ABIeye czyli nowa jakość w ODO

Ochrona danych osobowych to temat coraz częściej pojawiający się w nagłówkach prasowych. Z jednej strony pojawiają się informacje o wyciekach danych osobowych, z drugiej – o karach i sankcjach za nieprzestrzeganie przepisów prawa. Świadomość tego, jak powinniśmy chronić dane osobowe jest przerażająco niska i to zarówno wśród osób, których dane są przetwarzane, jak i wśród podmiotów dane przetwarzających. Pomimo porozumienia z końca 2012 roku w zakresie wspólnych kontroli Generalnego Inspektoratu Ochrony Danych Osobowych (GIODO) i Państwowej Inspekcji Pracy (PIP), niewiele się w tym zakresie zmienia.

Podsumowanie 2018Ostatnia nowelizacja prawa telekomunikacyjnego, która od 22 marca 2013 r. wprowadziła obowiązek informowania internautów o gromadzeniu danych za pośrednictwem plików cookies (ciasteczek) niemal na każdej witrynie wywołała lawinę migających okienek informacyjnych. Ciekawe jest, że witryny spełniają obowiązek informacyjny dotyczący plików cookies, a często nie spełniają podstawowych obowiązków wynikających z Ustawy o ochronie danych osobowych takich jak posiadanie klauzul zgody na przetwarzania danych osobowych, rejestracja zbiorów danych osobowych w GIODO czy spełnienie obowiązku informacyjnego administratora danych osobowych.

Odbierz pakiet bezpłatnych poradników i mikroszkoleń RODO

Dołącz do grona czytelników naszego biuletynu, odbierz bezpłatny pakiet i trzymaj rękę na pulsie.
ODBIERZ PAKIET

Nasuwa się prosty wniosek – przedsiębiorcy i inne organizacje zadbają o obowiązki dotyczące ochrony prywatności swoich klientów i użytkowników tylko w dwóch przypadkach: kiedy zostaną do tego zmuszeni realnym zagrożeniem kary lub też wtedy, gdy procedury wdrażania systemu ochrony danych osobowych staną się prostsze. O pierwszy aspekt nie musimy się martwić, wcześniej czy później zagrożenie dotkliwą karą stanie się rzeczywistością, zadba o to nasze państwo. Co zaś do uproszczenia procedur, raczej nie mamy co liczyć – po pierwsze, proces zmiany przepisów prawa trwa zazwyczaj strasznie długo, po drugie, efekt końcowy często bardzo odbiega od zamierzonego. Jest jednak trzecie rozwiązanie! Przedsiębiorcy mogą skorzystać ze specjalnego oprogramowania / aplikacji, które znacznie ogranicza koszty i czas wdrożenia systemu ochrony danych osobowych.

Jak to wygląda obecnie?

Procedury i biurokracja są zbyt skomplikowane. GIODO stosuję bardziej metodę kija niż marchewki – z jednej strony straszy wysokimi karami administracyjnymi, z drugiej strony w zasadzie nie daje podmiotom, które wprowadzają kosztowny system ochrony danych osobowych w zasadzie żadnych profitów. Wydaje się więc, że gdyby istniała metoda na uproszczenie wszystkich wymogów związanych z ODO, okazałaby się rozwiązaniem idealnym.

Firmy od wielu lat działające w branży ochrony danych osobowych często korzystają z niewiedzy podmiotów, z którymi współpracują oraz biurokracji, która skutecznie zniechęca wszystkich do wprowadzania systemu wymaganego przez prawo. Dużą winę można również przypisać samym przepisom ustawy, która umożliwia samodzielne przygotowanie i wdrożenie ODO, co powoduje mylne poczucie, iż nie jest to konieczne. Każdy, kto choć raz spotkał się z dokumentacją ODO wie, że nie jest to materia ani łatwa, ani jednoznaczna.

W codziennej praktyce często spotykamy się z firmami i instytucjami, które są przekonane, że maja już wdrożoną pełną dokumentację ODO. Gdy jednak pytamy o politykę bezpieczeństwa czy szkolenie pracowników w zakresie ODO, zapada pełna konsternacji cisza.

Czy faktycznie jesteśmy skazani na samych siebie w zakresie obowiązków ODO? Czy jedynym wyjściem, gdy samodzielnie sobie nie radzimy, jest skorzystanie z usług firm specjalizujących się w bezpieczeństwie informacji? Otóż nie! Jak to zwykle bywa jest też trzecie rozwiązanie – nic nie kosztuje (poza czasem!) i pozwala, w indywidualnym zakresie, skorzystać z wiedzy i doświadczenia specjalistów. Mamy tu na myśli oprogramowanie, które instruuje, krok po kroku, jak samodzielnie przygotować i wdrożyć system ochrony danych osobowych. Mimo wszelkich ułatwień warto jednak co nie co wiedzieć o ochronie danych osobowych, dlatego sugerujemy wesprzeć się szkoleniem lub dokładnie przeczytać załączony Poradnik i odpowiedzi na najczęściej zadawane pytania (FAQ).

Bezpłatna wiedza o RODO.
Korzystaj do woli!

Webinary, artykuły, poradniki, szkolenia, migawki i pomoc. Witaj w bazie wiedzy ODO 24.
WCHODZĘ W TO

Co to jest ABIeye?

Darmowa aplikacja ABIeye to przemyślane rozwiązanie, które wychodzi naprzeciw potrzebom przedsiębiorców i instytucji publicznych. Pomysły stworzenia podobnego rozwiązania pojawiały się w branży już wcześniej, ale wygląda na to, że ich twórcom nie wystarczyło inwencji lub wytrwałości, by zaproponować narzędzie jednocześnie funkcjonalne i proste w obsłudze.

W dobie chmur obliczeniowych i outsourcingu praktycznie każde oprogramowanie, które ma usprawnić działanie przedsiębiorstwa lub instytucji powinno być dostępne jak najbardziej niezależnie od posiadanego sprzętu IT. Zarówno firmy jak i urzędy coraz częściej korzystają z wielu form outsourcingu, jak choćby kadry i księgowość, hosting stron internetowych, zdalnie dostępne platformy do zarządzania obsługą klienta czy elektroniczne biura podawcze.

ABIeye od początku miał być aplikacją wyprzedzającą zmiany zarówno prawne jak i technologiczne. Mimo że, jak podkreśla sam Generalny Inspektor Ochrony Danych Osobowych, coraz trudniej chronić dane osobowe, gdyż prawo nie nadąża za rozwojem technologicznym, ABIeye spełnia właśnie rolę takiego brakującego ogniwa pomiędzy przepisami prawa a powszechną informatyzacją.

Zdalny dostęp

Z aplikacji możemy skorzystać praktycznie w każdym miejscu z dostępem do internetu przez całą dobę. Punktem dostępowym do ABIeye mogą być tablety, nettopy czy smartfony. Nie ma tu żadnych ograniczeń licencyjnych gdyż nie ma licencji ani wersji stacjonarnych oprogramowania. Dlaczego zdalny dostęp jest taki ważny? Po pierwsze, incydent ochrony danych osobowych może się zdarzyć zawsze, a zgodnie z prawem Murphy’ego zdarzy się zapewne wtedy, gdy będziemy poza biurem – u klienta, w podróży służbowej, itp. Dzięki zdalnemu dostępowi o incydencie – np. wycieku danych osobowych – dowiemy się jako pierwsi. Po drugie, nie musimy instalować żadnego oprogramowania, a wszyscy nasi pracownicy maja dostęp do ABIeye (poziom niższy), z którego mogą nas informować o problemach w zakresie ochrony danych osobowych. Zdalny dostęp ma szczególne znaczenie dla większych podmiotów, posiadających kilka lub nawet kilkanaście oddziałów (np.: banki lub operatorzy sieci komórkowej) oraz dla zawodowych administratorów bezpieczeństwa informacji (ABI), którzy obsługują wiele podmiotów jednocześnie. Duże korporacje mają problem w skutecznym zarządzaniu ochroną danych osobowych w podległych im jednostkach. Problem ten jest najbardziej widoczny w zakresie zabezpieczeń organizacyjnych, czyli głównie szkoleń pracowników. Najczęściej wygląda to tak, że przeszkoleni są wszyscy pracownicy w centrali, z pozostałymi bywa bardzo różnie – czasem nie mają o ochronie danych żadnej wiedzy. Jest to o tyle niewłaściwe, że to właśnie pracownicy są najsłabszym ogniwem ochrony danych i to właśnie oni (często nawet nieświadomie!) powodują różnego typu incydenty.

Dokumentacja ODO

Zgodnie z Ustawą o ochronie danych osobowych pracownicy firmy powinni być przeszkoleni z ogólnych zasad przetwarzania danych osobowych, ale również powinni znać procedury i zabezpieczenia w swoim środowisku pracy. Dostęp pracowników do ABIeye, ma tutaj bardzo duże znaczenie, gdyż w dowolnym czasie mogą oni zaznajomić się ze swoimi obowiązkami, a także zadać pytanie swojemu ABI. Program umożliwia również wydrukowanie wszystkich dokumentów, które zamieściliśmy w ABIeye oraz tworzenie ewidencji i rejestrów. Jest to bardzo istotne, ponieważ zgodnie z ustawą dokumentacja ODO musi istnieć w wersji papierowej i w razie kontroli GIODO lub PIP czy też audytu zewnętrznego musimy przedstawić ją właśnie w takiej formie.

Załączniki do dokumentacji

Dokumentami najczęściej kontrolowanymi przez inspektorów GIODO są właśnie Polityka bezpieczeństwa i Instrukcja zarządzania systemem informatycznym oraz trzy (z 22) załączniki: ewidencja osób upoważnionych do przetwarzania danych osobowych (operatorów), ewidencja zbiorów danych osobowych oraz ewidencja obszarów przetwarzania. W zakresie ewidencji osób ABIeye umożliwia nam dodawanie/usuwanie poszczególnych osób jak również importowanie danych z pliku .CSVbazy pracowników. Funkcja ta umożliwia również przeszkolenie pracowników w systemie e-learningu. Szkolenie to kończy się testem zdobytej wiedzy, a po jego ukończeniu pracownik otrzymuje upoważnienie do przetwarzania danych osobowych (szkolenia te są dodatkową i płatną usługą, lecz korzystanie z nich nie jest obowiązkowe). To wszystko możemy zrobić zdalnie, bez konieczności organizowania szkolenia stacjonarnego szukania wolnych terminów czy ograniczania bieżącej działalności ze względu na konieczność przeprowadzenia szkolenia.

Ewidencja zbiorów danych osobowych ABIeye jest zorganizowana na analogicznej zasadzie – umożliwia bieżące aktualizowanie zbiorów oraz określenie, czy zbiór jest zarejestrowany w GIODO czy też jest zwolniony z rejestracji. Ewidencja obszarów przetwarzania z punktu widzenia praktyki jest bardzo ważnym dokumentem, gdyż to właśnie on określa zastosowane zabezpieczenia zbiorów, czyli fizyczne, organizacyjne i techniczne zabezpieczenia, jakie zastosowaliśmy. ABIeye pozwala w prosty sposób określić te zabezpieczenia – podpowiada zabezpieczenia najczęściej stosowane, z których możemy wybrać te, które są zastosowane u nas. Oczywiście możemy samodzielnie określić zabezpieczenie dodatkowe, a także, w razie potrzeby, modyfikować istniejące zabezpieczenia.

Rejestr powierzeń

W praktyce pełnienia funkcji ABI często zdarza się, że przekazujemy dane osobowe, pozostające w naszej dyspozycji, na zewnątrz naszego podmiotu. Oczywiście musimy mieć na to podstawy prawne. Prowadzenie ewidencji tych czynności znacznie ułatwia nadzór nad tym, kto i kiedy otrzymał konkretne dane osobowe i czy na pewno są one bezpieczne. Istotny jest tu rejestr powierzeń i jego aktualność. Jest to szczególnie istotne w przypadku kontroli podmiotu, któremu powierzyliśmy dane osobowe (procesorowi). Rejestr umów powierzenia przetwarzania danych osobowych poza tym, że jest obowiązkową częścią dokumentacji, znacznie ułatwia odszukanie zapisów w konkretnych umowach, przykładowo, gdyby zaszła potrzeba skontrolowania, czy dany podmiot odpowiednio zabezpiecza powierzone mu przez nas dane.

Szkolenia osób upoważnionych

Ilość załączników do dokumentacji ODO jest różna. W dużej mierze zależy od podmiotu przetwarzającego dane osobowe. ABIeye kładzie duży nacisk na załączniki, które są najważniejsze i najczęściej się zmieniają. Bardzo korzystnym rozwiązaniem jest umożliwienie przeszkolenia (w formie e-learningu) poszczególnych pracowników i nadawania im upoważnień drogą elektroniczną przy równoczesnej kontroli ukończenia szkolenia oraz prowadzenia statystyki efektywności tych szkoleń. Jest to rozwiązanie dotąd na rynku niespotykane a, jak pokazuje praktyka, bardzo skuteczne!

Akredytowany kurs IOd potwierdzi Twoje wysokie kompetencje

Dobrze przygotowany program szkolenia, kończący się testem sprawdzającym wiedzę zapewnia odpowiednie zabezpieczenie organizacyjne. Nie do przecenienia jest również możliwość wyboru odpowiedniego szkolenia w zależności od branży oraz funkcji pełnionych przez poszczególnych pracowników.

Rejestr incydentów

Kolejną z ważniejszych części dokumentacji ochrony danych osobowych jest tzw. Instrukcja alarmowa, czyli procedura określająca zachowanie pracowników w przypadku zaistnienia incydentu ODO (np. wycieku lub bezprawnego udsotępnienia danych). Procedura jest dostępna dla wszystkich pracowników, dzięki czemu każdy z nich może się z nią swobodnie zapoznać. Poza umożliwieniem dostępu do dokumentów w tym punkcie ABIeye umożliwia pracownikowi zgłoszenie takiego incydentu, a także śledzenie jego rozwoju i zakończenia. Proces informacyjny jest prowadzony w formie elektronicznej, co znacznie przyspiesza całą procedurę i ogranicza do minimum ryzyko utraty kontroli nad przetwarzanymi danymi osobowymi. Jest to o tyle istotne, że w przypadku zaistnienia incydentu konieczne jest jak najszybsze poinformowanie o tym fakcie administratora bezpieczeństwa informacji ABI.

Zgłaszanie zbiorów

Jednym z zasadniczych obowiązków administratora danych osobowych jest zgłaszanie zbiorów, które temu podlegają, do GIODO. ABIeye również tu przychodzi z pomocą – możliwe jest oznaczenie statusów poszczególnych zbiorów: zgłoszony / nie podlegający zgłoszeniu. W obecnej wersji aplikacja jeszcze nie jest zintegrowana w zakresie rejestracji z platformą e-GIODO. Będzie jednak przedmiotem prac przy okazji jej aktualizacji.

Podsumowując

Diagnoza zgodności RODO - zrób to sam!

ABIeye stanowi bardzo pomocne narzędzie do przygotowania, wdrażania i zarządzania systemem ochrony danych osobowych w każdym podmiocie do tego zobowiązanym. Niezależnie od tego, czy jest to duża korporacja, sklep internetowy, urząd czy szkoła. Dostępność szkoleń w formie e-learningu pozwala w prosty i efektywny sposób zwiększyć bezpieczeństwo danych osobowych, które przetwarzamy.

Nowe narzędzie (zgodne z RODO) to ODO Nawigator

Czytaj także:

-
4.54/5 (50) 1
Najczęstsze błędy przy zawieraniu umów powierzenia
Pamiętaj: sprawdź link, zanim klikniesz!
Never gonna give you up!
Check the link before you click
Never gonna give you up!

Czy ankieta bezpieczeństwa dla podmiotu przetwarzającego powinna być indywidualnie dostosowana do każdej umowy powierzenia/ konkretnego rodzaju usług?

Nie ma konieczności, aby ankieta była dopasowywana każdorazowo do konkretnej umowy/konkretnego rodzaju usług świadczonych przez potencjalnego procesora. Z jednej strony byłoby to czasochłonne, a z drugiej nie jestem przekonana, czy byłoby efektywne: o ile możemy mniej więcej ocenić, które z wymagań co do zasady powinny być realizowane przez dany podmiot i o które warto zapytać w ankiecie, to trudno dopasować pytanie idealnie pod danego kontrahenta.

Wydaje się, że najlepszym rozwiązaniem byłoby stworzenie paru wersji ankiety dla procesora, np. szczegółowej (przesyłanej podmiotom dostarczającym rozwiązania IT czy firmom kadrowo-płacowym) i uproszczonej (dla podmiotów, którym będziemy powierzać dane w ograniczonym zakresie).

Wynik takiej ankiety mógłby być weryfikowany przez IOD, który na jej podstawie podejmowałby decyzję o tym, czy dany podmiot daje odpowiednie gwarancje związane z zapewnieniem bezpieczeństwa danym osobowym.

Zapytaj o ofertę

 

Katarzyna Szczypińska

Czy zasadne jest zawarcie umowy powierzenia z podmiotem świadczącym usługi migracji danych?

Umowę powierzenia danych osobowych należy zawrzeć wówczas, gdy administrator zleca innemu zewnętrznemu podmiotowi przetwarzanie danych osobowych  w jego imieniu. Opisana sytuacja zlecenia przez administratora danych zewnętrznemu podmiotowi usługi migracji danych z jednego serwera na drugi będzie się wiązała z powierzeniem danych osobowych do przetwarzania. Przetwarzanie danych osobowych zgodnie z treścią art. 4 pkt. 1 RODO to nie tylko ich gromadzenie,  ale również inne operacje wykonywane na danych, takie jak ich przeglądanie, przesyłanie czy przenoszenie.

Taka czynność będzie się zatem mieściła się w pojęciu przetwarzania danych osobowych. Podsumowując, w sytuacji zlecenia innemu zewnętrznemu podmiotowi usługi migracji danych powinna być zawarta umowa powierzenia przetwarzania danych osobowych.

Zapytaj o ofertę

 

Katarzyna Szczypińska

Czy kancelaria prawna prowadzona przez adwokata lub radcę prawnego powinna podpisywać umowę powierzenia danych osobowych z klientami?

Kancelaria prawna nie powinna ze swoim klientem zawierać umowy powierzenia danych osobowych w ramach realizacji usługi świadczenia pomocy prawnej związanej z prowadzeniem sprawy sądowej. Radca prawny lub adwokat wykonujący zawód w ustawowo określonych formach nie jest podmiotem przetwarzającym w zakresie przetwarzania danych związanych ze świadczeniem pomocy prawnej. Argumentem przemawiającym za takim stanowiskiem jest to, że istotą podmiotu przetwarzającego jest podporządkowanie się decyzjom administratora w zakresie przetwarzania danych osobowych.

Dodatkowo świadczenie usług prawnych w sposób zgodny z prawem oraz zasadami etyki, z równoczesnym zachowaniem tajemnicy zawodowej, wymaga samodzielnego podejmowania decyzji przez profesjonalnego pełnomocnika. Ponadto należy wskazać, że wykonywanie poleceń klienta (występującego jako ADO) przez prawnika stworzyłoby ryzyko nie tylko komplikacji przy wykonywaniu czynności zawodowych, lecz także (a może przede wszystkim) naruszenia zasad etyki.

Zapytaj o ofertę

 

Katarzyna Szczypińska

Czy procesor powinien ujawniać podmiotowi, z którym łączy go umowa powierzenia, treść polityki ochrony danych osobowych obowiązującej w jego organizacji?

Zapis dotyczący tego, że podmiot przetwarzający zobowiązuje się do udostępnienia dokumentacji z zakresu ochrony danych osobowych, w tym polityki ochrony danych osobowych, jest niewłaściwy. Podmiot, jakim jest administrator danych osobowych (ADO), powinien oczywiście być uprawniony do kontroli procesora, niemniej jednak kontrola ta nie powinna polegać na udostępnieniu całej dokumentacji, w tym polityki ochrony danych osobowych, która reguluje pozycję procesora jako ADO – niezależnie od pozycji procesora w ramach relacji powierzenia.

Można zapisać, że ADO będzie miał wgląd do wyciągu z polityki ochrony danych w części dotyczącej powierzenia oraz do wyciągu z rejestru kategorii czynności przetwarzania jego dotyczących czy możliwość weryfikacji nadanych upoważnień lub odebranych oświadczeń o zachowaniu poufności, podpisanych przez pracowników, który przetwarzają takie dane w ramach zawartej umowy. W pozostałym zakresie wszelkie inne informacje stanowią wewnętrzną dokumentację podmiotu, która nie powinna być ujawniana.

Zapytaj o ofertę

 

Katarzyna Szczypińska

Czy pomiędzy uczelnią/szkołą a zakładem pracy powinna zostać zawarta umowa powierzenia danych osobowych?

Umowę powierzenia danych administrator jest zobowiązany zawrzeć wówczas, gdy powierza do przetwarzania dane osobowe innemu zewnętrznemu podmiotowi w jego imieniu i na jego rzecz. Udostępnienie danych osobowych oznacza zaś sytuację, w której administrator danych osobowych ujawnia/udostępnia dane osobowe innemu zewnętrznemu podmiotowi do realizacji jego własnych celów przetwarzania i własnymi sposobami. W przypadku zawarcia umowy o praktyki studenckie pomiędzy uczelnią (administratorem danych osobowych studentów) a zakładem pracy będzie dochodziło do udostępnienia danych osobowych, nie zaś do ich powierzenia.

Za przyjęciem takiego stanowiska przemawia fakt, że zakład pracy z chwilą otrzymania od uczelni danych osobowych studenta będzie je przetwarzał we własnych celach przetwarzania tj. ewidencja wejść i wyjść, ewidencja czasu praktyki czy nadanie studentowi upoważnienia do przetwarzania danych osobowych). Ponadto również zakład pracy będzie decydował o sposobach przetwarzania otrzymanych danych osobowych. .

Powyższe przemawia za tym, aby uznać zakład pracy za niezależnego administratora danych osobowych, a nie podmiot przetwarzający dane osobowe.

Zapytaj o ofertę

 

Katarzyna Szczypińska

Czy w umowie powierzenia procesor może wpisać postanowienie o stawce za godzinę pracy jego IOD przy obsłudze audytu administratora?

W mojej ocenie będzie to zależało od charakteru współpracy administratora i procesora. Trudno oczekiwać pełnej i nieograniczonej obsługi indywidualnej administratora w każdym aspekcie, bez dodatkowych kosztów, jeśli zakres współpracy jest bardzo ograniczony i sprowadza się do paru godzin obsługi w miesiącu za np. łączną kwotę 600 zł.

Dlatego są głosy, że można uznać za dopuszczalne ustalenie, że koszty procesora ponoszone w związku z inspekcją/audytem powinny być zwrócone przez prowadzącego audyt administratora przy czym powinny to być faktyczne koszty i to w rozsądnej wysokości. Uzasadnione wydaje się pokrycie kosztów pracy pracowników procesora, którzy będą zaangażowani w czynności audytowe (np. koszty pracy pracownika procesora towarzyszącego prowadzącemu inspekcję w pomieszczeniach procesora).

Znajdą się też głosy przeciwne, że takie działania ograniczają przysługujące administratorowi prawo do audytu. Rekomendowanym byłoby tu znalezienie złotego środka, czyli przykładowo ustalenie opłat za zaangażowanie IOD w audyt inny niż wstępny/coroczny/związany z konkretnym naruszeniem, tj. że dodatkowe opłaty byłyby związane z tymi „nadprogramowymi” audytami.

Zapytaj o ofertę

 

Katarzyna Szczypińska

Audyt wewnętrzny i zewnętrzny: kiedy zasadne jest nadanie upoważnienia audytorom, a kiedy zawarcie umowy powierzenia?

W przypadku audytu wewnętrznego osoby przeprowadzające audyt powinny posiadać upoważnienie do przetwarzania danych osobowych na potrzeby czynności związanych z audytem. W przypadku audytu zewnętrznego konieczność zawarcia umowy powierzania będzie zależna od tego, czy audyt jest przeprowadzany na zlecenie podmiotu administratora – wówczas umowa powierzenia powinna być zawarta. Jeśli audyt zewnętrzny jest przeprowadzany przez podmiot działający w oparciu o konkretne przepisy prawa, wówczas podmiot ten działa w oparciu o przepisy rangi ustawowej, nadające mu prawo do przeprowadzenia audytu/kontroli.

Zapytaj o ofertę

 

Katarzyna Szczypińska

„Nie potrzebujemy dokumentacji IT, wiemy jak mamy działać”

Jesteś tego pewien?

Zamów
audyt IT

Tomasz Ochocki
Tomasz Ochocki
Kierownik zespołu merytorycznego.
Ekspert ds. ochrony danych.
Audytor wiodący systemu zarządzania bezpieczeństwem informacji (ISO/IEC 27001:2013), zarządzania ciągłością działania (ISO 22301) oraz audytor wewnętrzny ISO/IEC 27701. Ukończył podyplomowe studia z zakresu ochrony danych osobowych i informacji niejawnych oraz analizy bezpieczeństwa i zagrożeń terrorystycznych.

Autor oraz prelegent dedykowanych szkoleń pracowniczych z zakresu bezpieczeństwa informacji.

Współautor opracowania: "RODO Nawigator", "DODO Nawigator" oraz książki: "Ustawa o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości. Komentarz".

Adw. Łukasz Pociecha
Adw. Łukasz Pociecha
Ekspert ds. ochrony danych.
Swoje doświadczenie zawodowe zdobywał współpracując z kancelariami specjalizującymi się w obsłudze przedsiębiorców, w tym klientów korporacyjnych. Audytor wiodący ISO/IEC 27001.

Do jego kompetencji należy kompleksowa obsługa klientów w zakresie ochrony danych osobowych i bezpieczeństwa informacji, w tym m.in.: sporządzenie opinii prawnych i umów, prowadzenie szkoleń oraz przeprowadzanie audytów. Posiada aktualny certyfikat metodyki zarządzania projektami PRINCE2.

Współautor książki: "Ustawa o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości. Komentarz".

Barbara Matasek
Barbara Matasek
Ekspert ds. ochrony danych
Doktorant w Kolegium Prawa Akademii Leona Koźmińskiego w Warszawie. Odpowiada za przeprowadzanie audytów, przygotowanie dokumentacji w zakresie ochrony danych osobowych oraz doradztwo prawne.

Swoje zainteresowania skupia wokół prawa handlowego i prawa cywilnego, ze szczególnym uwzględnieniem zagadnień dotyczących ochrony danych osobowych. Doświadczenie zawodowe zdobywała pracując w kancelariach prawnych oraz jako asystent sędziego.

Współautorka poradnika: "Jak przygotować się do kontroli".