Przed rozpoczęciem przetwarzania danych osobowych administrator ma w określonych okolicznościach obowiązek dokonać oceny skutków dla ochrony danych (DPIA). Prawidłowo przeprowadzona ocena skutków dla ochrony danych może być skutecznym narzędziem dla administratora danych usprawniającym zarządzanie ochroną danych. Dla wielu podmiotów konieczność realizacji takiej oceny będzie wiązała się z kosztami finansowymi m.in. związanymi z zastosowanymi środkami bezpieczeństwa. Z drugiej strony odpowiedzialność za błędy w ocenie skutków lub jej nieprzeprowadzenie ponosi niestety wyłącznie administrator, nawet jeżeli powierzył on dokonanie tej oceny innemu wyspecjalizowanemu podmiotowi. Sprawdź, jak wygląda procedura oceny skutków dla ochrony danych osobowych.

Dokumenty udostępniane jako informacja publicznych podlegają anonimizacji przede wszystkim ze względu na ochronę prywatności. Podmiot publiczny musi więc anonimizować dokumenty z danymi osobowymi, zanim udostępni je w charakterze informacji publicznej. Wymóg anonimizacji wynika zarówno z ustawy o dostępie do informacji publicznej, jak i z RODO. Sprawdź, jak może wyglądać anonimizacja danych z dokumentów.

Privacy by design to obok reguły privacy by default jedna z podstawowych zasad RODO. Jest to inaczej zasada prywatności w fazie projektowania. Zgodnie z nią administrator danych musi zastosować odpowiednie środki bezpieczeństwa. Innymi słowy, musi on na etapie projektowania, a więc jeszcze przed rozpoczęciem przetwarzania uwzględnić w odpowiednim zakresie ochronę danych osobowych i wdrożyć stosowne środki bezpieczeństwa danych.

Pytanie:  Czy można publikować w BIP daty i miejsca urodzenia wójta i innych członków rady gminy wraz z oświadczeniem majątkowym?

Pytanie:  Na jakiej podstawie odbywa się obecnie przekazywanie danych osobowych z Unii Europejskiej do Stanów Zjednoczonych? Czy Stany Zjednoczone są uznane za państwo bezpieczne pod tym względem? Jak zmienią się zasady przekazywania danych po rozpoczęciu stosowania ogólnego rozporządzenia o ochronie danych (RODO)?

Pytanie:  Jak ogólne rozporządzenie o ochronie danych (RODO) definiuje odbiorcę danych osobowych? Kto może być takim odbiorcą? Czy definicja odbiorcy danych zawarta w ogólnym rozporządzeniu o ochronie danych różni się od tej z polskiej ustawy o ochronie danych osobowych z 29 sierpnia 1997 r.?

RODO nie reguluje ewidencji osób upoważnionych do przetwarzania danych osobowych to obowiązek, który wynika bezpośrednio z przepisów. Nie oznacza to jednak, że jej prowadzenie nie ma żadnego uzasadnienia. Sprawdź, dlaczego warto prowadzić ewidencję upoważnień do przetwarzania danych i jakie treści zamieścić w takiej ewidencji. Skorzystaj także z wzoru ewidencji osób upoważnionych do przetwarzania danych.

Administrator danych osobowych, który chce powierzyć dane osobowe firmie zewnętrznej, musi zawrzeć z nią umowę powierzenia przetwarzania danych osobowych. O umowie tej powiedziano i napisano już bardzo wiele, niemniej jednak nadal temat ten jest problematyczny w praktyce, czego dowodzą kary wymierzane przez Prezesa UODO. Podpowiadamy, jak zawrzeć umowę powierzenia przetwarzania danych i prezentujemy przykładowe rozwiązania.

Z jednej strony założeniem RODO jest rozliczanie za skuteczność ochrony danych osobowych. Ogólnie rzecz ujmując, RODO nie obliguje do prowadzenia konkretnej dokumentacji. Niemniej jednak braki w dokumentacji ODO mogą skutkować wymierzeniem administracyjnej kary pieniężnej.

Administrator danych osobowych odpowiada za ich bezpieczeństwo. Z drugiej strony operacje na poszczególnych danych wykonują w jego imieniu pracownicy i współpracownicy. Dlatego zdecydowana większość naruszeń w zakresie ochrony tych danych jest wynikiem błędów personelu. Z tego względu tak istotne jest szkolenie nowych pracowników z aspektów związanych z ochroną danych osobowych.

Jednym z obowiązków inspektora ochrony danych zgodnie z RODO jest monitorowanie przestrzegania jego przepisów. Ma się to odbywać m.in. poprzez szkolenie osób, które przetwarzają dane osobowe. Dowiedz się, jak uregulować realizację tego obowiązku.

Nakładając karę za naruszenie RODO, Prezes Urzędu Ochrony Danych Osobowych musi brać pod uwagę liczne kryteria związane m.in. z działaniami administratora danych osobowych po naruszeniu. Kryteria te przesądzają o tym, czy Prezes UODO wymierzy karę pieniężną, a jeśli tak, to w jakiej wysokości.

Pytanie:  Amerykańska spółka świadczy usługi online obywatelom Unii Europejskiej i w związku z tym przetwarza ich dane osobowe. Spółka nie ma jednostek organizacyjnych w UE. Organ nadzorczy którego państwa członkowskiego jest w takiej sytuacji właściwy do realizacji obowiązku notyfikacji o incydencie naruszenia ochrony danych osobowych?

Grupa Robocza Art. 29 wydała w ostatnim czasie wytyczne dotyczące zgłaszania naruszeń ochrony danych osobowych do organu nadzorczego. Dowiedz się, jakie 10 wskazówek warto będzie wziąć pod uwagę realizując ten obowiązek.

Stosowanie kamer monitoringu wizyjnego pozytywnie wpływa na bezpieczeństwo w szkołach – stwierdza Najwyższa Izba Kontroli. Jednak w związku z tym, że nie ma przepisów, które regulują jego stosowanie, szkoły wykorzystują go w dowolny sposób – zwłaszcza w kwestii rozmieszczenia kamer czy czasu przechowywania nagrań.

Pytanie:  Czy coroczny audyt bezpieczeństwa informacji wymagany w jednostkach publicznych przez rozporządzenie w sprawie Krajowych Ram Interoperacyjności można połączyć z audytem wymaganym przez ogólne rozporządzenie o ochronie danych (RODO)? Czy taki audyt może wykonać pracownik posiadający certyfikat audytora wewnętrznego ISO 27001?

Administrator danych osobowych to podmiot, który decyduje o celach i środkach ich przetwarzania. Z kolei procesor przetwarza dane osobowe jedynie „na polecenie” administratora i sam nie może z nich korzystać we własnych celach. Jaki status w związku z tym będzie miała księgowa prowadząca biuro rachunkowe? Czy rozpoczynając współpracę z księgową, należy zawrzeć umowę powierzenia przetwarzania danych osobowych? Wyjaśnienie w artykule.

Administrator danych osobowych, który chce powierzyć dane osobowe firmie zewnętrznej, musi zawrzeć z nią umowę powierzenia przetwarzania danych osobowych. O umowie tej powiedziano i napisano już bardzo wiele, niemniej jednak nadal temat ten jest problematyczny w praktyce, czego dowodzą kary wymierzane przez Prezesa UODO. Podpowiadamy, jak zawrzeć umowę powierzenia przetwarzania danych i prezentujemy przykładowe rozwiązania.

Pytanie:  Prowadzę biuro rachunkowe. Nie zatrudniam pracowników ani zleceniobiorców. Świadczę obsługę kadrowo-płacową na zlecenie moich klientów i w związku z tym przetwarzam dane osobowe ich pracowników. Czy zgodnie z RODO do moich obowiązków należy uzyskanie zgody od pracowników klienta na przetwarzanie ich danych osobowych?

Pytanie:  W sklepie jest zainstalowana kamera na wypadek ewentualnych kradzieży towarów z ekspozycji. Kilka kamer obserwuje także teren wokół sklepu i firmy. Nagrania są zapisywane w rejestratorach i przechowywane przez 30 dni, po czym są nadpisywane przez kolejne nagrania. Nie są one udostępniane i przekazywane dalej, np. policji. Czy zgodnie z RODO należy pozyskać od wszystkich klientów wchodzących do sklepu pisemną lub elektroniczną zgodę na utrwalanie wizerunku i zachować ją na potrzeby udokumentowania uzyskania takiej zgody? Czy należy spełnić obowiązek informacyjny wobec klientów zgodnie z RODO?

Pytanie:  Jeżeli w ramach konsultacji przy przeprowadzaniu oceny skutków dla ochrony danych (DPIA) będą zbierane dane osobowe osób, które np. wypełnią ankietę, to należy wobec nich wypełnić obowiązek informacyjny, a co za tym idzie, poinformować, przez jaki czas ich dane będą przechowywane? Jak długo trzeba przechowywać te dane, które służą udokumentowaniu DPIA? Czy wystarczy jako udokumentowanie konsultacji przedstawić anonimowe ankiety?

Pytanie:  Czy pracodawca ma obowiązek poinformować pracowników, że ich dane osobowe są przetwarzane przez biuro rachunkowe lub zewnętrznego specjalistę bhp? Jeżeli tak, to w jaki sposób należy dopełnić tego obowiązku? Czy należy zebrać od pracowników zgodę na przekazanie ich danych do firmy zewnętrznej?