RODO bez Tajemnic: Twój Kompleksowy Przewodnik po Ochronie Danych Osobowych

Najważniejsze Informacje

• Zrozumienie RODO: Kluczowe jest poznanie podstawowych zasad przetwarzania danych, obowiązków administratorów oraz praw osób, których dane dotyczą, aby zapewnić zgodność i uniknąć sankcji.
• Prawa Osób Fizycznych: RODO wzmacnia prawa jednostek, dając im większą kontrolę nad swoimi danymi osobowymi, w tym prawo dostępu, sprostowania, usunięcia czy przenoszenia danych.
• Odpowiedzialność Administratora: Firmy i organizacje muszą nie tylko przestrzegać przepisów RODO, ale również być w stanie wykazać tę zgodność (zasada rozliczalności), co wymaga odpowiedniej dokumentacji i procedur.

Ogólne Rozporządzenie o Ochronie Danych (RODO), obowiązujące w Unii Europejskiej od 25 maja 2018 roku, zrewolucjonizowało podejście do prywatności i ochrony danych osobowych. Jego celem jest ujednolicenie przepisów w całej UE, wzmocnienie praw obywateli oraz nałożenie na organizacje konkretnych obowiązków związanych z przetwarzaniem danych. Zrozumienie tych regulacji jest kluczowe dla każdego podmiotu, który gromadzi, przetwarza lub przechowuje dane osobowe.

Symboliczne przedstawienie ochrony danych osobowych w kontekście RODO.

Poniżej przedstawiamy odpowiedzi na dziesięć szczegółowych pytań, które pomogą rozwiać wątpliwości i lepiej zrozumieć zawiłości związane z RODO.

10 Kluczowych Pytań i Odpowiedzi dotyczących RODO

Pytanie 1

Biorąc pod uwagę definicję administratora danych osobowych (ADO) zawartą w Ogólnym Rozporządzeniu o Ochronie Danych (RODO) jako podmiot decydujący o celach i środkach przetwarzania, jakie konkretne, kompleksowe obowiązki spoczywają na organizacji pełniącej tę rolę, szczególnie w kontekście przeprowadzania rzetelnej oceny ryzyka związanego z operacjami przetwarzania? Proszę szczegółowo omówić, jakie potencjalne zagrożenia (np. cyberataki, błędy ludzkie, awarie systemów) ADO musi zidentyfikować i przeanalizować, jakie kategorie danych (w tym dane wrażliwe) wymagają szczególnej uwagi, oraz jakie praktyczne środki techniczne i organizacyjne, zgodne z zasadą privacy by design i privacy by default, powinny zostać wdrożone, aby skutecznie minimalizować zidentyfikowane ryzyka i zapobiegać uszczerbkowi fizycznemu, szkodom majątkowym lub niemajątkowym dla osób, których dane dotyczą, zgodnie z motywem 83 RODO?

Odpowiedź (PL)

Administrator danych osobowych (ADO), którym może być przedsiębiorca, urząd czy szkoła, jest kluczowym podmiotem odpowiedzialnym za zgodne z prawem przetwarzanie danych. Do jego podstawowych obowiązków należy ustalanie celów i sposobów przetwarzania danych oraz zapewnienie ich bezpieczeństwa. Kluczowym elementem jest przeprowadzenie kompleksowej oceny ryzyka, uwzględniającej charakter, zakres, kontekst i cele przetwarzania. ADO musi zidentyfikować potencjalne zagrożenia, takie jak nieautoryzowany dostęp, przypadkowa utrata, zniszczenie czy modyfikacja danych, w tym te wynikające z cyberataków, błędów ludzkich czy awarii systemów. Szczególną uwagę należy zwrócić na przetwarzanie danych wrażliwych (np. danych o zdrowiu, pochodzeniu etnicznym). Aby minimalizować ryzyko, ADO wdraża odpowiednie środki techniczne (np. szyfrowanie, pseudonimizacja, kontrola dostępu, regularne kopie zapasowe) i organizacyjne (np. polityki ochrony danych, szkolenia pracowników, procedury zarządzania incydentami). Zasady privacy by design (uwzględnianie ochrony danych na etapie projektowania) i privacy by default (domyślna ochrona danych) wymagają, aby systemy i procesy były tworzone z myślą o ochronie prywatności od samego początku. Celem tych działań jest zapobieganie szkodom dla osób, których dane dotyczą, zgodnie z motywem 83 RODO.

Question 1 (EN)

Considering the definition of a personal data controller (PDC) in the General Data Protection Regulation (GDPR) as the entity deciding on the purposes and means of processing, what specific, comprehensive obligations rest on an organization performing this role, especially in the context of conducting a thorough risk assessment related to processing operations? Please discuss in detail what potential threats (e.g., cyberattacks, human errors, system failures) the PDC must identify and analyze, which categories of data (including sensitive data) require special attention, and what practical technical and organizational measures, consistent with the principles of privacy by design and privacy by default, should be implemented to effectively minimize identified risks and prevent physical, material, or non-material damage to data subjects, in accordance with Recital 83 of the GDPR?

Answer (EN)

The personal data controller (PDC), which can be an entrepreneur, office, or school, is the key entity responsible for lawful data processing. Its primary duties include determining the purposes and means of data processing and ensuring data security. A crucial element is conducting a comprehensive risk assessment, considering the nature, scope, context, and purposes of processing. The PDC must identify potential threats such as unauthorized access, accidental loss, destruction, or modification of data, including those resulting from cyberattacks, human errors, or system failures. Special attention must be paid to processing sensitive data (e.g., health data, ethnic origin). To minimize risk, the PDC implements appropriate technical measures (e.g., encryption, pseudonymization, access control, regular backups) and organizational measures (e.g., data protection policies, employee training, incident management procedures). The principles of privacy by design (considering data protection at the design stage) and privacy by default (default data protection) require systems and processes to be created with privacy protection in mind from the outset. The aim of these actions is to prevent harm to data subjects, in accordance with Recital 83 of the GDPR.

Pytanie 2

W kontekście obowiązku zgłaszania naruszeń ochrony danych osobowych, który nakłada RODO, proszę szczegółowo wyjaśnić, jakie kryteria decydują o tym, że dane zdarzenie kwalifikuje się jako naruszenie wymagające notyfikacji organowi nadzorczemu (np. Prezesowi Urzędu Ochrony Danych Osobowych) w terminie 72 godzin od jego stwierdzenia. Jakie informacje obligatoryjnie muszą znaleźć się w takim zgłoszeniu, jakie są potencjalne konsekwencje opóźnienia lub zaniechania zgłoszenia, oraz kiedy, oprócz notyfikacji organu, administrator jest zobowiązany poinformować o naruszeniu bezpośrednio osoby, których dane dotyczą, i jakie elementy powinno zawierać takie powiadomienie skierowane do podmiotów danych?

Odpowiedź (PL)

Naruszenie ochrony danych osobowych to incydent bezpieczeństwa prowadzący do przypadkowego lub niezgodnego z prawem zniszczenia, utraty, modyfikacji, nieuprawnionego ujawnienia lub dostępu do danych osobowych. Administrator musi zgłosić naruszenie organowi nadzorczemu (w Polsce – Prezesowi UODO) bez zbędnej zwłoki, nie później niż w ciągu 72 godzin od stwierdzenia naruszenia, chyba że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych. Zgłoszenie powinno zawierać co najmniej: opis charakteru naruszenia (w tym kategorie i przybliżoną liczbę osób, których dane dotyczą, oraz kategorie i przybliżoną liczbę wpisów danych osobowych, których dotyczy naruszenie), dane kontaktowe Inspektora Ochrony Danych (IOD) lub innego punktu kontaktowego, opis możliwych konsekwencji naruszenia oraz opis środków zastosowanych lub proponowanych przez administratora w celu zaradzenia naruszeniu, w tym środków minimalizujących jego negatywne skutki. Opóźnienie lub zaniechanie zgłoszenia może skutkować sankcjami administracyjnymi. Administrator musi również bez zbędnej zwłoki poinformować osoby, których dane dotyczą, o naruszeniu, jeśli może ono powodować wysokie ryzyko naruszenia ich praw lub wolności. Powiadomienie takie powinno prostym i zrozumiałym językiem opisywać charakter naruszenia oraz zawierać przynajmniej informacje o danych kontaktowych IOD, możliwych konsekwencjach i środkach zaradczych.

Question 2 (EN)

In the context of the obligation to report personal data breaches imposed by the GDPR, please explain in detail what criteria determine that a given event qualifies as a breach requiring notification to the supervisory authority (e.g., the President of the Personal Data Protection Office) within 72 hours of its discovery. What information must obligatorily be included in such a notification, what are the potential consequences of delaying or failing to report, and when, in addition to notifying the authority, is the controller obliged to inform the data subjects directly about the breach, and what elements should such a notification to data subjects contain?

Answer (EN)

A personal data breach is a security incident leading to the accidental or unlawful destruction, loss, alteration, unauthorized disclosure of, or access to, personal data. The controller must report the breach to the supervisory authority (in Poland – the President of UODO) without undue delay, and not later than 72 hours after becoming aware of it, unless the breach is unlikely to result in a risk to the rights and freedoms of natural persons. The notification should at least: describe the nature of the breach (including the categories and approximate number of data subjects concerned and the categories and approximate number of personal data records concerned), provide contact details of the Data Protection Officer (DPO) or other contact point, describe the likely consequences of the breach, and describe the measures taken or proposed to be taken by the controller to address the breach, including measures to mitigate its possible adverse effects. Delaying or failing to report can result in administrative sanctions. The controller must also, without undue delay, inform the data subjects about the breach if it is likely to result in a high risk to their rights and freedoms. Such a notification should, in clear and plain language, describe the nature of the breach and contain at least information about the DPO's contact details, likely consequences, and remedial measures.

Pytanie 3

RODO przyznaje osobom fizycznym szeroki wachlarz praw dotyczących ich danych osobowych. Proszę szczegółowo omówić każde z fundamentalnych praw podmiotów danych, takich jak prawo dostępu do danych, prawo do sprostowania, prawo do usunięcia (tzw. „prawo do bycia zapomnianym”), prawo do ograniczenia przetwarzania, prawo do przenoszenia danych oraz prawo do sprzeciwu. Jakie są praktyczne mechanizmy, za pomocą których osoby fizyczne mogą egzekwować te prawa wobec administratorów danych, jakie obowiązki spoczywają na administratorze w zakresie terminowego i merytorycznego odpowiadania na żądania, oraz w jakich specyficznych okolicznościach realizacja niektórych z tych praw może podlegać ograniczeniom?

Odpowiedź (PL)

RODO znacząco wzmacnia prawa osób fizycznych. Do kluczowych należą: Prawo dostępu do danych (art. 15 RODO): Osoba ma prawo uzyskać od administratora potwierdzenie, czy przetwarzane są jej dane, a jeśli tak, to uzyskać do nich dostęp oraz informacje m.in. o celach przetwarzania, kategoriach danych, odbiorcach, okresie przechowywania. Prawo do sprostowania danych (art. 16 RODO): Prawo żądania niezwłocznego sprostowania nieprawidłowych danych lub uzupełnienia danych niekompletnych. Prawo do usunięcia danych („prawo do bycia zapomnianym”, art. 17 RODO): Możliwość żądania usunięcia danych, gdy np. nie są już niezbędne do celów, dla których je zebrano, wycofano zgodę, wniesiono sprzeciw, lub dane przetwarzano niezgodnie z prawem. Prawo do ograniczenia przetwarzania (art. 18 RODO): Prawo żądania ograniczenia przetwarzania w określonych przypadkach, np. gdy kwestionowana jest prawidłowość danych lub wniesiono sprzeciw. Prawo do przenoszenia danych (art. 20 RODO): Prawo otrzymania w ustrukturyzowanym, powszechnie używanym formacie danych dostarczonych administratorowi oraz prawo przesłania ich innemu administratorowi, jeśli przetwarzanie odbywa się na podstawie zgody lub umowy i w sposób zautomatyzowany. Prawo do sprzeciwu (art. 21 RODO): Prawo wniesienia sprzeciwu wobec przetwarzania danych opartego na interesie publicznym lub prawnie uzasadnionym interesie administratora, a także wobec marketingu bezpośredniego. Administrator musi odpowiedzieć na żądanie bez zbędnej zwłoki, najpóźniej w ciągu miesiąca (termin może być przedłużony o kolejne dwa miesiące w skomplikowanych przypadkach). Odpowiedź powinna być merytoryczna. Ograniczenia praw mogą wynikać z innych przepisów prawa lub gdy żądania są ewidentnie nieuzasadnione lub nadmierne.

Question 3 (EN)

The GDPR grants natural persons a wide range of rights concerning their personal data. Please discuss in detail each of the fundamental rights of data subjects, such as the right of access to data, the right to rectification, the right to erasure (the so-called "right to be forgotten"), the right to restriction of processing, the right to data portability, and the right to object. What are the practical mechanisms by which natural persons can enforce these rights against data controllers, what obligations rest on the controller regarding timely and substantive responses to requests, and in what specific circumstances may the exercise of some of these rights be subject to limitations?

Answer (EN)

GDPR significantly strengthens the rights of natural persons. Key rights include: Right of access (Art. 15 GDPR): The individual has the right to obtain confirmation from the controller as to whether their data is being processed, and if so, to access it and information about, among other things, the purposes of processing, categories of data, recipients, and storage period. Right to rectification (Art. 16 GDPR): The right to request immediate rectification of inaccurate data or completion of incomplete data. Right to erasure ("right to be forgotten", Art. 17 GDPR): The ability to request data erasure when, for example, it is no longer necessary for the purposes for which it was collected, consent has been withdrawn, an objection has been lodged, or the data was processed unlawfully. Right to restriction of processing (Art. 18 GDPR): The right to request restriction of processing in specific cases, e.g., when data accuracy is contested or an objection has been lodged. Right to data portability (Art. 20 GDPR): The right to receive data provided to a controller in a structured, commonly used format and the right to transmit it to another controller, if processing is based on consent or a contract and is automated. Right to object (Art. 21 GDPR): The right to object to data processing based on public interest or the legitimate interest of the controller, as well as to direct marketing. The controller must respond to a request without undue delay, at the latest within one month (the period may be extended by another two months in complex cases). The response should be substantive. Limitations on rights may arise from other legal provisions or when requests are manifestly unfounded or excessive.

Pytanie 4

Przetwarzanie danych osobowych musi opierać się na jednej z sześciu podstaw prawnych wymienionych w RODO. Proszę omówić każdą z tych podstaw (zgoda, wykonanie umowy, obowiązek prawny, ochrona żywotnych interesów, zadanie realizowane w interesie publicznym, prawnie uzasadniony interes administratora). Kiedy zgoda jest absolutnie konieczna, a kiedy administrator może polegać na innych przesłankach? Jakie są rygorystyczne wymogi dotyczące pozyskiwania ważnej zgody, w tym jej dobrowolność, konkretność, świadomość i jednoznaczność, oraz jak należy zarządzać wycofaniem zgody przez osobę, której dane dotyczą, aby zapewnić pełną zgodność z regulacjami?

Odpowiedź (PL)

RODO (art. 6 ust. 1) wymienia sześć podstaw prawnych przetwarzania danych: Zgoda: Dobrowolne, konkretne, świadome i jednoznaczne okazanie woli, którym osoba, której dane dotyczą, w formie oświadczenia lub wyraźnego działania potwierdzającego, przyzwala na przetwarzanie dotyczących jej danych. Musi być łatwo odwołalna. Wykonanie umowy: Przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, lub do podjęcia działań na żądanie tej osoby przed zawarciem umowy. Obowiązek prawny: Przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze (np. przepisy podatkowe, prawo pracy). Ochrona żywotnych interesów: Przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej (np. w sytuacjach zagrożenia życia). Zadanie realizowane w interesie publicznym: Przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi. Prawnie uzasadniony interes administratora: Przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą (szczególnie gdy osoba jest dzieckiem). Wymaga przeprowadzenia testu równowagi. Zgoda jest często konieczna, gdy inne podstawy nie mają zastosowania, np. w marketingu bezpośrednim do nowych klientów lub przy przetwarzaniu danych wrażliwych (choć tu też są inne wyjątki). Wycofanie zgody musi być równie łatwe jak jej wyrażenie i nie wpływa na zgodność z prawem przetwarzania dokonanego przed jej wycofaniem. Administrator musi zaprzestać przetwarzania opartego na zgodzie po jej wycofaniu.

Question 4 (EN)

Personal data processing must be based on one of the six legal bases listed in the GDPR. Please discuss each of these bases (consent, performance of a contract, legal obligation, protection of vital interests, task carried out in the public interest, legitimate interests of the controller). When is consent absolutely necessary, and when can the controller rely on other grounds? What are the stringent requirements for obtaining valid consent, including its voluntariness, specificity, informedness, and unambiguity, and how should the withdrawal of consent by the data subject be managed to ensure full compliance with regulations?

Answer (EN)

GDPR (Art. 6(1)) lists six legal bases for data processing: Consent: A freely given, specific, informed, and unambiguous indication of the data subject's wishes by which he or she, by a statement or by a clear affirmative action, signifies agreement to the processing of personal data relating to him or her. It must be easily revocable. Performance of a contract: Processing is necessary for the performance of a contract to which the data subject is party or in order to take steps at the request of the data subject prior to entering into a contract. Legal obligation: Processing is necessary for compliance with a legal obligation to which the controller is subject (e.g., tax laws, labor law). Protection of vital interests: Processing is necessary to protect the vital interests of the data subject or of another natural person (e.g., in life-threatening situations). Task carried out in the public interest: Processing is necessary for the performance of a task carried out in the public interest or in the exercise of official authority vested in the controller. Legitimate interests of the controller: Processing is necessary for the purposes of the legitimate interests pursued by the controller or by a third party, except where such interests are overridden by the interests or fundamental rights and freedoms of the data subject (especially where the data subject is a child). Requires a balancing test. Consent is often necessary when other bases do not apply, e.g., in direct marketing to new customers or when processing sensitive data (although there are other exceptions here too). Withdrawal of consent must be as easy as giving it and does not affect the lawfulness of processing based on consent before its withdrawal. The controller must cease processing based on consent after its withdrawal.

Pytanie 5

Rola Inspektora Ochrony Danych (IOD) jest kluczowa w systemie ochrony danych osobowych RODO. Kiedy dokładnie organizacja – czy to podmiot publiczny, czy prywatny – jest zobowiązana do wyznaczenia IOD? Jakie konkretne zadania i obowiązki spoczywają na IOD, w tym jego funkcja doradcza, monitorująca oraz jako punkt kontaktowy? Jakie kwalifikacje i cechy, takie jak wiedza ekspercka z zakresu prawa i praktyk ochrony danych oraz niezależność, powinien posiadać IOD, aby skutecznie pełnić swoją rolę i wspierać administratora w zapewnieniu zgodności z RODO?

Odpowiedź (PL)

Wyznaczenie Inspektora Ochrony Danych (IOD) jest obowiązkowe dla: 1. Organów i podmiotów publicznych (z wyjątkiem sądów w zakresie sprawowania wymiaru sprawiedliwości). 2. Podmiotów, których główna działalność polega na operacjach przetwarzania wymagających regularnego i systematycznego monitorowania osób na dużą skalę. 3. Podmiotów, których główna działalność polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych (danych wrażliwych) oraz danych dotyczących wyroków skazujących i czynów zabronionych. Zadania IOD obejmują m.in.: informowanie administratora, podmiotu przetwarzającego oraz pracowników o obowiązkach wynikających z RODO i innych przepisów o ochronie danych oraz doradzanie im w tej kwestii; monitorowanie przestrzegania RODO, innych przepisów oraz polityk administratora w dziedzinie ochrony danych, w tym podział obowiązków, działania zwiększające świadomość, szkolenia personelu oraz audyty; udzielanie na żądanie zaleceń co do oceny skutków dla ochrony danych (DPIA) oraz monitorowanie jej wykonania; współpracę z organem nadzorczym; pełnienie funkcji punktu kontaktowego dla organu nadzorczego w kwestiach związanych z przetwarzaniem oraz, w stosownych przypadkach, prowadzenie konsultacji we wszelkich innych sprawach. IOD powinien posiadać wiedzę ekspercką na temat prawa i praktyk w dziedzinie ochrony danych oraz umiejętność wypełniania swoich zadań. Kluczowa jest jego niezależność – IOD podlega bezpośrednio najwyższemu kierownictwu administratora lub podmiotu przetwarzającego, nie otrzymuje instrukcji dotyczących wykonywania zadań i nie może być odwołany ani karany za ich wypełnianie.

Question 5 (EN)

The role of the Data Protection Officer (DPO) is crucial in the GDPR personal data protection system. When exactly is an organization – whether a public or private entity – obliged to appoint a DPO? What specific tasks and responsibilities fall upon the DPO, including their advisory and monitoring functions, as well as serving as a contact point? What qualifications and characteristics, such as expert knowledge of data protection law and practices, and independence, should a DPO possess to effectively perform their role and support the controller in ensuring GDPR compliance?

Answer (EN)

The appointment of a Data Protection Officer (DPO) is mandatory for: 1. Public authorities and bodies (except for courts acting in their judicial capacity). 2. Controllers or processors whose core activities consist of processing operations which require regular and systematic monitoring of data subjects on a large scale. 3. Controllers or processors whose core activities consist of processing on a large scale of special categories of personal data (sensitive data) and personal data relating to criminal convictions and offences. The DPO's tasks include, among others: informing and advising the controller, processor, and employees of their obligations under GDPR and other data protection provisions; monitoring compliance with GDPR, other provisions, and the controller's data protection policies, including assignment of responsibilities, awareness-raising, staff training, and audits; providing advice where requested as regards the data protection impact assessment (DPIA) and monitoring its performance; cooperating with the supervisory authority; acting as the contact point for the supervisory authority on issues relating to processing and, where appropriate, consulting on any other matter. The DPO should possess expert knowledge of data protection law and practices and the ability to fulfil their tasks. Their independence is key – the DPO reports directly to the highest management level of the controller or processor, receives no instructions regarding the exercise of tasks, and cannot be dismissed or penalized for performing them.

Pytanie 6

RODO ma zastosowanie eksterytorialne, co oznacza, że obejmuje również podmioty spoza Unii Europejskiej. Proszę dokładnie wyjaśnić, w jakich okolicznościach przedsiębiorstwa z siedzibą poza UE, które przetwarzają dane osobowe osób znajdujących się w UE, podlegają przepisom RODO. Jakie są kluczowe kryteria decydujące o tym zakresie, takie jak oferowanie towarów lub usług osobom w UE (niezależnie od tego, czy wymagana jest płatność) lub monitorowanie ich zachowania na terytorium UE? Jakie mechanizmy, np. wyznaczenie przedstawiciela w UE, są przewidziane dla takich podmiotów w celu zapewnienia zgodności?

Odpowiedź (PL)

RODO ma zastosowanie do przetwarzania danych osobowych osób znajdujących się w Unii Europejskiej przez administratora lub podmiot przetwarzający niemający jednostki organizacyjnej w Unii, jeżeli czynności przetwarzania wiążą się z: a) oferowaniem towarów lub usług takim osobom w Unii, niezależnie od tego, czy wymaga się od tych osób zapłaty; lub b) monitorowaniem ich zachowania, o ile do zachowania tego dochodzi w Unii. Kluczowe jest więc nie miejsce siedziby administratora, ale powiązanie jego działalności z rynkiem unijnym lub osobami fizycznymi przebywającymi w UE. "Oferowanie towarów lub usług" może być stwierdzone na podstawie np. używania języka lub waluty powszechnie stosowanej w jednym lub kilku państwach członkowskich z możliwością zamówienia towarów i usług w tym języku, lub wzmianki o klientach lub użytkownikach znajdujących się w Unii. "Monitorowanie zachowania" może obejmować śledzenie osób w internecie w celu profilowania, analizy lub przewidywania preferencji, zachowań czy postaw. Administratorzy lub podmioty przetwarzające spoza UE, objęci RODO na mocy tych przepisów, co do zasady muszą wyznaczyć na piśmie swojego przedstawiciela w Unii, chyba że przetwarzanie ma charakter sporadyczny, nie obejmuje na dużą skalę szczególnych kategorii danych ani danych dotyczących wyroków skazujących i czynów zabronionych, i jest mało prawdopodobne, by powodowało ryzyko naruszenia praw lub wolności osób fizycznych, lub gdy administrator jest organem lub podmiotem publicznym. Przedstawiciel działa w imieniu administratora/przetwarzającego i jest punktem kontaktowym dla organów nadzorczych i osób, których dane dotyczą.

Question 6 (EN)

The GDPR has extraterritorial application, meaning it also covers entities outside the European Union. Please explain in detail under what circumstances companies based outside the EU that process the personal data of individuals in the EU are subject to GDPR provisions. What are the key criteria determining this scope, such as offering goods or services to individuals in the EU (regardless of whether payment is required) or monitoring their behavior within the EU territory? What mechanisms, e.g., appointing a representative in the EU, are provided for such entities to ensure compliance?

Answer (EN)

The GDPR applies to the processing of personal data of data subjects who are in the Union by a controller or processor not established in the Union, where the processing activities are related to: a) the offering of goods or services, irrespective of whether a payment of the data subject is required, to such data subjects in the Union; or b) the monitoring of their behaviour as far as their behaviour takes place within the Union. Thus, the key factor is not the controller's place of establishment, but the connection of its activities with the EU market or natural persons residing in the EU. "Offering goods or services" can be ascertained by, for example, the use of a language or a currency generally used in one or more Member States with the possibility of ordering goods and services in that other language, or the mentioning of customers or users who are in the Union. "Monitoring behaviour" may include tracking individuals on the internet for profiling, analysis, or prediction of preferences, behaviours, or attitudes. Controllers or processors not established in the EU, subject to GDPR under these provisions, must, as a rule, designate in writing a representative in the Union, unless the processing is occasional, does not include, on a large scale, processing of special categories of data or processing of personal data relating to criminal convictions and offences, and is unlikely to result in a risk to the rights and freedoms of natural persons, or where the controller is a public authority or body. The representative acts on behalf of the controller/processor and is the contact point for supervisory authorities and data subjects.

Pytanie 7

Ocena skutków dla ochrony danych (DPIA) jest istotnym narzędziem zarządzania ryzykiem w RODO. Kiedy przeprowadzenie DPIA jest obligatoryjne dla administratora danych? Proszę opisać, jakie rodzaje operacji przetwarzania danych zazwyczaj wiążą się z wysokim ryzykiem dla praw i wolności osób fizycznych, które to ryzyko uruchamia obowiązek DPIA (np. systematyczne monitorowanie na dużą skalę, przetwarzanie danych wrażliwych na dużą skalę). Jakie kluczowe elementy powinna zawierać prawidłowo przeprowadzona DPIA, w tym opis planowanych operacji, ocenę konieczności i proporcjonalności, identyfikację ryzyk oraz planowane środki zaradcze w celu minimalizacji tych ryzyk?

Odpowiedź (PL)

Ocena skutków dla ochrony danych (DPIA) jest obowiązkowa, gdy dany rodzaj przetwarzania – w szczególności z użyciem nowych technologii – ze względu na swój charakter, zakres, kontekst i cele z dużym prawdopodobieństwem może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych. RODO (art. 35 ust. 3) wskazuje przykłady sytuacji wymagających DPIA: a) systematyczna, zakrojona na szeroką skalę ocena czynników osobowych osób fizycznych, która opiera się na zautomatyzowanym przetwarzaniu, w tym profilowaniu, i jest podstawą decyzji wywołujących skutki prawne lub podobnie znacząco wpływających na osoby fizyczne; b) przetwarzanie na dużą skalę szczególnych kategorii danych osobowych (danych wrażliwych) lub danych osobowych dotyczących wyroków skazujących i naruszeń prawa; c) systematyczne monitorowanie na dużą skalę miejsc dostępnych publicznie. Organ nadzorczy publikuje wykaz rodzajów operacji przetwarzania podlegających wymogowi przeprowadzenia DPIA. Prawidłowo przeprowadzona DPIA powinna zawierać co najmniej: systematyczny opis planowanych operacji przetwarzania i celów przetwarzania (w tym, w stosownych przypadkach, prawnie uzasadnionego interesu realizowanego przez administratora); ocenę, czy operacje przetwarzania są niezbędne oraz proporcjonalne w kontekście celów; ocenę ryzyka naruszenia praw lub wolności osób, których dane dotyczą; oraz środki planowane w celu zaradzenia ryzyku, w tym zabezpieczenia oraz środki i mechanizmy bezpieczeństwa mające zapewnić ochronę danych osobowych i wykazać przestrzeganie RODO, z uwzględnieniem praw i prawnie uzasadnionych interesów osób, których dane dotyczą, i innych osób, których sprawa dotyczy. Jeśli DPIA wykaże, że przetwarzanie powodowałoby wysokie ryzyko, gdyby administrator nie zastosował środków w celu jego zminimalizowania, administrator przed rozpoczęciem przetwarzania konsultuje się z organem nadzorczym.

Question 7 (EN)

A Data Protection Impact Assessment (DPIA) is an important risk management tool in GDPR. When is conducting a DPIA mandatory for a data controller? Please describe what types of data processing operations typically involve a high risk to the rights and freedoms of natural persons, which triggers the DPIA obligation (e.g., systematic large-scale monitoring, large-scale processing of sensitive data). What key elements should a properly conducted DPIA contain, including a description of the envisaged processing operations, an assessment of the necessity and proportionality, identification of risks, and the envisaged measures to address those risks to minimize them?

Answer (EN)

A Data Protection Impact Assessment (DPIA) is mandatory where a type of processing, in particular using new technologies, and taking into account the nature, scope, context, and purposes of the processing, is likely to result in a high risk to the rights and freedoms of natural persons. GDPR (Art. 35(3)) provides examples of situations requiring a DPIA: a) a systematic and extensive evaluation of personal aspects relating to natural persons which is based on automated processing, including profiling, and on which decisions are based that produce legal effects concerning the natural person or similarly significantly affect the natural person; b) processing on a large scale of special categories of personal data (sensitive data), or of personal data relating to criminal convictions and offences; c) a systematic monitoring of a publicly accessible area on a large scale. The supervisory authority publishes a list of the kind of processing operations which are subject to the requirement for a DPIA. A properly conducted DPIA should contain at least: a systematic description of the envisaged processing operations and the purposes of the processing (including, where applicable, the legitimate interest pursued by the controller); an assessment of the necessity and proportionality of the processing operations in relation to the purposes; an assessment of the risks to the rights and freedoms of data subjects; and the measures envisaged to address the risks, including safeguards, security measures and mechanisms to ensure the protection of personal data and to demonstrate compliance with GDPR, taking into account the rights and legitimate interests of data subjects and other persons concerned. If the DPIA indicates that the processing would result in a high risk in the absence of measures taken by the controller to mitigate the risk, the controller shall consult the supervisory authority prior to processing.

Pytanie 8

Przetwarzanie szczególnych kategorii danych osobowych, zwanych potocznie „danymi wrażliwymi” (np. dane dotyczące zdrowia, pochodzenia rasowego lub etnicznego, poglądów politycznych, przekonań religijnych, danych genetycznych, biometrycznych), jest co do zasady zabronione przez RODO. Proszę szczegółowo omówić, jakie są wyjątki od tej zasady, czyli w jakich konkretnych sytuacjach i na jakich podstawach prawnych przetwarzanie danych wrażliwych jest dopuszczalne. Jakie dodatkowe, bardziej rygorystyczne środki bezpieczeństwa i zabezpieczenia organizacyjne musi wdrożyć administrator, aby legalnie i bezpiecznie przetwarzać tego typu dane, minimalizując ryzyko ich nieuprawnionego ujawnienia lub wykorzystania?

Odpowiedź (PL)

Przetwarzanie szczególnych kategorii danych osobowych (art. 9 ust. 1 RODO) jest zabronione, chyba że zachodzi jedna z przesłanek wymienionych w art. 9 ust. 2 RODO. Do najważniejszych wyjątków należą: a) osoba, której dane dotyczą, wyraziła wyraźną zgodę na przetwarzanie tych danych w jednym lub kilku konkretnych celach; b) przetwarzanie jest niezbędne do wypełnienia obowiązków i wykonywania szczególnych praw przez administratora lub osobę, której dane dotyczą, w dziedzinie prawa pracy, zabezpieczenia społecznego i ochrony socjalnej; c) przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby fizycznej, a osoba, której dane dotyczą, jest fizycznie lub prawnie niezdolna do wyrażenia zgody; d) przetwarzanie jest niezbędne ze względów związanych z ważnym interesem publicznym, na podstawie prawa Unii lub prawa państwa członkowskiego; e) przetwarzanie jest niezbędne do celów profilaktyki zdrowotnej lub medycyny pracy, do oceny zdolności pracownika do pracy, diagnozy medycznej, zapewnienia opieki zdrowotnej lub zabezpieczenia społecznego, leczenia lub zarządzania systemami i usługami opieki zdrowotnej lub zabezpieczenia społecznego; f) przetwarzanie jest niezbędne ze względów związanych z interesem publicznym w dziedzinie zdrowia publicznego, takich jak ochrona przed poważnymi transgranicznymi zagrożeniami zdrowotnymi; g) przetwarzanie jest niezbędne do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych. Administrator przetwarzający dane wrażliwe musi wdrożyć szczególnie rygorystyczne środki bezpieczeństwa. Obejmują one m.in. silne szyfrowanie, ścisłą kontrolę dostępu (zasada minimalnego dostępu), pseudonimizację lub anonimizację tam, gdzie to możliwe, regularne audyty bezpieczeństwa, specjalistyczne szkolenia dla personelu mającego dostęp do tych danych oraz szczegółowe procedury postępowania z danymi wrażliwymi, w tym reagowania na incydenty.

Question 8 (EN)

The processing of special categories of personal data, commonly referred to as "sensitive data" (e.g., data concerning health, racial or ethnic origin, political opinions, religious beliefs, genetic data, biometric data), is generally prohibited by the GDPR. Please discuss in detail what the exceptions to this rule are, i.e., in what specific situations and on what legal bases is the processing of sensitive data permissible. What additional, more stringent security measures and organizational safeguards must the controller implement to legally and securely process this type of data, minimizing the risk of its unauthorized disclosure or use?

Answer (EN)

The processing of special categories of personal data (Art. 9(1) GDPR) is prohibited unless one of the conditions listed in Art. 9(2) GDPR applies. The most important exceptions include: a) the data subject has given explicit consent to the processing of those personal data for one or more specified purposes; b) processing is necessary for the purposes of carrying out the obligations and exercising specific rights of the controller or of the data subject in the field of employment and social security and social protection law; c) processing is necessary to protect the vital interests of the data subject or of another natural person where the data subject is physically or legally incapable of giving consent; d) processing is necessary for reasons of substantial public interest, on the basis of Union or Member State law; e) processing is necessary for the purposes of preventive or occupational medicine, for the assessment of the working capacity of the employee, medical diagnosis, the provision of health or social care or treatment or the management of health or social care systems and services; f) processing is necessary for reasons of public interest in the area of public health, such as protecting against serious cross-border threats to health; g) processing is necessary for archiving purposes in the public interest, scientific or historical research purposes or statistical purposes. A controller processing sensitive data must implement particularly stringent security measures. These include, among others, strong encryption, strict access control (principle of least privilege), pseudonymization or anonymization where possible, regular security audits, specialized training for personnel with access to this data, and detailed procedures for handling sensitive data, including incident response.

Pytanie 9

Zasada rozliczalności (accountability) jest jednym z filarów RODO, wymagającym od administratorów nie tylko przestrzegania przepisów, ale także umiejętności wykazania tej zgodności. Jakie konkretne działania i mechanizmy dokumentacyjne powinien wdrożyć administrator danych, w tym przedsiębiorca prowadzący jednoosobową działalność gospodarczą, aby móc skutecznie zademonstrować organowi nadzorczemu (np. Prezesowi UODO) oraz osobom, których dane dotyczą, że procesy przetwarzania danych w jego organizacji są prowadzone zgodnie z RODO? Jakie rejestry i polityki są kluczowe w tym kontekście?

Odpowiedź (PL)

Zasada rozliczalności (art. 5 ust. 2 RODO) nakłada na administratora obowiązek wykazania przestrzegania zasad przetwarzania danych. Aby to osiągnąć, administrator powinien: 1. Prowadzić rejestr czynności przetwarzania danych (art. 30 RODO): Dokumentuje m.in. cele przetwarzania, kategorie osób i danych, odbiorców danych, transfery do państw trzecich, planowane terminy usunięcia danych, ogólny opis środków bezpieczeństwa. Małe firmy (poniżej 250 pracowników) są zwolnione, chyba że przetwarzanie może powodować ryzyko, nie jest sporadyczne lub dotyczy danych wrażliwych. 2. Wdrożyć odpowiednie polityki ochrony danych: Np. politykę bezpieczeństwa informacji, procedury zarządzania incydentami, politykę retencji danych. 3. Dokumentować podstawy prawne przetwarzania: Przechowywać dowody uzyskania zgód, analizy dotyczące prawnie uzasadnionego interesu. 4. Przeprowadzać i dokumentować oceny skutków dla ochrony danych (DPIA): Dla operacji wysokiego ryzyka. 5. Implementować środki techniczne i organizacyjne: Zapewniające bezpieczeństwo (np. szyfrowanie, kontrole dostępu) i dokumentować ich wdrożenie oraz przeglądy. 6. Prowadzić rejestr naruszeń ochrony danych: Nawet tych nie zgłoszonych organowi nadzorczemu. 7. Szkolić personel: Podnosić świadomość w zakresie ochrony danych i dokumentować przeprowadzone szkolenia. 8. Zawierać umowy powierzenia przetwarzania danych (art. 28 RODO): Z podmiotami przetwarzającymi dane w jego imieniu. 9. Regularnie dokonywać przeglądów i audytów: Wewnętrznych lub zewnętrznych, aby ocenić zgodność i skuteczność wdrożonych środków. Dokumentacja ta jest kluczowa podczas kontroli organu nadzorczego lub w przypadku zapytań od osób, których dane dotyczą, umożliwiając udowodnienie należytej staranności i zgodności z RODO.

Question 9 (EN)

The principle of accountability is one of the pillars of the GDPR, requiring controllers not only to comply with the regulations but also to be able to demonstrate this compliance. What specific actions and documentation mechanisms should a data controller, including a sole proprietor, implement to be able to effectively demonstrate to the supervisory authority (e.g., the President of UODO) and data subjects that data processing activities in their organization are conducted in accordance with the GDPR? What registers and policies are key in this context?

Answer (EN)

The principle of accountability (Art. 5(2) GDPR) obliges the controller to demonstrate compliance with data processing principles. To achieve this, the controller should: 1. Maintain a record of processing activities (Art. 30 GDPR): Documenting, among other things, purposes of processing, categories of data subjects and data, data recipients, transfers to third countries, planned erasure deadlines, and a general description of security measures. Small businesses (fewer than 250 employees) are exempt unless processing is likely to result in a risk, is not occasional, or involves sensitive data. 2. Implement appropriate data protection policies: E.g., information security policy, incident management procedures, data retention policy. 3. Document legal bases for processing: Keep evidence of obtained consents, analyses regarding legitimate interest. 4. Conduct and document Data Protection Impact Assessments (DPIAs): For high-risk operations. 5. Implement technical and organizational measures: Ensuring security (e.g., encryption, access controls) and document their implementation and reviews. 6. Maintain a record of data breaches: Even those not reported to the supervisory authority. 7. Train staff: Raise awareness regarding data protection and document conducted training. 8. Conclude data processing agreements (Art. 28 GDPR): With entities processing data on its behalf. 9. Regularly conduct reviews and audits: Internal or external, to assess compliance and the effectiveness of implemented measures. This documentation is crucial during inspections by the supervisory authority or in case of inquiries from data subjects, allowing for the demonstration of due diligence and compliance with GDPR.

Pytanie 10

RODO przewiduje dotkliwe sankcje finansowe za nieprzestrzeganie jego przepisów, mogące sięgać nawet 20 milionów euro lub 4% całkowitego rocznego światowego obrotu przedsiębiorstwa z poprzedniego roku obrotowego. Jakie są główne kategorie naruszeń, które mogą prowadzić do nałożenia tak wysokich kar? Jakie czynniki bierze pod uwagę organ nadzorczy przy wymierzaniu kary, takie jak charakter, waga i czas trwania naruszenia, umyślność lub nieumyślność, podjęte działania naprawcze, stopień współpracy z organem, czy kategorie danych, których dotyczyło naruszenie? Czy istnieją inne, poza finansowymi, środki naprawcze, które może zastosować organ nadzorczy?

Odpowiedź (PL)

RODO (art. 83) przewiduje dwa progi kar administracyjnych: 1. Do 10 mln EUR lub 2% całkowitego rocznego światowego obrotu: Za naruszenia dotyczące m.in. obowiązków administratora i podmiotu przetwarzającego (np. w zakresie prowadzenia rejestrów, bezpieczeństwa przetwarzania, zgłaszania naruszeń, DPIA, wyznaczenia IOD), obowiązków podmiotu certyfikującego czy monitorującego. 2. Do 20 mln EUR lub 4% całkowitego rocznego światowego obrotu: Za naruszenia dotyczące m.in. podstawowych zasad przetwarzania (w tym warunków zgody), praw osób, których dane dotyczą, przekazywania danych do państw trzecich, obowiązków wynikających z prawa państwa członkowskiego, czy nieprzestrzegania nakazu organu nadzorczego. Przy wymierzaniu kary organ nadzorczy bierze pod uwagę m.in.: charakter, wagę i czas trwania naruszenia; umyślny lub nieumyślny charakter; działania podjęte w celu zminimalizowania szkody; stopień odpowiedzialności (uwzględniając środki techniczne i organizacyjne); wcześniejsze naruszenia; stopień współpracy z organem nadzorczym; kategorie danych, których dotyczyło naruszenie; sposób, w jaki organ dowiedział się o naruszeniu (czy podmiot sam zgłosił); przestrzeganie zatwierdzonych kodeksów postępowania lub mechanizmów certyfikacji. Oprócz kar finansowych, organy nadzorcze dysponują innymi uprawnieniami naprawczymi (art. 58 RODO), takimi jak: udzielanie ostrzeżeń, upomnień, nakazywanie dostosowania operacji przetwarzania do przepisów, nakazywanie sprostowania lub usunięcia danych, wprowadzanie czasowego lub całkowitego ograniczenia przetwarzania, a nawet zakazu przetwarzania.

Question 10 (EN)

The GDPR provides for severe financial sanctions for non-compliance with its provisions, which can amount to up to 20 million euros or 4% of the company's total worldwide annual turnover from the preceding financial year. What are the main categories of infringements that can lead to the imposition of such high fines? What factors does the supervisory authority consider when imposing a fine, such as the nature, gravity, and duration of the infringement, intentionality or negligence, remedial actions taken, degree of cooperation with the authority, or the categories of data affected by the infringement? Are there other, non-financial, corrective measures that the supervisory authority can apply?

Answer (EN)

GDPR (Art. 83) provides for two tiers of administrative fines: 1. Up to EUR 10 million or 2% of total worldwide annual turnover: For infringements concerning, among others, obligations of the controller and processor (e.g., regarding records, security of processing, breach notification, DPIA, DPO appointment), obligations of certification or monitoring bodies. 2. Up to EUR 20 million or 4% of total worldwide annual turnover: For infringements concerning, among others, basic principles for processing (including conditions for consent), data subjects' rights, transfers of data to third countries, obligations under Member State law, or non-compliance with an order by the supervisory authority. When imposing a fine, the supervisory authority considers, among other things: the nature, gravity, and duration of the infringement; its intentional or negligent character; actions taken to mitigate damage; degree of responsibility (considering technical and organizational measures); previous infringements; degree of cooperation with the supervisory authority; categories of data affected; how the authority became aware of the infringement (whether the entity self-reported); adherence to approved codes of conduct or certification mechanisms. In addition to financial penalties, supervisory authorities have other corrective powers (Art. 58 GDPR), such as: issuing warnings, reprimands, ordering compliance of processing operations with provisions, ordering rectification or erasure of data, imposing a temporary or definitive limitation on processing, or even a ban on processing.

Wizualizacja Aspektów RODO

Interaktywna Ocena Dojrzałości RODO w Organizacjach

Poniższy diagram radarowy przedstawia hipotetyczną ocenę poziomu dojrzałości wdrożenia RODO w różnych typach organizacji. Obejmuje on kluczowe obszary zgodności, takie jak polityki ochrony danych, szkolenie personelu, stosowane środki techniczne, procedury reagowania na incydenty, przeprowadzanie ocen skutków (DPIA), zarządzanie zgodami oraz realizacja praw podmiotów danych. Skala od 1 (niska dojrzałość) do 10 (wysoka dojrzałość) pozwala na wizualne porównanie, gdzie poszczególne typy firm mogą wykazywać mocne strony, a gdzie obszary wymagające poprawy w kontekście przestrzegania RODO. Jest to narzędzie koncepcyjne, mające na celu zilustrowanie złożoności procesu dostosowania do wymogów rozporządzenia.

Mapa Myśli Kluczowych Koncepcji RODO

Poniższa mapa myśli w sposób wizualny prezentuje najważniejsze elementy Ogólnego Rozporządzenia o Ochronie Danych. Ukazuje ona wzajemne powiązania między fundamentalnymi zasadami przetwarzania danych, prawami przysługującymi osobom fizycznym, kluczowymi rolami w systemie ochrony danych (takimi jak Administrator Danych Osobowych czy Inspektor Ochrony Danych) oraz podstawowymi obowiązkami nałożonymi na organizacje. Taka forma prezentacji ułatwia zrozumienie struktury RODO i identyfikację obszarów, na które należy zwrócić szczególną uwagę przy wdrażaniu jego postanowień.

Nowoczesne środowisko pracy, gdzie ochrona danych osobowych odgrywa kluczową rolę.

Prawa Osób, Których Dane Dotyczą – Zestawienie

RODO przyznaje osobom fizycznym szereg uprawnień, które pozwalają im kontrolować, w jaki sposób ich dane osobowe są wykorzystywane. Poniższa tabela syntetyzuje najważniejsze z tych praw, wskazując na ich istotę oraz standardowe terminy, w jakich administrator danych powinien odpowiedzieć na zgłoszone żądanie. Zrozumienie tych praw jest fundamentalne zarówno dla osób fizycznych, jak i dla organizacji przetwarzających dane.

RODO w Praktyce: Wprowadzenie Wideo

Aby lepiej zrozumieć podstawowe założenia RODO oraz praktyczne aspekty ochrony danych osobowych, warto zapoznać się z materiałami edukacyjnymi. Poniższy film stanowi przystępne wprowadzenie do tematyki RODO, omawiając kluczowe pojęcia i obowiązki. Materiał ten może być szczególnie pomocny dla osób rozpoczynających swoją przygodę z ochroną danych osobowych oraz dla małych i średnich przedsiębiorstw starających się dostosować swoją działalność do wymogów rozporządzenia.

Film "Szkolenie ochrona danych osobowych - RODO Podstawy" w przystępny sposób wyjaśnia fundamentalne kwestie związane z Ogólnym Rozporządzeniem o Ochronie Danych. Obejmuje on takie zagadnienia jak definicja danych osobowych, zasady ich przetwarzania, prawa osób, których dane dotyczą, oraz obowiązki administratorów. Stanowi solidną bazę wiedzy dla każdego, kto chce zrozumieć, jak RODO wpływa na codzienne operacje i dlaczego ochrona prywatności jest tak istotna w erze cyfrowej.

Najczęściej Zadawane Pytania (FAQ)

Rekomendowane Zapytania

• Jakie są konkretne przykłady środków technicznych i organizacyjnych zapewniających bezpieczeństwo danych zgodnie z RODO?
• W jaki sposób małe przedsiębiorstwa mogą skutecznie wdrożyć wymogi RODO bez nadmiernych kosztów?
• Czym różni się rola administratora danych od podmiotu przetwarzającego w kontekście RODO?
• Jakie są najczęstsze błędy popełniane przez firmy przy wdrażaniu i stosowaniu RODO?

Źródła

lexdigital.pl

RODO pytania i odpowiedzi - LexDigital

poradnikprzedsiebiorcy.pl

6 najczęściej zadawanych pytań o RODO - Poradnik Przedsiębiorcy

prawo.gazetaprawna.pl

Co to jest RODO? Poradnik krok po kroku - Gazeta Prawna

odo24.pl

Pytania i odpowiedzi RODO - odo24.pl

biznes.gov.pl

Ochrona danych osobowych (RODO) w firmie - Biznes.gov.pl