W razie stwierdzenia wysokiego ryzyka naruszenia praw lub wolności osób fizycznych administrator danych osobowych musi przeprowadzić ocenę skutków dla ochrony danych (DPIA). W zależności od wyników oceny konieczne może okazać się zainicjowanie konsultacji z Prezesem Urzędu Ochrony Danych Osobowych. Sprawdź, w jakich przypadkach i jak przeprowadzić uprzednie konsultacje z Prezesem UODO.

Pytanie:  Czy osoba odpowiedzialna za przyjmowanie zgłoszeń naruszenia prawa w organizacji musi jednocześnie podejmować działania następcze w ramach ochrony sygnalistów?

Jeżeli broker w związku ze świadczoną usługą pośrednictwa w dystrybucji ubezpieczeń będzie korzystać z danych osobowych przetwarzanych przez administratora, to dojdzie do przetwarzania danych osobowych w rozumieniu RODO. Za przetwarzanie uważa się bowiem operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany w tym ich przesyłanie. 

Firmy korzystają z pomocy zewnętrznych podmiotów zwłaszcza w kwestiach podatkowych i kadrowych. Ze zlecaniem takich usług ma często związek przesyłanie usługobiorcom dokumentacji drogą elektroniczną. Taka praktyka wymaga dołączenia do istniejących procedur właściwych rozwiązań w zakresie cyberbezpieczeństwa.

1 stycznia 2025 r. mija termin na wdrożenie doręczeń elektronicznych dla większości podmiotów zobligowanych do ich stosowania. Stosowanie e-doręczeń wiąże się z nowymi czynnościami przetwarzania danych osobowych. W artykule wyjaśniamy, kto i w jakim terminie musi wdrożyć e-doręczenia i na czym podlega to wdrożenie. Przedstawiamy także, w jakim zakresie stosuje się e-doręczenia. Przede wszystkim jednak tłumaczymy, jakie obowiązki w zakresie ochrony danych osobowych wynikające z RODO należy spełnić w związku z wdrożeniem e-doręczeń w jednostce.

Sztuczna inteligencja może stanowić zarówno zagrożenie, jak i narzędzie obrony w dziedzinie cyberbezpieczeństwa. Z jednej strony, może być wykorzystywana przez cyberprzestępców do przeprowadzania bardziej zaawansowanych ataków, a z drugiej – jest kluczowym narzędziem w wykrywaniu zagrożeń i obronie przed nimi. Ostateczny wpływ SI na cyberbezpieczeństwo będzie zależny od sposobu jej implementacji i nadzoru w środowisku cyfrowym. Ważne jest, aby rozwój SI w tej dziedzinie odbywał się z zachowaniem odpowiednich zabezpieczeń i etycznych standardów, aby zminimalizować ryzyko jej niekontrolowanego użycia.

Pytanie:  Czy inspektor ochrony danych (IOD) może być pracownikiem niższego szczebla podległym innym osobom niż najwyższe kierownictwo administratora? Czy też w przypadku połączenia stanowiska IOD i pracownika administracyjnego powstanie konflikt interesów?

Przydzielenie inspektorowi ochrony danych realizacji obowiązku informacyjnego RODO to gotowa recepta na konflikt interesów. IOD jest bowiem doradcą i podmiotem monitorującym, a nie pełnomocnikiem administratora. Wyjaśniamy, dlaczego IOD nie może mieć powierzonych zadań administratora danych osobowych.

Pytanie:  Czy należy udostępnić daną osobową w postaci numeru PESEL organowi publicznemu na żądanie?

W razie stwierdzenia wysokiego ryzyka naruszenia praw lub wolności osób fizycznych administrator danych osobowych musi przeprowadzić ocenę skutków dla ochrony danych (DPIA). W zależności od wyników oceny konieczne może okazać się zainicjowanie konsultacji z Prezesem Urzędu Ochrony Danych Osobowych. Sprawdź, w jakich przypadkach i jak przeprowadzić uprzednie konsultacje z Prezesem UODO.

Stany Zjednoczone mają status państwa trzeciego w rozumieniu RODO w związku z czym transfer danych osobowych do tego kraju zasadniczo musi być oparty na decyzji Komisji Europejskiej stwierdzającej zapewnienie odpowiedniego stopnia ochrony danych osobowych przez niektóre organizacje w USA. W związku z tym amerykańskie władze przyjęły mechanizm dochodzenia roszczeń w związku z ewentualnymi naruszeniami ochrony danych, które miały miejsce w USA. Sprawdź, jak w oparciu o ten mechanizm dochodzić roszczeń z tytułu naruszenia ochrony w USA i co to oznacza dla administratora danych osobowych.

Sprzeciw wobec przetwarzania danych osobowych to jedno z najpopularniejszych praw wynikających z RODO. Gdy administrator danych osobowych otrzyma taki sprzeciw, wówczas musi podjąć określone działania w celu realizacji tego uprawnienia. Sprawdź, jak zareagować na wniesiony sprzeciw, aby nie naruszyć praw podmiotu danych i nie narazić się na konsekwencje finansowe względem podmiotu danych i Prezesa UODO.

Administrowanie funduszem socjalnym w zakładzie pracy wiąże się z przetwarzaniem danych osobowych pracowników, ale także innych osób np. członków ich rodzin. Sprawdzamy, jakie zasady RODO wdrożyć w związku z przetwarzaniem danych osób uprawnionych do korzystania z ZFŚS.

Pytanie:  Pracodawca podpisał umowę z MON dotyczącą pracowników niezbędnych do utrzymania produkcji w czasie wojny. MON żąda udostępnienia danych osobowych pracowników, którzy są niezbędni do utrzymania produkcji w czasie wojny (nie zostaną powołani na front). Czy w takiej liście oprócz imienia i nazwiska należy podać również PESEL, adres zamieszkania i numer telefonu prywatnego. Jaka jest podstawa przetwarzania tych danych osobowych?

Administrator przyjmuje wolontariuszy na podstawie deklaracji przystąpienia do wolontariatu (bez porozumienia, bez umowy). Na deklaracji wolontariusze wpisują swoje dane osobowe m.in. imię, nazwisko, data i miejsce urodzenia czy numer PESEL. Czy zatem podstawą prawną przetwarzania danych w zakresie wolontariatu jest zgoda samego wolontariusza? Sprawdzamy, jaka jest podstawa przetwarzania danych osobowych wolontariusza wg RODO.

Pytanie:  Czy administrator danych osobowych lub podmiot danych może zwrócić się do Prezesa Urzędu Ochrony Danych Osobowych pisma do innego administratora lub podmiotu przetwarzającego z pouczeniem lub informacją, jakie spoczywają na nim obowiązki?

RODO wprowadza m.in. pojęcie grupy przedsiębiorstw. Wyjaśniamy, jakie kryteria powiązań pomiędzy przedsiębiorstwami powinny zostać spełnione by uznać je z grupę przedsiębiorstw. Wskazujemy również, czym grupa przedsiębiorstw różni się od grupy kapitałowej.

Jak wiadomo, za wszelkie naruszenia RODO grozą bardzo wysokie kary finansowe. Tymczasem o uchybienie nie jest trudno. A może warto pomyśleć o ubezpieczeniu na wypadek kar? Sprawdź, czy zasadne jest zawarcie w tym zakresie polisy OC i na co uważać, decydując się na skorzystanie z oferty towarzystwa ubezpieczeń.

Administrowanie funduszem socjalnym w zakładzie pracy wiąże się z przetwarzaniem danych osobowych pracowników, ale także innych osób np. członków ich rodzin. Sprawdzamy, jakie zasady RODO wdrożyć w związku z przetwarzaniem danych osób uprawnionych do korzystania z ZFŚS.

Administratorem danych osobowych gromadzonych w związku z ZFŚS jest oczywiście pracodawca. Musi on zatem spełnić obowiązek informacyjny względem beneficjentów funduszu? Tak, choć nie w każdym przypadku. W wypełnianiu tego obowiązku przydatny może okazać się regulamin ZFŚS. Regulamin ten może bowiem zawierać ramowe klauzule informacyjne RODO.

Pytanie:  Spółka zaprasza na posiedzenie zarządu swoich pracowników. Posiedzenie to jest nagrywane. Czy w związku z tym wobec pracowników spółki należy spełnić obowiązek informacyjny RODO?

Klęski żywiołowe takie jak niedawna powódź i inne zdarzenia losowe typu pożary zawalenia budynków, mogą uszkodzić zarówno same nośniki danych osobowych jak i infrastrukturę służącą do przetwarzania tych danych. To oczywiście rodzi ryzyko wycieku danych osobowych lub ich utraty. Ogólne rozporządzenie o ochronie danych nie przewiduje w takich okolicznościach żadnych zwolnień. Jak zatem spełnić wymogi RODO w przypadku utraty danych osobowych w wyniku zdarzenia losowego lub innej klęski żywiołowej?

Stany Zjednoczone mają status państwa trzeciego w rozumieniu RODO w związku z czym transfer danych osobowych do tego kraju zasadniczo musi być oparty na decyzji Komisji Europejskiej stwierdzającej zapewnienie odpowiedniego stopnia ochrony danych osobowych przez niektóre organizacje w USA. W związku z tym amerykańskie władze przyjęły mechanizm dochodzenia roszczeń w związku z ewentualnymi naruszeniami ochrony danych, które miały miejsce w USA. Sprawdź, jak w oparciu o ten mechanizm dochodzić roszczeń z tytułu naruszenia ochrony w USA i co to oznacza dla administratora danych osobowych.

Osoba, która dokona zgłoszenia naruszenia prawa w organizacji m.in. w zakresie ochrony danych osobowych lub cyberbezpieczeństwa staje się sygnalistą. Status ten może uzyskać nie tylko pracownik. Wyjaśniamy, kto może zostać sygnalistą w organizacji w związku ze zgłoszeniem lub ujawnieniem publicznym informacji na temat naruszenia prawa.