Pytanie:  Pracodawca nie ma komisja socjalna ZFŚS. Czy wobec tego ma obowiązek dokonywania przeglądu danych osobowych przetwarzanych w ramach funduszu socjalnego?

Administrator może zapewnić pracownikom możliwość korzystania z ChatGPT na komputerach służbowych. Czy należy w związku z tym uwzględnić obowiązki wynikające z zasady privacy by design. Jakie obowiązki związane z wdrożeniem ChatGPT na komputerach służbowych musi wykonać administrator danych osobowych?

Do zadań inspektora ochrony danych należy monitorowanie przestrzegania przepisów RODO, innych przepisów unijnych lub państw członkowskich o ochronie danych oraz polityk administratora lub podmiotu przetwarzającego w dziedzinie ochrony danych osobowych. W ramach tego zadania mieści się także podział obowiązków, działania zwiększające świadomość, szkolenia personelu uczestniczącego w operacjach przetwarzania danych a przede wszystkim powiązane z tym audyty zgodności z RODO.

Przed wdrożeniem nowych rozwiązań w ramach ochrony sygnalistów i związanym z tym przetwarzaniem danych osobowych rolą organizacji jako administratora danych osobowych było przeprowadzenie analizy ryzyka RODO. Analiza ta jest procesem ciągłym, dlatego musi być dokonywana na bieżąco także w trakcie tego przetwarzania. Sprawdzamy, na jakie zagrożenia należy zwrócić uwagę w analizie ryzyka związanej z procesem obsługi zgłoszeń naruszenia prawa od sygnalistów.

Audyt bezpieczeństwa danych osobowych nie został wprost wymieniony w RODO jako obowiązek administratora danych. Nie znaczy to jednak, że jego przeprowadzenie nie ma żadnego uzasadnienia. Wręcz przeciwnie, okresowe audyty RODO należy uznać za jeden z organizacyjnych środków bezpieczeństwa danych osobowych w organizacji.

Grupa przedsiębiorstw ma w świetle RODO specjalny status choć oczywiście przedsiębiorstwa wchodzące w jej skład są odrębnymi administratorami danych osobowych. Sprawdź, czy wykonując obowiązki w ramach ochrony danych osobowych członkowie grupy przedsiębiorstw mogą przeprowadzić wspólną analizę ryzyka RODO.

Zgodnie z ogólnym rozporządzeniem o ochronie danych w przypadku wniosku o usunięcie danych należy również usunąć dane osobowe z kopii zapasowych. Z drugiej strony należy rozważyć, czy podstawą dalszego przetwarzania danych w kopii zapasowej może być prawnie uzasadniony interes lub inna podstawa przetwarzania. Usuwanie danych z kopii zapasowych to jeden z istotnych obowiązków w zakresie ochrony danych osobowych. Nie ma on jednak bezwzględnego charakteru,

Mam pytanie odnośnie dawnej polityki bezpieczeństwa. Jak prawidłowo powinien obecnie nazywać się ten dokument? Jaką podstawę prawną w nim podać?

Analiza ryzyka nazywana też oceną ryzyka często mylona jest z oceną skutków dla ochrony danych z art. 35 RODO (DPIA). Tymczasem ocena ryzyka w RODO podstawowy obowiązek ciążący na każdym administratorze danych osobowych, zaś obowiązek przeprowadzenia DPIA aktualizuje się dopiero w określonych sytuacjach.  Obowiązek przeprowadzenia analizy ryzyka wynika z zasady risk based approach, czyli podejściu opartym na ryzyku. To, jakie techniczne i organizacyjne środki bezpieczeństwa powinien wdrożyć administrator, zależy bowiem od charakteru, zakresu, kontekstu i celów przetwarzania danych oraz od ryzyka naruszenia praw lub wolności osób fizycznych, których dane dotyczą. Nie bez znaczenia jest także ryzyko naruszenia interesów administratora.

Mechanizmy stosowane w ramach ochrony sygnalistów wiążą się z nowymi czynności przetwarzania danych osobowych. Aby zapewnić sygnalistom poufność oraz spełnić inne obowiązki w zakresie ochrony ich danych osobowych administrator musi spełnić liczne wymogi przewidziane w przepisach RODO.