Zgodnie z ogólnym rozporządzeniem o ochronie danych w przypadku wniosku o usunięcie danych należy również usunąć dane osobowe z kopii zapasowych. Z drugiej strony należy rozważyć, czy podstawą dalszego przetwarzania danych w kopii zapasowej może być prawnie uzasadniony interes lub inna podstawa przetwarzania. Usuwanie danych z kopii zapasowych to jeden z istotnych obowiązków w zakresie ochrony danych osobowych. Nie ma on jednak bezwzględnego charakteru,

Pytanie:  W sklepie jest zainstalowana kamera na wypadek ewentualnych kradzieży towarów z ekspozycji. Kilka kamer obserwuje także teren wokół sklepu i firmy. Nagrania są zapisywane w rejestratorach i przechowywane przez 30 dni, po czym są nadpisywane przez kolejne nagrania. Nie są one udostępniane i przekazywane dalej, np. policji. Czy zgodnie z RODO należy pozyskać od wszystkich klientów wchodzących do sklepu pisemną lub elektroniczną zgodę na utrwalanie wizerunku i zachować ją na potrzeby udokumentowania uzyskania takiej zgody? Czy należy spełnić obowiązek informacyjny wobec klientów zgodnie z RODO?

Tworzenie kopii zapasowych danych osobowych to jeden ze środków bezpieczeństwa przetwarzania. Wprawdzie nie jest on obowiązkowy. Niemniej jednak w wielu przypadkach stosowanie takich kopii jest rekomendowane przez ekspertów. Sprawdź, na jakich zasadach wdrożyć i stosować kopie zapasowe danych w organizacji.

Pytanie:  Jeżeli w ramach konsultacji przy przeprowadzaniu oceny skutków dla ochrony danych (DPIA) będą zbierane dane osobowe osób, które np. wypełnią ankietę, to należy wobec nich wypełnić obowiązek informacyjny, a co za tym idzie, poinformować, przez jaki czas ich dane będą przechowywane? Jak długo trzeba przechowywać te dane, które służą udokumentowaniu DPIA? Czy wystarczy jako udokumentowanie konsultacji przedstawić anonimowe ankiety?

Pytanie:  W bazie danych kandydatów dokonujemy zestawienia według profilu zawodowego. Na tej podstawie możemy następnie dokonać wyboru osoby na określoną rekrutację na potrzeby firmy lub zaoferować danego kandydata klientowi – w przypadku świadczenia usługi outsourcingu specjalistów. Czy w tym przypadku mamy do czynienia z profilowaniem w rozumieniu ogólnego rozporządzenia ochronie danych (RODO)?

Europejski Trybunał Praw Człowieka w wyroku z 9 stycznia 2017 r. uznał, że monitorowanie sprzedawców w hiszpańskim supermarkecie bez ich wiedzy naruszało prawo do poszanowania życia prywatnego pracowników.

Pytanie:  Czy wizerunki osób (pracowników i interesantów) utrwalone przez monitoring wizyjny, np. w biurowcu, mogą być potraktowane jako dane biometryczne? Czy ich przetwarzanie będzie dopuszczalne w myśl ogólnego rozporządzenia o ochronie danych (RODO)? Jeżeli tak, to na podstawie jakiej przesłanki?

Grupa Robocza Art. 29 na początku października 2017 r. wydała wytyczne w sprawie profilowania. Sprawdź, jakie kwestie zostały w nich poruszone. Dowiedz się, jak Grupa Robocza Art. 29 odnosi się m.in. do profilowania dzieci czy praw osób, które podlegają profilowaniu.

W Stałym Przedstawicielstwie Polski w Brukseli odbyły się konsultacje dotyczące unijnego projektu rozporządzenia w sprawie poszanowania życia prywatnego oraz ochrony danych osobowych w łączności elektronicznej i uchylającego dyrektywę 2002/58/WE (ePrivacy).

Pytanie:  Starostwo powiatowe ma centralną bazę danych, z której korzystają także jednostki podległe. Aktualnie dostęp ten odbywa się poprzez nieszyfrowane połączenie RDP. Tym kanałem przesyłane są dane osobowe. Ogólne rozporządzenie o ochronie danych (RODO) wskazuje, że dane powinny być szyfrowane. Czy wystarczy w tym celu zastosowanie połączenia DRP w tunelu VPN?