Audyt bezpieczeństwa danych osobowych nie został wprost wymieniony w RODO jako obowiązek administratora danych. Nie znaczy to jednak, że jego przeprowadzenie nie ma żadnego uzasadnienia. Wręcz przeciwnie, okresowe audyty RODO należy uznać za jeden z organizacyjnych środków bezpieczeństwa danych osobowych w organizacji.

Grupa przedsiębiorstw ma w świetle RODO specjalny status choć oczywiście przedsiębiorstwa wchodzące w jej skład są odrębnymi administratorami danych osobowych. Sprawdź, czy wykonując obowiązki w ramach ochrony danych osobowych członkowie grupy przedsiębiorstw mogą przeprowadzić wspólną analizę ryzyka RODO.

Zgodnie z ogólnym rozporządzeniem o ochronie danych w przypadku wniosku o usunięcie danych należy również usunąć dane osobowe z kopii zapasowych. Z drugiej strony należy rozważyć, czy podstawą dalszego przetwarzania danych w kopii zapasowej może być prawnie uzasadniony interes lub inna podstawa przetwarzania. Usuwanie danych z kopii zapasowych to jeden z istotnych obowiązków w zakresie ochrony danych osobowych. Nie ma on jednak bezwzględnego charakteru,

Mam pytanie odnośnie dawnej polityki bezpieczeństwa. Jak prawidłowo powinien obecnie nazywać się ten dokument? Jaką podstawę prawną w nim podać?

Analiza ryzyka nazywana też oceną ryzyka często mylona jest z oceną skutków dla ochrony danych z art. 35 RODO (DPIA). Tymczasem ocena ryzyka w RODO podstawowy obowiązek ciążący na każdym administratorze danych osobowych, zaś obowiązek przeprowadzenia DPIA aktualizuje się dopiero w określonych sytuacjach.  Obowiązek przeprowadzenia analizy ryzyka wynika z zasady risk based approach, czyli podejściu opartym na ryzyku. To, jakie techniczne i organizacyjne środki bezpieczeństwa powinien wdrożyć administrator, zależy bowiem od charakteru, zakresu, kontekstu i celów przetwarzania danych oraz od ryzyka naruszenia praw lub wolności osób fizycznych, których dane dotyczą. Nie bez znaczenia jest także ryzyko naruszenia interesów administratora.

Mechanizmy stosowane w ramach ochrony sygnalistów wiążą się z nowymi czynności przetwarzania danych osobowych. Aby zapewnić sygnalistom poufność oraz spełnić inne obowiązki w zakresie ochrony ich danych osobowych administrator musi spełnić liczne wymogi przewidziane w przepisach RODO.

Przedsiębiorcy powszechnie korzystają z usługi przetwarzania danych osobowych w chmurze (cloud computing). Rozwiązanie to umożliwia redukcję kosztów działalności przedsiębiorstwa z uwagi na jednoczesny outsourcing części usług IT, a jednocześnie pozwala na poprawę jakości ich działania.  Z drugiej strony nie należy zapominać o konieczności zapewnienia bezpieczeństwa przetwarzanych danych osobowych. Sprawdź, o czym pamiętać, przechowując dane osobowe w chmurze.

Dokumentacja audytu zgodności z RODO nie ma prawnie przewidzianej formy ani treści. W praktyce jednak należy udokumentować fakt wykonania audytu RODO, jego przedmiot, dokonane ustalenia i poczynione zalecenia. Wymaga tego zasada rozliczalności. Dowiedz się, jak można udokumentować audyt RODO.

Pytanie:  Zdarza się, że w organizacjach dochodzi do czasowej utraty dostępu do danych osobowych. Administrator na pewien czas traci dostęp do danych, ale potem odzyskuje nośnik i nie ma żadnych informacji na temat nieuprawnionego dostępu do danych osobowych. Czy w takiej sytuacji zasadne jest przeprowadzenie analizy ryzyka RODO - podstawowego obowiązku w zakresie ochrony danych osobowych? Odpowiedź w artykule.

Korzystanie z kursów i szkoleń online stało się powszechne. Administrator danych osobowych, którym zwykle jest organizator szkolenia, musi wówczas spełnić wymogi RODO wobec uczestników szkolenia m.in. obowiązek informacyjny. prowadzone przez Internet. Sprawdź, jakie wymogi w zakresie ochrony danych osobowych należy spełnić w związku z organizacją szkolenia online.