Europejska Rada Ochrony Danych przyjęła notę informacyjną na temat mechanizmu dochodzenia roszczeń przez osoby z UE z tytułu podejrzenia bezprawnego wykorzystania danych na terenie Stanów Zjednoczonych Ameryki (USA) przez tamtejsze organy. Sprawdź, jak powinien wyglądać taki przykładowy dokument.
Co do zasady organizacje zatrudniające minimum 50 osób mają obowiązek przyjęcia procedury dokonywania zgłoszeń naruszenia prawa (procedury zgłoszeń wewnętrznych). Pobierz wzór takiej procedury.
Administrator danych osobowych musi zapewnić ciągłość działania wyrażającą się m.in. w możliwości szybkiego odzyskania dostępu do danych osobowych w razie incydentu. W tym pomóc może mu wzór planu ciągłości działania.
Dobrą praktyką jest opracowanie – przed rozpoczęciem audytu KRI – listy kontrolnej, która pozwoli na zweryfikowanie wszystkich wymogów interoperacyjności i bezpieczeństwa danych. Skorzystać z listy kontrolnej, która pozwoli na sprawdzenie najważniejszych aspektów bezpieczeństwa informacji w organizacji.
Na podstawie art. 34 RODO naruszenie ochrony danych osobowych, które może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, wymaga od administratora danych osobowych dokonania - bez zbędnej zwłoki - zawiadomienia osób, których dane dotyczą, o takim naruszeniu. Takie zawiadomienie powinno nie tylko odpowiadać wymogom sformułowanym w art. 34 RODO, ale również musi zachować zgodność z zasadą przejrzystości. Oznacza to w praktyce sformułowanie go w zwięzłej, przejrzystej, zrozumiałej i łatwo dostępnej formie, z użyciem jasnego i prostego języka.
Z artykułu 32 ust. 1 pkt d RODO wynika obowiązek regularnego testowania, mierzenia i oceniania skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania. Tego obowiązku nie wykonamy bez cyklicznego sprawdzania aktualności naszej dokumentacji dotyczącej danych osobowych. Jak zatem zapanować nad wszelkimi aktualizacjami?
Urząd Ochrony Danych Osobowych opublikował nową wersję poradnika dotyczącego naruszeń ochrony danych osobowych. Dokument zawiera nie tylko zaktualizowane procedury, ale również szczegółowe wskazówki dotyczące klasyfikacji naruszeń oraz roli inspektora ochrony danych. Nowe zapisy wzbudziły dyskusje wśród specjalistów – część z nich uznała, że stanowisko UODO może oznaczać bardziej rygorystyczne podejście do obowiązku zgłaszania incydentów. Administratorzy danych osobowych powinni zweryfikować swoje procedury i dokumentację, aby dostosować je do nowych wytycznych zawartych w tzw. Poradniku’25. Artykuł omawia kluczowe zmiany w poradniku, interpretacje przepisów oraz praktyczne konsekwencje dla ADO i IOD – zarówno w zakresie analizy ryzyka, jak i obowiązków związanych z dokumentowaniem oraz zgłaszaniem naruszeń.
04.03.2025
Otrzymuj raz w tygodniu aktualne informacje o zmianach w prawie oraz komentarze ekspertów
© Portal Poradyodo.pl
