Pomiń nawigację

11 sierpnia 2023

Inspektor Ochrony Danych w przedsiębiorstwie – zadania i odpowiedzialność

Udostępnij

Zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 roku w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), dalej RODO, Inspektor Ochrony Danych (w skrócie IOD) to osoba fizyczna wspierająca administratora danych osobowych w realizacji obowiązków dotyczących ochrony danych osobowych, takich jak np. prowadzenie i aktualizacja dokumentacji, przeprowadzanie okresowych audytów czy szkolenia dla personelu wykorzystującego w swojej pracy dane osobowe. IOD ma kluczowe znaczenie w procesie administrowania danymi, w związku z czym w rozporządzeniu określono warunki jego powołania, status i opis zadań.  

Jakie podmioty muszą powołać Inspektora Ochrony Danych?

Nie każdy podmiot jest zobligowany do wyznaczenia IOD w swojej organizacji. Zgodnie z art. 37 ust. 1 RODO administrator i podmiot przetwarzający wyznaczają inspektora ochrony danych, zawsze wtedy, kiedy:

a) przetwarzania dokonują organ lub podmiot publiczny, z wyjątkiem sądów w zakresie sprawowania przez nie wymiaru sprawiedliwości;

b) główna działalność administratora lub podmiotu przetwarzającego polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę;

c) główna działalność administratora lub podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych, o których mowa w art. 9 (tj. przetwarzanie szczególnych kategorii danych osobowych) lub danych osobowych dotyczących wyroków skazujących i czynów zabronionych, o czym mowa w art. 10.

Przetwarzanie danych osobowych przez organ lub podmiot publiczny

Pierwsza sytuacja, w której wprowadzono obowiązek wyznaczenia inspektora ochrony danych, odnosi się do wszystkich organów i podmiotów publicznych. RODO nie definiuje jednak pojęcia organu lub podmiotu publicznego. Wskazówki w tej sprawie dostarcza nam art. 9 ustawy z dnia 10 maja 2018 roku o ochronie danych osobowych. Zgodnie z tym przepisem przez organy i podmioty publiczne obowiązane do wyznaczenia inspektora, o których mowa w art. 37 ust. 1 lit. a rozporządzenia 2016/679, rozumie się:

1) jednostki sektora finansów publicznych;

2) instytuty badawcze;

3) Narodowy Bank Polski.

Przy określaniu, które podmioty należą do sektora finansów publicznych, pomocna jest ustawa z dnia 27 sierpnia 2009 roku o finansach publicznych. Artykuł 9 tej ustawy wymienia podmioty tworzące sektor finansów publicznych. Są to:

1) organy władzy publicznej, w tym organy administracji rządowej, organy kontroli państwowej i ochrony prawa oraz sądy i trybunały;

2) jednostki samorządu terytorialnego oraz ich związki;

2a) związki metropolitalne;

3) jednostki budżetowe;

4) samorządowe zakłady budżetowe;

5) agencje wykonawcze;

6) instytucje gospodarki budżetowej;

7) państwowe fundusze celowe;

8) Zakład Ubezpieczeń Społecznych i zarządzane przez niego fundusze oraz Kasa Rolniczego Ubezpieczenia Społecznego i fundusze zarządzane przez Prezesa Kasy Rolniczego Ubezpieczenia Społecznego;

9) Narodowy Fundusz Zdrowia;

10) samodzielne publiczne zakłady opieki zdrowotnej;

11) uczelnie publiczne;

12) Polska Akademia Nauk i tworzone przez nią jednostki organizacyjne;

13) państwowe i samorządowe instytucje kultury;

14) inne państwowe lub samorządowe osoby prawne utworzone na podstawie odrębnych ustaw w celu wykonywania zadań publicznych, z wyłączeniem przedsiębiorstw, instytutów badawczych, instytutów działających w ramach Sieci Badawczej Łukasiewicz, banków oraz spółek prawa handlowego;

15) Bankowy Fundusz Gwarancyjny.

Zatem takie podmioty jak m.in. szkoły publiczne, przedszkola, uczelnie wyższe, ZUS, NFZ będą zobowiązane co do zasady do powołania IOD. W szkołach przetwarza się dane uczniów, ich opiekunów prawnych, wizerunki, także informacje o stanie zdrowia i chorobach, np. dysleksja, dysortografia, alergie pokarmowe itp. Odpowiedź na pytanie, czy podmiot musi wyznaczać IOD poza wypadkami, gdy przepisy mówią wprost o obowiązku wyznaczenia IOD, będzie wymagała każdorazowo oceny czy działalność tego podmiotu, ilość, rodzaj zbieranych danych będzie spełniała przesłanki z art. 37 RODO.

Uznać należałoby, że podmioty niewymienione w wyżej wskazanych ustawach np. podmioty prywatne wykonujące zadania zlecone przez organy publiczne (np. realizacja zamówień publicznych) nie są zobowiązane do wyznaczenia IOD. Przedsiębiorstwa komunalne, spółki prawa handlowego utworzone przez jednostki samorządu terytorialnego również nie są na tej podstawie zobowiązane do wyznaczenia IOD (art. 9 ust. 1 pkt 14 in fine ustawy o finansach publicznych).  

Podkreślić należy, iż zadanie może być realizowane w interesie publicznym lub władza publiczna może być sprawowana nie tylko przez organy lub podmioty publiczne, ale również przez inne osoby fizyczne i prawne podlegające prawu publicznemu lub prywatnemu. Zgodnie z krajowymi regulacjami każdego państwa członkowskiego może to mieć miejsce w takich sektorach jak np. transport publiczny, dostarczanie wody i energii, infrastruktura drogowa, radiofonia i telewizja publiczna, budynki użyteczności publicznej albo organy powołane dla zawodów regulowanych. W tych przypadkach sytuacja osób, których dane dotyczą może być bardzo podoba do sytuacji przetwarzania ich danych przez organy lub podmioty publiczne. W szczególności dane osobowe mogą być przetwarzane w podobnych celach, a możliwość wpływu osób, których dane dotyczą, na charakter tego przetwarzania może być ograniczona bądź wyłączona, co może wymagać dodatkowej ochrony, jaką daje powołanie IOD. Zatem chociaż w powyższych przypadkach obowiązek powołania IOD nie wynika z RODO, to Grupa Robocza Art. 29 (obecnie Europejska Rada Ochrony Danych) zaleca w ramach dobrych praktyk powoływanie IOD przez prywatne jednostki realizujące zadania w interesie publicznym lub sprawujące władzę publiczną.

Druga i trzecia przesłanka

Analizując drugą i trzecią ze wskazanych powyżej przesłanek wyznaczenia IOD, należy rozważyć:

  • czy organizacja regularnie i systematycznie monitoruje osoby, których dane dotyczą?
  • czy przetwarza szczególne kategorie danych wymienione w art. 9 i 10 RODO (np. informacje o stanie zdrowia, informacje na temat wyroków, skazań)?
  • czy powyższe działania są jej główną działalnością?
  • czy działania te odbywają się na dużą skalę?

Główna działalność administratora

Zgodnie z motywem 97 RODO przetwarzanie danych osobowych jest główną działalnością administratora, jeżeli oznacza jego zasadnicze, a nie poboczne czynności. Główną działalnością będzie działalność kluczowa z punktu widzenia osiągnięcia celów administratora. Głównej działalności nie należy interpretować w sposób wyłączający działalność w zakresie przetwarzania danych nierozerwalnie związaną z działalnością główną administratora lub podmiotu przetwarzającego. Dla przykładu działalnością główną szpitali będzie zapewnianie opieki medycznej. Natomiast prowadzenie efektywnej opieki medycznej nie byłoby możliwe bez przetwarzania danych medycznych jak np. historii choroby pacjenta. W związku z tym działalność polegająca na przetwarzaniu historii choroby pacjenta również powinna zostać zaklasyfikowana jako działalność główna. Oznacza to, że szpitale będą miały obowiązek powołania IOD.

Kolejnym przykładem może być spółka świadcząca usługi ochrony mienia, prowadząca monitoring w szeregu prywatnych centrów handlowych i przestrzeni publicznej. Jej działalnością główną jest ochrona, natomiast związane z tym bezpośrednio jest przetwarzanie danych osobowych, co oznacza, że takie spółki również muszą powołać IOD.

Duża skala przetwarzania

Grupa Robocza Art. 29 (EROD) w swoich wytycznych dotyczących inspektorów ochrony danych WP 243, zaleca uwzględnianie następujących czynników przy określaniu, czy przetwarzanie następuje na „dużą skalę”:

  • liczbę osób, których dane dotyczą – konkretna liczba albo procent określonej grupy społeczeństwa,
  • zakres przetwarzanych danych osobowych,
  • okres, przez jaki dane są przetwarzane,
  • zakres geograficzny przetwarzania danych osobowych (motyw 14 – na szczeblu regionalnym, krajowym lub ponadnarodowym).

Do przykładów przetwarzania na dużą skalę zaliczyć można:

  • Przetwarzanie danych pacjentów przez szpital w ramach prowadzonej działalności;
  • Przetwarzanie danych dotyczących podróży osób korzystających ze środków komunikacji miejskiej (np. śledzenie za pośrednictwem kart miejskich;
  • Przetwarzanie danych geo-lokalizacyjnych klientów w czasie rzeczywistym przez wyspecjalizowany podmiot na rzecz międzynarodowej sieci fast food do celów statystycznych;
  • Przetwarzanie danych klientów przez banki albo ubezpieczycieli w ramach prowadzonej działalności;
  • Przetwarzanie danych do celów reklamy behawioralnej przez wyszukiwarki;
  • Przetwarzanie danych (dotyczących treści, ruchu, lokalizacji) przez dostawców usług telefonicznych lub internetowych.

Przykłady przetwarzania niemieszczącego się w definicji dużej skali:

  • Przetwarzanie danych pacjentów, dokonywane przez pojedynczego lekarza;
  • Przetwarzanie danych dotyczących wyroków skazujących lub naruszeń prawa przez adwokata lub radcę prawnego.

Regularne i systematyczne monitorowanie

Mogą pojawić się również wątpliwości, kiedy dochodzi do regularnego i systematycznego monitorowania osób. RODO wskazuje, że pojęcie to obejmuje wszelkie formy śledzenia i profilowania w sieci, w tym na potrzeby reklam behawioralnych. Jednak zdaniem Grupy Roboczej Art. 29 pojęcie monitorowania nie jest ograniczone jedynie do środowiska online i śledzenie w sieci powinno być traktowane jedynie jako jeden z przykładów monitorowania zachowań osób, których dane dotyczą. Jako przykłady takiego monitorowania Grupa Robocza Art. 29 wymienia:

  • obsługę sieci telekomunikacyjnej,
  • świadczenie usług telekomunikacyjnych,
  • przekierowywanie poczty elektronicznej,
  • działania marketingowe oparte na danych,
  • profilowanie i ocenianie w celach oceny ryzyka (na przykład oceny ryzyka kredytowego, ustanawiania składek ubezpieczeniowych, zapobiegania oszustwom, wykrywania prania pieniędzy),
  • śledzenie lokalizacji, na przykład przez aplikacje mobilne,
  • programy lojalnościowe,
  • reklama behawioralna,
  • monitorowanie danych dotyczących zdrowia i kondycji fizycznej za pośrednictwem urządzeń przenośnych,
  • monitoring wizyjny,
  • urządzenia skomunikowane np. inteligentne liczniki, inteligentne samochody, automatyka domowa.

Szczególne kategorie danych osobowych

Szczególne kategorie danych osobowych wskazane w art. 9 ust. 1 RODO to dane osobowe ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych oraz przetwarzanie danych genetycznych, danych biometrycznych w celu jednoznacznego zidentyfikowania osoby fizycznej lub danych dotyczących zdrowia, seksualności lub orientacji seksualnej tej osoby.

Dane osobowe dotyczące wyroków skazujących i czynów zabronionych

Zgodnie z art. 10 RODO przetwarzania danych osobowych dotyczących wyroków skazujących oraz czynów zabronionych lub powiązanych środków bezpieczeństwa wolno dokonywać wyłącznie pod nadzorem władz publicznych lub jeżeli przetwarzanie jest dozwolone prawem Unii lub prawem państwa członkowskiego przewidującymi odpowiednie zabezpieczenia praw i wolności osób, których dane dotyczą. Wszelkie kompletne rejestry wyroków skazujących są prowadzone wyłącznie pod nadzorem władz publicznych. W polskim systemie prawnym funkcję takiego rejestru pełni Krajowy Rejestr Karny regulowany przepisami ustawy z dnia 24 maja 2000 roku o Krajowym Rejestrze Karnym. Ponadto Biuro Informacyjne Krajowego Rejestru Karnego prowadzi również Rejestr Sprawców Przestępstw na Tle Seksualnym, regulowany przepisami ustawy z dnia 13 maja 2016 roku o przeciwdziałaniu zagrożeniom przestępczością na tle seksualnym. Oba rejestry prowadzone są pod nadzorem władz publicznych. Rejestry te prowadzi Minister Sprawiedliwości.

Nawet jeżeli przepisy RODO bezpośrednio nie nakładają obowiązku powołania IOD, niejednokrotnie korzystnym dla organizacji może być dobrowolne wyznaczenie takiej osoby. Grupa Robocza Art. 29 (EROD) zachęca do takiego postępowania. Powołanie IOD może ułatwić przestrzeganie przepisów, jak również przyczynić się do wzrostu konkurencyjności przedsiębiorstwa. Prócz zapewnienia przestrzegania przepisów poprzez wprowadzenie mechanizmów rozliczania, IOD odgrywa rolę pośrednika pomiędzy zainteresowanymi stronami np. organem ochrony danych, osobami, których dane dotyczą albo jednostkami w ramach przedsiębiorstwa.

Zgłoszenie IOD do organu nadzorczego

Organizacja, w której został wyznaczony IOD, zawiadamia Prezesa Urzędu Ochrony Danych o jego wyznaczeniu w terminie 14 dni od dnia wyznaczenia. W zawiadomieniu wskazuje się: imię, nazwisko oraz adres poczty elektronicznej lub numer telefonu inspektora. Zawiadomienie sporządza się w postaci elektronicznej i opatruje kwalifikowanym podpisem elektronicznym albo podpisem potwierdzonym profilem zaufanym ePUAP.

W zawiadomieniu dodatkowo wskazuje się:

1) imię i nazwisko oraz adres zamieszkania, w przypadku gdy administratorem lub podmiotem przetwarzającym jest osoba fizyczna;

2) firmę przedsiębiorcy oraz adres miejsca prowadzenia działalności gospodarczej, w przypadku gdy administratorem lub podmiotem przetwarzającym jest osoba fizyczna prowadząca działalność gospodarczą;

3) pełną nazwę oraz adres siedziby, w przypadku gdy administratorem lub podmiotem przetwarzającym jest podmiot inny niż wskazany w pkt 1 i 2;

4) numer identyfikacyjny REGON, jeżeli został nadany administratorowi lub podmiotowi przetwarzającemu.

Udostępnienie danych kontaktowych do IOD

W celu zapewnienia możliwości łatwego kontaktu z IOD, czy to wewnętrznym czy zewnętrznym, istotne jest udostępnienie jego danych kontaktowych. Zwykle udostępnienie danych IOD (imienia i nazwiska, adresu poczty elektronicznej lub numeru telefonu) następuje na stronie internetowej podmiotu, który wyznaczył IOD, a jeżeli podmiot ten nie prowadzi własnej strony internetowej, udostępnienie może nastąpić w sposób ogólnie dostępny w miejscu prowadzenia działalności. Przykładem realizacji tego obowiązku może być wywieszenie ogłoszenia zawierającego dane identyfikacyjne i dane kontaktowe inspektora na tablicy ogłoszeń w siedzibie przedsiębiorcy, gdzie przetwarzane są dane osobowe, w stopce e-mail, na formularzu umowy itd.

Kwalifikacje IOD

Inspektor ochrony danych jest wyznaczany na podstawie kwalifikacji zawodowych, a w szczególności wiedzy fachowej na temat prawa i praktyk w dziedzinie ochrony danych oraz umiejętności wypełnienia zadań IOD, o których mowa w art. 39 RODO. Zgodnie z wytycznymi dotyczącymi inspektorów ochrony danych, IOD powinien posiadać odpowiednią wiedzę z zakresu krajowych i europejskich przepisów o ochronie danych osobowych i praktyk.. Zalecana jest również wiedza biznesowa i sektorowa dotycząca działalności administratora danych. Wymagany poziom wiedzy fachowej musi być współmierny do charakteru, skomplikowania i ilości danych przetwarzanych w ramach organizacji. IOD powinien posiadać odpowiednią wiedzę na temat operacji przetwarzania danych, systemów informatycznych oraz zabezpieczeń stosowanych u administratora i jego potrzeb w zakresie ochrony danych.

Zadania IOD

Inspektor Ochrony Danych zgodnie z art. 39 RODO ma następujące zadania:

a) informowanie administratora, podmiotu przetwarzającego oraz pracowników, którzy przetwarzają dane osobowe, o obowiązkach spoczywających na nich na mocy rozporządzenia oraz innych przepisów Unii lub państw członkowskich o ochronie danych i doradzanie im w tej sprawie;

b) monitorowanie przestrzegania przepisów RODO, innych przepisów Unii lub państw członkowskich o ochronie danych oraz polityk administratora lub podmiotu przetwarzającego w dziedzinie ochrony danych osobowych, w tym podział obowiązków, działania zwiększające świadomość, szkolenia personelu uczestniczącego w operacjach przetwarzania oraz powiązane z tym audyty;

c) udzielanie na żądanie zaleceń co do oceny skutków dla ochrony danych oraz monitorowanie jej wykonania’;

d) współpraca z organem nadzorczym;

e) pełnienie funkcji punktu kontaktowego dla organu nadzorczego w kwestiach związanych z przetwarzaniem, w tym z uprzednimi konsultacjami, o których mowa w art. 36 RODO, oraz w stosownych przypadkach prowadzenie konsultacji we wszelkich innych sprawach.

IOD nie ponosi odpowiedzialności w przypadku niezgodności z RODO. Z przepisów RODO jasno wynika, że to administrator lub podmiot przetwarzający zobowiązany jest do zapewnienia i udowodnienia zgodności przetwarzania danych osobowych z przepisami prawa (art. 24 ust.1 RODO). Przetwarzanie danych zgodne z rozporządzeniem jest obowiązkiem administratora lub podmiotu przetwarzającego.

Czy IOD może wykonywać inne obowiązki u pracodawcy? Z jakimi funkcjami nie należy łączyć bycia inspektorem?

Inspektor Ochrony Danych może posiadać inne zadania i obowiązki u pracodawcy, które jednak nie mogą powodować konfliktu interesów. Oznacza to, że IOD nie może zajmować w organizacji stanowiska pociągającego za sobą określanie sposobów i celów przetwarzania danych. Za powodujące konflikt interesów i niekompatybilne stanowiska uważane będą przede wszystkim stanowiska kierownicze jak np. dyrektor generalny, dyrektor do spraw operacyjnych, dyrektor finansowy, kierownik działu marketingu, kierownik działu HR, kierownik działu IT, ale również niższe stanowiska, jeśli biorą udział w określaniu celów i sposobów przetwarzania danych.

Niezależność inspektora od administratora – na czym polega i z czym się wiąże

Przepisy RODO  określają trzy główne gwarancje niezależności Inspektora Ochrony Danych. Do gwarancji tych zaliczyć można:

1) zapewnienie, aby inspektor ochrony danych nie otrzymywał instrukcji dotyczących wykonywania swoich zadań;

2) zakaz odwoływania oraz karania inspektora ochrony danych przez administratora lub podmiot przetwarzający za wypełnianie swoich zadań;

3) bezpośrednią podległość inspektora ochrony danych najwyższemu kierownictwu administratora lub podmiotu przetwarzającego.

Pierwsza z gwarancji niezależności to nałożony na administratora obowiązek zapewnienia, aby IOD nie otrzymywał instrukcji dotyczących wykonywania swoich zadań. W ten sposób IOD ma mieć zapewnioną samodzielność, która ma być elementem jego niezależności. IOD nie może podlegać jakimkolwiek naciskom ze strony innych osób i może samodzielnie podejmować działania w ramach wykonywania swoich zadań.

Druga z gwarancji dotyczy nieodwoływania i niekarania IOD za wypełnianie swoich zadań. IOD wykonując czynności w ramach wyznaczonej mu funkcji, nie może obawiać się negatywnych konsekwencji swojego prawidłowego postępowania, gdyż obawa przed utratą pracy lub ukaraniem może mieć istotny wpływ na sposób działania inspektora, dlatego prawodawca stara się zabezpieczyć w ten sposób niezależność inspektora.

Trzecią gwarancją jest wymóg bezpośredniej podległości inspektora ochrony danych wyłącznie najwyższemu kierownictwu administratora lub podmiotu przetwarzającego.

Do innych gwarancji niezależności IOD możemy zaliczyć:

  • włączanie IOD we wszystkie zagadnienia związane z ochroną danych osobowych,
  • zapewnienie IOD niezbędnych zasobów do wykonywania zadań oraz dostępu do danych osobowych i operacji przetwarzania (wsparcie finansowe, infrastrukturalne, kadrowe),
  • ciągłe szkolenia.

Umowa o świadczenie usług z IOD czy zatrudnienie – co jest korzystniejsze dla administratora? 

Inspektor ochrony danych może być członkiem personelu administratora lub wykonywać zadania na podstawie umowy o świadczenie usług. Dopuszczalny jest więc outsourcing tej funkcji. Każda organizacja staje przed wyborem czy wyznaczyć IOD spośród swojego personelu czy zdecydować się na outsourcing usług. Należy pamiętać, że wiedza i doświadczenie Inspektora Ochrony Danych muszą obejmować zarówno wiedzę prawniczą, jak i elementy IT czy także zagadnienia cyberbezpieczeństwa. Wewnętrzny IOD z odpowiednim doświadczeniem będzie wymagał wynagrodzenia zgodnego ze stawkami rynkowymi. Jak pokazuje portal wynagrodzenia.pl Sedlak&Sedlak „Ile zarabia inspektor ochrony danych osobowych” mediana wynagrodzenia inspektorów ochrony danych w Polsce wynosi około 5354 złotych netto miesięcznie[1]. Przedsiębiorca musi uwzględnić także koszty dodatkowe, jak podatki, składki ZUS, świadczenia pracownicze, koszty szkoleń, ale również i nieobecność  IOD przebywającego na urlopie czy zwolnieniu lekarskim. Alternatywnym i tańszym rozwiązaniem może okazać się skorzystanie z outsourcingu funkcji IOD przez wyspecjalizowaną firmę doradczą lub kancelarię prawną, która zapewni wsparcie doświadczonych ekspertów nie tylko z zakresu prawa, ale również i IT. Średni miesięczny koszt outsourcingu funkcji IOD to około 2 000 – 5 000 złotych netto, przy czym zyskujemy wiedzę i doświadczenie kilku doradców. Wewnętrzny IOD może zaś potrzebować dodatkowego wsparcia np. prawnika lub specjalisty IT. Outsourcing funkcji IOD może być opłacalny dla mniejszych i średnich przedsiębiorstw, które nie przetwarzają danych osobowych w wielu procesach często zmieniających się. Dla dużych organizacji, w których często dochodzi do zmian w zakresie ilości, rodzajów i sposobów przetwarzania danych osobowych, i które wymagają pełnej dyspozycyjności czasowej, zatrudnienie wewnętrznego IOD może być bardziej opłacalne i korzystne.

Kinga Strychalska, radca prawny

Jedliński Bierecki i Wspólnicy Kancelaria Radców Prawnych i Adwokatów

Autorka jest związana z Kancelarią od 2018 roku. W swojej praktyce zawodowej prowadzi sprawy z zakresu prawa cywilnego, prawa handlowego, prawa gospodarczego, tworzy i negocjuje umowy handlowe oraz reprezentuje Klientów w sporach sądowych przed sądami powszechnymi, w tym także w sprawach kredytów frankowych. Odpowiedzialna była za przeprowadzenie audytów i wdrożenie Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 (zwanego RODO) w wielu organizacjach m.in. w branży medycznej, wydawniczej, portowej, transportowej. Absolwentka studiów podyplomowych na kierunku Inspektor Ochrony Danych - prawne, psychologiczne i techniczne aspekty zarządzania danymi w organizacji. 

Bibliografia:

1. Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 roku w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz.U.UE.L.2016.119.1 z dnia 2016.05.04);

2. Ustawa z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz.U.2019.1781 t.j. z dnia 2019.09.19);

3. Ustawa z dnia 27 sierpnia 2009 roku o finansach publicznych (Dz.U.2022.1634 t.j. z dnia 2022.08.04);

4. WP 243 Wytyczne dotyczące inspektorów ochrony danych Grupy Roboczej Art. 29 (obecnie EROD);

5. P. Fajgielski [w:] Komentarz do ustawy o ochronie danych osobowych [w:] Ogólne rozporządzenie o ochronie danych. Ustawa o ochronie danych osobowych. Komentarz, wyd. II, Warszawa 2022;

6. Bielak-Jomaa [w:] RODO. Ogólne rozporządzenie o ochronie danych. Komentarz, red. D. Lubasz, Warszawa 2018.

7. https://wynagrodzenia.pl/moja-placa/ile-zarabia-inspektor-ochrony-danych-osobowych

[1] Źródło: https://wynagrodzenia.pl/moja-placa/ile-zarabia-inspektor-ochrony-danych-osobowych

Zobacz więcej podobnych artykułów

13 września 2023

Wpływ Dyrektywy ECN + na ustawę o ochronie konkurencji i konsumentów – przegląd najistotn...
4 września 2023

KSeF – nowe rewolucyjne rozwiązanie w polskim systemie podatkowym
4 września 2023

KSeF – nowe rewolucyjne rozwiązanie w polskim systemie podatkowym

Zobacz wszystkie