Korzystanie z kursów i szkoleń online stało się powszechne. Administrator danych osobowych, którym zwykle jest organizator szkolenia, musi wówczas spełnić wymogi RODO wobec uczestników szkolenia m.in. obowiązek informacyjny. prowadzone przez Internet. Sprawdź, jakie wymogi w zakresie ochrony danych osobowych należy spełnić w związku z organizacją szkolenia online.
Ocena skutków dla ochrony danych (DPIA) nie jest kontynuacją ogólnej oceny ryzyka. Są to dwa różne rodzaje czy procesy analizy ryzyka. Sprawdź, jaka jest wzajemna relacja pomiędzy ogólną analizą ryzyka a DPIA.
Zarówno ogólna analiza ryzyka jak i ocena skutków przetwarzania dla ochrony danych (DPIA) są pewnego rodzaju oceną występowania ryzyka w zakresie przetwarzania danych osobowych. Procesy te nie są jednak tożsame, choć mają pewne cechy wspólne. W tabeli przedstawiamy podobieństwa i różnice w zakresie tych ocen.
Pytanie: Na terenie Polski znajdują się spółki produkcyjne wchodzące w skład grupy zakładów, dla których spółka matka znajduje się w jednym z krajów UE. Tam też znajdują się serwery główne dla wszystkich zakładów. W zakładach zlokalizowanych w Polsce znajdują się serwerownie, sieci lokalne itd. Czy dla każdego z tych zakładów należy przeprowadzić analizę ryzyka dla systemów informatycznych znajdujących się w tych zakładach?
Kluczem dla zrozumienia przepisów i celów rozporządzenia 2016/679 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (dalej: RODO), jest tzw. podejście oparte na ryzyku. Wyraża się ono w nałożonym na administratora obowiązku przeprowadzania analizy ryzyka związanego z przetwarzaniem danych, jakie jest realizowane w organizacji.
Pytanie: Pracodawca zamontował monitoring GPS w samochodach służbowych, którymi jeżdżą pracownicy i współpracownicy firmy. Monitoring służy wyłącznie do weryfikacji stanu pojazdu tj. stanu akumulatora, spalania, przejechanych kilometrów, ale także do celów lokalizacji samochodu w razie kradzieży. Czy w związku z tym konieczne jest przeprowadzenie oceny skutków dla ochrony danych?
Tzw. ogólna analiza ryzyka to obowiązek każdego administratora danych osobowych. Jest to wymóg oceny, czy przetwarzanie danych osobowych w konkretnej organizacji generuje ryzyka i jakiego rodzaju. Z kolei obowiązek przeprowadzenia oceny skutków dla ochrony danych (DPIA), powstaje tylko w sytuacjach określonych RODO. O ile przed wejściem w życie RODO nacisk był kładziony na spełnienie wymogów formalnych (w tym posiadanie dokumentacji, którą można było opracować raz i praktycznie o niej zapomnieć), o tyle aktualnie istotne jest to, aby nie dochodziło do naruszeń danych osobowych. To na administratorze ciąży bowiem obowiązek zapewnienia bezpieczeństwa przetwarzania danych osobowych. Dlatego w obydwu przypadkach zgodnie z regułą rozliczalności należy udokumentować przeprowadzenie oceny, ale także wyciągnięte na ich podstawie wnioski. W ten sposób organizacja zabezpieczy się przed ewentualnymi karami za naruszenie przepisów o ochronie danych.
Nowa dyrektywa PLD (Product Liability Directive) znacząco zmienia podejście do odpowiedzialności za produkty wadliwe, rozszerzając je także na systemy cyfrowe oraz dane. Choć nie modyfikuje bezpośrednio przepisów RODO, wprowadza istotne konsekwencje dla organizacji przetwarzających dane osobowe – zwłaszcza w kontekście szkód takich jak utrata czy uszkodzenie danych. Dla IOD i ADO oznacza to konieczność uwzględnienia PLD w analizach ryzyka, procedurach udostępniania danych oraz zarządzaniu incydentami, szczególnie w środowiskach wykorzystujących AI. Sprawdź, jakie działania warto zaplanować już teraz, aby przygotować organizację na zmiany obowiązujące od 9 grudnia 2026 r.
13.11.2025
Otrzymuj raz w tygodniu aktualne informacje o zmianach w prawie oraz komentarze ekspertów
© Portal Poradyodo.pl
