Tzw. ogólna analiza ryzyka to obowiązek każdego administratora danych osobowych. Jest to wymóg oceny, czy przetwarzanie danych osobowych w konkretnej organizacji generuje ryzyka i jakiego rodzaju. Z kolei obowiązek przeprowadzenia oceny skutków dla ochrony danych (DPIA), powstaje tylko w sytuacjach określonych RODO. O ile przed wejściem w życie RODO nacisk był kładziony na spełnienie wymogów formalnych (w tym posiadanie dokumentacji, którą można było opracować raz i praktycznie o niej zapomnieć), o tyle aktualnie istotne jest to, aby nie dochodziło do naruszeń danych osobowych. To na administratorze ciąży bowiem obowiązek zapewnienia bezpieczeństwa przetwarzania danych osobowych. Dlatego w obydwu przypadkach zgodnie z regułą rozliczalności należy udokumentować przeprowadzenie oceny, ale także wyciągnięte na ich podstawie wnioski. W ten sposób organizacja zabezpieczy się przed ewentualnymi karami za naruszenie przepisów o ochronie danych.

Polityka prywatności jako taka nie jest dokumentem obowiązkowym. Żaden przepis RODO ani innych aktów prawnych nie obliguje do jej prowadzenia. Jest to jednak dokument bardzo przydatny, ponieważ ma na celu zgromadzenie wszystkich informacji, które zgodnie z art. 13 i 14 RODO należy przekazać podmiotom danych osobowych np. w związku ze sprzedażą towarów lub zapisami na newsletter, w jednym miejscu. Dlatego tego typu rozwiązanie jest dość powszechnie stosowane na stronach internetowych. Korzystasz z polityki prywatności na swojej stronie WWW? Dowiedz się, jak ją zredagować i jakie informacje warto zawrzeć w jej treści.

Wprawdzie od wejścia w życie RODO upłynęły już ponad 2 lata, ale z uwagi na częste kontrole UODO warto systematycznie dokonywać sprawdzenia, czy organizacja działa w zgodzie z RODO. Temu posłużyć może właśnie audyt zgodności. Sprawdź, jak go przeprowadzić.

Kiedy dane osobowe muszą zostać usunięte? Oczywiście nie tylko na żądanie osoby, której dotyczą. Obowiązek ich usunięcia z inicjatywy administratora wynika z jednej z kluczowych zasad przetwarzania danych osobowych. Sprawdź w jakich przypadkach i w jaki sposób należy usunąć przetwarzane dane osobowe.

Podejmując decyzję w sprawie wdrożenia środków bezpieczeństwa przetwarzania danych, warto zwrócić uwagę na normę ISO 27701. Jest to jedna z norm służących wsparciu w określonym zakresie funkcjonowania przedsiębiorstwa, np. w zakresie bezpieczeństwa informacji. Sprawdź, czym konkretnie jest ta norma i kiedy warto ją wdrożyć.

Potocznie określeniem „samozatrudniony” nazywa się jednoosobowych przedsiębiorców. Osoby takie, o ile w związku z prowadzoną działalnością gospodarczą przetwarzają dane osobowe, są administratorami tych danych. W związku z tym ciążą na nich obowiązki wynikające z RODO. W pewnym zakresie mogą także korzystać z udogodnień.

Postępowanie zgodnie z RODO w placówkach medycznych jest sporym wyzwaniem. Pokazały to chociażby wyniki niedawnej kontroli NIK, które wykazały wiele błędów dotyczących w szczególności bezpieczeństwa przetwarzania danych. Najlepiej uczyć się na cudzych błędach. Dlatego w artykule przedstawiamy 15 najczęściej występujących nieprawidłowości w zakresie RODO w placówkach medycznych.

Rozpowszechnianie to jeden z przejawów przetwarzania danych osobowych (art. 4 pkt 2 RODO). Dlatego rozpowszechnianie wizerunku, który przecież też stanowi daną osobową, wymaga spełnienia obowiązków wynikających z RODO, w tym znalezienia odpowiedniej podstawy przetwarzania danych. To jednak nie wszystko. Rozpowszechnianie wizerunku wymaga odrębnego zezwolenia osoby, której ten wizerunek dotyczy – ale nie w każdym przypadku.

Warto skupić się na jednym z podstawowych elementów bezpieczeństwa, które powinno być stosowane nie tylko przez firmy, ale przez każdego z użytkowników ogólnie rozumianych systemów komputerowych, czyli tworzeniu kopii zapasowej i odtwarzaniu awaryjnym. Kiedyś wydawało mi się, że to takie „must have” w każdym biznesie. Teraz po sprawdzeniu w praktyce, w szczególności w szeroko rozumianym segmencie małych i średnich firm, stwierdzam, że w naszym kraju mamy prawie samych twardzieli, którzy liczą na łut szczęścia i wierzą, że jakoś uda im się przetrwać bez żadnego incydentu związanego z utratą danych.

Stany wyższej konieczności, ratowanie ludzkiego zdrowia i życia, wprowadzanie ustawowych ograniczeń jest uzasadnione i może mieć miejsce wyłącznie w zgodności z Konstytucją RP i ustawami. Okres pandemii, czas zagrożeń epidemicznych i szczególne okoliczności towarzyszące tym zdarzeniom wyzwalają potrzebę zastosowania niestandardowych rozwiązań - jednak muszą się one opierać o naczelną zasadę zgodności z prawem polskim i UE, której jesteśmy partnerem.