Mikołaj Otmianowski

legal advisor

Lubię RODO, bo RODO to ocean możliwości.
[Więcej >>>]

Zadaj pytanie

Kryzys czy wyzwanie?

Mikołaj Otmianowski20 marca 2020Komentarze (0)

Cześć,

Zdecydowanie wyzwanie.

Pracujemy mniej, ale pracujemy efektywniej! Jako, że całym sercem zgadzam się z #ZostańWDomu”, siedzimy całą rodziną. To nie łatwe dla mojej naturalnej twarzy “przedsiębiorca”.

Często pracuje z domu, więc nie jest mi to obce. Ale zwykle wtedy nie ma żony i dzieci. Dzieci wymagają uwagi, a to kłóci się z wykonywaniem pracy. Ale powiem wam, że na razie współpracujemy. Co nam w tym pomaga?

“Plan dnia”

Codziennie rano tworzymy plan dnia. Dla wszystkich ze wszystkim. To super zabawa, ale i zobowiązanie.

Najpierw córka (l.4)przynosi kartkę i rysuje linie godzin. Potem wydzielamy części dla każdego. Wprowadzamy obowiązkowe punkty jak call (Nie tylko moje także dzieci. Dziś syn (l. 9) ma pierwszego call z klasą o 9:30), webinary, umówione rozmowy, drugie śniadanie, obiad, spacer pod domem.

Potem nanosimy kwestie naukowe zadania, gry. Planujemy momenty zabawy, filmów, spacerów. Jak ustalimy możemy modyfikować, ale co do zasady trzymamy się. Dzięki temu dzieci rzadko przychodzą żądając dostępu do filmów. Same się sobą zajmują, bo to rano ustalamy. Dla mnie to jest super metoda. Co więcej zawsze chciałem to rygorystycznie wprowadzić. Teraz to się udało. Polecam.

#ZdalnyPrawnik

Prace w domu trzeba dobrze zaplanować. Przez ostatni tydzień poza regularnymi obowiązkami wraz z Marcinem i Jackiem z Marketing Prawniczy tworzyliśmy e-book, który mówi o narzędziach i zarządzaniu pracą prawników pt.

#ZdalnyPrawnik –
przewodnik po narzędziach do pracy zdalnej z klientem v2

Dziś opublikowaliśmy, a o 11 webinar z r. pr. Marcin Maruta oraz r. pr. Michał Babicz o zdalnym zarządzaniu kancelarią.

Agile

Co ciekawe e-book tworzymy w technice agile, o której wiele się mówi w różnych środowiskach i spotkaniach. Co ważne ani pierwsza ani druga wersja nie musi być doskonała. Zniesiemy słowa krytyki i poprawimy.

I na końcu powstanie lista narzędzi dla prawników, ale także tip & tricks jak zarządzać zespołem zdalnie. Pracujemy razem z OIRP Warszawa. Uczę się agile, uczę się narzędzi, poznaję ludzi, a przy okazji dla mnie to kolejny krok na drodze do stworzenia komisji LegalTech przy OIRP Warszawa, co planujemy i realizujemy wraz z dziekanem r. pr. Włodzimierzem Chróścik.

I wiecie co, w tym tygodniu to zobaczyłem agile na żywo. Widzę, że efekt takiej pracy może być doskonały pomimo tego, że do poszczególnych etapów mam uwagi, spore uwagi! Nie tylko ja!

Ważne e-book #ZdalnyPrawnik będzie darmowym opracowaniem. Dostępnym dla każdego free. Ale dzięki temu, że współtworzy go zespół prawników praktyków, wydaje się, że będzie użyteczny dla wszystkich na każdym etapie jego tworzenia. To projekt otwarty, więc każdy może się zaangażować, a pierwszym krokiem może być rozmowa na webinar.

Analiza ryzyka

Tak tak, wiem, że teraz nikt tego nie chce robić, bo ryzyko się zmaterializowało i teraz cały rynek mikro, mali, średni i duzi walczą o przetrwanie. My też! Nas kryzys uderzył w momencie, gdy doprowadziliśmy do 3 dużych sprzedaży oprogramowania!

Przez ostatnie 3 miesiące przeszliśmy z klientami całą ścieżkę od zainteresowania, poprzez szkolenie, prezentacje, porównanie ofert, znowu szkolenie, proof of concept, negocjacje z działami zakupów, dział controllingu i nawet zarząd wyraził zgodę, ale teraz chwila ciszy trwa! Trzymajcie kciuki.

Niemniej nadal uważamy, że analiza ryzyka to jest to co jest ważne, a po tym kryzysie (…wyzwaniu) będzie jeszcze ważniejsze. Koncepcja #ZdalnegoPrawnika wiedzie nas do wykorzystania narzędzi i aplikacji chmurowych typu office365 od Microsoft czy G-Suite od Google. Jako zawód zaufania publicznego i grupa osób objęta tajemnicą zawodową musimy z głową korzystać z dostarczonych narzędzi.

Dlatego, aby zrobić to z głową warto pomyśleć o zrobieniu analizy ryzyka dla zastosowanych narzędzi. Wymagają tego przepisy RODO mówiące o Privacy by Design (art 24 RODO) łącznie z przepisami zobowiązującymi organizacje do zastosowania odpowiednich środków technicznych i organizacyjnych, aby zapewnić stopień bezpieczeństwa odpowiadający ryzykom.

Jak to zrobić?

To jest wpis w trybie agile. Zacząłem go rano, ale dziecko miało call a teraz ja Webinar. Niedługo uzupełnimy jak my byśmy to zrobili.

Na koniec cytat z mojej córki z codziennej modlitwy:

Wyślijmy koronawirusa na Uran, bo tam zimno i niech tam zamarznie.

Pozdrawiam
Mikołaj

PS: zapraszam na webinar

PS.1: zapraszam do pobrania #ZdalnyPrawnik v 2

PS.2: zapraszam do kontaktu ze mną, aby zrobić analizę ryzyka dla zastosowania aplikacji w organizacji.

PS.3: jeśli myślisz o przyszłości po tym jak to największe wyzwanie tego roku się skończy, to zapraszam na szkolenie z analizy ryzyka RODO. Pierwszy raz on-line, więc cena atrakcyjna. Zamiast 1.500 PLN + VAT, proponujemy 299 PLN + VAT. Ilość miejsc ograniczona, bo na pierwszym takim szkoleniu będzie maksymalnie 6 uczestników.

Raporty z audytów

Mikołaj Otmianowski26 lutego 2020Komentarze (0)

Witajcie,

Ciekawe zjawisko zauważyłem. Zbliża się druga rocznica, a więc i okres corocznych audytów. Osoby odpowiedzialne spojrzały w rekomendacje i wnioski z raportów z lat ubiegłych i wszyscy ruszyli po narzędzia do analizy ryzyka. Tak, tak, jednym z zaleceń po audytowych w praktycznie każdej organizacji jest przeprowadzenie analizy ryzyka lub jej aktualizacja.

Co ciekawe niewiele osób ma pomysł jak to zrobić by to miało ręce i nogi. Czy ty wiesz?

Do przeprowadzenia analizy ryzyka niezbędna jest metodyka. Metodyka, która będzie potem bronić organizacji i wykonanej pracy. Nie ma publicznie dostępnego wzoru. My swoją stworzyliśmy i szkolimy jak to zrobić. Najbliższe tu.

Co więcej istotną cześć naszej metodyki – przygotowane przez nas kryteria – opublikowaliśmy na stronie https://jakietoryzyko.pl To projekt społeczny. Kryteria można sobie pobrać i zacząć je stosować, ale bardzo liczymy na konstruktywne uwagi i komentarze. Dzięki temu może stworzymy powszechnie dostępne kryteria wspierające ocenę ryzyka.

Metodyka jest najważniejsza, ale fajnie gdy metodyka jest wspierana przez narzędzie. Nasze narzędzie tu.

Ostatnio nasza metodyka została nazwana:

nowe oświecenie

Zbliża się termin audytów, może warto zajrzeć do zeszłorocznych rekomendacji i pomyśleć jak zagospodarować temat analizy ryzyka. Pomyśl, maj blisko.

Co my robimy?

  1. szkolenie z metodyki analizy ryzyka, to już w piątek 28.02.20,
  2. dostarczamy klientom aplikację do przeprowadzenia analizy ryzyka, ale nie tylko,
  3. zapewniamy wsparcie w całym procesie analizy ryzyka.

Co jeszcze? Hmm, a co jeszcze potrzebujesz?

pozdrawiam i do usłyszenia
Mikołaj

Informacja o wyroku Wojewódzkiego Sądu Administracyjnego w Warszawie w sprawie decyzji Prezesa UODO wobec Bisnode, bardzo szybko obiegła „świat RODO”. Wszyscy wstrzymywali się z komentarzami do momentu publikacji uzasadnienia. Takowe już znamy i można napisać o całej sprawie trochę więcej. Jednak nadal trzeba mieć na uwadze, że wyrok może zostać zaskarżony i tym samym jeszcze wszystko może się zmienić.

O co chodzi w całej sprawie?

Na wstępie przypomnijmy sobie stan faktyczny. Prezes UODO w pierwszej decyzji nakładającej administracyjną karę finansową w kwocie prawie miliona złotych uznał, iż spółka Bisnode naruszyła przepisy RODO nie spełniając obowiązku informacyjnego z art. 14 RODO wobec osób fizycznych prowadzących jednoosobową działalność gospodarczą, których dane znajdują się w CEIDG. Decyzja nie dotyczy danych osób, których spółka posiadała adres email i do których wysłała obowiązek informacyjny drogą elektroniczną. Co do pozostałej części bazy tj. wobec osób, których adresu poczty elektronicznej nie posiadali, uznali że ma zastosowanie wyłączenie mówiące o tym, iż nie ma konieczności spełnienia obowiązku informacyjnego z art. 14 RODO jeśli „udzielenie takich informacji okazuje się niemożliwe lub wymagałoby niewspółmiernie dużego wysiłku”. Bisnode argumentowało, że spełnienie takiego obowiązku wiązałoby się z „milionowymi kosztami” i tym samym stanowi „niewspółmiernie duży wysiłek”.  Prezes UODO uznał jednak odmiennie tj. że nie można postawić znaku równości między dużymi kosztami, a niewspółmiernie dużym wysiłkiem. W trakcie ustaleń, sąd stwierdził, że baza, którą posiada Bisode składa się z danych osób: aktualnie prowadzących działalność, z zawieszoną działalnością i tych, których takiej działalności nie prowadzą tj. dane archiwalne. Administracyjna kara finansowa została zaś nałożona za niespełnienie obowiązku informacyjnego wobec wszystkich trzech kategorii osób.

Czy Bisnode wygrało?

Decyzja Prezesa UODO w części o nałożeniu administracyjnej kary finansowej wobec Bisnode została uchylona. Prawdopodobnie właśnie z tego powodu można było zobaczyć gratulacje w internacie dla pełnomocników prowadzących sprawę. W końcu jakby nie patrzeć „pierwsza kara z RODO” została uchylona. Ponadto, kosztami procesu został obciążony urząd i to w kwocie ponad 20 tys zł. Podsumowując, kary nie ma, urząd musi płacić, można powiedzieć, że spółka wygrała. Tylko dlaczego mam przeczucie, że jest inaczej?

Nie spełnimy obowiązku informacyjnego, bo mamy nieprawidłowe dane

Całą karę, decyzję i wyrok należałoby tak naprawdę podzielić na odpowiednie rozdziały. Zacznijmy od pierwszego tj. administracyjna kara finansowa została uchylona ponieważ przy jej obliczaniu Prezes UODO wziął pod uwagę osoby, których dane są prawdopodobnie nieaktualne. Jak argumentował pełnomocnik spółki, nie dysponuje ona aktualnymi adresami osób prowadzących działalność w przeszłości. Pełnomocnik argumentował, że nie ma podstaw, aby zasadnie przyjąć, że dane adresowe, które były aktualne w momencie prowadzenia przez przedsiębiorców działalności gospodarczej, pozostają aktualne obecnie, pomimo zakończenia prowadzenia takiej działalności, i że mogą być uznane za prawidłowe dane kontaktowe tych osób. Co jest istotne, sąd podzielił taką argumentację. Jak wskazał WSA:

Sąd podziela podniesione w skardze wątpliwości Spółki co do ewentualnych możliwości pozyskania aktualnych danych kontaktowych tych osób. Oczywiście wobec braku ustaleń organu w decyzji w tym zakresie nie sposób stwierdzić, czy i w odniesieniu do ilu osób fizycznych, które w przeszłości prowadziły jednoosobową działalność gospodarczą w istocie możliwa jest realizacja obowiązku określonego w art. 14 ust. 1 i 2 rozporządzenia 2016/679.”

Mam jednak wrażenie, że konsekwencją tego, że sąd podzielił stanowisko spółki może być dla nich jeszcze większy problem. Bowiem czytając uzasadnienie mam wrażenie, że argumentacja spółki była taka: „nie posiadamy aktualnych danych więc nie możemy skutecznie spełnić obowiązku informacyjnego”. Tylko pamiętajmy, że art. 5 ust. 1 lit. d RODO nakłada na administratorów obowiązek zadbania o jakość przetwarzanych danych tj. że muszą one być prawidłowe i w razie potrzeby uaktualniane oraz, że należy podjąć wszelkie rozsądne działania, aby dane osobowe, które są nieprawidłowe w świetle celów ich przetwarzania, zostały niezwłocznie usunięte lub sprostowane. Upraszczając powyższe, argumentacja spółki wygląda dla mnie następująco: nie spełnimy obowiązku określonego w art. 14 RODO, ponieważ nie spełniamy zasady z art. 5 ust. 1 lit d RODO. I z taką argumentacją sąd się właśnie zgodził. Jak bowiem wskazał:

W ocenie Sądu, w kontekście okoliczności podniesionej przez Spółkę w skardze, co do braku dysponowania aktualnymi adresami osób fizycznych, które w przeszłości prowadziły jednoosobową działalność gospodarczą (zaprzestały wykonywania działalności), ustalenia organu, co do możliwości realizacji obowiązku przekazania tym osobom informacji określonych w art. 14 ust. 1 i 2 rozporządzenia 2016/679 wymagały będą wcześniejszego dokonania przez organ ustaleń na gruncie art. 6 i art. 5 rozporządzenia 2016/679, co do zgodności z prawem unijnym, tj. rozporządzeniem 2016/679, przetwarzania tych danych, a zatem m.in. ich przechowywania, wykorzystywania, ujawniania, udostępniania. Spółka twierdzi, że nie posiada aktualnych adresów tych osób fizycznych, których dane przetwarza. Rozporządzenie 2016/679 wymaga w art. 5 ust. 1, aby dane osobowe były przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dotyczą (a), aby były prawidłowe i w razie potrzeby uaktualniane (d). Powyższe jest ściśle powiązane z obowiązkiem administratora podania takiej osobie fizycznej, której dane są przetwarzane, a które zostały pozyskane w inny sposób niż bezpośrednio od tej osoby (w tym przypadku z jawnych rejestrów) informacji, o których mowa w art. 14 rozporządzenia 2016/679. Ponownie rozpoznając sprawę organ uwzględni przedstawione wyżej wskazania.”

Kara została uchylona bowiem jak ustalił sąd, organ nakładając ją wziął także pod uwagę dane nieprawidłowe, wobec których faktycznie nie można spełnić obowiązku informacyjnego, ale których dane w ogóle prawdopodobnie nie powinny być przetwarzane. Wszyscy oczekiwali więc tego, jak definiować „niewspółmiernie duży wysiłek”, a okaże się, że zaraz możemy mieć ciekawe rozstrzygnięcia w sprawie dbania o jakość przetwarzanych danych. Istnieje możliwość, że będzie to pyrrusowe zwycięstwo, gdyż może się okazać (ale nie musi), że spółka albo dostanie jeszcze większą karę, za naruszenie art. 5 i 6 RODO albo będzie musiała wykasować dużą część swojej bazy (a na tym w końcu zarabiają, na danych). Jak bowiem podnieśli w trakcie sprawy, nie są w stanie tych danych sprostować.

Niewspółmiernie duży wysiłek to nie są wysokie koszty

No właśnie, ale co z tym niewspółmiernie dużym wysiłkiem? Tutaj przechodzimy do rozdziału drugiego. Spółka argumentowała, że „niewspółmiernie duży wysiłek”, rozumie jako obciążenie organizacyjne (konieczność oddelegowania pracowników i zasobów rzeczowych – komputerów, urządzeń biurowych – do realizacji wyłącznie tego zadania) oraz finansowe (koszt druku, przygotowania do wysyłki i nadania, w tym papieru, tonerów, kopert i znaczków pocztowych, obsługi zwrotów korespondencji, ewentualnie wynagrodzenie podmiotów, którym skarżąca mogłaby zlecić wykonanie tego zadania), nieadekwatne do ryzyka dla podmiotów danych, które jednocześnie w krytyczny sposób zakłóciłoby funkcjonowanie spółki w stopniu, który mógłby wiązać się z koniecznością zakończenia prowadzenia przez nią działalności. Z takim stanowiskiem nie zgodził się jednak sąd i co do zasady przyznał rację Prezesowi UODO. Jak możemy przeczytać w wyroku:

W ocenie Sądu pojęcie niewspółmiernie dużego wysiłku ujęte jako przesłanka wyłączająca zastosowanie art. 14 ust. 1 i 2 rozporządzenia 2016/679 nie może być utożsamiane z wysokością kosztów, jakie administrator zmuszony będzie ponieść w związku z koniecznością dopełnienia obowiązku, który jest w pełni możliwy do realizacji, tak jak ma to miejsce w tym przypadku. Zarówno kwestie organizacyjne w zakresie realizacji obowiązku z art. 14 ust. 1 i 2 rozporządzenia, jak i kwestie finansowe nie przeważają nad prawami osób fizycznych, których dane osobowe przetwarzane są przez administratora, w tym także w przypadku, gdy pozyskane zostały ze źródeł powszechnie dostępnych, a przetwarzane są następnie przez administratora w celach komercyjnych. (…) W ocenie Sądu w art. 14 ust. 5 lit b) rozporządzenia 2016/679 – gdy mowa o niewspółmiernie dużym wysiłku – chodzi o sytuację, kiedy udzielenie informacji, o których mowa w art. 14 ust. 1 i 2 tego rozporządzenia jest obiektywnie możliwe, ale niebywale utrudnione (graniczące z brakiem możliwości udzielenia informacji). Administrator, aby udzielić tych informacji zmuszony byłby do podjęcia szeregu działań, które zmierzałyby dopiero do tego, aby udzielenie informacji stało się możliwe. Zakres tych działań (czynności) musiałby mieć przy tym olbrzymią skalę.”

 Jeśli wyrok się obroni, to trzeba będzie zwrócić uwagę, że „niewspółmiernie duży wysiłek” będzie miał zastosowanie bardzo rzadko. Idąc bowiem tokiem myślenia sądu, będzie on miał zastosowanie w sytuacji, kiedy będzie graniczyło to z niemożliwością i kiedy będzie niebywale utrudnione. Osobiście mam jednak mieszane uczucia, co do takiej interpretacji. Jestem w stanie zgodzić się z tym, że nie można postawić znaku równości między „niewspółmiernie duży wysiłek” a „duże koszty”. Prawodawca wskazał jednak, że takie działanie musiałoby być „niemożliwe lub wymagałoby niewspółmiernie dużego wysiłku”, a nie „niemożliwe lub prawie niemożliwe”. Porównywanie „niewspółmiernie dużego wysiłku” do, jak to ujął sąd: „niebywale utrudnione (graniczące z brakiem możliwości udzielenia informacji)”, wydaje się być jednak trochę zbyt daleko idące.

Kary nie ma, ale Bisnode będzie musiało zapłacić

No i dochodzimy do momentu, gdzie jednak to zwycięstwo smakuje gorzko, czyli rozdziału trzeciego. Bisnode wygrało, kary nie ma, ale obowiązek musi spełnić. Jeśli szacunki były właściwe, to spółka będzie musiała wydać od kilkunastu do kilkudziesięciu milionów złotych.  Wychodzi bowiem, że wobec ok 3,5 mln osób obowiązek będzie musiał zostać spełniony i to prawdopodobnie drogą pocztową (tą tradycyjną). Co więcej, uznanie, że w tym przypadku funkcjonowania spółki nie ma zastosowania wyłączenie w ramach „niewspółmiernie dużego wysiłku”, to nie tylko będzie ona musiała jednorazowo wydać te kilkanaście – kilkadziesiąt milionów złotych, ale także zmienić model funkcjonowania swojego procesu biznesowego. Biorąc powyższe pod uwagę, tj. konieczność spełnienia obowiązku informacyjnego, zmianę modelu biznesowego oraz zalecenie zbadania przez Prezesa UODO, czy w ogóle legalne jest przetwarzanie danych w części bazy, to zwycięstwo pod względem finansowym zaczyna być dla mnie trochę wątpliwe.

Ile kosztują nasze prawa?

Na koniec chciałem zwrócić uwagę na to, na ile wycenione zostały podstawowe prawa wynikające z RODO. Zgodzę się, że przedsiębiorcy korzystają z trochę mniejszego poziomu ochrony prywatności. Jednakże, nie oznacza to, że można dowolnie przetwarzać ich dane osobowe. Jak zauważył sąd:

„Okoliczność bowiem, że dane i informacje udostępniane przez CEIDG są jawne i każdy ma prawo dostępu do tych danych i informacji ujawnionych w rejestrze (art. 45 ust. 1 ustawy o CEIDG) nie jest równoznaczna z możliwością dowolnego ich przetwarzania przez inne podmioty w celach innych niż te dane zostały w CEIDG zgromadzone. Rozporządzenie 2016/679 absolutnie nie wyłącza w odniesieniu do administratora takich danych osobowych, przetwarzanych dla osiągnięcia określonych celów komercyjnych, stosowania zasad i obowiązków wynikających z tego rozporządzenia, w tym właśnie obowiązku podania informacji określonych w art. 14 ust. 1 i 2 rozporządzenia 2016/679, co prawidłowo stwierdził Prezes UODO.”

Proponuję spojrzeć z trochę innej perspektywy na całą sprawę. Mówimy o milionach osób w całej Polsce. Prawdopodobnie wielu osobom z Warszawy przedsiębiorca kojarzy się z zatrudnieniem B2B, adwokatami, radcami itp. Nie można jednak zapomnieć, że to są także takie osoby, jak pan Janek z małej miejscowości, prowadzący warsztat samochodowy, czy pani Grażynka prowadząca sklep spożywczy. Czemu o tym piszę? Wydaje mi się bowiem, że osoba zatrudniona w korporacji w Warszawie, może mieć pojęcie o takim biznesie jak brokerzy danych, spółka Bisnode itp. Inaczej już może być z panią prowadzącą sklep spożywczy lub panem od warsztatu samochodowego.

Proszę także zauważyć, że w całej sprawie mówi się o milionach złotych, które spółka musi wydać, aby spełnić obowiązek informacyjny. Pozostańmy jednak po stronie podmiotu danych tj. przedsiębiorcy. Weźmy przedsiębiorcę pana Janka, który prowadzi wspomniany warsztat. W związku z tym, że prowadzi działalność to jego dane znajdują się w CEIDG, bo wynika to z obowiązku prawnego i o tym wie. Następnie pojawia się spółka, która bierze jego dane w celach komercyjnych. Podkreślę, spółka zaczyna przetwarzać jego dane, żeby na nich zarabiać. Choć są to dane konkretnej osoby tj. pana Janka, to nie zobaczył on ani jednego grosza, a spółka prawdopodobnie zarobiła na jego danych (nawet pośrednio, zawyżając ceny z tego względu, że ma dużą liczbę danych lub robiąc sobie na tym reklamę). Co więcej, wobec pana Janka mogły być wykonywane różne analizy na podstawie danych, dostarczonych przez spółkę. Mógł on więc odczuć jeszcze negatywne konsekwencje np. gorsze warunki kredytowe, gorsza analiza AML itp. Podsumowując, spółka prawdopodobnie zarobiła na danych pana Janka, nie podzieliła się z nim zyskiem, a pan Janek mógł jeszcze na tym stracić. Do tego wszystkiego, pan Janek o niczym nie wiedział, ponieważ w jego konkretnej sprawie, spółka postanowiła pozbawić go jego podstawowych praw, wynikających z RODO, ponieważ kosztowałoby ją to 5,20 zł*. Jeśli spojrzymy na konkretną osobę (a o tym mówi RODO, o prawach i wolnościach osób fizycznych) to nie są to milionowe kwoty, tylko to jest kilka złotych. Jeśli spojrzeć więc z perspektywy przedsiębiorcy,  o którego dane się sprawa rozchodzi, to decyzja i wyrok wydają się być odpowiednie.

*Wyliczenie to jest wykonane na podstawie informacji znajdującej się w decyzji organu, gdzie z wyjaśnień Spółki wynika także, że gdyby miała wykonać obowiązek informacyjny indywidualnie wobec wszystkich osób fizycznych, których dane są przedmiotem postępowania z wykorzystaniem poczty tradycyjnej, to koszt takiej operacji wyniósłby ponad 33.749.175,00 złotych, a ilość osób, która wtedy była brana pod uwagę wobec, których miałaby go wykonać to 6.490.226 osób.

Podsumowanie

Wyrok zapewne nie jest ostateczny i będzie zaskarżany do Naczelnego Sądu Administracyjnego, dlatego wstrzymałbym się z definitywnymi ocenami i powyższe traktowałbym jako pewne rozważania w całym temacie. Wszystko może bowiem się jeszcze zmienić.

Jan Komosa

 

 

Witajcie,

Przez internet przelała się fala podsumowań 2019 roku i planów na 2020 roku. My mamy jeden wielki plan. Plan przez Wielkie “P”….cała naprzód!

W październiku zrobiliśmy szkolenie z analizy ryzyka dla całego zespołu RODO kancelarii Traple Konarski Podrecki i Partnerzy. Od tego czasu planowaliśmy wspólne seminarium. Seminarium odbyło się 16 stycznia w ramach Akademii TKP. Zaprosiliśmy naszych klientów. Temat aktualny. Sala pełna. Zawodowi Inspektorzy Ochrony Danych, przedstawiciele zarządów, prawnicy, informatycy. Extra.

W okresie od października do grudnia zaktualizowaliśmy nasze narzędzie do analizy ryzyka uwzględniając propozycje zmian metodycznych zaproponowanych przez zespół TKP. Dzięki wprowadzeniu zmian, każdy administrator może sam ocenić poziom szczegółowości oraz dostosować do własnych potrzeb proces prowadzenia analizy ryzyka oraz DPIA.

Jak to było poklei…

Część 1

Zaczęło się o przeglądu decyzji i kar z Polski i nie tylko. Mec. Xawery Konarski oraz dr. Grzegorz Sibiga sprawnie pokazali kwestie ważności przeprowadzenia jakościowej analizy ryzyka w tym DPIA, jej udokumentowania oraz umiejętności wykazania zastosowanej metodyki w relacji PUODO – Administrator, jak również w relacji IOD – Administrator (rozliczność pracy IODa).

Konkluzja tej części: przeprowadzenie analizy ryzyka i DPIA to konieczność. Jeśli ktoś jej nie zrobił, to powinien nadrobić, a jak zrobił to powinien ją zaktualizować. Dobitnie świadczy o tym film nagrany przez mec. Konarskiego, a który możesz znaleźć tutaj. Co ważne prelegenci podkreślali, że do analizy ryzyka należy zastosować rozwiązanie IT. Przykładowe rozwiązanie została zaprezentowane w 3 części.

Cześć 2

Mec. Dominika Nowak oraz mec. Iga Małobęcka-Szwast na konkretnym przykładzie pokazały jak przeprowadzić ocenę skutków dla ochrony danych (DPIA). Prezentacja przeprowadzenia DPIA krok po kroku. Bardzo praktycznie i ciekawie.

Cześć 3

W ramach tej części wystąpiłem ja oraz Marcin Błoński. Marcin pokazał dokładnie jak przykład omówiony w części 2 seminarium przeprowadzić w naszej aplikacji riskundercontrol.pl. Wyszło doskonale. Możliwości naszego Excela zrobiły pozytywne wrażanie na zebranych.

Wszyscy mówili “takiego Excela to nie widziałem”, albo “nie wiedziałem, że takie rzeczy można robić w Excelu” albo “kawał dobrej roboty” i dodają “ile to kosztuje?”

Długo na to pracowaliśmy i jesteśmy dumni.

W ramach swojego wystąpienia starałem się podkreślić dwie kwestie:

RODO wymaga zarządzania ryzykiem, to znaczy jego zidentyfikowania, a następnie planów postępowania z ryzykiem, a potem weryfikacji.

Przeprowadzenia analizy ryzyka w naszej aplikacji umożliwia spojrzenie na całą organizacje i jej zasoby z lotu ptaka. Dzięki naszemu rejestrowi czynności który de facto jest rejestrem wszystkich procesów w organizacji. To jest niebagatelny efekt wow dla organizacji mających ambicje zarządzania procesowego.

Na koniec seria pytań merytorycznych. Na wszystkie wyczerpująco odpowiadaliśmy. Excel nie stanowił problemu dla uczestników, a tego się troszkę baliśmy. Co ważne jedno z pytań zmierzało do zastosowania naszego narzędzia w analizie ryzyka ISO 27000 – bezpieczeństwa informacji – DAPR  jest na to gotowy.

Dla mnie najważniejsze, że po zakończeniu pojawiła się kolejka zainteresowanych.

Podsumowując, mamy przekonanie, że jesteśmy we właściwym miejscu. W roku 2019 zrobiliśmy kawał dobrej roboty! Mamy doskonały program do analizy ryzyka. To przykład naszego działania w ramach #legaltech.

Dziękujemy wszystkim za uczestnictwo i bardzo pozytywny odbiór naszej pracy!

pozdrawiam i do usłyszenia

Mikołaj

Stały rozwój

Mikołaj Otmianowski02 grudnia 2019Komentarze (0)

Cześć,

Wróciłem po niezwykłym tygodniu do biura. Po powrocie, niezły cyrk, chyba wszyscy stęsknieni. Sporo decyzji, rozmów, czyli dzień jak co dzień, a między tymi spotkaniami prezentacja naszej własnej aplikacji.  Myślałem “nie mam czasu, przełożę”, ale ja za bardzo lubię nowości. Spotkanie się odbyło.

Zaimponowali mi..

Zaimponowali mi, moi pracownicy! Dowieźli to co obiecywali, a nawet więcej niż się spodziałem. Przekroczyli moje oczekiwania!

W tej chwili nasz rejestr kategorii jest praktycznie automatyczny! Wpisujesz tylko dane nowego administratora, wybierasz proces w ramach, którego dane są przetwarzane, enter i już.

Oszczędzasz czas i pieniądze,
czyli to co lubię najbardziej

No właśnie teraz korzystając z naszej aplikacji możesz już:

  1. zebrać wszystkie procesy w rejestr procesów
  2. prowadzić rejestr czynności (art.30 ust. 1 RODO)
  3. prowadzić rejestr kategorii (art.30 ust. 2 RODO)
  4. prowadzić kompleksowe szacowanie ryzyka, w tym prekwalifikacja i samo DPIA  (art. 24, 25, 32 oraz 35 RODO)
  5. realizować plany postępowania z ryzykiem,
  6. generować upoważnienia i prowadzić rejestr.

Wszystko w jednym pliku i narzędziu. Powiązane logicznie i funkcjonalnie.

Chcesz dowiedzieć się jak to działa zapraszamy do kontaktu ze mną

Do usłyszenia
Mikołaj