Powszechnym zjawiskiem jest korzystanie, zwłaszcza przez mniejsze organizacje, z outsourcingu księgowego a mianowicie z usług biur rachunkowych. Wiąże się to naturalnie z przetwarzaniem danych osobowych. Dowiedz się, jakie wymogi należy spełnić w związku z przekazywaniem danych do biura rachunkowego.

Wybór prawidłowej podstawy prawnej przetwarzania danych osobowych to jeden z najważniejszych obowiązków administratora danych. Błąd w tym aspekcie może powodować poważne konsekwencje, z karami finansowymi włącznie. Nieprawidłowości wynikają nie tylko z niewiedzy ale też z niejednoznacznych interpretacji. Przedstawiamy najczęściej występujące błędy w zakresie podstaw przetwarzania danych i wyjaśniamy, jak ich unikać.

Niestety kryzys gospodarczy związany z pandemią COVID-19 zmusza pracodawców do zwolnień. Wypowiedzenie stosunku pracy to czynność, która wiąże się z przetwarzaniem danych osobowych, w tym ich przekazywaniem do organizacji związkowej. Obowiązkiem pracodawcy jest więc ochrona danych osobowych pracownika w trakcie wykonywania tych czynności.

Analiza ryzyka często mylona jest z oceną skutków dla ochrony danych (DPIA). Tymczasem to pierwsze to podstawowy obowiązek ciążący na każdym administratorze danych osobowych, zaś obowiązek przeprowadzenia DPIA aktualizuje się dopiero w określonych sytuacjach.  Obowiązek przeprowadzenia analizy ryzyka wynika z zasady risk based approach, czyli podejściu opartym na ryzyku. To, jakie środki bezpieczeństwa powinien wdrożyć administrator, zależy bowiem od charakteru, zakresu, kontekstu i celów przetwarzania danych oraz od ryzyka naruszenia praw i wolności osób, których dane dotyczą, a także ryzyka naruszenia interesów administratora.

Pandemia COVID-19 trwa, dlatego wiele organizacji funkcjonuje w trybie pracy zdalnej. Niesie to za sobą skutki w zakresie przetwarzania danych osobowych, które w większym zakresie niż dotychczas przetwarzane są w systemach IT. Jak zorganizować pracę zdalną z poszanowaniem RODO? Pomogą Ci w tym wskazówki naszych ekspertów.

Pracownicze plany kapitałowe  to rozwiązanie polegające na dobrowolnym i systematycznym odkładaniu środków, które mają być wykorzystane po uzyskaniu przez pracownika sześćdziesiątego roku życia. Obowiązkiem pracodawcy jest m.in. zawarcie umowy o zarządzanie PPK oraz umowy o prowadzenie PPK. Wiąże się z tym przetwarzanie danych osobowych pracowników.

Celem przyjęcia na poziomie Unii Europejskiej rozporządzenia 2016/679 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE, było przede wszystkim wzmocnienie ochrony praw i wolności osób, których dane są przetwarzane. Cel ten jest realizowany m.in. poprzez wprowadzenie podejścia opartego na ryzyku (ang. risk-based approach) – koncepcji stanowiącej zasadniczy filar przepisów RODO.

W czasie pandemii wiele organizacji siłą rzeczy stawia na działalność w sieci. Następuje tym samym intensyfikacji działalności m.in. w serwisach streamingowych typu YouTube. Konta na tym portalu są subskrybowane, a filmy oglądane i komentowane. W związku z tym dochodzi do przetwarzania danych osobowych. Profesjonalny youtuber musi więc przestrzegać RODO.

Celem tarczy antykryzysowej jest wsparcie podmiotów gospodarczych w trudnym okresie pandemii COVID-19. Nie można jednak zapominać o tym, że korzystanie z rozwiązań przewidzianych w tarczy musi odbywać się w zgodzie z RODO i innymi przepisami o ochronie danych osobowych.  Poza tym tarcza nakłada na administratorów nowe obowiązki w zakresie przekazywania danych innym podmiotom. Sprawdź, jak korzystać z tarczy i chronić przetwarzane dane osobowe.

Każdy administrator powinien wybrać odpowiednie rozwiązania techniczne i organizacyjne, z uwzględnieniem stanu wiedzy technicznej, kosztu wdrażania oraz charakteru, zakresu, kontekstu i celów przetwarzania oraz ryzyka naruszenia praw lub wolności osób fizycznych. Swoboda pozostawiona administratorom powoduje, że nie wszystkie wybrane przez nich rozwiązania są prawidłowe. Niektóre, zamiast zwiększać bezpieczeństwo danych, tylko generują ryzyko ich naruszenia, z kolei inne są tylko niepotrzebnym obciążeniem dla organizacji.