Każdy z klientów spotkał się z prośbą o wyrażenie zgody na przetwarzanie danych osobowych podawanych przy różnych okazjach związanych czy to z zakładaniem rachunku, kupowaniem abonamentu telefonicznego lub przystępowaniem do programu lojalnościowego.

Odpowiednie przepisy nakazują ochronę tych informacji, co oznacza, że nie powinny one trafić w ręce osób nieuprawnionych, podlegać niedopuszczalnym modyfikacjom lub być wykorzystywane w innych celach niż te, które były podstawą ich dobrowolnego podania.

Co to oznacza dla firm? To, że nawet nieświadomie mogą się stać administratorem takich danych. A wtedy muszą się liczyć z obowiązkiem przestrzegania przepisów [link=http://www.rp.pl/aktyprawne/akty/akt.spr;jsessionid=6C8A87C7D977307C0765A042908DEBB3?id=166335]ustawy o ochronie danych osobowych (tekst jednolity DzU z 2002 r. nr 101, poz. 926 ze zm.; dalej ustawa)[/link], która reguluje sposób pozyskiwania, gromadzenia i obchodzenia się z informacjami mogącymi prowadzić do identyfikacji osób.

Warto także mieć świadomość, że zbiór takich danych nie musi wcale oznaczać wielkiej kartoteki z nazwiskami tysięcy osób. Już pojedyncze nadesłane przez kandydata do pracy CV, leżące na biurku prezesa zawiera w sobie dane podlegające ochronie.

[srodtytul]Co mówi definicja[/srodtytul]

Co należy rozumieć przez pojęcie danych osobowych? Definicja znajduje się w art. 6 ustawy. Zgodnie z nią takimi [b]danymi są wszelkie informacje dotyczące konkretnej osoby, za pomocą których, bez większego wysiłku, da się tę osobę zidentyfikować, nawet jeżeli nie jest ona wyraźnie wskazana[/b].

Chodzi więc o sytuację, gdy tożsamość osoby da się określić bezpośrednio lub pośrednio, w szczególności poprzez powołanie się na numer identyfikacyjny albo jeden bądź kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne.

Istotne jest stwierdzenie, że identyfikacja powinna być możliwa do dokonania bez większego wysiłku. Tym samym danych nie uważa się za umożliwiające określenie tożsamości osoby, jeżeli wymagałoby to nadmiernych kosztów, czasu lub działań. Niewątpliwie danymi osobowymi będą imię i nazwisko lub adres zamieszkania. Ten ostatni jednak precyzyjny.

Przykładowo podanie samej nazwy ulicy, a nawet numeru budynku, w którym mieszka wiele osób, daną osobową jeszcze nie będzie. Precyzując jednak numer konkretnego lokalu, bez wątpienia pozwalamy już na identyfikację.

Autopromocja
Nowość!

Trzy dostępy do treści rp.pl w ramach jednej prenumeraty

ZAMÓW TERAZ

Czasem dopiero zestawienie danych stworzy nam zbiór podlegający ochronie. Na przykład podanie samej wysokości wynagrodzenia nie jest jeszcze chronioną informacją. Jeżeli jednak ta sama baza zostanie w jakiś sposób skorelowana np. z numerami PESEL, będzie wymagała już odpowiedniej ochrony.

Innymi słowy, danymi osobowymi [b]nie będą pojedyncze informacje o dużym stopniu ogólności. Jednak ta sama informacja zacznie stanowić takie dane wówczas, gdy zostanie zestawiona z innymi, dodatkowymi, np. imieniem i nazwiskiem, adresem[/b], które w konsekwencji będzie się dało odnieść do konkretnej osoby.

Przykładem pojedynczej informacji stanowiącej samoistną daną osobową jest numer PESEL. Ale za taką samą w niektórych sytuacjach będzie wolno uznać nawet adres poczty elektronicznej. Będzie tak wtedy, gdy elementy, z jakich się składa, pozwalają (bez nadmiernych kosztów i działań) na ustalenie tożsamości danej osoby.

Przykładowo, gdy adres poczty składa się z imienia i nazwiska jego użytkownika. Firma dysponująca zatem bazą adresów internetowych klientów (pozyskiwanych np. na potrzeby świadczenia usług sprzedaży elektronicznej) dysponuje tym samym danymi osobowymi.

[srodtytul]Zbieranie to też przetwarzanie[/srodtytul]

Mylącym sformułowaniem może być wyrażenie „przetwarzanie danych”. Czy znaczy to, że z przepisami ustawy powinna zapoznać się wyłącznie ta firma, która operuje danymi, przetwarza je, udostępnia i wykonuje inne czynności, w rozumieniu jakiejś aktywności? Nie. Już samo zbieranie danych, a także ich przechowywanie (nawet jeżeli zebrał je ktoś inny) jest w rozumieniu ustawy ich przetwarzaniem.

Zgodnie z art. 7 ustawy przetwarzanie to dokonywanie jakichkolwiek operacji na danych osobowych, takich jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, w tym również wtedy, gdy operacje te są dokonywane w systemach informatycznych.

[srodtytul]Z rejestrem lub bez[/srodtytul]

Na administratorach zbiorów danych osobowych spoczywa obowiązek ich rejestracji. Taka jest reguła chociaż są od niej odstępstwa. Kwestie te określa art. 43 ust. 1 ustawy w punktach od 1 do 11, wyliczając, kiedy rejestracja nie musi zostać dokonana. Które z nich powinny być najważniejsze dla firm?

Przykładowo zgodnie z pkt 4 wymienionego artykułu z obowiązku rejestracji zwolnieni są przedsiębiorcy gromadzący dane w związku z zatrudnieniem, świadczeniem usług na ich rzecz, a także dotyczące danych osób u nich zrzeszonych lub uczących się. W szczególności będzie to dotyczyć danych osobowych obecnych i byłych pracowników, a także kandydatów do pracy oraz zbiorów danych osób świadczących usługi na podstawie umów cywilnoprawnych (np. na podstawie umowy o dzieło, umowy-zlecenia).

Podobnie z obowiązku rejestracji zwalnia pkt. 8 odnoszący się do przetwarzania danych wyłącznie w celu wystawiania faktur, rachunków lub prowadzenia sprawozdawczości finansowej. Inny wyjątek wiąże się z powszechnością danych. Jeżeli są one ogólnodostępne (np. zostały opublikowane w Internecie, prasie, książkach), to znaczy, że bez szczególnego nakładu pracy i środków każdy może się z nimi zapoznać. Warunek ten jest spełniony, jeżeli powszechnie dostępne są wszystkie, a nie tylko niektóre z zawartych w nim danych.

Innymi słowy, jeżeli rejestr, w którego posiadaniu jest firma, jest bogatszy w swojej treści (zawiera więcej danych), to podlega obowiązkowej rejestracji. Wreszcie z obowiązku rejestracji zwolnieni są administratorzy przetwarzający dane w zakresie drobnych bieżących spraw życia codziennego. Jest to jednak pojęcie nieostre, w związku z czym trzeba uważać, aby nie było nadużywane.

[ramka][b]Przykład [/b]

Firma prowadzi księgę wejść i wyjść do jednego ze swoich obiektów. Wpisywane tam dane można uznać za gromadzone w zakresie drobnych bieżących spraw życia codziennego, a w związku z tym nie będą podlegać obowiązkowej rejestracji.[/ramka]

Pozostałe wyjątki, których nie podajemy, ponieważ dotyczą bardzo specyficznych sytuacji (np. zbierania danych na potrzeby wyborów powszechnych lub objętych tajemnicą państwową), da się znaleźć we wspomnianym artykule. Warto podkreślić, że wyłączenia są ściśle powiązane z celem, dla którego były kompletowane. Zmiana tego celu lub jego rozszerzenie może skutkować obowiązkiem zgłoszenia.

[ramka][b]Przykład[/b]

Z obowiązku rejestracji zwolnione są dane przechowywane do celów księgowo-finansowych (wystawianie faktur i rachunków). Przedsiębiorca zaczyna je jednak wykorzystywać do celów marketingowych lub utrzymywania kontaktów z klientami (co może się ujawnić np. w postaci wysyłania kartek z życzeniami urodzinowymi lub kartek świątecznych). Taki zbiór będzie już podlegał obowiązkowej rejestracji.[/ramka]

[srodtytul]Co w zgłoszeniu[/srodtytul]

Zgłoszenia zbioru danych należy dokonać na formularzu, którego wzór stanowi załącznik do [link=http://www.rp.pl/aktyprawne/akty/akt.spr;jsessionid=F893A403B8B378596B41A884B9070949?id=293827]rozporządzenia ministra spraw wewnętrznych i administracji z 11 grudnia 2008 r. w sprawie wzoru zgłoszenia zbioru danych do rejestracji generalnemu inspektorowi ochrony danych osobowych (DzU z 2008 r. nr 229, poz. 1536)[/link]. Stosownie do art. 41 ust. 1 ustawy takie zgłoszenie powinno zawierać:

- wniosek o wpisanie zbioru do rejestru zbiorów danych osobowych,

- oznaczenie podmiotu prowadzącego zbiór i adres jego siedziby lub miejsca zamieszkania, w tym numer identyfikacyjny, jeżeli został mu nadany, oraz podstawę prawną upoważniającą do prowadzenia zbioru, a w przypadku podmiotu, o którym mowa w art. 31a (chodzi o podmioty mające siedzibę poza Polską), oznaczenie tego podmiotu i adres jego siedziby lub miejsce zamieszkania,

- cel przetwarzania danych,

- opis kategorii osób, których dane dotyczą, oraz zakres przetwarzanych danych,

- sposób zbierania oraz udostępniania danych,

- informację o odbiorcach lub kategoriach odbiorców, którym dane mogą być przekazywane,

- opis środków technicznych i organizacyjnych zastosowanych w celach określonych w art. 36 - 39 (sposoby zabezpieczenia danych),

- informację o sposobie wypełniania warunków technicznych i organizacyjnych określonych w przepisach, o których mowa w art. 39a (odwołanie do przepisów wykonawczych określających warunki techniczne, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych),

- informację dotyczącą ewentualnego przekazywania danych do państwa trzeciego.

Zgłoszenie powinno zawierać wszystkie wymienione informacje oraz musi zostać podpisane przez administratora danych (np. osobę fizyczną prowadzącą działalność gospodarczą jednoosobowo) lub inną osobę upoważnioną do reprezentowania wnioskodawcy.

[srodtytul]Obowiązki pozostają[/srodtytul]

Brak obowiązku rejestracji nie oznacza jeszcze, że przedsiębiorca nie musi się liczyć z ustawą. Nie zwalnia to administratora danych z innych przewidzianych tą ustawą wymagań. W szczególności chodzi o obowiązek:

- legitymowania się jedną spośród wskazanych w art. 23 lub 27 przesłanek legalizujących przetwarzanie danych.

Taką przesłanką jest zgoda osoby, której dane są gromadzone. W interesie firmy należy zatem posiadać taką zgodę na piśmie (chociaż, co do zasady, ustawa tego nie wymaga, czyli zgoda taka może zostać udzielona w formie ustnej; wtedy jednak może pojawić się problem dowodowy) i przechowywać ją przez cały okres przetwarzania danych.

Warto podkreślić, że przekazanie danych musi być dobrowolne. W praktyce gospodarczej zdarzają się bowiem przypadki, gdy przedsiębiorcy próbują wymusić taką zgodę (np. na przetwarzanie danych w celach marketingowych), uzależniając od tego świadczenie usługi. Stanowi to naruszenie przepisów; - informacyjny, wynikający z art. 24 lub 25.

Chodzi tu o podanie osobie, której dane pozyskujemy, informacji o administratorze danych (nazwa firmy) oraz celu, w jakim są one zbierane, w tym podanie osób (instytucji), które będą miały do nich dostęp (odbiorcach danych).

Taka informacja musi także jednoznacznie wyjaśniać, że przekazanie danych odbywa się dobrowolnie (chyba że dane zbierane są obowiązkowo na podstawie innych przepisów, np. kodeksu pracy). Obowiązek informacyjny wiąże się także oświadczeniem osobie, która udostępnia swoje dane, że ma prawo dostępu do nich, w tym ich poprawiania;

- zapewnienia, aby dane były przetwarzane zgodnie z prawem, zbierane dla oznaczonych celów i niepoddawane dalszemu przetwarzaniu niezgodnemu z tymi celami oraz przechowywane w postaci umożliwiającej identyfikację osób, których dotyczą, nie dłużej, niż jest niezbędne do osiągnięcia celu przetwarzania (art. 26),

- zastosowania środków technicznych i organizacyjnych zapewniających ochronę przetwarzania danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną (ochrona pomieszczeń, stosowanie odpowiednich zamknięć, kodów dostępu, haseł itp.).

[srodtytul]Zamki zainstalowane w szafach...[/srodtytul]

Jak można naruszyć obowiązki ustawy?

Na wiele sposobów, nierzadko wynikających po prostu z niedbalstwa. [b]Do częstych naruszeń wykrywanych w trakcie kontroli należy niewłaściwe zabezpieczenie zbioru danych przed ich udostępnieniem (nawet potencjalnym) osobom nieupoważnionym,[/b] zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem przepisów ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem. Przykładem może być przechowywanie skoroszytów z danymi w szafach bez zamków oraz na otwartych półkach i regałach.

Do naruszenia może dojść także wtedy, gdy np. materiały zawierające dane są drukowane na ogólnodostępnych w firmie drukarkach. Często się zdarza, że osoba, która drukuje takie materiały, odbiera je z urządzenia dopiero po jakimś czasie. Leżą one na drukarce i potencjalnie każdy może się z nimi zapoznać.

Innym przykładem może być przesyłanie danych drogą elektroniczną w formie niezaszyfrowanej. Ponieważ współcześnie przetwarzanie danych coraz częściej odbywa się w systemach informatycznych, trzeba tu zwrócić uwagę na szczególne wymogi. Kontrole wykonywane przez inspektorów GIODO wykazywały, że w firmach stosowane systemy informatyczne nie odnotowywały daty pierwszego wprowadzenia danych, jak i identyfikatora osoby, która to zrobiła. System taki powinien także umożliwiać sporządzenie i wydrukowanie dla każdej osoby, której dane osobowe znajdują się w bazie, raportu w tym zakresie.

Dla właściwego zabezpieczenia danych niezwykle istotne jest także to, aby użytkownicy systemu stosowali odpowiednio skomplikowane, trudne do złamania hasła (nie powinny to być np. tzw. hasła słownikowe), czyli składające się np. z wielkich i małych znaków oraz liter i cyfr. Hasła takie należy także zmieniać (np. co 30 dni), a system powinien o tym przypominać użytkownikowi i wymuszać na nim dokonanie takiej zmiany (bez jej dokonania użytkownik straci szansę zalogowania się do systemu).

[srodtytul]...i konsekwencje ich braku[/srodtytul]

Jeżeli inspektorzy GIODO w trakcie kontroli stwierdzą nieprawidłowości w procesie przetwarzania danych, dają zwykle szansę przedsiębiorcy, aby usunął je od ręki. Dopiero jeżeli tego nie zrobi, wydawana jest decyzja nakazująca usunięcie nieprawidłowości. Gdy zaś kontrola wykaże, że przedsiębiorca nie wywiązał się ze swoich obowiązków bądź w szczególności, że jego działanie czy zaniechanie może stanowić przestępstwo, zawiadomienie o tym kierowane jest do odpowiednich organów państwowych.

W uzasadnionych przypadkach GIODO może również żądać wszczęcia postępowania dyscyplinarnego w stosunku do osób winnych naruszenia. Jakie kary grożą za nieprzestrzeganie przepisów ustawy? Określa je rozdział 8. I tak przykładowo osoba, która przetwarza dane, do których przetwarzania nie jest uprawniona, podlega grzywnie, karze ograniczenia wolności albo jej pozbawienia do lat dwóch (jeszcze surowiej, jeżeli dane te należą do danych wrażliwych, takich jak poglądy polityczne, przekonania religijne, dane o stanie zdrowia lub nałogach).

[b]Jeżeli przedsiębiorca administruje danymi w sposób niezgodny z celami, do jakich były pozyskiwane, grozi mu za to do roku więzienia[/b]. Podobna sankcja może spotkać osobę odpowiedzialną za ochronę danych, jeżeli nie zabezpieczyła ich w sposób dostateczny przed zabraniem przez osobę nieuprawnioną (np. nie zadbała, aby znalazły się one w zamykanej szafie, lub system informatyczny, w których są przechowywane, był chroniony przed atakami z zewnątrz za pomocą specjalnych programów oraz haseł).

Kara taka grozi nawet wówczas, gdy działanie takiej osoby było nieumyślne.

[ramka][b]Kto jest administratorem danych[/b]

Ustawę o ochronie danych osobowych stosuje się od organów państwowych, organów samorządu terytorialnego, do państwowych i komunalnych jednostek organizacyjnych, a także podmiotów niepublicznych realizujących zadania publiczne oraz osób fizycznych i prawnych, jeżeli przetwarzają dane osobowe w związku z działalnością zarobkową, zawodową lub do realizacji celów statutowych.

Tym samym administratorem danych może zostać każdy podmiot decydujący o celach i środkach przetwarzania danych osobowych. W sferze niepublicznej jest to, co do zasady, podmiot (np. spółka prawa handlowego, spółdzielnia, przedsiębiorca prowadzący działalność gospodarczą jednoosobowo, stowarzyszenie, fundacja), a nie osoba lub osoby zarządzające tym podmiotem (np. dyrektor przedsiębiorstwa, prezes spółdzielni, zarząd spółki) lub też pracownik wykonujący czynności związane z ochroną danych osobowych (np. pełnomocnik zarządu ds. ochrony danych osobowych, administrator bezpieczeństwa informacji).

Niemniej to osoby zarządzające danym podmiotem ponoszą odpowiedzialność za naruszenie przepisów o ochronie danych osobowych.[/ramka]

[ramka][b]Najważniejsze przepisy [/b]

- [link=http://www.rp.pl/aktyprawne/akty/akt.spr;jsessionid=6C8A87C7D977307C0765A042908DEBB3?id=166335]ustawa o ochronie danych osobowych (DzU z 2002 r., nr 101, poz. 926 ze zm.)[/link],

- [link=http://www.rp.pl/aktyprawne/akty/akt.spr;jsessionid=F893A403B8B378596B41A884B9070949?id=293827]rozporządzenie ministra spraw wewnętrznych i administracji z 11 grudnia 2008 r. w sprawie wzoru zgłoszenia zbioru do rejestracji generalnemu inspektorowi ochrony danych osobowych (DzU z 2008 r., nr 229, poz. 1536)[/link],

- [link=http://www.rp.pl/aktyprawne/akty/akt.spr;jsessionid=6941DA1781E260B94D6DBEBA4576928E?id=173419]rozporządzenie ministra spraw wewnętrznych i administracji z 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (DzU z 2004 r., nr 100, poz. 1024)[/link]. [/ramka]

[ramka][b]Przykładowa treść klauzuli zgody na przetwarzanie danych[/b]

Wyrażam zgodę na przetwarzanie moich danych osobowych w zakresie obejmującym imię, nazwisko i adres zamieszkania, przez firmę ABC SA z siedzibą w Krakowie (ul. Ochrony Danych 1, 00-001 Kraków), w celach przesyłania ofert handlowych i celach marketingowych, jak również na przekazywanie ich podmiotom powiązanym z firmą ABC.

[i]Kraków, 11 maja 2010 r. Piotr Nowak[/i][/ramka]

[ramka][b]Zaniedbanie rejestracji zbiorów[/b]

[b]Michał Serzycki, generalny inspektor ochrony danych osobowych:[/b]

Przedsiębiorcy, zwłaszcza zajmujący się działalnością handlową czy usługową, przetwarzają wiele danych osobowych. Robią to nie tylko na potrzeby zatrudnienia pracowników, ale także np. w celach marketingowych, zawierania umów z klientami, rozpatrywania reklamacji.

I chociaż w coraz większym stopniu respektują przepisy o ochronie danych osobowych, to wciąż dochodzi do różnych naruszeń w tym zakresie. Podmioty te zapominają m.in. o zgłaszaniu zbiorów danych osobowych do rejestracji GIODO. Niejednokrotnie nie dopełniają obowiązku informacyjnego wobec osób, których dane osobowe przetwarzają.

Zdarza się także, że przedsiębiorcy pozyskują dane, do których nie są uprawnieni, bo nie zezwala im na to żaden przepis prawa, a zgody osoby, której dane dotyczą, często nie można uznać za wystarczające uzasadnienie udostępnienia informacji o sobie.

Jako przykład można podać wykorzystywanie odcisku palca w celu ewidencji czasu pracy. Żaden z przepisów prawa pracy nie zezwala pracodawcom na takie postępowanie, a zgodę pracownika trudno uznać za wystarczającą podstawę, gdyż w relacjach podwładny – przełożony może dochodzić do jej wymuszenia.[/ramka]

[ramka][b]Kontrole zazwyczaj z zapowiedzią

Monika Lasota, aplikant radcowski w kancelarii Boryczko, Malinowska, Świątkowski i Partnerzy:[/b]

Ustawa o ochronie danych osobowych nie nakłada na inspektorów obowiązku powiadomienia o planowanej kontroli przedsiębiorcy. W praktyce czynności kontrolne są jednak zazwyczaj zapowiadane.

Na co m.in. zwracają uwagę inspektorzy?

Podstawowym celem kontroli jest sprawdzenie zgodności przetwarzania danych osobowych z przepisami dotyczącymi bezpieczeństwa przetwarzanych danych. Inspektor ocenia, czy administrator danych prowadzi odpowiednią dokumentację, a także czy zastosował środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych.

Przedsiębiorca powinien wykazać istnienie przesłanek legalności przetwarzania danych wymienione w art. 23 ustawy. Kontroli może podlegać sposób, w jaki jest realizowany obowiązek informacyjny spoczywający na administratorze danych, tj. czy informacje udzielane osobie, której dane osobowe są przetwarzane, zawierają określone przepisami ustawy elementy i czy informacje zostały przedstawione w sposób zrozumiały dla odbiorcy.

Weryfikacji może zostać poddany obowiązek rejestracji zbioru danych generalnemu inspektorowi.[/ramka]

[ramka][b]Zgoda dysponenta danych

Zbigniew Barwina, Kancelaria Kaczor Klimczyk Pucher Wypiór:[/b]

Przetwarzanie danych przez przedsiębiorcę w ramach prowadzonej działalności gospodarczej wymaga co do zasady zgody osoby, której dane dotyczą. Zgody dysponenta danych wymaga więc w szczególności ich zbieranie, przechowywanie czy udostępnianie. Zgody takiej nie musi natomiast posiadać przedsiębiorca prowadzący rekrutację pracowników.

Ma on bowiem prawo żądać od osoby ubiegającej się o zatrudnienie podania określonych danych osobowych wskazanych w art. 221 kodeksu pracy. Podanie danych osobowych przez przyszłego pracownika jest równoznaczne z udzieleniem zgody na ich przetwarzanie. Jeżeli jednak przedsiębiorca zamierza z taką osobą zawrzeć umowę-zlecenie lub umowę o dzieło, powinien uzyskać jej zgodę na przetwarzanie danych.

Zgodną z prawem praktyką jest prośba, by aplikacje kandydatów zawierały klauzulę o zgodzie na przetwarzanie danych osobowych w celach związanych z rekrutacją.[/ramka]

[ramka][b]Po skargach albo z własnej inicjatywy

Małgorzata Kałużyńska-Jasak, rzecznik prasowy GIODO:[/b]

Dla sprawdzenia, czy przedsiębiorcy przestrzegają przepisów o ochronie danych osobowych, GIODO – albo na skutek skarg, albo z własnej inicjatywy – przeprowadza kontrole.

W zależności od sytuacji obejmują one albo wszystkie aspekty przetwarzania danych osobowych przez kontrolowaną firmę, albo tylko ich część.

Ze względu na to, że przetwarzanie danych osobowych coraz częściej odbywa się w systemach informatycznych, kontrolerzy GIODO szczególną uwagę zwracają na przestrzeganie obowiązującego w tym zakresie prawa.

Badają, czy firma opracowała odpowiednią dokumentację dotyczącą przetwarzania danych osobowych, w tym politykę bezpieczeństwa i instrukcję zarządzania systemem informatycznym służącym do ich przetwarzania.[/ramka]