Takie organizacje jak banki, instytucje finansowe, towarzystwa funduszy inwestycyjnych, towarzystwa ubezpieczeniowe czy też brokerzy albo agenci ubezpieczeniowi podlegają nadzorowi KNF. Komisja ta jeszcze w styczniu 2020 r. opublikowała komunikat dotyczący przetwarzania przez podmioty nadzorowane informacji w chmurze obliczeniowej publicznej lub hybrydowej. Z dokumentu wynika, jakie wymogi muszą być spełnione przez organizację korzystającą z usług chmurowych, która jest nadzorowana przez KNF. Niemniej jednak wskazówki zawarte w tym dokumencie mogą także stosować inne organizacje, jeżeli oczekują podniesienia poziomu bezpieczeństwa korzystania z usług chmurowych.

Przepisy obligują zarówno przedsiębiorców jak i inne podmioty sektora prywatnego do przekazywania informacji prasie. Nie jest to jednak obowiązek absolutny. Kiedy możliwa jest odmowa udzielenia informacji? Co grozi za nieuzasadnioną odmowę jej udzielenia? Odpowiedzi w temacie tygodnia.

Klienci oczekują od producentów oprogramowania zapewnienia bezpieczeństwa danych osobowych przetwarzanych za pośrednictwem tych problemów. Gwarancje te powinny być zapewnione już na etapie tworzenia tego oprogramowania, a zatem obowiązki w tym zakresie spoczywają na zespole programistycznym. W szczególności twórcy danej aplikacji powinni wziąć pod uwagę kwestie związane z ryzykiem naruszenia bezpieczeństwa danych, a następnie wdrożyć odpowiednie zabezpieczenia, tak aby te ryzyka zminimalizować. Tego wymaga wynikająca z RODO zasada privacy by design.

Okres ograniczenia funkcjonowania szkół i placówek oświatowych a zarazem prowadzenia kształcenia na odległość ma potrwać przynajmniej do 3 stycznia. Nie można jednak wykluczyć kontynuacji takiego stanu rzeczy po tej dacie. W czasie zdalnego nauczania pojawiło się wiele problemów związanych z przetwarzaniem danych osobowych uczniów i nauczycieli. W temacie tygodnia przedstawiamy wybrane rozwiązania ekspertów.

Nie ulega wątpliwości, że podmiot prowadzący aptekę i przetwarzający w związku z tym dane osobowe jest administratorem tych danych. To zaś oznacza – co oczywiste – obowiązek realizowania wymogów RODO. Nie sposób przedstawić wyczerpująco każdy z tych obowiązków na łamach portalu. Dlatego w temacie tygodnia koncentrujemy się na wybranych zagadnieniach związanych z przetwarzaniem danych osobowych w aptece.

Wiemy, że powierzenie przetwarzania danych polega na ich przekazaniu innemu podmiotowi, który przetwarza te dane na podstawie umowy powierzenia, w celach i w zakresie wyznaczonym przez administratora. Cechą charakterystyczną umowy powierzenia jest m.in. odpowiedzialność administratora za działania procesora w zakresie powierzonych danych. Może więc zdarzyć się tak, że administrator będzie zmuszony do zapłacenia kary finansowej lub odszkodowania (na rzecz podmiotów danych) w wyniku niewłaściwych działań procesora. Administrator może wówczas rozważyć wytoczenie powództwa o odszkodowanie przeciwko procesorowi.

Świadczenie usług online wiąże się z przetwarzaniem danych osobowych. Ci za tym idzie, administrator świadczący takie usługi musi spełnić wszystkie obowiązki wynikające z RODO. Jednym z nim jest legitymowanie się określoną podstawą przetwarzania danych. Którą podstawę przetwarzania wybrać? W wyjaśnieniu pomoże stanowisko Europejskiej Rady Ochrony Danych.

Wiemy już, że w wyniku orzeczenia Trybunału Sprawiedliwości UE nie można już powoływać się na Tarczę Prywatności w związku z transferem danych osobowych do USA. Taki transfer miał najczęściej miejsce w związku z korzystaniem z aplikacji chmurowych i pocztowych dostawców ze Stanów Zjednoczonych. Pozostaje więc zmiana regionu przechowywania danych osobowych na europejskich (nie każda aplikacja zapewnia taką możliwość). A co ze standardowymi klauzulami umownymi? W jakich sytuacjach można z ich skorzystać? W artykule rozwiewamy te wątpliwości.

Jednym z obowiązków administratora określonych w RODO jest, zgodnie z brzmieniem art. 25 RODO, uwzględnienie ochrony danych w fazie projektowania (privacy by design) oraz domyślna ochrona danych (privacy by default). Sprawdzamy, jak wykonać te czynności z wykorzystaniem metodyki PMIBoK®.

W przepisach RODO co rusz spotykamy się ze sformułowaniami „operacje przetwarzania”, „czynności przetwarzania”, „kategorie czynności przetwarzania” czy „ rodzaj przetwarzania”. Choć brzmią one podobnie, to nietrudno się domyślić, że nie oznaczają tego samego. A różnice pomiędzy nimi mają znaczenie w praktyce.