Kluczem dla zrozumienia przepisów i celów rozporządzenia 2016/679 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (dalej: RODO), jest tzw. podejście oparte na ryzyku. Wyraża się ono w nałożonym na administratora obowiązku przeprowadzania analizy ryzyka związanego z przetwarzaniem danych, jakie jest realizowane w organizacji.
Trybunał Sprawiedliwości zanegował właśnie Tarczę Prywatności jako narzędzie do przekazywania danych osobowych do Stanów Zjednoczonych. Czy w ogóle możliwe jest teraz bezproblemowe korzystanie przez administratorów z takich aplikacji jak Zoom czy Teams?
Jak wskazała Andrea Jelinek, przewodnicząca Europejskiej Rady Ochrony Danych w związku z walką z COVID-19 powiedziała: „Przepisy w zakresie ochrony danych (takie jak RODO) nie utrudniają działań podejmowanych w walce z pandemią koronawirusa. Chciałabym jednak podkreślić, że nawet w tych wyjątkowych czasach administrator musi zapewnić ochronę danych osobowych osób, których one dotyczą. W związku z tym należy wziąć pod uwagę szereg czynników, aby zagwarantować zgodne z prawem przetwarzanie danych osobowych”. Powyższa teza dotyczy także udostępniania dokumentacji medycznej. Sprawdź, jak wykonywać ten obowiązek w trakcie pandemii.
Jednym z elementów decyzji dotyczącej naruszenia ochrony danych może być wymierzenie administracyjnej kary pieniężnej. Jej wymiar zależy od rodzaju naruszenia, ale też m.in. od stopnia zawinienia administratora (podmiotu przetwarzającego). Warto również wiedzieć, że nawet w przypadku uprawomocnienia się decyzji zawierającej karę pieniężną istnieje możliwość zmniejszenia dolegliwości związanych z jej spłatą
Organ, który prowadzi postępowanie administracyjne, nie jest zwolniony z przestrzegania RODO. Wręcz przeciwnie, jako administrator danych osobowych musi spełnić wszystkie wymogi, takie jak wybór właściwej podstawy przetwarzania danych, spełnienie obowiązku informacyjnego względem podmiotów danych, należyte zabezpieczenie danych przetwarzanych w ramach procedury administracyjnej, jak również realizowanie praw osób, których dane dotyczą.
Obowiązkiem każdego administratora, w tym takiego, który przetwarza dane dzieci sporadycznie, jest wzięcie pod szczególną uwagę praw dzieci w związku z ich przetwarzaniem danych osobowych. Dotyczy to zwłaszcza komunikacji z dziećmi jako podmiotami danych. Sprawdź, jak prawidłowo wykonać obowiązki ADO wobec dzieci.
Wizerunek człowieka to jedna z danych osobowych. System monitoringu służy zaś do przetwarzania danych osobowych w postaci wizerunku - o tyle, o ile wizerunek ten będzie rejestrowany z możliwością późniejszego odtworzenia. Właśnie dlatego wprowadzanie monitoringu i przechowywanie nagrań podlega szczególnym rygorom prawnym. Dowiedz się, jak korzystać z monitoringu w Twojej organizacji i nie popełnić błędów, który mógłby Cię drogo kosztować.
Tzw. ogólna analiza ryzyka to obowiązek każdego administratora danych osobowych. Jest to wymóg oceny, czy przetwarzanie danych osobowych w konkretnej organizacji generuje ryzyka i jakiego rodzaju. Z kolei obowiązek przeprowadzenia oceny skutków dla ochrony danych (DPIA), powstaje tylko w sytuacjach określonych RODO. O ile przed wejściem w życie RODO nacisk był kładziony na spełnienie wymogów formalnych (w tym posiadanie dokumentacji, którą można było opracować raz i praktycznie o niej zapomnieć), o tyle aktualnie istotne jest to, aby nie dochodziło do naruszeń danych osobowych. To na administratorze ciąży bowiem obowiązek zapewnienia bezpieczeństwa przetwarzania danych osobowych. Dlatego w obydwu przypadkach zgodnie z regułą rozliczalności należy udokumentować przeprowadzenie oceny, ale także wyciągnięte na ich podstawie wnioski. W ten sposób organizacja zabezpieczy się przed ewentualnymi karami za naruszenie przepisów o ochronie danych.
Wprawdzie od wejścia w życie RODO upłynęły już ponad 2 lata, ale z uwagi na częste kontrole UODO warto systematycznie dokonywać sprawdzenia, czy organizacja działa w zgodzie z RODO. Temu posłużyć może właśnie audyt zgodności. Sprawdź, jak go przeprowadzić.
Kiedy dane osobowe muszą zostać usunięte? Oczywiście nie tylko na żądanie osoby, której dotyczą. Obowiązek ich usunięcia z inicjatywy administratora wynika z jednej z kluczowych zasad przetwarzania danych osobowych. Sprawdź w jakich przypadkach i w jaki sposób należy usunąć przetwarzane dane osobowe.
Administrowanie funduszem socjalnym w zakładzie pracy wiąże się z przetwarzaniem danych osobowych pracowników, ale także innych osób np. członków ich rodzin. Sprawdzamy, jakie zasady RODO wdrożyć w związku z przetwarzaniem danych osób uprawnionych do korzystania z ZFŚS.
14.06.2024
© Portal Poradyodo.pl