Nie każdy zwrócił na to uwagę, ale od ponad 2 miesięcy obowiązuje nowa ustawa o krajowym systemie cyberbezpieczeństwa. W przypadku niektórych podmiotów ustawa ta zwiększa i tak szeroki zakres obowiązków, jaki ciąży na administratorach danych osobowych i podmiotach przetwarzających. Sprawdź, czy spoczywają na Tobie dodatkowe obowiązki w związku z cyberbezpieczeństwem.

RODO pozwala na wdrożenie i stosowania wewnętrznych kodeksów postępowania, zwanych inaczej kodeksami dobrych praktyk. Mianem takim określa się zespół norm mających stanowić wsparcie w przestrzeganiu RODO przez administratorów i procesorów. Co prawda wprowadzenie kodeksu dobrych praktyk nie jest obowiązkiem administratora i ani też podmiotu przetwarzającego. Niemniej jednak art. 40 ust. 1 RODO wskazuje, że państwa członkowskie UE, organy ds. ochrony danych osobowych oraz Komisja Europejska powinny zachęcać administratorów danych osobowych oraz podmioty przetwarzające (oba podmioty dalej zwane ADO) do sporządzania kodeksów postępowania. Czy zatem warto wdrożyć taki kodeks? W wielu przypadkach niewątpliwie tak. Sprawdź, kiedy uzasadnienie znajduje wprowadzenie kodeksu dobrych praktyk i jak go wdrożyć w swojej firmie.

W poprzednim temacie tygodniatemacie tygodnia ustaliliśmy, że korzystanie z usług firm prowadzących serwery hostingowe i mieszczących się poza siedzibą Europejskiego Obszaru Gospodarczego nie oznacza, że do przetwarzania danych w związku z korzystaniem z tych usług nie jest stosowane RODO. Wręcz przeciwnie, muszą być spełnione dodatkowe wymogi związane z przekazywaniem tych danych poza EOG. Czy podobne wymogi muszą być spełnione w innych relacjach handlowych z podmiotami mającymi swoje siedziby poza tym obszarem? Sprawdź w temacie tygodnia.

Dość często przedsiębiorcy prowadzący serwisy internetowe korzystają z tzw. zewnętrznego hostingu, czyli z usług firm prowadzących serwery hostingowe, których siedziby mieszczą się w państwach nienależących do Europejskiego Obszaru Gospodarczego. Należy zdawać sobie sprawę, że korzystanie z zewnętrznego hostingu wiąże się z koniecznością spełnienia dodatkowych wymogów dotyczących przekazywania danych osobowych poza obszar EOG. Sprawdź, jakich.

RODO wymaga stosowania odpowiednich środków bezpieczeństwa w związku z przetwarzaniem danych. Środki te powinny dotyczyć również niszczenia dokumentacji, bowiem usuwanie i niszczenie danych osobowych to także ich przetwarzanie. W praktyce najczęściej niszczenie dokumentów odbywa się za pomocą niszczarki. Czy na pewno jest to najlepsze rozwiązanie? Nie w przypadku większej liczby dokumentów. W takiej sytuacji warto zawrzeć umowę z firmą, która świadczy usługi w postaci niszczenia dokumentacji. W związku z realizacją takiej umowy administrator przekazuje takiej firmie dane osobowe znajdujące się w dokumentach, co wiąże się z obowiązkami, o których mowa w RODO – sprawdź, jakimi.

Jak wiadomo, w zakładach pracy istnieje możliwość tworzenia – ze społecznym nadzorem związków zawodowych - pracowniczych kas zapomogowo-pożyczkowych, z których mogą korzystać nie tylko pracownicy, ale także emeryci i renciści. Można zauważyć, że wśród osób działających w ramach pracowniczej kasy zapomogowo-pożyczkowej nie ma jeszcze odpowiednio wysokiej świadomości o konieczności stosowania przepisów o ochronie danych osobowych. Sprawdź, jak zadbać o to, aby przepisy te były respektowane przez przedstawicieli organów PKZP.

Wymogi dotyczące przetwarzania danych osobowych wynikające z RODO dotyczą danych gromadzonych i przetwarzanych przy okazji zawierania oraz realizowania umów cywilnoprawnych zbliżonych do umowy o pracę, a mianowicie umowy zlecenia i umowy o dzieło. Umowy takie są powszechnie stosowane, tym bardziej warto wiedzieć, jakie obowiązki informacyjne spoczywają na administratorze danych osobowych w związku z przetwarzaniem danych osób, z którymi zostały zawarte umowy cywilnoprawne.

Niektóre dane osobowe dotyczą w tak dużym stopniu sfery prywatności podmiotu danych, że nadaje im się szczególny status danych ze szczególnej kategorii (danych wrażliwych). Dopuszczalność przetwarzana tych danych osobowych została ograniczona w stosunku do danych zwykłych, ponieważ ich przetwarzanie w ocenie ustawodawcy niesie za sobą poważne ryzyko dla podstawowych praw i wolności. Sprawdź, w jakich przypadkach możesz przetwarzać dane ze szczególnej kategorii.

Do przestrzegania RODO co oczywiste zobligowane są również szkoły i placówki oświatowe, nie tylko publiczne, ale także niepubliczne. Przede wszystkim przetwarzaniu w szkole podlegają dane osobowe uczniów. W większości przypadków szkoła pełni zatem rolę administratora danych osobowych (w jej imieniu działa dyrektor), ale w konkretnych sytuacjach może stać się procesorem. Wątpliwości budzi też, na jakiej podstawie powinny być przetwarzanie dane uczniów. Nie zawsze konieczna będzie tu zgoda rodziców uczniów. Poznaj praktyczne rozwiązania z zakresu ochrony danych osobowych w oświacie.

Każdy podmiot danych w określonych okolicznościach może zażądać od administratora usunięcia dotyczących go danych osobowych. Administrator musi wówczas niezwłocznie zrealizować żądanie podmiotu danych. Jest to tzw. prawo do bycia zapomnianym. Przysługuje ono również pracownikowi, którego zatrudnienie uległo zakończeniu. Czy w zakresie wszystkich danych osobowych przetwarzanych przez pracodawcę? Sprawdź, czy uprawnienie do bycia zapomnianym obejmuje również dane osobowe mieszczące się w dokumentacji pracowniczej.