Jak wskazała Andrea Jelinek, przewodnicząca Europejskiej Rady Ochrony Danych w związku z walką z COVID-19 powiedziała: „Przepisy w zakresie ochrony danych (takie jak RODO) nie utrudniają działań podejmowanych w walce z pandemią koronawirusa. Chciałabym jednak podkreślić, że nawet w tych wyjątkowych czasach administrator musi zapewnić ochronę danych osobowych osób, których one dotyczą. W związku z tym należy wziąć pod uwagę szereg czynników, aby zagwarantować zgodne z prawem przetwarzanie danych osobowych”. Powyższa teza dotyczy także udostępniania dokumentacji medycznej. Sprawdź, jak wykonywać ten obowiązek w trakcie pandemii.

Jednym z elementów decyzji dotyczącej naruszenia ochrony danych może być wymierzenie administracyjnej kary pieniężnej. Jej wymiar zależy od rodzaju naruszenia, ale też m.in. od stopnia zawinienia administratora (podmiotu przetwarzającego). Warto również wiedzieć, że nawet w przypadku uprawomocnienia się decyzji zawierającej karę pieniężną istnieje możliwość zmniejszenia dolegliwości związanych z jej spłatą

Organ, który prowadzi postępowanie administracyjne, nie jest zwolniony z przestrzegania RODO.  Wręcz przeciwnie, jako administrator danych osobowych musi spełnić wszystkie wymogi, takie jak wybór właściwej podstawy przetwarzania danych, spełnienie obowiązku informacyjnego względem podmiotów danych, należyte zabezpieczenie danych przetwarzanych w ramach procedury administracyjnej, jak również realizowanie praw osób, których dane dotyczą.

Obowiązkiem każdego administratora, w tym takiego, który przetwarza dane dzieci sporadycznie, jest wzięcie pod szczególną uwagę praw dzieci w związku z ich przetwarzaniem danych osobowych. Dotyczy to zwłaszcza komunikacji z dziećmi jako podmiotami danych. Sprawdź, jak prawidłowo wykonać obowiązki ADO wobec dzieci.

Wizerunek człowieka to jedna z danych osobowych. System monitoringu służy zaś do przetwarzania danych osobowych w postaci wizerunku - o tyle, o ile wizerunek ten będzie rejestrowany z możliwością późniejszego odtworzenia. Właśnie dlatego wprowadzanie monitoringu i przechowywanie nagrań podlega szczególnym rygorom prawnym. Dowiedz się, jak korzystać z monitoringu w Twojej organizacji i nie popełnić błędów, który mógłby Cię drogo kosztować.

Tzw. ogólna analiza ryzyka to obowiązek każdego administratora danych osobowych. Jest to wymóg oceny, czy przetwarzanie danych osobowych w konkretnej organizacji generuje ryzyka i jakiego rodzaju. Z kolei obowiązek przeprowadzenia oceny skutków dla ochrony danych (DPIA), powstaje tylko w sytuacjach określonych RODO. O ile przed wejściem w życie RODO nacisk był kładziony na spełnienie wymogów formalnych (w tym posiadanie dokumentacji, którą można było opracować raz i praktycznie o niej zapomnieć), o tyle aktualnie istotne jest to, aby nie dochodziło do naruszeń danych osobowych. To na administratorze ciąży bowiem obowiązek zapewnienia bezpieczeństwa przetwarzania danych osobowych. Dlatego w obydwu przypadkach zgodnie z regułą rozliczalności należy udokumentować przeprowadzenie oceny, ale także wyciągnięte na ich podstawie wnioski. W ten sposób organizacja zabezpieczy się przed ewentualnymi karami za naruszenie przepisów o ochronie danych.

Polityka prywatności jako taka nie jest dokumentem obowiązkowym. Żaden przepis RODO ani innych aktów prawnych nie obliguje do jej prowadzenia. Jest to jednak dokument bardzo przydatny, ponieważ ma na celu zgromadzenie wszystkich informacji, które zgodnie z art. 13 i 14 RODO należy przekazać podmiotom danych osobowych np. w związku ze sprzedażą towarów lub zapisami na newsletter, w jednym miejscu. Dlatego tego typu rozwiązanie jest dość powszechnie stosowane na stronach internetowych. Korzystasz z polityki prywatności na swojej stronie WWW? Dowiedz się, jak ją zredagować i jakie informacje warto zawrzeć w jej treści.

Wprawdzie od wejścia w życie RODO upłynęły już ponad 2 lata, ale z uwagi na częste kontrole UODO warto systematycznie dokonywać sprawdzenia, czy organizacja działa w zgodzie z RODO. Temu posłużyć może właśnie audyt zgodności. Sprawdź, jak go przeprowadzić.

Kiedy dane osobowe muszą zostać usunięte? Oczywiście nie tylko na żądanie osoby, której dotyczą. Obowiązek ich usunięcia z inicjatywy administratora wynika z jednej z kluczowych zasad przetwarzania danych osobowych. Sprawdź w jakich przypadkach i w jaki sposób należy usunąć przetwarzane dane osobowe.

Podejmując decyzję w sprawie wdrożenia środków bezpieczeństwa przetwarzania danych, warto zwrócić uwagę na normę ISO 27701. Jest to jedna z norm służących wsparciu w określonym zakresie funkcjonowania przedsiębiorstwa, np. w zakresie bezpieczeństwa informacji. Sprawdź, czym konkretnie jest ta norma i kiedy warto ją wdrożyć.