Wróć do pozostałych postów

Kto jest kim w RODO?

RODO od lat budzi emocje wśród przedsiębiorców i to nie bez powodu. Rozporządzenie to zrewolucjonizowało sposób myślenia o danych osobowych i odpowiedzialności za ich przetwarzanie. Choć większość firm zdążyła już przystosować do wymogów przewidzianym w RODO wymagań formalnych i organizacyjnych, w praktyce wciąż pojawia się te same pytania: kim jest administrator danych, kto jest procesorem, czym różni się subprocesora, od odbiorcy i co kryje się pod pojęciem „strony trzeciej”?

Na pozór są to pojęcia czysto teoretyczne, używane przez prawników i inspektorów ochrony danych. Jednak w codziennym funkcjonowaniu podmiotów mają one realne znaczenie. To właśnie od właściwego rozpoznania ról zależy, kto ponosi odpowiedzialność za ewentualne naruszenie ochrony danych, kto musi zawrzeć umowę powierzenia, a kto jedynie powinien poinformować o udostępnieniu danych.

Wielu właścicieli podmiotów zakłada, że skoro prowadzą działalność, automatycznie są administratorami danych. To często prawda, ale w niektórych sytuacjach organizacja może działać jako podmiot przetwarzający, na przykład gdy wykonuje usługę w imieniu innego przedsiębiorcy i to on decyduje o celu przetwarzania danych. W innych przypadkach ta sama firma może występować w dwóch rolach jednocześnie — być administratorem danych swoich pracowników, a jednocześnie procesorem w relacji z kontrahentem.

Celem tego artykułu jest więc uporządkowanie pojęć i pokazanie, kto jest kim w rozumieniu przepisów RODO — z perspektywy przedsiębiorcy prowadzącego działalność gospodarczą. W kolejnych częściach przyjrzymy się kolejno pięciu kluczowym rolom: administratorowi, podmiotowi przetwarzającemu, dalszemu podmiotowi przetwarzającemu (subprocesorowi), odbiorcy oraz stronie trzeciej. Omówimy, jak rozpoznać każdą z nich, jakie obowiązki się z nimi wiążą i jakie znaczenie ma ich prawidłowe przypisanie w codziennej działalności gospodarczej.

Administrator danych

Podstawową i najważniejszą rolą w systemie ochrony danych osobowych jest administrator danych. To właśnie on ponosi główną odpowiedzialność za zgodność przetwarzania danych z przepisami RODO. W języku prawnym administrator to „osoba fizyczna lub prawna, organ publiczny, jednostka lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych” (art. 4 pkt 7 RODO). W praktyce oznacza to tyle, że administrator decyduje po co dane są przetwarzane i w jaki sposób ma się to odbywać.

Innymi słowy, jeśli to w Twojej firmie zapada decyzja o tym, jakie dane są gromadzone, do jakich celów (np. marketingowych, kadrowych, księgowych) i jak długo będą przechowywane, to właśnie podmiot w którym pracujesz pełni rolę administratora. Decydujące znaczenie ma faktyczne podejmowanie decyzji, a nie formalne nazwy w dokumentach. Nawet jeśli w umowie z kontrahentem nie pojawia się słowo „administrator”, to tak naprawdę liczy liczy się, kto w rzeczywistości kontroluje proces przetwarzania danych.

Administrator w praktyce działalności podmiotu gospodarczego

Dla większości podmiotów gospodarczych to rola domyślna. Przedsiębiorstwo zatrudniające pracowników, prowadzące sprzedaż lub oferujące usługi klientom zawsze przetwarza dane osobowe w ramach własnych celów działalności. Przykładowo:

  • organizacja gromadzi dane klientów, by realizować zamówienia i obsługiwać reklamacje;
  • spółka doradcza przechowuje dane kontaktowe swoich kontrahentów w systemie CRM;
  • spółka IT prowadzi rekrutację, przetwarzając dane kandydatów do pracy.

We wszystkich tych przypadkach podmiot sam decyduje o tym, jakie dane pozyskuje, jak je zabezpiecza, komu je ujawnia i jak długo przechowuje. To właśnie czyni go administratorem.

Ciekawym przypadkiem są relacje partnerskie między firmami, w których dwa lub więcej podmiotów  wspólnie ustalają cele i sposoby przetwarzania. Wówczas mówimy o tzw. współadministratorach. Choć ten temat wymaga osobnego omówienia, warto zaznaczyć, że współadministracja oznacza podział obowiązków i odpowiedzialności pomiędzy strony, np. w zakresie informowania osób, których dane dotyczą, czy obsługi ich żądań.

Obowiązki administratora

RODO nakłada na administratora szereg obowiązków, które mają zapewnić zgodność z przepisami i bezpieczeństwo danych. Najważniejsze z nich to:

  • ustalenie podstawy prawnej przetwarzania danych – administrator musi wiedzieć, czy przetwarza dane na podstawie zgody, umowy, obowiązku prawnego czy uzasadnionego interesu;
  • przestrzeganie zasady minimalizacji danych – wolno zbierać tylko te dane, które są rzeczywiście potrzebne do realizacji celu;
  • spełnienie obowiązku informacyjnego wobec osób, których dane dotyczą – czyli przekazanie im jasnych informacji o tym, kto i w jakim celu przetwarza ich dane;
  • prowadzenie rejestru czynności przetwarzania, który dokumentuje procesy związane z danymi osobowymi;
  • wdrożenie odpowiednich środków technicznych i organizacyjnych – w tym m.in. polityk bezpieczeństwa, systemów kontroli dostępu czy procedur reagowania na naruszenia.

Administrator ponosi też odpowiedzialność za wybór i nadzór nad podmiotami, którym powierza przetwarzanie danych. Jeśli np. korzysta z usług zewnętrznego biura rachunkowego, firmy IT czy agencji marketingowej, powinna upewnić się, że partnerzy ci gwarantują odpowiedni poziom bezpieczeństwa i działają zgodnie z jej poleceniami. Zaniechanie w tym zakresie może skutkować sankcjami, nawet jeśli naruszenie faktycznie nastąpiło po stronie usługodawcy.

Podmiot przetwarzający (procesor)

Drugą kluczową rolą w systemie ochrony danych osobowych jest podmiot przetwarzający, nazywany też procesorem. To jeden z najczęściej spotykanych uczestników w relacjach biznesowych między podmiotami. Procesor to nie „pomocnik” czy „partner” administratora w sensie równorzędnym, a podmiot, który przetwarza dane w imieniu administratora i wyłącznie na jego polecenie.

Zgodnie z definicją z art. 4 pkt 8 RODO, podmiot przetwarzający to „osoba fizyczna lub prawna, organ publiczny, jednostka lub inny podmiot, który przetwarza dane osobowe w imieniu administratora”. Oznacza to, że procesor nie decyduje ani o celach, ani o sposobach przetwarzania danych, a jedynie wykonuje określone czynności zlecone przez administratora, w ramach zawartej między nimi umowy lub innego wiążącego instrumentu prawnego.

Przykłady z praktyki: kto jest procesorem?

Procesorem może być niemal każdy podmiot zewnętrzny, który w ramach swojej usługi ma dostęp do danych osobowych klientów, pracowników lub kontrahentów spółki. Najczęściej spotykane przykłady to:

  • biuro rachunkowe, które przetwarza dane pracowników lub kontrahentów na potrzeby rozliczeń;
  • firma IT administrująca serwerami, pocztą elektroniczną lub bazami danych podmiotui;
  • agencja marketingowa, która wysyła newslettery lub prowadzi kampanie reklamowe w imieniu administratora;
  • zewnętrzna kadrowa lub płacowa, która obsługuje procesy personalne;
  • usługodawca chmurowy (SaaS), jeśli w ramach systemu przechowuje dane osobowe klientów administratora.

W każdym z tych przypadków podmiot przetwarzający działa na zlecenie administratora — korzysta z danych, które mu powierzono, ale nie może wykorzystywać ich do własnych celów. Jeśli zacząłby robić to samodzielnie, w praktyce przestałby być procesorem i stałby się administratorem, ze wszystkimi konsekwencjami prawnymi.

Różnica między administratorem a procesorem

Jeśli podmiot samodzielnie decyduje, dlaczego przetwarza dane i w jaki sposób, nie może być uznany za procesora — jest administratorem. Natomiast jeśli wykonuje określone działania na polecenie innego podmiotu, który ustala cele i sposoby, pełni funkcję procesora.

Właściwe określenie roli ma ogromne znaczenie, ponieważ od niego zależy, kto ponosi odpowiedzialność za legalność przetwarzania danych. RODO nakłada na administratora obowiązek wyboru takich procesorów, którzy dają „wystarczające gwarancje” wdrożenia odpowiednich środków technicznych i organizacyjnych (art. 28 ust. 1 RODO).

Umowa powierzenia – podstawa przetwarzania przez procesora

Każde przekazanie danych procesorowi wymaga pisemnej (także elektronicznej) umowy powierzenia przetwarzania danych osobowych. Umowa a musi określać:

  • przedmiot i czas trwania przetwarzania;
  • charakter i cel przetwarzania;
  • rodzaj danych osobowych i kategorie osób, których dane dotyczą;
  • obowiązki i prawa zarówno administratora, jak i procesora.

Procesor może przetwarzać dane tylko w zakresie i w sposób określony przez administratora. Jeśli wykroczy poza ten zakres (np. użyje danych do własnych celów marketingowych) działa niezgodnie z prawem i może ponieść odpowiedzialność.

Co więcej, procesor nie może samodzielnie powierzyć danych innemu podmiotowi (tzw. subprocesorowi) bez uprzedniej pisemnej zgody administratora. O tym szerzej w kolejnym punkcie artykułu.

Obowiązki procesora wobec administratora

RODO nakłada na procesora konkretne obowiązki. W praktyce oznacza to, że procesor:

  • musi wdrożyć odpowiednie środki bezpieczeństwa chroniące dane przed utratą, nieuprawnionym dostępem czy ujawnieniem;
  • jest zobowiązany do zachowania poufności danych przez osoby upoważnione do ich przetwarzania;
  • prowadzi ewidencję kategorii czynności przetwarzania dokonywanych w imieniu administratora;
  • ma obowiązek pomagać administratorowi w realizacji jego obowiązków – np. przy zgłaszaniu naruszeń lub realizacji praw osób, których dane dotyczą;
  • podlega audytom lub inspekcjom przeprowadzanym przez administratora (lub audytora przez niego upoważnionego);
  • po zakończeniu świadczenia usługi ma obowiązek usunąć lub zwrócić dane osobowe w zależności od decyzji administratora.

Te obowiązki sprawiają, że rola procesora wcale nie jest drugorzędna. Procesor musi bowiem aktywnie dbać o zgodność działań z przepisami, a jego odpowiedzialność za powierzone mu dane nie sprowadza się jedynie do podpisania umowy z administratorem.

Kolejny podmiot przetwarzający – subprocesor, czyli „podwykonawca danych”

W obecnych czasach rzadko kiedy jeden podmiot wykonuje wszystkie czynności samodzielnie. Outsourcing stał się codziennością — firmy zlecają część zadań zewnętrznym usługodawcom, którzy z kolei korzystają z własnych podwykonawców. Ten łańcuch zależności może jednak skomplikować się, gdy dodamy do niego także zagadnienia związane z ochroną danych osobowych. Wtedy bowiem pojawia się pojęcie innego podmiotu przetwarzającego, znanego też jako subprocesor.

Zgodnie z art. 28 ust. 2–4 RODO, jeśli procesor korzysta z usług kolejnego podmiotu, który przetwarza dane w jego imieniu, to właśnie ten kolejny podmiot jest subprocesorem. W praktyce oznacza to, że subprocesor jest o jeden „szczebel” dalej od administratora, ale nadal pozostaje w jego strukturze przetwarzania danych. Nie działa on jednak na własny rachunek, a jego uprawnienia i obowiązki wynikają z umowy między administratorem a pierwotnym procesorem.

Typowe przykłady:

Podmiot  X (administrator) zleca obsługę IT firmie Y (procesor), a ta korzysta z usług dostawcy chmury (firma Z) – wtedy Z jest subprocesorem.
Podmiot  doradcza zleca firmie marketingowej prowadzenie kampanii (procesor), a agencja marketingowa z kolei korzysta z zewnętrznej platformy mailingowej – platforma jest subprocesorem.
Biuro rachunkowe (procesor) korzysta z zewnętrznego systemu księgowego lub serwera backupowego – to również subprocesor.

W każdym z tych przypadków administrator danych nie ma bezpośredniej relacji umownej z subprocesorem, ale to jego dane są w dalszym ciągu przetwarzane. Dlatego właśnie RODO wymaga, by administrator kontrolował cały łańcuch przetwarzania, a nie tylko jego pierwszy „poziom”.

Zasady korzystania z subprocesora

Zgodnie z RODO procesor nie może powierzyć danych kolejnemu podmiotowi bez uprzedniej zgody administratora. Ta zgoda może przybrać jedną z dwóch form:

  • konkretną – gdy administrator wyraża zgodę na wskazanego z imienia subprocesora,
  • ogólną – gdy administrator dopuszcza korzystanie z subprocesorów pod warunkiem, że procesor będzie go informował o wszelkich zmianach i nowych podwykonawcach.

Jeżeli administrator otrzyma takie powiadomienie i w określonym terminie nie zgłosi sprzeciwu, uznaje się, że wyraził zgodę. Ten mechanizm jest bardzo istotny w dużych organizacjach, które korzystają z wielu dostawców technologicznych, albowiem bez niego każda zmiana podwykonawcy wymagałaby osobnej umowy.

Obowiązki procesora wobec subprocesora

Procesor, który angażuje subprocesora, ponosi pełną odpowiedzialność wobec administratora za działania tego podmiotu. Mówiąc prościej – jeśli subprocesor popełni błąd lub naruszy dane osobowe, to procesor odpowiada za niego jak za własne działania. Dlatego też procesor powinien:

  • wybierać subprocesorów z należytą starannością,
  • zawierać z nimi umowy, które nakładają identyczne obowiązki w zakresie ochrony danych, jakie wynikają z umowy z administratorem,
  • kontrolować, czy subprocesor faktycznie wdraża wymagane środki bezpieczeństwa i procedury.

Wymóg „identycznych obowiązków” oznacza, że subprocesor musi zapewniać ten sam poziom ochrony danych co procesor. W praktyce umowa między procesorem a subprocesorem powinna odzwierciedlać kluczowe postanowienia umowy między procesorem a administratorem, w szczególności w zakresie poufności, bezpieczeństwa, pomocy w realizacji praw osób, obowiązku usunięcia danych po zakończeniu współpracy czy zgłaszania naruszeń.

Odbiorca danych

Nie każdy, kto otrzymuje dane osobowe, jest administratorem lub procesorem. RODO wyróżnia jeszcze jedną kategorię podmiotów — odbiorcę danych osobowych. To pojęcie często pomijane w praktyce, a jednak ma ogromne znaczenie dla prawidłowego wypełniania obowiązków informacyjnych i dla przejrzystości relacji między firmami.

Zgodnie z art. 4 pkt 9 RODO, „odbiorca” oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, któremu ujawnia się dane osobowe, niezależnie od tego, czy jest stroną trzecią. Innymi słowy: odbiorca to każdy, komu dane zostają przekazane lub udostępnione, niezależnie od tego, co później się z nimi dzieje. Sam fakt ujawnienia danych jest wystarczający, by uznać dany podmiot za odbiorcę.

Odbiorca w praktyce

W praktyce odbiorcą danych może być wiele różnych podmiotów, z którymi spółka współpracuje, ale które nie działają w jej imieniu. Przykładowo:

  • bank, któremu podmiot  przekazuje dane swoich klientów przy realizacji płatności;
  • firma kurierska, która otrzymuje dane adresowe klientów w celu dostarczenia przesyłki;
  • kancelaria prawna reprezentująca podmiot  w sporze z klientem;
  • ubezpieczyciel, który otrzymuje dane w związku z zawartą polisą;
  • spółka matka lub zależna w grupie kapitałowej, której ujawnia się dane w celach administracyjnych;
  • organy administracji publicznej, gdy dane są przekazywane w sposób wykraczający poza ustawowe obowiązki (np. w ramach współpracy, nie postępowania).

We wszystkich tych sytuacjach podmiot  ujawnia dane, a więc mamy do czynienia z odbiorcą. Różnica między powierzeniem przetwarzania (procesorowi), a ujawnieniem danych (odbiorcy) polega na tym, że procesor działa w imieniu administratora, natomiast odbiorca otrzymuje dane dla własnych celów – staje się niezależnym administratorem w zakresie, w jakim samodzielnie decyduje, co z tymi danymi zrobi.

Przykłady:

Podmiot  produkcyjny przekazuje dane swoich pracowników firmie medycyny pracy, aby przeprowadziła badania. Firma medycyny pracy nie jest procesorem, bo działa w oparciu o własne przepisy i sama ustala cel przetwarzania (realizacja obowiązków wynikających z prawa pracy). Jest więc odbiorcą danych.
Podobnie biuro rachunkowe, które rozlicza podatki klienta  – jeśli przetwarza dane w imieniu podmiotu , to jest procesorem; ale jeśli działa na własną odpowiedzialność wobec organów skarbowych (np. w ramach usług doradczych), może być jednocześnie odbiorcą w tym zakresie.

Dlatego każdy podmiot powinien  analizować charakter relacji z danym kontrahentem: czy przekazanie danych oznacza, że działa on w imieniu podmiotu (powierzenie), czy raczej przetwarza je we własnym interesie (ujawnienie – odbiorca).

Obowiązki wobec odbiorców danych

Z punktu widzenia administratora (czyli spółki), przekazanie danych odbiorcy wiąże się z kilkoma obowiązkami:

  1. Informacyjnym – w klauzuli informacyjnej dla osób, których dane dotyczą, należy wskazać odbiorców lub kategorie odbiorców danych (np. „dane mogą być przekazywane naszym dostawcom usług IT, kancelariom prawnym, firmom kurierskim i bankom”).
  2. Ewidencyjnym – informacje o odbiorcach danych powinny znaleźć się w rejestrze czynności przetwarzania (w części dotyczącej ujawnienia danych innym podmiotom).
  3. Bezpieczeństwa – choć odbiorca odpowiada sam za swoje przetwarzanie, administrator powinien upewnić się, że przekazanie danych następuje w sposób bezpieczny (np. szyfrowanie, kontrola dostępu).

Odbiorca nie musi zawierać z administratorem umowy powierzenia, ale warto uregulować kwestię przekazywania danych w umowie handlowej, choćby przez ogólną klauzulę o ochronie danych osobowych, w której strony potwierdzają, że działają jako niezależni administratorzy.

Kto nie jest odbiorcą danych

Nie każdy, kto ma dostęp do danych może zostać uznany z odbiorcę w rozumieniu przepisów RODO. Nie będą nimi:

  • pracownicy administratora – ponieważ przetwarzają dane w ramach jego struktury organizacyjnej i na jego polecenie;
  • podmioty publiczne – jeśli otrzymują dane w ramach swoich ustawowych zadań (np. ZUS, urząd skarbowy);
  • podmioty przetwarzające (procesorzy) – jeśli dane zostały im powierzone do przetwarzania w imieniu administratora, nie stanowią „odbiorców” w rozumieniu przepisów.

Odbiorca danych to w gruncie rzeczy naturalny partner biznesowy administratora, który otrzymuje dane w ramach współpracy, ale nie działa już w jego imieniu. Rozróżnienie między odbiorcą a procesorem to jedna z najczęstszych pułapek praktyki RODO i jednocześnie jeden z najprostszych sposobów, by uniknąć błędów w dokumentacji i audytach.

Strona trzecia

W systemie ochrony danych osobowych istnieje jeszcze jedna kategoria podmiotów, często pomijana w praktyce, ale istotna dla pełnego zrozumienia relacji RODO – strona trzecia.

To określenie pojawia się w art. 4 pkt 10 RODO, zgodnie z którym „strona trzecia” oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot inny niż osoba, której dane dotyczą, administrator, podmiot przetwarzający oraz osoby, które – z upoważnienia administratora lub podmiotu przetwarzającego – mogą przetwarzać dane osobowe.

W dużym uproszczeniu: stroną trzecią jest każdy podmiot, który nie uczestniczy bezpośrednio w procesie przetwarzania danych jako administrator, procesor lub osoba działająca z ich upoważnienia. To ktoś „z zewnątrz”, funkcjonujący poza „formalnym” łańcuchem przetwarzania.

Kiedy mamy do czynienia ze stroną trzecią

Stroną trzecią może być każdy, kto wejdzie w kontakt z danymi, ale nie ma do tego upoważnienia ani umocowania. W praktyce przedsiębiorstw to sytuacje, które zdarzają się częściej, niż mogłoby się wydawać. Przykłady:

  • partner biznesowy, który przypadkowo otrzymał wiadomość z danymi klientów;
  • dostawca lub kontrahent, który uzyskał dostęp do dokumentów zawierających dane osobowe poza ustalonym celem współpracy;
  • osoba spoza firmy (np. serwisant, konsultant, biegły rewident), która podczas wykonywania swojej pracy ma dostęp do danych, ale nie działa ani w imieniu administratora, ani procesora;
  • instytucja lub organizacja, której administrator przekazuje dane w ramach współpracy, ale która przetwarza je wyłącznie na własny rachunek.

W przypadku spółek prawa handlowego pojęcie strony trzeciej pojawia się często w kontekście grup kapitałowych, joint ventures lub partnerstw strategicznych. W takich strukturach dane bywają przekazywane między powiązanymi spółkami, ale nie zawsze w sposób formalnie zgodny z RODO. Przykładowo:

  • spółka matka uzyskuje dostęp do danych klientów spółki zależnej, choć formalnie nie pełni wobec nich żadnej roli (ani administratora, ani procesora);
  • dwie spółki współpracujące w ramach wspólnego projektu wymieniają się bazami kontaktów, ale nie określiły formalnie, w jakim celu i na jakiej podstawie to robią.

W takich przypadkach może dojść do ujawnienia danych „stronie trzeciej” w rozumieniu RODO. Dlatego też w relacjach między spółkami powiązanymi warto każdorazowo ustalić, czy dana spółka ma być współadministratorem, procesorem, czy też po prostu odbiorcą danych i uregulować to umownie.

Konsekwencje nieuprawnionego udostępnienia danych stronie trzeciej

Jeśli dane osobowe zostaną ujawnione stronie trzeciej bez podstawy prawnej lub bez wiedzy administratora, mamy do czynienia z naruszeniem ochrony danych osobowych. W praktyce oznacza to obowiązek:

  • odnotowania zdarzenia w rejestrze naruszeń;
  • oceny ryzyka naruszenia praw lub wolności osób, których dane dotyczą;
  • a w razie wysokiego ryzyka – zgłoszenia incydentu do Prezesa UODO w ciągu 72 godzin od chwili stwierdzenia naruszenia.

Co przy tym istotne odpowiedzialność za takie naruszenie spoczywa na administratorze, nawet jeśli ujawnienia dokonał jego kontrahent. Administrator ma bowiem obowiązek tak ukształtować współpracę, by ryzyko ujawnienia danych stronie trzeciej było minimalne.

Z tego powodu coraz częściej w umowach handlowych pojawiają się klauzule zakazujące przekazywania danych osobowych innym podmiotom bez pisemnej zgody administratora. To prosty, ale skuteczny sposób na ograniczenie ryzyka i jednoznaczne zdefiniowanie granic współpracy.

Podsumowanie

RODO wciąż bywa postrzegane jako zawiły system obowiązków, procedur i dokumentów. Jednak w istocie jego fundament jest prosty: chodzi o świadomość odpowiedzialności. Wiedza, kto jest administratorem, kto procesorem, a kto odbiorcą lub stroną trzecią, to nie tylko kwestia zgodności z przepisami, ale przede wszystkim zarządzania ryzykiem i zaufaniem w relacjach biznesowych.

Każda spółka prawa handlowego, niezależnie od branży czy skali działalności, w mniejszym lub większym stopniu przetwarza dane osobowe. Często dzieje się to w sposób złożony — przez systemy IT, biura rachunkowe, podwykonawców czy partnerów handlowych. W takim środowisku nietrudno o sytuację, w której dane „wypływają” poza kontrolę administratora, bo nie wiadomo, kto faktycznie pełni jaką rolę. Dlatego punkt wyjścia do zgodności z RODO to nie gotowy wzór umowy ani nowa polityka bezpieczeństwa, lecz precyzyjne rozpoznanie ról.

Jeżeli organizacja wie:

  • w jakim zakresie jest administratorem,
  • komu powierza dane jako procesorowi,
  • z czyich podwykonawców (subprocesorów) korzystają jej dostawcy,
  • komu ujawnia dane jako odbiorcom,
  • i czy dane nie trafiają do nieuprawnionych stron trzecich

to ma już solidny fundament zgodności i bezpieczeństwa.

Świadome rozpoznanie ról to także element dojrzałego zarządzania. Przedsiębiorca, który potrafi wskazać, kto w jego ekosystemie odpowiada za dane, wysyła jasny sygnał partnerom: dbamy o dane, działamy odpowiedzialnie, jesteśmy godni zaufania.

Wbrew pozorom RODO nie jest barierą w rozwoju firmy. Jest systemem, który (właściwie zrozumiany) porządkuje relacje, buduje odpowiedzialność i chroni wartość przedsiębiorstwa. Znajomość ról w RODO to pierwszy krok do tego, by dane przetwarzać legalnie, bezpiecznie i efektywnie.

Dlatego warto, by każdy zarząd spółki zadał sobie proste pytanie: czy naprawdę wiemy, kto jest kim w RODO?

Jeśli odpowiedź jest niepewna, to jest to najlepszy moment, by tę wiedzę uporządkować (najlepiej przy pomocy profesjonalisty), zanim zrobi to za nas kontrola UODO.

Justyna Papierska-Mazurek
Justyna Papierska-Mazurek
Wspólnik / Adwokat

Absolwentka Wydziału Prawa i Administracji Uniwersytetu im. Adama Mickiewicza w Poznaniu. Członek Wielkopolskiej Izby Adwokackiej.


Czytaj dalej, wybierz temat:

Prawo spółek
Prawo pracy
Upadłość i restrukturyzacja
Własność intelektualna
Odszkodowania
Podatki i finanse
Ochrona danych osobowych
Lombardy
Umowy handlowe
Orzecznictwo i zmiany w prawie
Ciekawostki biznesowe i prawne
(
Głosów )

Potrzebujesz pomocy prawnej doświadczonego adwokata?

+48 61 221 63 59

Wyślij wiadomość



Warte przeczytania:

Skutki nieodnowienia mandatu członka zarządu w spółce z o.o.
PRAWO
Skutki nieodnowienia mandatu członka zarządu w spółce z o.o.

Czytaj więcej

Ochrona danych osobowych – nadchodzące zmiany
PRAWO
Ochrona danych osobowych – nadchodzące zmiany

Czytaj więcej

Możliwość żądania sprzedaży nieruchomości oddanej w użytkowanie wieczyste.
PRAWO
Możliwość żądania sprzedaży nieruchomości oddanej w użytkowanie wieczyste.

Czytaj więcej

Strona głównaZespółReferencjeCennikKontakt
KarieraBlogPolityka prywatnościPolityka CookiesDostosuj zgody cookies
facebookLinkedIn
Siedziba kancelarii:

ul. Wyspiańskiego 11/3
60-749 Poznań

Regon: 302739734
NIP: 7792422386
Copyright © 2021-2024 Kancelaria Adwokacka Adwokat Jaśkiewicz & Papierska. Wszystkie prawa zastrzeżone.
Szanujemy Twoją prywatność

Używamy plików cookie, aby poprawić jakość przeglądania strony, wyświetlać treści dostosowane do indywidualnych potrzeb użytkowników oraz analizować ruch na stronie. Kliknięcie przycisku „Akceptuj wszystkie” oznacza zgodę na wykorzystywanie przez nas plików cookie. Zgodę wyrażasz dobrowolnie i możesz ją w każdym momencie wycofać lub ponowić klikając w odnośnik Dostosuj zgody. Polityka plików cookies, polityka prywatności
Dostosuj zgodyOdrzućAkceptuj wszystko