Zgoda jest najpopularniejszą podstawą prawną przetwarzania danych osobowych i to zarówno w przypadku danych zwykłych, jak i szczególnej kategorii. W tym drugim przypadku unijny ustawodawca wprowadził wymóg, by zgoda ta była „wyraźna”. Sprawdź, jakie warunki powinna spełniać zgoda, aby mogła stanowić legalną przesłankę przetwarzania danych osobowych szczególnej kategorii.

Stany Zjednoczone mają status państwa trzeciego w rozumieniu RODO w związku z czym transfer danych osobowych do tego kraju zasadniczo musi być oparty na decyzji Komisji Europejskiej stwierdzającej zapewnienie odpowiedniego stopnia ochrony danych osobowych przez niektóre organizacje w USA. W związku z tym amerykańskie władze przyjęły mechanizm dochodzenia roszczeń w związku z ewentualnymi naruszeniami ochrony danych, które miały miejsce w USA. Sprawdź, jak w oparciu o ten mechanizm dochodzić roszczeń z tytułu naruszenia ochrony w USA i co to oznacza dla administratora danych osobowych.

Sprzeciw wobec przetwarzania danych osobowych to jedno z najpopularniejszych praw wynikających z RODO. Gdy administrator danych osobowych otrzyma taki sprzeciw, wówczas musi podjąć określone działania w celu realizacji tego uprawnienia. Sprawdź, jak zareagować na wniesiony sprzeciw, aby nie naruszyć praw podmiotu danych i nie narazić się na konsekwencje finansowe względem podmiotu danych i Prezesa UODO.

Zgromadzone dokumenty w podajniku drukarki, wnioski klientów zawierające dane osobowe porzucone na biurku czy lista płac pracowników leżąca obok - takie przypadki to gotowa recepta na utratę lub wyciek danych osobowych. Jak tego uniknąć? Praktycznym rozwiązaniem jest stosowanie zasady czystego biurka, która pomoże zapewnić adekwatny poziom bezpieczeństwa danych osobowych w papierowej dokumentacji. W tym pomóc może dokument nazywany polityką czystego biurka.

Wprowadzenie i stosowanie monitoringu w zakładzie pracy (tzw. monitoringu pracowniczego) podlega specjalnym regułom przewidzianym w Kodeksie pracy. Na pracodawcy spoczywają liczne obowiązki, głównie o charakterze informacyjnym i technicznym. Ważny jest też cel wprowadzanego monitoringu i zakres jego stosowania – obowiązują tu bowiem dość rygorystyczne ograniczenia. Dowiedz się, jak wdrożyć monitoring w Twojej firmie, nie narażając się na prawną odpowiedzialność.

Inspektor ochrony danych w celu prawidłowego wykonywania swych zadań musi zachowywać swoistą niezależność. Przede wszystkim zaś musi unikać konfliktu interesów. Zagadnienie konfliktu rozwinięte zostało w Wytycznych Grupy Roboczej Art. 2). Jesteś inspektorem ochrony danych? Sprawdź, jakich sytuacji musisz unikać, by nie doszło do konfliktu interesów.

Zarządzając zgłoszeniami naruszenia prawa od sygnalistów podmiot prawny może skorzystać ze wsparcia w postaci dedykowanej aplikacji dla sygnalistów. Program ten musi jednak spełniać wymogi wynikające z RODO i krajowej ustawy o ochronie sygnalistów. Jednym z najważniejszych jest warunek poufności. Sprawdź, jakie wymogi w zakresie ochrony danych osobowych musi spełniać platforma do obsługi zgłoszeń naruszenia prawa.

Grupa Robocza Art. 29 jeszcze przed wejściem w życie RODO, a mianowicie 13 grudnia 2016 r. wydała wytyczne w sprawie inspektorów ochrony danych, którzy 25 maja 2018 r. zastąpili administratorów bezpieczeństwa informacji. Wytyczne te zostały zaktualizowane 5 kwietnia 2017 r. Administrator, który zastanawia się czy ma obowiązek powołania inspektora ochrony danych, powinien oprócz RODO sięgnąć właśnie do tych wytycznych. Sprawdź, kiedy należy wyznaczyć IOD według Grupy Roboczej Art. 29.

Od 23 maja 2024 r. obowiązuje nowe rozporządzenie dotyczące Krajowych Ram Interoperacyjności, nazywane także rozporządzeniem KRI. Ten akt prawny zastąpił uchylone rozporządzenie z dnia 12 kwietnia 2012 r. Sprawdzamy, kto podlega Krajowym Ramom Interoperacyjności i jakie obowiązki przewidują KRI w zakresie ochrony danych osobowych i cyberbezpieczeństwa.

Analiza ryzyka nazywana też oceną ryzyka często mylona jest z oceną skutków dla ochrony danych z art. 35 RODO (DPIA). Tymczasem ocena ryzyka w RODO podstawowy obowiązek ciążący na każdym administratorze danych osobowych, zaś obowiązek przeprowadzenia DPIA aktualizuje się dopiero w określonych sytuacjach.  Obowiązek przeprowadzenia analizy ryzyka wynika z zasady risk based approach, czyli podejściu opartym na ryzyku. To, jakie techniczne i organizacyjne środki bezpieczeństwa powinien wdrożyć administrator, zależy bowiem od charakteru, zakresu, kontekstu i celów przetwarzania danych oraz od ryzyka naruszenia praw lub wolności osób fizycznych, których dane dotyczą. Nie bez znaczenia jest także ryzyko naruszenia interesów administratora.