie rejestru dla wszystkich dokonywanych czynności przetwarzania. Należy bowiem wziąć pod uwagę kluczową z punktu widzenia zgodności z RODO zasadę rozliczalności, a także status rejestru w przepisach rozporządzenia (jest to jedyny dokument, na którego obowiązek wdrożenia i zawartość wskazuje się wprost).

Przykład:

Dwudziestoosobowa firma zajmująca się montażem i konserwacją klimatyzatorów w biurach. Większość przetwarzanych informacji o klientach stanowią dane kontaktowe dużych spółek, które zleciły montaż lub konserwację klimatyzatora. Firma jednak systematycznie przetwarza dane dotyczące swoich pracowników. W rezultacie takie przetwarzanie nie może być uznane za sporadyczne i musi w związku z tym być zawarte w rejestrze czynności przetwarzania. Jednak inne czynności przetwarzania, które w rzeczywistości będą miały charakter sporadyczny, nie muszą być zawarte w rejestrze.

Sankcje

Naruszenie przez Administratora Danych obowiązku w zakresie prowadzenia rejestru czynności przetwarzania, stanowi przesłankę do nałożenia administracyjnej kary pieniężnej. Zastosowanie znajdzie kara niższa, tj. ta o której mowa w art. 83 ust. 4 lit. a RODO (w wysokości do 10 000 000 euro, a w przypadku przedsiębiorstwa – w wysokości do 2% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego).

Chcesz uzyskać gotowe rozwiązanie dla swojej firmy / urzędu? Zapraszamy do zakupu gotowego szablonu Rejestru Czynności Przetwarzania razem z instrukcją wypełniania.

Sprawdź

Podsumowanie

Rejestr czynności przetwarzania jest podstawowym dokumentem, który powinien zostać opracowany przez Administratora Danych. Celem prowadzenia rejestru jest przede wszystkim usystematyzowanie dokonywanych na danych czynności przetwarzania. Prawidłowo skonstruowany rejestr, pozwala w sposób całościowy spojrzeć na wykonywane procesy przetwarzania danych osobowych pod względem zgodności z wymogami prawnymi. Prowadząc rejestr zdecydowanie łatwiej jest Administratorowi Danych zrealizować jedną z podstawowych zasad RODO, jaką jest zasada rozliczalności.

 

Pobierz artykuł w PDF

Źródła:

  • Rozporządzenie Parlamentu Europejskiego I Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych)
  • Stanowisko Grupy Roboczej Art. 29 ds. ochrony danych w sprawie wyjątków od obowiązku prowadzenia rejestru czynności przetwarzania zgodnie z artykułem 30 ust. 5 RODO z dnia 14 maja 2018 r.
  • Ogólne rozporządzenie o ochronie danych. Komentarz, Bielak-Jomaa Edyta (red.), Lubasz Dominik (red.)
  • Rozporządzenie UE w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i swobodnym przepływem takich danych. Komentarz, Litwiński Paweł (red.), Barta Paweł, Kawecki Maciej

Powiązane artykuły

Wzory i szablony dokumentacji RODO: Polityka ochrony danych

2 Odpowiedzi

    1. Kancelaria Lex Artist

      Pytanie jest zbyt ogólne. Zmiany powinien wprowadzać administrator danych/jego przedstawiciel/inspektor ochrony danych lub inna osoba odpowiedzialna za ochronę danych. Powinny one mieć odzwierciedlenie w stanie faktycznym. Pozdrawiamy!

Zostaw odpowiedź