Katarzyna Syska

AdwokatkaCounsel

Bio

Specjalizuje się w prawie ochrony danych osobowych oraz szeroko pojętym prawie nowych technologii. Doradza przedsiębiorstwom z różnych sektorów, w tym szczególnie z branży handlu elektronicznego, IT, ubezpieczeniowej, bankowej i medycznej. Przed nawiązaniem współpracy z Kancelarią pracowała w innej kancelarii prawnej, gdzie zajmowała się prawem ochrony danych osobowych, regulacją handlu elektronicznego i własnością intelektualną. Wcześniej przez prawie dwa lata pracowała w Brukseli, gdzie zajmowała się polityką europejską w zakresie ochrony danych osobowych, uregulowania sektora ICT oraz prawa własności intelektualnej. Odbyła staż w Komisji Europejskiej, w Dyrekcji Generalnej ds. Sprawiedliwości.

Członkini International Association of Privacy Professionals oraz SABI – Stowarzyszenia Inspektorów Ochrony Danych.

Autorka licznych publikacji naukowych z zakresu prawa ochrony danych osobowych i prawa do prywatności, w tym Poradnika dotyczącego RODO dla radców prawnych i adwokatów. Prelegentka na konferencjach i szkoleniach w Polsce i zagranicą.

Wykładowczyni na Podyplomowym Studium „Wykonywanie funkcji inspektora ochrony danych” w Instytucie Nauk Prawnych Polskiej Akademii Nauk. Absolwentka Wydziału Prawa i Administracji Uniwersytetu Warszawskiego. W czasie studiów odbyła roczne stypendium na Wydziale Prawa Uniwersytetu im. Roberta Schumana w Strasburgu (Francja). Ponadto ukończyła Szkołę Prawa Amerykańskiego prowadzoną przez Uniwersytet Warszawski we współpracy z Uniwersytetem Floryda. Jest także absolwentką Podyplomowych Studiów z Prawa ICT i Mediów (magna cum laude) na Katolickim Uniwersytecie w Leuven (Belgia).

Biegle posługuje się językiem angielskim, zna język francuski.


Powiązane newsy

Publikacje 4
03 lut 2022

Standardowe klauzule umowne między administratorami a podmiotami przetwarzającymi wprowadzone decyzją Komisji Europejskiej z 4.6.2021 r.

Artykuł autorstwa adw. dr hab. Grzegorza Sibiga, prof. INP PAN i adw. Katarzyny Syski, który ukazał się w dodatku specjalnym do Monitora Prawniczego pt. „Działania instytucji i organów Unii Europejskiej w ochronie danych osobowych” (dodatek MoP 23/2021).

03 lut 2022

"Analiza ryzyka jako element bezpieczeństwa przetwarzania danych w kancelariach prawnych" oraz „Poczta elektroniczna”

Rozdziały współautorstwa m.in. adw. dr hab. prof. INP PAN Grzegorza Sibigi, adw. Katarzyny Syski i r.pr. Dominiki Nowak, które ukazały się w monografii pt. „Analiza ryzyka i bezpieczeństwo danych w kancelariach prawnych” pod red. D. Lubasza.

07 sty 2019

Przepisy prawa uzupełniające RODO. Aktualne problemy prawnej ochrony danych osobowych 2018

Nakładem wydawnictwa C.H. Beck pod
koniec 2018 r. ukazał się doroczny dodatek Monitora Prawniczego
poświęcony ochronie danych osobowych  pt. „Przepisy prawa uzupełniające
RODO. Aktualne problemy prawnej ochrony danych osobowych 2018”.

16 maj 2018

Ogólne rozporządzenie o ochronie danych (RODO). Poradnik dla radców prawnych i adwokatów

Z
przyjemnością informujemy, że dostępna jest już publikacja „Ogólne
rozporządzenie o ochronie danych (RODO). Poradnik dla radców prawnych i
adwokatów”, która została przygotowana dla Naczelnej Rady Adwokackiej
oraz Krajowej Izby Radców Prawnych.

Aktualności 5
30 cze 2022

Awanse w Kancelarii

Z dumą i radością informujemy, że 10 osób z kancelarii dostało awans na stanowiska Managing Associate i Counsel.

18 maj 2022

Zakończyliśmy I edycję TKP Academy

I edycja TKP Academy – Student Program przeszła już do historii. 

12 kw. 2022

Legal 500 EMEA 2022

Z przyjemnością informujemy, że kancelaria Traple Konarski Podrecki i Wspólnicy po raz kolejny została rekomendowana w rankingu The Legal 500 (Legalease) EMEA 2022 w 5 obszarach praktyki. Xawery Konarski znalazł się w gronie leading individual w dwóch kategoriach, a Agnieszka Wachowska kolejny rok z rzędu została uznana za Next generation partner w kategorii TMT.

21 kw. 2021

The Legal 500 (Legalease) EMEA 2021

Z przyjemnością informujemy, że kancelaria Traple Konarski Podrecki i Wspólnicy po raz kolejny została rekomendowana w rankingu The Legal 500 (Legalease) EMEA 2021 w 4 obszarach praktyki. Dwóch naszych prawników znalazło się w gronie Leading Individuals: Prof. Elżbieta Traple, PhD, hab. i adw. Xawery Konarski. R.pr. Agnieszka Wachowska kolejny rok z rzędu została uznana za Next generation partner. W poszczególnych kategoriach w gronie recommended lawyers znaleźli się: Data privacy and data protection: prof. UEK Jan Byrski, PhD hab., Prof. INP PAN dr hab. Grzegorz Sibiga, adw. Katarzyna Syska, Intellectual Property: Prof. INP PAN dr hab. Paweł Podrecki, Anna Sokołowska-Ławniczak Ph.D., Competition/Antitrust: Prof. INP PAN dr hab. Paweł Podrecki, dr Tomasz Targosz, dr Katarzyna Menszig-Wiese, LL.M, TMT: Prof. INP PAN dr hab. Grzegorz Sibiga, dr Piotr Wasilewski.

23 lut 2021

Rozmowa: Sztuczna Inteligencja. Przejrzystość według RODO

Zapraszamy do obejrzenia rozmowy z mec. Katarzyna Syska na kanale YouTube dr Marlena Sakowska-Baryła dotyczącej stosowania RODO do systemów sztucznej inteligencji.

Wydarzenia 9
15 paź 2021

Podsumowanie 2021 roku w ochrona danych osobowych

Zaprasza na podsumowanie mijającego roku w ochronie danych osobowych.

Bieżący rok zapamiętamy jako dynamiczny okres dla rozwoju praktyki stosowania przepisów o ochronie danych osobowych. 25 listopada Zespół RODO kancelarii Traple Konarski Podrecki i Wspólnicy podsumuje rok 2021 w ochronie danych osobowych. Podczas wydarzenia wyjaśnimy i zwrócimy uwagę na najważniejsze problemy jakie ostatnie miesiące przyniosły podmiotom biorącym udział w przetwarzaniu danych o osobach fizycznych.

Odpowiemy m.in. na następujące pytania:

  • Co wydarzyło się po wyroku TSUE ws. Schrems II i jakie znaczenia ma data 27.09.2021 r.? Jakie kroki należy podjąć, aby prawidłowo przekazywać dane osobowe do państw trzecich?
  • Jak prawidłowo powierzać przetwarzanie danych stosując standardowe klauzule umowne KE? Czy standardowe klauzule umowne KE rzeczywiście ułatwiają powierzenie przetwarzania? W jaki sposób uniknąć błędów przy powierzaniu przetwarzania przy pomocy klauzul umownych?
  • Co jest głównym powodem naruszeń ochrony danych ochrony wg Prezesa UODO? Jak zarządzać naruszeniami ochrony danych osobowych?
  • Co zrobić w przypadku otrzymania od NOYB żądań dot. cookie banera? Jaki wpływ mają ostatnie działania organów nadzorczych na realizację obowiązków w zakresie stosowania plików cookies?
  • Co nas czeka w ochronie danych osobowych w 2022 r.?

Warsztaty w trybie online organizowane przez Centrum Promocji Informatyki.

06 lis 2020

VI Konferencja Ochrony Danych Osobowych

Zapraszamy do udziału  w VI dorocznej konferencji wydawnictwa C.H.Beck, która jest poświęcona najważniejszym problemom ochrony danych.

Konferencji została podzielona na trzy obszary tematyczne:

  • Udostępnianie, powierzanie, transfer – główne problemy obiegu danych osobowych
  • Ochrona danych osobowych i prywatności wobec wyzwań technologii, technik przetwarzania i komunikowania
  • Nadzór nad przestrzeganiem RODO

Z przyjemnością informujemy, że prelegentami wydarzenia są również eksperci naszej kancelarii adw. Xawery Konarski, adw. dr hab. Grzegorz Sibiga, adw. Katarzyna Syska oraz dr Iga Małobęcka-Szwast.

04 sie 2020

Webinarium: Zasady monitoringu wizyjnego w świetle decyzji i stanowisk organów nadzorczych w UE

Podczas webinarium przedstawimy przegląd kar nakładanych przez unijne organy nadzorcze w związku z prowadzeniem monitoringu wizyjnego. Wnioski płynące z tych decyzji mają kluczowe znaczenie dla prawidłowego i zgodnego z prawem wdrożenia systemów monitoringu wizyjnego zarówno w Polsce, jak i w innych krajach Unii Europejskiej. Omówimy także kluczowe elementy wytycznych dotyczących monitoringu wizyjnego. W szczególności skupimy się na następujących sprawach:

1. Kary nakładane przez organy unijne nadzorcze w związku prowadzeniem monitoringu oraz podstawy nałożenia kar

  • Przegląd nałożonych kar pieniężnych i ich wysokość
  • Jak zapewnić legalność przetwarzania danych w ramach monitoringu wizyjnego?
  • Jak oceniać zakres danych zbieranych w drodze monitoringu?
  • O czym należy informować w związku z prowadzeniem monitoringu wizyjnego?
  • Czy konieczne jest przeprowadzenie DPIA?

2. Zasady monitoringu w świetle wytycznych EROD, Prezesa UODO oraz orzeczeń sądów

  • Co wynika z wytycznych EROD nr 3/2019 w sprawie przetwarzania danych osobowych przez urządzenia wideo?
  • Jakie są wskazówki Prezes UODO dotyczące monitoringu wizyjnego?

3. Praktyczne problemy dotyczące stosowania monitoringu (w szczególności monitoringu wizyjnego)

25 lis 2019

V Konferencja Ochrony Danych Osobowych – RODO i polskie przepisy uzupełniające

25 listopada 2019 r. w Warszawie odbędzie się piąta edycja dorocznej Konferencji Ochrony Danych Osobowych, której organizatorem jest Wydawnictwo C.H. Beck.

Wydarzenie poświęcone jest najbardziej aktualnym tematom ochrony danych osobowych po reformie ochrony danych osobowych tj. rozwiązaniom przewidzianym w ustawie z 21.02.2019 r.

Uczestnicy spotkania uzyskają odpowiedzi m. in. na następujące pytania:

  • jakie z uchwalonych 21.2.2019 r. zmian legislacyjnych powodują najważniejsze konsekwencje dla wykonania obowiązków ochrony danych osobowych?
  • jak prawidłowo ustalić podstawę prawną przetwarzania danych pracowników i osób rekrutowanych?
  • w jaki sposób prawidłowo komunikować się z osobami, których dane dotyczą w przypadku naruszenia ochrony danych ich danych oraz składania przez nie żądań realizujących uprawnienia określone w RODO?
  • jaki obowiązki ochrony danych osobowych spoczywają w związku z korzystaniem z serwisów społecznościowych?
  • w jaki sposób Prezes UODO korzysta ze swoich kompetencji władczych?
  • jak ustalają zakres stosowania RODO?

Z przyjemnością informujemy, że podczas konferencji swoje prelekcje wygłoszą nasi eksperci: adw. Xawery Konarski, adw. dr hab. Jan Byrski, adw. dr Grzegorz Sibiga, adw. Katarzyna Syska.

Szczegółowe informacje i program konferencji dostępne są na stronie organizatora.

04 gru 2018

I Kongres Inspektorów Ochrony Danych

I Kongres Inspektorów Ochrony Danych Osobowych odbędzie się w dniach 4-5 grudnia 2018 r. w Hotelu Sielanka nad Pilicą w Warce.

Kongres IOD jest kontynuacją organizowanego od 1999 r. Kongresu ABI. Do 2018 r. odbyły się 22 Kongresy, podczas których odbywały się dyskusje na temat najważniejszych bieżących i praktycznych problemów realizacji zadań i obowiązków ochrony danych osobowych. I Kongres IOD poświęcony będzie weryfikacji wdrożenia przepisów ogólnego rozporządzenia o ochronie danych osobowych (RODO).

Organizatorem spotkania jest ENSI. W wydarzeniu udział wezmą nasi eksperci: adw. Xawery Konarski, adw. dr hab. Jan Byrski, adw. dr Grzegorz Sibiga, adw. Katarzyna Syska.

Kancelaria Traple Konarski Podrecki i Wspólnicy jest partnerem Kongresu.

Więcej informacji na temat wydarzenia oraz program znajdą Państwo na stronie organizatora.

22 lis 2018

IV Konferencja Ochrony Danych Osobowych. RODO i nowa ustawa o ochronie danych osobowych – pierwsze miesiące stosowania przepisów

Czwarta edycja konferencji Wydawnictwa C.H. Beck poświęconej ochronie danych osobowych odbędzie się w dniu 22 listopada 2018 r. w Warszawie.

Tegoroczne spotkanie poświęcone jest problemom wdrażania rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27.4.2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych (RODO), a także problematyce nowej ustawy z 10.5.2018 r. o ochronie danych osobowych oraz zmianom w Kodeksie pracy dotyczącym przetwarzania i ochrony danych pracowniczych.

Konferencja podzielona została na trzy Panele dyskusyjne:

  • Praktyczne problemy wdrażania RODO
  • Przetwarzanie i ochrona danych pracowniczych
  • Wykonywanie kompetencji przez Prezesa Urzędu Ochrony Danych Osobowych

Z przyjemnością informujemy, że w Konferencji wezmą udział eksperci z kancelarii Traple Konarski Podrecki i Wspólnicy: adw. Xawery Konarski, adw. dr Grzegorz Sibiga, adw. Katarzyna Syska.

Serdecznie zapraszamy do udziału.

10 wrz 2018

Warsztaty: RODO w zamówieniach publicznych

W dniu 10 września 2018 r. w Warszawie odbędą się warsztaty pt. „RODO w zamówieniach publicznych”.

Spotkanie zostanie poprowadzone przez naszych ekspertów: adw. Xawerego Konarskiego, r.pr. Agnieszkę Wachowską, r.pr. Tomasza Krzyżanowskiego, r.pr. Piotra Nepelskiego i adw. Katarzynę Syskę.

Podczas warsztatów uczestnicy poszerzą swoją wiedzę i dowiedzą się m. in.:

  • jak nowe przepisy dotyczące ochrony danych osobowych RODO/GDPR wpłyną na tryby i procedury udzielania zamówień publicznych
  • jaka jest odpowiedzialność podmiotów publicznych (zamawiających) na gruncie RODO
  • jakie są wymagania funkcjonalne i pozafunkcjonalne systemów IT
  • Private by designe a opis przedmiotu zamówienia
  • Jakie są sankcje za naruszenie przepisów RODO
  • Jak kształtować treści wzorów umów uwzględniając wymagania z RODO w postępowaniach o udzielenie zamówień publicznych
  • Jak weryfikować zawarte umowy i zmiany w kontekście wymagań RODO
  • Na czym polega certyfikacja w rozumieniu RODO

Organizatorem wydarzenia jest Puls Biznesu. Kancelaria Traple Konarski Podrecki i Wspólnicy jest Partnerem Merytorycznym warsztatów.

05 lip 2018

Warsztaty: RODO 2018 – Dostosowanie przedsiębiorców do ogólnego rozporządzenia o ochronie danych osobowych

W dniach 5-6 lipca 2018 r. w Starych Jabłonkach odbędą się warsztaty pt. „RODO 2018 – Dostosowanie przedsiębiorców do ogólnego rozporządzenia o ochronie danych”.

Celem szkolenia jest omówienie praktycznych aspektów dostosowania działalności przedsiębiorców do nowych przepisów, przedstawienie działań dostosowawczych, ich harmonogramu oraz aktualnego stanu dostosowanie prawa polskiego do RODO. Spotkanie będzie także okazją do sprawdzenia, czy nowe przepisy dotyczące ochrony danych osobowych zostały poprawnie wdrożone.

Warsztaty kierowane są w szczególności do prawników oraz innych osób zawodowo zajmujących się ochroną danych osobowych, a w szczególności do administratorów bezpieczeństwa informacji, przedsiębiorców.
Spotkanie poprowadzą nasi eksperci: adw. Xawery Konarski oraz adw. Katarzyna Syska.

Organizatorem wydarzenia jest Beck Akademia. Kancelaria Traple Konarski Podrecki i Wspólnicy jest partnerem merytorycznym spotkania.

26 paź 2017

III Konferencja Ochrony Danych Osobowych. Prawne i organizacyjne aspekty wdrożenia rozporządzenia o ochronie danych (RODO)

W dniu 26 października 2017 r. w Warszawie odbędzie się „III Konferencja Ochrony Danych Osobowych. Prawne i organizacyjne aspekty wdrożenia rozporządzenia o ochronie danych (RODO)”.

Podczas spotkania poruszone zostaną istotne zagadnienia w procesie dostosowywania do przepisów RODO. Prelegenci poszukają odpowiedzi na pytania dotyczące optymalnego sposobu wdrażania przepisów RODO, w tym wykorzystania w tym procesie dotychczasowych doświadczeń w stosowaniu przepisów oraz norm ISO. Nie zabraknie także dyskusji na temat wymogów informacyjnych czy funkcjonowania inspektora ochrony danych.

Z przyjemnością informujemy, że Kancelarię Traple Konarski Podrecki i Wspólnicy reprezentować będzie aż czterech ekspertów: adw. Xawery Konarski, adw. dr Grzegorz Sibiga, r.pr. Michał Bienias, adw. Katarzyna Syska.

Organizatorem konferencji jest Beck Akademia.

Blog 8
15 lis 2022

Akt o usługach cyfrowych a przetwarzanie danych osobowych

Unijny akt o usługach cyfrowych nakłada na dostawców takich usług różne obowiązki, które mają wpływ na przetwarzanie przez nich danych osobowych. Akt wprowadza też zakaz targetowania reklamowego na podstawie danych wrażliwych.

05 lip 2022

Standardowe klauzule umowne w pytaniach i odpowiedziach

Komisja opublikowała pytania i odpowiedzi dotyczące stosowania standardowych klauzul umownych – zarówno transferowych, jak i klauzul powierzenia przetwarzania. Ma to pomóc zainteresowanym podmiotom w prawidłowym korzystaniu z SKU.

14 lut 2022

Profilowanie w planie kontroli sektorowych Prezesa UODO w 2022 r.

Prezes UODO opublikował plan kontroli sektorowych na 2022 r. Kontrolujący UODO mają weryfikować przetwarzanie danych osobowych przez banki w zakresie profilowania.

18 lis 2021

Wytyczne CNIL dotyczące rekrutacji

Francuski organ nadzorczy opublikował projekt wytycznych dotyczących przetwarzania danych osobowych kandydatów do pracy w ramach rekrutacji. CNIL odnosi się m.in. do kwestii zbierania o kandydatach danych publicznie dostępnych w Internecie i używania metod oceny osobowości kandydata do pracy.

24 wrz 2021

Kara dla Amazona w rekordowej wysokości 746 mln euro

Luksemburski organ nadzorczy (CNPD) nałożył na Amazon Europe Core S.à.r.l. karę w wysokości 746 mln euro za naruszenia dotyczące braku podstawy prawnej do przetwarzania danych osobowych użytkowników platformy Amazon.

18 cze 2021

Belgijski organ nadzorczy odpowiada na pytania dotyczące zbierania danych o zaszczepieniu przeciwko COVID-19

Stanowisko belgijskiego organu nadzorczego dotyczy takich kwestii, jak klasyfikacja informacji o zaszczepieniu przeciwko COVID-19, możliwe podstawy prawne przetwarzania tych danych osobowych oraz dopuszczalność przetwarzania przez pracodawców danych o zaszczepieniu (lub braku zaszczepienia) pracowników.

08 lut 2021

Projekt standardowych klauzul umownych dotyczących powierzenia przetwarzania

Komisja Europejska przedstawiła projekt decyzji ustanawiającej standardowe klauzule umowne między administratorami a podmiotami przetwarzającymi na podstawie art. 28 ust. 7 rozporządzenia 2016/679[1] (RODO) i art. 29 ust. 7 rozporządzenia 2018/1725[2] (dotyczącego przetwarzania danych osobowych przez instytucje unijne). Standardowe klauzule umowne stanowią mechanizm zapewniania zgodności z warunkami powierzenia przetwarzania danych osobowych określonymi w art. 28 ust. 3–4 RODO.

24 sty 2017

Obowiązkowe wyznaczenie inspektora ochrony danych oraz jego zadania – wytyczne Grupy Roboczej Art. 29

Grupa Robocza Art. 29 przygotowała wytyczne dotyczące obowiązkowego wyznaczania inspektora ochrony danych (IOD), a także jego statusu i zadań. Wytyczne mają na celu ułatwienie administratorom oraz podmiotom przetwarzającym określenie, czy po rozpoczęciu stosowania ogólnego rozporządzenia o ochronie danych będą mieli obowiązek wyznaczenia inspektora.

****

Wyznaczenie inspektora

Zgodnie z art. 37 ust. 1 RODO, wyznaczenie inspektora będzie obowiązkowe w trzech przypadkach:

1) przetwarzania dokonują organ lub podmiot publiczny, z wyjątkiem sądów w zakresie sprawowania przez nie wymiaru sprawiedliwości;

2) główna działalność administratora lub podmiotu przetwarzającego polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę;

3) główna działalność administratora lub podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych (danych wrażliwych).

Szczególne wątpliwości dotyczyły sformułowań takich jak „główna działalność”, „duża skala przetwarzania”, „regularne i systematyczne monitorowanie”. Wszystkie te pojęcia zostały omówione w wytycznych.

Główna działalność polegająca na przetwarzaniu danych osobowych powinna być interpretowana dość szeroko i obejmować sytuacje, kiedy przetwarzanie danych jest nierozerwalnie związane z działalnością danego podmiotu. Dla przykładu, główna działalność szpitala polega na zapewnianiu opieki medycznej, jednak wykonywanie tych usług jest niemożliwe bez przetwarzania danych osobowych, np. dokumentacji medycznej i historii choroby pacjenta.

Jednakże za działalność poboczną uznano przetwarzanie danych w celu prowadzenia listy płac czy też korzystania z obsługi IT. Zatem samo przetwarzanie danych osobowych pracowników nie będzie określane jako przetwarzanie będące elementem głównej działalności podmiotu.

Jeśli chodzi o dużą skalę przetwarzania, Grupa Robocza nie wskazała żadnej konkretnej wartości dotyczącej liczby podmiotów danych czy też rozmiaru zbioru danych, która determinowałaby „dużą skalę”.

W wytycznych przedstawione są następujące kryteria, które powinny być brane pod uwagę przy określaniu, czy przetwarzanie następuje na „dużą skalę”:

  • liczba osób, których dane dotyczą – konkretna liczba albo procent określonej grupy społeczeństwa;
  • zakres przetwarzanych danych osobowych;
  • okres, przez jaki dane są przetwarzane;
  • zakres geograficzny przetwarzania danych osobowych.

Grupa Robocza podała także przykłady przetwarzania danych na dużą skalę:

  • przetwarzanie danych pacjentów przez szpital w ramach prowadzonej działalności;
  • przetwarzanie danych osób korzystających ze środków komunikacji miejskiej (np. śledzenie
  • za pośrednictwem ‘kart miejskich’);
  • przetwarzanie danych geo-lokalizacyjnych w czasie rzeczywistym przed wyspecjalizowany podmiot na rzecz międzynarodowej sieci fast food do celów statystycznych;
  • przetwarzanie danych klientów przez banki albo ubezpieczycieli w ramach prowadzonej działalności;
  • przetwarzanie danych do celów reklamy behawioralnej przez wyszukiwarki;
  • przetwarzanie danych (dotyczących treści, ruchu, lokalizacji) przez dostawców usług telefonicznych lub internetowych.

Przykłady przetwarzania niemieszczącego się w definicji „dużej skali”:

  • przetwarzanie danych pacjentów – klientów, dokonywane przez pojedynczego lekarza;
  • przetwarzanie danych dotyczących wyroków skazujących lub naruszeń prawa przez adwokatalub radcę prawnego.

Grupa Robocza podała też swoją interpretację regularnego i systematycznego monitorowania osób.

Monitorowanie osób jest „regularne” spełnia jedno lub więcej poniższych kryteriów:

  • stałe albo występujące w określonych odstępach czasu przez ustalony okres;
  • cykliczne albo powtarzające się w określonym terminie;
  • odbywające się stale lub okresowo.

Monitorowanie „systematyczne” spełnia jedno lub więcej z następujących kryteriów:

  • występujące zgodnie z określonym systemem;
  • zaaranżowane, zorganizowane lub metodyczne;
  • odbywające się w ramach generalnego planu zbierania danych;
  • przeprowadzone w ramach określonej strategii.

Grupa Robocza podaje następujące przykłady regularnego i systematycznego monitorowania osób:

  • obsługa sieci telekomunikacyjnej;
  • świadczenie usług telekomunikacyjnych;
  • przekierowywanie e-mail;
  • profilowanie i ocenianie dla celów oceny ryzyka (na przykład dla celów oceny ryzyka kredytowego, ustanawiania składek ubezpieczeniowych, zapobiegania oszustwom, wykrywania prania pieniędzy);
  • śledzenie lokalizacji, na przykład w aplikacjach telefonicznych;
  • programy lojalnościowe;
  • reklama behawioralna;
  • monitorowanie danych o stanie zdrowia za pośrednictwem urządzeń przenośnych;
  • monitoring wizyjny;
  • urządzenia skomunikowane np. inteligentne liczniki, inteligentne samochody, automatyka domowa, etc.

Powyższe wytyczne nie dają konkretnych odpowiedzi na pytanie, kiedy administrator lub podmiot przetwarzający powinien wyznaczyć inspektora ochrony danych. Bezpiecznym rozwiązaniem wydaje się jednak wyznaczenie IOD w każdej sytuacji, o której mowa w wytycznych, o ile spełnione jest kryterium dużej skali.

Jeśli chodzi o podmioty publiczne, Grupa Robocza rekomenduje, aby IOD był wyznaczany nie tylko przez organy władzy publicznej, ale także przez podmioty prywatne realizujące zadania publiczne lub sprawujące władzę publiczną (np. usługi transportowe, dostawa energii elektrycznej, wody, itp.).

Dopuszczalne jest wyznaczenie jednego IOD dla kilku podmiotów, o ile można będzie łatwo nawiązać z nim kontakt z każdej jednostki organizacyjnej. Możliwe jest także wyznaczenie wspólnego inspektora organów władzy publicznej, przy czym należy uwzględnić ich strukturę organizacyjną i wielkość. Grupa Robocza stwierdziła, że w takiej sytuacji należy zapewnić, aby IOD wyznaczony dla kilku podmiotów był w stanie starannie wykonywać swoje zadania we wszystkich tych podmiotach (np. aby miał na to wystarczająco dużo czasu). Poza tym należy zapewnić, aby pracownicy wszystkich podmiotów mogli łatwo porozumiewać się z IOD – może to być zapewnione przez osobisty kontakt z IOD w siedzibie podmiotu, ale także przez telefon lub inny bezpieczny sposób komunikacji zdalnej. Ponadto inspektor powinien mówić w języku lub językach używanych przez pracowników oraz przez właściwe organy nadzorcze.

Wiedza fachowa i umiejętności inspektora

Poziom wiedzy fachowej IOD powinien być odpowiedni w stosunku do „wrażliwości” danych, skomplikowania operacji oraz ilości danych przetwarzanych przez daną organizację. Na przykład, jeżeli przetwarzanie jest szczególnie skomplikowane i dotyczy dużej ilości danych „wrażliwych”, IOD powinien mieć większą wiedzę.

Jeśli chodzi o kwalifikacje zawodowe, IOD powinien mieć wiedzę w zakresie europejskiego i krajowego prawa ochrony danych oraz praktyk ochrony danych, a także szczegółową wiedzę na temat RODO. Przydatne jest także zrozumienie czynności przetwarzania dokonywanych przez organizację i znajomość sektora, w którym działa organizacja. Wskazana jest także wiedza na temat systemów informatycznych służących do przetwarzania, a także potrzeb organizacji co do zabezpieczania danych osobowych.

Możliwe jest zawarcie umowy cywilnoprawnej dotyczącej wykonywania funkcji IOD, przy czym umowa może być zawarta zarówno z osobą fizyczną, jak i z organizacją (osobą prawną lub „ułomną” osobą prawną). W tym drugim przypadku każda osoba fizyczna wewnątrz takiej organizacji, która miałaby wypełniać zadania IOD, musi spełniać wszystkie wymogi, o których mowa w RODO.

Podawanie danych kontaktowych IOD do wiadomości publicznej

Dane kontaktowe IOD oznaczają adres pocztowy, numer telefonu przeznaczony tylko do kontaktu z IOD, adres email przeznaczony tylko do kontaktu z IOD. Tam, gdzie jest to przydatne, sposobem kontaktu z IOD dla podmiotów danych może być też specjalny formularz kontaktowy na stronie internetowej organizacji. Nie ma konieczności publikowania tożsamości (imienia i nazwiska) IOD. Grupa Robocza jako dobrą praktykę wskazuje jednak poinformowanie o tożsamości IOD organu nadzorczego oraz pracowników organizacji, w której IOD jest wyznaczony (np. poprzez umieszczenie informacji o jego imieniu i nazwisku oraz danych kontaktowych w intranecie).

Status inspektora w ramach organizacji

Inspektor powinien być angażowany we wszystkie sprawy dotyczące ochrony danych osobowych na jak najwcześniejszym etapie. Dotyczy to między innymi przeprowadzania oceny skutków dla ochrony danych. Ponadto IOD powinien być członkiem wszystkich grup roboczych w ramach organizacji, które zajmują się operacjami przetwarzania danych osobowych. IOD powinien regularnie brać udział w spotkaniach kierownictwa wyższego i średniego szczebla.

Jeśli chodzi o zasoby niezbędne IOD do wykonywania jego zadań i do utrzymania fachowej wiedzy, należy przez to rozumieć między innymi:

  • aktywne wsparcie IOD przez wyższe kierownictwo organizacji;
  • dawanie IOD odpowiednio dużo czasu na wypełnianie swoich zadań, szczególnie gdy IOD jest zatrudniony na część etatu;
  • wsparcie IOD w zakresie zasobów finansowych, kadrowych oraz organizacyjnych (pomieszczenia, sprzęt);
  • oficjalne poinformowanie pracowników o wyznaczeniu IOD, tak aby pracownicy mieli świadomość, że do takiej osoby mogą się zwrócić;
  • umożliwianie IOD stałego poszerzania swojej wiedzy w zakresie ochrony danych osobowych, np. poprzez zachęcanie IOD do brania udziału w szkoleniach itd.;
  • w niektórych przypadkach konieczne może być wyznaczenie zespołu inspektorów; wówczas zakres odpowiedzialności członków zespołu powinien być wyraźnie określony.

Inspektor nie może otrzymywać instrukcji dotyczących wykonywania swoich zadań. Oznacza to, że administrator lub podmiot przetwarzający nie mogą mówić IOD, w jaki sposób powinien zajmować się konkretną sprawą, jaki powinien być wynik jego analizy, w jaki sposób przeprowadzić postępowanie wyjaśniające co do skargi lub czy należy się skonsultować z organem nadzorczym. Inspektor nie może też otrzymywać instrukcji co do tego, jaką interpretację prawa przyjąć.

Zakaz karania lub odwoływania IOD za wykonywanie swoich zadań dotyczy tylko sytuacji, w których ma to związek z wykonywaniem przez IOD zadań właśnie jako IOD, czyli ogólnie mówiąc zadań związanych z zapewnianiem przestrzegania przepisów o ochronie danych. Dla przykładu, jeżeli IOD uważa, że w pewnej sprawie należy przeprowadzić ocenę skutków dla ochrony danych, a administrator nie zgadza się z tą oceną, to z tego powodu administrator nie może odwołać (zwolnić) lub ukarać IOD.

Inspektor może wykonywać inne zadania i obowiązki, ale nie mogą one powodować konfliktu interesów. Oznacza to na przykład, że IOD nie może pełnić takiej roli, w której decydowałby o celach i środkach przetwarzania danych. Potencjalny konflikt interesów powinien być w każdej sytuacji rozważany oddzielnie. Niemniej jednak za funkcje, których nie powinno się łączyć roli IOD uważa się wyższe funkcje kierownicze (w tym w zakresie kierowania operacjami, finansami, marketingiem, HR, IT), ale także inne funkcje niżej w hierarchii, o ile ich pełnienie wiąże się z decydowaniem o celach i środkach przetwarzania danych.

Zadania inspektora

W ramach monitorowania przestrzegania prawa ochrony danych, IOD może na przykład zbierać informacje o operacjach przetwarzania danych, analizować i sprawdzać zgodność operacji przetwarzania z prawem, przygotowywać porady, opinie lub rekomendacje dla administratora lub podmiotu przetwarzającego.

W zakresie przeprowadzania oceny skutków dla ochrony danych, administrator powinien zwrócić się o opinię IOD między innymi w następujących kwestiach:

  • czy należy przeprowadzić ocenę skutków dla ochrony danych;
  • według jakiej metodologii przeprowadzić ocenę skutków;
  • czy ocena skutków powinna być przeprowadzona wewnętrznie czy w ramach zlecenia jej przeprowadzenia na zewnątrz organizacji;
  • jakie środki techniczne i organizacyjne powinny być zastosowane, aby zmniejszyć ryzyko naruszenia praw i wolności podmiotów danych;
  • czy ocena skutków została przeprowadzona prawidłowo i czy jej wnioski są zgodne z RODO.

Jeżeli administrator nie zgadza się z rekomendacją IOD, dokumentacja oceny skutków powinna zawierać pisemne wyjaśnienie co do powodów, dla których rekomendacja IOD nie została przyjęta.

Inspektor może także zajmować się prowadzeniem rejestru czynności przetwarzania (obowiązek administratora i podmiotu przetwarzającego wynikający z art. 30 ust. 1-2 RODO). Nie jest to zadanie przypisane IOD w art. 39 RODO, jednakże lista zadań tam zawarta powinna być traktowana jako minimum. Nie ma więc przeszkód, aby to zadanie wykonywał IOD, tym bardziej, że rejestr czynności przetwarzania może być jednym z narzędzi, które ułatwiają IOD wykonywanie jego zadań w zakresie monitorowania zgodności przetwarzania z prawem.

****

Tekst wytycznych w języku angielskim można znaleźć tutaj.

Nieoficjalne tłumaczenie wytycznych przygotowane przez GIODO można znaleźć tutaj.

Zachęcamy także do zapoznania się z artykułami na temat wytycznych Grupy Roboczej art. 29 dotyczących prawa do przenoszenia danych tutaj oraz wiodącego organu nadzorczego tutaj.

Poznaj nasz zespół