Dokumenty udostępniane jako informacja publicznych podlegają anonimizacji przede wszystkim ze względu na ochronę prywatności. Podmiot publiczny musi więc anonimizować dokumenty z danymi osobowymi, zanim udostępni je w charakterze informacji publicznej. Wymóg anonimizacji wynika zarówno z ustawy o dostępie do informacji publicznej, jak i z RODO. Sprawdź, jak może wyglądać anonimizacja danych z dokumentów.

Privacy by design to obok reguły privacy by default jedna z podstawowych zasad RODO. Jest to inaczej zasada prywatności w fazie projektowania. Zgodnie z nią administrator danych musi zastosować odpowiednie środki bezpieczeństwa. Innymi słowy, musi on na etapie projektowania, a więc jeszcze przed rozpoczęciem przetwarzania uwzględnić w odpowiednim zakresie ochronę danych osobowych i wdrożyć stosowne środki bezpieczeństwa danych.

Pracodawca może zobligować pracownika do prowadzenia firmowej strony internetowej. Oczywiście może to wiązać się z przetwarzaniem danych osobowych. Czy pracownicy mogą wykorzystywać w tym celu prywatne komputery? Jakie środki bezpieczeństwa danych warto wprowadzić w takim przypadku w celu ochrony danych osobowych?

Pytanie:  Czy można publikować w BIP daty i miejsca urodzenia wójta i innych członków rady gminy wraz z oświadczeniem majątkowym?

Pytanie:  Na jakiej podstawie odbywa się obecnie przekazywanie danych osobowych z Unii Europejskiej do Stanów Zjednoczonych? Czy Stany Zjednoczone są uznane za państwo bezpieczne pod tym względem? Jak zmienią się zasady przekazywania danych po rozpoczęciu stosowania ogólnego rozporządzenia o ochronie danych (RODO)?

Pytanie:  Jak ogólne rozporządzenie o ochronie danych (RODO) definiuje odbiorcę danych osobowych? Kto może być takim odbiorcą? Czy definicja odbiorcy danych zawarta w ogólnym rozporządzeniu o ochronie danych różni się od tej z polskiej ustawy o ochronie danych osobowych z 29 sierpnia 1997 r.?

Administrator danych osobowych, który chce powierzyć dane osobowe firmie zewnętrznej, musi zawrzeć z nią umowę powierzenia przetwarzania danych osobowych. O umowie tej powiedziano i napisano już bardzo wiele, niemniej jednak nadal temat ten jest problematyczny w praktyce, czego dowodzą kary wymierzane przez Prezesa UODO. Podpowiadamy, jak zawrzeć umowę powierzenia przetwarzania danych i prezentujemy przykładowe rozwiązania.

Z jednej strony założeniem RODO jest rozliczanie za skuteczność ochrony danych osobowych. Ogólnie rzecz ujmując, RODO nie obliguje do prowadzenia konkretnej dokumentacji. Niemniej jednak braki w dokumentacji ODO mogą skutkować wymierzeniem administracyjnej kary pieniężnej.

Tworzenie kopii zapasowych danych osobowych to jeden ze środków bezpieczeństwa przetwarzania. Wprawdzie nie jest on obowiązkowy. Niemniej jednak w wielu przypadkach stosowanie takich kopii jest rekomendowane przez ekspertów. Sprawdź, na jakich zasadach wdrożyć i stosować kopie zapasowe danych w organizacji.

Administrator danych osobowych odpowiada za ich bezpieczeństwo. Z drugiej strony operacje na poszczególnych danych wykonują w jego imieniu pracownicy i współpracownicy. Dlatego zdecydowana większość naruszeń w zakresie ochrony tych danych jest wynikiem błędów personelu. Z tego względu tak istotne jest szkolenie nowych pracowników z aspektów związanych z ochroną danych osobowych.

Jednym z obowiązków inspektora ochrony danych zgodnie z RODO jest monitorowanie przestrzegania jego przepisów. Ma się to odbywać m.in. poprzez szkolenie osób, które przetwarzają dane osobowe. Dowiedz się, jak uregulować realizację tego obowiązku.

Nakładając karę za naruszenie RODO, Prezes Urzędu Ochrony Danych Osobowych musi brać pod uwagę liczne kryteria związane m.in. z działaniami administratora danych osobowych po naruszeniu. Kryteria te przesądzają o tym, czy Prezes UODO wymierzy karę pieniężną, a jeśli tak, to w jakiej wysokości.

Pytanie:  Amerykańska spółka świadczy usługi online obywatelom Unii Europejskiej i w związku z tym przetwarza ich dane osobowe. Spółka nie ma jednostek organizacyjnych w UE. Organ nadzorczy którego państwa członkowskiego jest w takiej sytuacji właściwy do realizacji obowiązku notyfikacji o incydencie naruszenia ochrony danych osobowych?

Grupa Robocza Art. 29 wydała w ostatnim czasie wytyczne dotyczące zgłaszania naruszeń ochrony danych osobowych do organu nadzorczego. Dowiedz się, jakie 10 wskazówek warto będzie wziąć pod uwagę realizując ten obowiązek.

Stosowanie kamer monitoringu wizyjnego pozytywnie wpływa na bezpieczeństwo w szkołach – stwierdza Najwyższa Izba Kontroli. Jednak w związku z tym, że nie ma przepisów, które regulują jego stosowanie, szkoły wykorzystują go w dowolny sposób – zwłaszcza w kwestii rozmieszczenia kamer czy czasu przechowywania nagrań.

Pytanie:  Czy coroczny audyt bezpieczeństwa informacji wymagany w jednostkach publicznych przez rozporządzenie w sprawie Krajowych Ram Interoperacyjności można połączyć z audytem wymaganym przez ogólne rozporządzenie o ochronie danych (RODO)? Czy taki audyt może wykonać pracownik posiadający certyfikat audytora wewnętrznego ISO 27001?

Administrator danych osobowych, który chce powierzyć dane osobowe firmie zewnętrznej, musi zawrzeć z nią umowę powierzenia przetwarzania danych osobowych. O umowie tej powiedziano i napisano już bardzo wiele, niemniej jednak nadal temat ten jest problematyczny w praktyce, czego dowodzą kary wymierzane przez Prezesa UODO. Podpowiadamy, jak zawrzeć umowę powierzenia przetwarzania danych i prezentujemy przykładowe rozwiązania.

Pytanie:  Prowadzę biuro rachunkowe. Nie zatrudniam pracowników ani zleceniobiorców. Świadczę obsługę kadrowo-płacową na zlecenie moich klientów i w związku z tym przetwarzam dane osobowe ich pracowników. Czy zgodnie z RODO do moich obowiązków należy uzyskanie zgody od pracowników klienta na przetwarzanie ich danych osobowych?

Pytanie:  Na podstawie umowy powierzenia procesor może powierzać przetwarzanie danych osobowych dalszym podmiotom w drodze pisemnej umowy. Czy właściwe jest określenie w takiej umowie, że umowa dalszego powierzenia przetwarzania danych osobowych, których administratorem danych jest firma X, zostaje zawarta pomiędzy procesorem a dalszym podmiotem przetwarzającym? Czy też w stosunku do procesora można użyć określenia powierzający, a w stosunku do dalszego podmiotu przetwarzającego przetwarzający?

Pytanie:  W sklepie jest zainstalowana kamera na wypadek ewentualnych kradzieży towarów z ekspozycji. Kilka kamer obserwuje także teren wokół sklepu i firmy. Nagrania są zapisywane w rejestratorach i przechowywane przez 30 dni, po czym są nadpisywane przez kolejne nagrania. Nie są one udostępniane i przekazywane dalej, np. policji. Czy zgodnie z RODO należy pozyskać od wszystkich klientów wchodzących do sklepu pisemną lub elektroniczną zgodę na utrwalanie wizerunku i zachować ją na potrzeby udokumentowania uzyskania takiej zgody? Czy należy spełnić obowiązek informacyjny wobec klientów zgodnie z RODO?

Pytanie:  Jeżeli w ramach konsultacji przy przeprowadzaniu oceny skutków dla ochrony danych (DPIA) będą zbierane dane osobowe osób, które np. wypełnią ankietę, to należy wobec nich wypełnić obowiązek informacyjny, a co za tym idzie, poinformować, przez jaki czas ich dane będą przechowywane? Jak długo trzeba przechowywać te dane, które służą udokumentowaniu DPIA? Czy wystarczy jako udokumentowanie konsultacji przedstawić anonimowe ankiety?

Pytanie:  Czy pracodawca ma obowiązek poinformować pracowników, że ich dane osobowe są przetwarzane przez biuro rachunkowe lub zewnętrznego specjalistę bhp? Jeżeli tak, to w jaki sposób należy dopełnić tego obowiązku? Czy należy zebrać od pracowników zgodę na przekazanie ich danych do firmy zewnętrznej?