Jak przygotować firmę na kontrolę PUODO. Wzór checklisty

Jak przygotować firmę na kontrolę PUODO. Wzór checklisty

Zawiadomienie o kontroli przychodzi w określonym dniu. Pierwsze pytanie zarządu brzmi zawsze tak samo: "jesteśmy gotowi?" Druga reakcja zazwyczaj wygląda inaczej – panika gdy okazuje się że nie wszystko da się przygotować w tydzień.

Kontrola PUODO nie jest spotkaniem przy kawie. Jest formalnym postępowaniem administracyjnym z dokumentowaniem wszystkiego co się dzieje. Każda odpowiedź wpływa na ocenę. Każdy brakujący dokument zostaje odnotowany.

Dobra wiadomość – firmy które systematycznie pracują nad compliance przechodzą przez kontrolę bez większych problemów. Zła wiadomość – większość firm odkrywa stan swojego compliance dopiero w trakcie kontroli a wtedy jest już za późno.

Poniżej konkretne obszary które warto sprawdzić zanim zawiadomienie o kontroli wpłynie na Twoją skrzynkę.

Zacznij od zakresu kontroli

Pierwsza rzecz po otrzymaniu zawiadomienia – uważne przeczytanie zakresu.

Kontrola PUODO nigdy nie obejmuje "całej firmy." Zawsze dotyczy konkretnego obszaru działalności. Zakres może być sformułowany jako "świadczenie usług ubezpieczeniowych," "obsługa kadrowa," "marketing bezpośredni," "obsługa klientów indywidualnych," "monitoring wizyjny." Każde sformułowanie zawęża to czego kontrolerzy będą szukać.

Przygotowanie do kontroli powinno koncentrować się na obszarze objętym zakresem. Dokumenty, procesy, dowody – wszystko z tego konkretnego obszaru musi być aktualne i kompletne.

Drugorzędne procesy nie objęte zakresem – nie są w tej chwili priorytetem. Mogą stać się tematem kolejnej kontroli w przyszłości ale teraz nie odwracaj uwagi od głównego obszaru.

Klauzule informacyjne dla podmiotów danych

Czy każda osoba której dane Twoja firma przetwarza w obszarze objętym kontrolą otrzymuje klauzulę informacyjną z art. 13 lub art. 14 RODO?

Sprawdź konkretnie:

Klienci – w jakim momencie dostają klauzulę. Przy zawieraniu umowy, na stronie internetowej, w newsletter. Czy klauzula jest aktualna i obejmuje wszystkie procesy które prowadzisz.

Pracownicy i kandydaci do pracy – klauzula przy zatrudnieniu i przy aplikacji. Czy odnosi się do wszystkich procesów HR które dotyczą pracownika.

Kontrahenci – klauzula przy współpracy biznesowej która obejmuje przetwarzanie ich danych osobowych.

Każda grupa podmiotów danych z obszaru kontroli powinna mieć przygotowaną klauzulę. Brak którejkolwiek jest natychmiast widoczny przy kontroli.

Rejestr czynności przetwarzania – aktualny czy historyczny

RCP z art. 30 RODO jest dokumentem który kontrolerzy sprawdzają jako jeden z pierwszych. I jeden z najczęściej znajdujących się w nieaktualnym stanie.

Pytanie nie brzmi czy macie RCP. Pytanie brzmi czy ten RCP opisuje to co firma faktycznie robi w obszarze objętym kontrolą.

Sprawdź konkretnie:

Czy każda czynność przetwarzania w obszarze kontroli jest w rejestrze? Czy nie ma czynności które prowadzicie a których nie ma w rejestrze?

Czy każda czynność opisana w rejestrze jest aktualna? Czy podstawy prawne, cele, kategorie danych, odbiorcy danych, okresy retencji – odpowiadają temu jak faktycznie firma działa?

Czy nie ma w rejestrze czynności których już nie prowadzicie a które zostały w dokumencie jako historyczne?

RCP który opisuje firmę z 2019 roku gdy firma od trzech lat działa inaczej – jest dowodem braku świadomości administratora. Aktualizacja RCP przed kontrolą to nie kosmetyka. To weryfikacja czy w ogóle wiecie co robicie z danymi.

Analizy ryzyka i DPIA

Drugi po RCP dokument który kontrolerzy sprawdzają systematycznie.

Każde przetwarzanie powinno mieć udokumentowaną analizę ryzyka. Przetwarzania spełniające kryteria art. 35 RODO powinny mieć dodatkowo przeprowadzoną DPIA przed rozpoczęciem przetwarzania.

Sprawdź konkretnie:

Czy analizy ryzyka istnieją dla każdego procesu przetwarzania w obszarze kontroli?

Czy są aktualne – czy odzwierciedlają aktualny stan systemów, procesów, dostawców?

Czy DPIA została przeprowadzona dla przetwarzania monitoringu wizyjnego, monitoringu pracowniczego, profilowania, przetwarzania danych szczególnej kategorii na dużą skalę i innych przypadków z art. 35?

Czy decyzje wynikające z DPIA zostały wdrożone? Jeśli DPIA wskazała wysokie ryzyko a żaden środek nie został wprowadzony – to nie pomaga ale szkodzi.

Inspektor Ochrony Danych – formalności

Jeśli firma ma obowiązek wyznaczenia IOD – sprawdź wszystkie elementy formalne.

Uchwała o powołaniu IOD. Formalna decyzja organu zarządzającego firmy o powołaniu konkretnej osoby na funkcję IOD. Z datą, podpisem, zakresem zadań.

Ogłoszenie wyznaczenia IOD pracownikom. Komunikat wewnętrzny informujący pracowników o tym kto pełni funkcję IOD, jak się z nim skontaktować, w jakich sprawach.

Zgłoszenie IOD do UODO. Przez dedykowany formularz online. Sprawdź czy zgłoszenie jest aktualne – z aktualnym imieniem, nazwiskiem, danymi kontaktowymi służbowymi.

Publikacja danych kontaktowych IOD. Na stronie internetowej, w klauzulach informacyjnych, w widocznym miejscu dla podmiotów danych.

Brak którejkolwiek z tych formalności jest naruszeniem art. 37 RODO niezależnie od tego czy faktycznie macie kompetentnego IOD pracującego dla firmy.

Upoważnienia pracowników do przetwarzania danych

Każdy pracownik który przetwarza dane osobowe powinien mieć formalne upoważnienie. Z datą, zakresem, podpisem.

Sprawdź konkretnie:

Czy każdy pracownik z obszaru objętego kontrolą ma upoważnienie?

Czy upoważnienie jest aktualne – czy obejmuje aktualne stanowisko pracownika i zakres jego obowiązków?

Czy zakres upoważnienia odpowiada faktycznym dostępom pracownika w systemach IT?

Czy macie dokumentację która pokazuje że pracownik otrzymał upoważnienie – podpis, potwierdzenie, log w systemie?

Pracownik bez upoważnienia przetwarzający dane jest stanem niezgodnym z RODO. Pracownik z upoważnieniem ale faktycznie mającym szerszy dostęp niż wynikający z dokumentu – też.

Podmioty przetwarzające – lista i umowy

Jeden z najczęściej kontrolowanych obszarów. Bo jeden z najczęściej zaniedbywanych.

Lista podmiotów którym powierzasz przetwarzanie danych. Konkretna, aktualna, kompletna. Hosting strony internetowej. Dostawca CRM. System mailingowy. Biuro rachunkowe. Kancelaria prawna. Firma sprzątająca z dostępem do biura. Wszystko co dotyka danych osobowych w obszarze objętym kontrolą.

Umowa powierzenia z każdym z tych podmiotów. Z elementami art. 28 RODO – cel przetwarzania, zakres, okres, kategorie danych, obowiązki podmiotu przetwarzającego, prawo do kontroli, obowiązek powiadamiania o incydentach.

Dokumentacja zarządzania powierzeniami. Kto i kiedy weryfikował dostawców przed powierzeniem. Jakie były wyniki tej weryfikacji. Jak monitorujecie ich działanie.

Kontrolerzy często proszą o listę podmiotów przetwarzających na początku kontroli a potem wybierają losowo kilku do sprawdzenia. Brak umowy z którymkolwiek z nich jest natychmiast widoczny.

Dokumenty po polsku

Pozornie oczywiste ale często pomijane.

PUODO prowadzi postępowanie w języku polskim. Wszystkie dokumenty które przedstawiacie do kontroli muszą być w języku polskim lub mieć tłumaczenie przysięgłe.

To dotyczy szczególnie:

Umów powierzenia z międzynarodowymi dostawcami – w wersji angielskiej często z polskim tłumaczeniem.

Polityk prywatności od dostawców SaaS – jeśli polegacie na nich w argumentacji compliance, powinny być po polsku.

Dokumentacji technicznej systemów od zagranicznych dostawców – jeśli istotna dla oceny zgodności.

Dokumentów wewnętrznych grupy kapitałowej tworzonych po angielsku – jeśli odnosicie się do nich, polska wersja albo tłumaczenie.

Wszystko zależy od dobrego humoru kontrolujących ale nie mają obowiązku przyjąć dokumentacji w innym języku niż polski.

Szkolenia pracowników i dowody ich przeprowadzenia

Szkolenia z RODO to nie jest opcja. To jest element systemu zarządzania ochroną danych z art. 39 ust. 1 lit. b RODO.

Pytanie brzmi czy pracownicy byli przeszkoleni i czy możecie to udowodnić.

Sprawdź konkretnie:

Czy macie program szkoleń z RODO dla pracowników? Czy obejmuje wszystkich pracowników z obszaru objętego kontrolą?

Czy macie dokumentację udziału w szkoleniach? Listy obecności, certyfikaty, potwierdzenia ukończenia kursów e-learningowych.

Czy szkolenia są aktualne? Szkolenie z 2018 roku nie wystarcza jeśli pracownik pracuje dziś z systemami AI i nowymi procesami które od tego czasu doszły.

Czy macie program odświeżania wiedzy? Roczne lub dwuletnie cykle szkoleniowe.

Polityka ochrony danych i zarządzanie dostępami

Polityka ochrony danych osobowych. Dokument który opisuje jak firma chroni dane osobowe, jakie są procedury, kto za co odpowiada.

Sprawdź czy polityka istnieje, jest aktualna, była zatwierdzona przez zarząd, jest komunikowana pracownikom.

Polityka zarządzania dostępami. Jak nadajecie dostępy do systemów IT, jak je odbieracie, jak monitorujecie. Zasada need-to-know i least privilege.

Sprawdź:

Czy każdy pracownik ma dostęp tylko do tego co potrzebuje do wykonywania obowiązków?

Czy dostępy są odbierane natychmiast po rozwiązaniu stosunku pracy albo zmianie stanowiska?

Czy macie regularne przeglądy uprawnień?

Czy logujecie dostęp do systemów z danymi osobowymi?

To są obszary techniczne ale UODO coraz częściej je kontroluje. Brak zarządzania dostępami jest naruszeniem art. 32 RODO.

Formularze zbierania danych osobowych

Wszystkie formularze przez które firma zbiera dane osobowe – online i offline.

Sprawdź każdy formularz w obszarze objętym kontrolą:

Czy zawiera klauzulę informacyjną lub link do niej?

Czy zakres zbieranych danych jest minimalny – tylko to co potrzebne do celu?

Czy zgody marketingowe są oddzielone od warunków podstawowej usługi?

Czy każda zgoda jest oznaczona oddzielnym checkboxem a nie zbiorczym "zgadzam się na wszystko"?

Czy formularze są zgodne z polityką prywatności?

Formularze są częstym źródłem skarg do UODO bo są bezpośrednim punktem styku klienta z procesami firmy. Niezgodny formularz w obszarze kontroli to gwarantowane uwagi w protokole.

Compliance story – co opowiedzieć pierwszego dnia

Kontrola zaczyna się od prezentacji firmy przez przedstawiciela administratora. To jest moment w którym macie szansę nadać kontekst całej kontroli.

Compliance story to spójna narracja o tym dlaczego i jak firma dba o zgodność z RODO. Nie technicznie ale strategicznie. Nie obronnie ale pewnie.

Elementy które warto mieć w tej opowieści:

Krótka prezentacja działalności firmy – co robicie, dla kogo, w jakiej skali.

Stosunek firmy do ochrony danych – kiedy zaczęliście systematycznie pracować nad compliance, jakie były kamienie milowe.

Aktualna struktura zarządzania ochroną danych – IOD, struktura odpowiedzialności, polityki, procedury, szkolenia.

Konkretne projekty z ostatnich lat które pokazują że firma świadomie pracuje nad ochroną danych – wdrożenie nowego systemu CRM z DPIA, audyt umów powierzenia, modernizacja klauzul informacyjnych, szkolenie zarządu.

Bieżące wyzwania i plany na przyszłość – co firma rozumie jako swoje obszary do dalszej pracy.

Compliance story nie jest kłamstwem ani upiększaniem rzeczywistości. Jest uporządkowaną prezentacją faktów które pokazują że firma traktuje ochronę danych poważnie. Brak takiej prezentacji robi gorsze wrażenie niż dobra prezentacja przy rzeczywistych brakach.

Treści zgód i dowody ich zebrania

Jeśli przetwarzanie w obszarze kontroli opiera się na zgodzie – sprawdź dwie rzeczy.

Treść zgody. Czy zgoda jest dobrowolna, konkretna, świadoma, jednoznaczna. Czy nie ma w niej elementów które łączą wiele celów w jednej zgodzie. Czy nie jest warunkiem realizacji innej usługi.

Dowód że zgoda została zebrana. Logi systemu z datą, godziną, IP, treścią klauzuli. Skan podpisanego formularza. Nagranie rozmowy z wyrażeniem zgody ustnej.

Sam fakt zebrania zgody nie wystarcza. Musicie umieć udowodnić że ją zebraliście – z konkretną osobą, w konkretnym momencie, na konkretną treść.

UODO regularnie sprawdza ten obszar. Firmy które mają zgody w systemie ale bez dowodów ich zebrania – są w gorszej pozycji niż firmy które nie mają zgody ale opierają przetwarzanie na innej podstawie.

Przykładowe obsłużone żądania podmiotów danych

Realizacja praw osób których dane dotyczą to praktyczny sprawdzian czy procesy firmy działają.

Przygotuj na kontrolę przykłady żądań które firma obsłużyła w ostatnich miesiącach.

Żądanie obsłużone pozytywnie. Klient zażądał dostępu do swoich danych – wysłaliście kompletną informację w terminie. Klient zażądał usunięcia – usunęliście wszystkie dane których nie macie podstawy zatrzymać.

Żądanie obsłużone negatywnie. Klient zażądał usunięcia ale macie podstawę zatrzymać dane – odmówiliście z uzasadnieniem prawnym. Klient zażądał zaprzestania marketingu – zaprzestaliście marketingu ale zatrzymaliście dane do innych celów.

Każdy z tych przykładów pokazuje że proces realizacji praw faktycznie działa. UODO jest zainteresowane nie tylko tym czy macie procedurę – ale czy ona działa w rzeczywistych przypadkach.

Brak żadnych żądań w historii firmy bywa podejrzany. Klienci wysyłają żądania – jeśli wasi tego nie robią, prawdopodobnie nie wiedzą że mogą bo wasz proces informacyjny nie działa.

Organizacja firmy zanim kontrolerzy wejdą do biura

Część przygotowań nie dotyczy dokumentów ale tego co dzieje się w firmie w dniach kontroli.

Sprawdź obecność kluczowych osób.

Zawiadomienie o kontroli wskazuje konkretny termin. Pierwsze co warto sprawdzić to czy w tym terminie będą dostępne wszystkie osoby których obecność może być potrzebna. Pełnomocnik firmy. IOD. Administrator Systemu Informatycznego. Właściciel biznesowy procesu objętego kontrolą. Osoba odpowiedzialna za umowy powierzenia. Specjalista od konkretnych systemów IT które mogą być przedmiotem pytań.

Jeśli którakolwiek z tych osób jest na urlopie, na delegacji, na zwolnieniu lekarskim – warto rozważyć wniosek o przeniesienie terminu. PUODO co do zasady akceptuje uzasadnione prośby o zmianę terminu jeśli są zgłoszone z odpowiednim wyprzedzeniem i konkretnym uzasadnieniem.

Kontrola bez kluczowych osób na miejscu to nie tylko utrudnienie operacyjne. To realna luka w odpowiedziach na pytania kontrolerów. Brak ASI gdy pytania dotyczą systemów IT, brak właściciela biznesowego gdy pytania dotyczą procesu – sprawia że firma odpowiada powierzchownie albo wcale.

Wydziel pomieszczenie dla kontrolerów.

Kontrolerzy potrzebują przestrzeni do pracy. Najlepiej oddzielnego pokoju na cały okres kontroli. Z dostępem do internetu, drukarki, gniazdek elektrycznych. Bez konieczności przemieszczania ich między różnymi salami.

To nie jest tylko kwestia komfortu kontrolerów. To jest też kwestia organizacji firmy. Kontrolerzy w wyznaczonym pokoju to kontrolerzy w jednym miejscu – łatwiej zarządzać przepływem dokumentów, łatwiej koordynować osoby które do nich przychodzą, łatwiej trzymać porządek.

Warto wyznaczyć też konkretną osobę odpowiedzialną za logistykę kontroli. Ktoś kto przynosi dokumenty na żądanie, kogoś kto pilnuje że kontrolerzy mają wszystko czego potrzebują, kogoś kto koordynuje wezwania kolejnych osób do rozmowy. "Osoba od noszenia" – jak to nazywają firmy które już to przerabiały – jest często niedocenianym elementem sprawnej kontroli.

Bez takiej osoby kontrola spowalnia bo każda prośba kontrolerów wymaga szukania kogoś kto ją zrealizuje. Z taką osobą – tempo jest pod kontrolą firmy.

Zrób mini audyt z osobami które będą rozmawiać z kontrolerami.

Najsłabsze ogniwo kontroli to nie dokumenty. Są tym ludzie którzy mają o tych dokumentach opowiedzieć.

Pracownik który nigdy nie był na żadnej kontroli wchodzi do pokoju z kontrolerami spięty i niepewny. Zaczyna mówić więcej niż powinien. Improwizuje przy pytaniach na które nie zna odpowiedzi. Sprzecza się z kontrolerem zamiast spokojnie odpowiadać.

Sposób na to to wewnętrzny mini audyt przed kontrolą. Symulacja sytuacji w której doświadczona osoba – IOD, prawnik, zewnętrzny doradca – udaje kontrolera i zadaje pytania pracownikom którzy będą faktycznie odpowiadać.

Cel nie jest taki żeby pracownicy nauczyli się "właściwych odpowiedzi." Cel jest taki żeby przyzwyczaili się do sytuacji odpowiadania na formalne pytania. Żeby przestali się denerwować. Żeby zobaczyli że nie ma podstępu w pytaniach kontrolerów – są to konkretne pytania o procesy które każdy zna.

Spokój pracownika to często różnica między dobrą a katastrofalną kontrolą. Mini audyt buduje ten spokój.

Sprawdź historię relacji firmy z PUODO.

Kontrola nie zaczyna się w próżni. Kontrolerzy znają historię firmy z perspektywy organu nadzorczego.

Sprawdź zanim oni zapytają:

Skargi które wpłynęły do UODO przeciwko firmie w ostatnich kilku latach. Co konkretnie skarżyli się klienci lub pracownicy. Jak firma odpowiedziała. Czy sprawa się rozwiązała czy ciągle jest otwarta.

Korespondencja z UODO – każdy wniosek, każda odpowiedź, każde pytanie z organu. Czy firma odpowiedziała w terminie. Czy odpowiedzi były pełne. Czy nie ma niezakończonych spraw.

Naruszenia ochrony danych które firma zgłosiła do UODO. Treść zgłoszenia. Działania zaradcze które firma zadeklarowała. Czy te działania zostały faktycznie wdrożone.

To ostatnie jest szczególnie istotne. Kontrolerzy często wracają do wcześniejszych zgłoszeń naruszeń żeby sprawdzić czy zadeklarowane środki zaradcze zostały zrealizowane. Pytanie "co zrobiliście po naruszeniu z 2023 roku" wymaga konkretnej odpowiedzi popartej dokumentacją – nie ogólnikowego zapewnienia że "podjęliśmy działania."

Podobnie z obszarami które już były przedmiotem korespondencji. Jeśli firma odpowiadała UODO na pytania o monitoring wizyjny w 2024 roku – warto się spodziewać że w 2026 kontroler wróci do tego samego obszaru żeby sprawdzić aktualny stan.

Historia z PUODO to nie tylko archiwum. To mapa tego o co kontrolerzy będą pytać na podstawie wcześniejszych kontaktów z firmą.

Masz rację – nadmiernie rozbiłem rzeczy które są jednym tematem. Najpierw wkład do artykułu o DOWODACH PRACY IOD, potem poprawiam Excel.

Dowody pracy IOD

Sam fakt że ktoś nosi tytuł IOD nie jest dowodem że ten ktoś faktycznie wypełnia zadania z art. 39 RODO. Trzeba mieć dowody pracy.

Raporty z pracy IOD.

Czy IOD przygotowuje regularne raporty ze swojej działalności? Roczne sprawozdanie z pracy, kwartalne raporty z monitorowania zgodności, doraźne raporty z konkretnych incydentów lub analiz. Bez dokumentacji własnej pracy IOD trudno wykazać że jakakolwiek praca była wykonywana.

Format raportów nie musi być sformalizowany. Może to być prezentacja dla zarządu, notatka w systemie, mail z podsumowaniem aktywności. Ważne jest żeby istniał dowód że IOD systematycznie pracuje a nie tylko widnieje w rejestrze.

Kontakt z zarządem firmy.

Art. 38 ust. 3 RODO wymaga żeby IOD podlegał bezpośrednio najwyższemu kierownictwu administratora. To znaczy że musi istnieć regularny kontakt na linii IOD - zarząd.

Spotkania z zarządem, e-maile, prezentacje, udział w komitetach – wszystko to powinno być udokumentowane. Brak jakichkolwiek śladów kontaktu IOD z zarządem przez rok jest dowodem że funkcja istnieje na papierze a nie w praktyce.

Udział w analizach ryzyka i DPIA.

IOD ma obowiązek doradzania w zakresie oceny skutków dla ochrony danych zgodnie z art. 39 ust. 1 lit. c RODO. To znaczy że jego opinia powinna być widoczna w każdej istotnej analizie ryzyka i każdej DPIA.

Sprawdź dokumenty. Czy są w nich ślady udziału IOD? Podpis na rekomendacji, opinia w sekcji konsultacji, komentarz w dokumencie? Analiza ryzyka opracowana przez dział IT bez śladu IOD jest dokumentem niekompletnym z perspektywy wymogu art. 39.

Udział w ocenie dostawców i powierzeniach.

IOD powinien być konsultowany przy zawieraniu istotnych umów powierzenia – szczególnie z dostawcami przetwarzającymi dane szczególnej kategorii albo z dostawcami spoza EOG. Czy jest dowód jego udziału? Mail z opinią, notatka z konsultacji, podpis na rekomendacji wewnętrznej?

Nieutrudniony kontakt z osobami fizycznymi.

Podmioty danych powinny mieć możliwość bezpośredniego kontaktu z IOD w sprawach związanych z przetwarzaniem ich danych – art. 38 ust. 4 RODO. Sprawdź czy w klauzulach informacyjnych są dane kontaktowe IOD. Czy adres mailowy faktycznie działa. Czy zapytania kierowane do IOD są dokumentowane i odpowiadane w rozsądnym czasie.

Brak konfliktu interesów.

Art. 38 ust. 6 RODO zakazuje sytuacji gdy IOD pełni funkcję która powoduje konflikt interesów. Sprawdź czy istnieje udokumentowana ocena potencjalnego konfliktu – analiza stanowiska IOD, jego dodatkowych obowiązków, deklaracja braku konfliktu interesów.

Najczęstsze konflikty to łączenie IOD z funkcją prezesa, dyrektora IT, szefa HR, kierownika marketingu, czy radcy prawnego firmy. Dla każdej takiej kombinacji kontrolerzy zażądają wykazania dlaczego konflikt nie zachodzi.

Realne zasoby do pracy.

IOD powinien dysponować zasobami niezbędnymi do wypełniania zadań – art. 38 ust. 2 RODO. Czas, narzędzia, dostęp do informacji, budżet na szkolenia. Sprawdź czy istnieją dowody że IOD ma realne zasoby a nie tylko formalne stanowisko. Bo IOD który ma 5% etatu na funkcję która powinna być pełnoetatowa – jest IOD-em fikcyjnym.

 

 

A Jak potrzebujesz checklisty by to sprawdzić - dostaniesz ją TUTAJ

Artykuł powstał przy wsparciu AI. Weryfikacja merytoryczna i redakcja: Damian Bielecki, Typ od RODO.

Powrót do blogu

Zostaw komentarz

Damian Bielecki

Damian Bielecki "Typ od RODO"

Ekspert ds. ochrony danych osobowycgh. Człowiek który postanowił że prawo o ochronie danych nie musi być nudne. W sieci działa jako Typ od RODO – tłumaczy RODO, CyberSec i AI Act językiem który rozumie biznes a nie tylko prawnicy. Ekspert który uzyskał certyfikaty CIPP/E, CIPM i FIP. Jeśli potrzebujesz pomocy z RODO lub marką osobistą – sprawdź jak pracuję wchodząc w linki.