Przedsiębiorcy powszechnie korzystają z usługi przetwarzania danych osobowych w chmurze (cloud computing). Rozwiązanie to umożliwia redukcję kosztów działalności przedsiębiorstwa z uwagi na jednoczesny outsourcing części usług IT, a jednocześnie pozwala na poprawę jakości ich działania.  Z drugiej strony nie należy zapominać o konieczności zapewnienia bezpieczeństwa przetwarzanych danych osobowych. Sprawdź, o czym pamiętać, przechowując dane osobowe w chmurze.

Już 25 września 2024 r. w życie wejdzie nowa ustawa o ochronie sygnalistów. Regulacja ta zawiera także nowe obowiązki dla administratorów w zakresie ochrony danych osobowych sygnalistów. Sprawdź, jakie rozwiązania zakresie RODO względem sygnalistów będziesz musiał wdrożyć w swojej organizacji.

Jak już wielokrotnie wskazywaliśmy, ocena skutków dla ochrony danych (DPIA) to szczególny rodzaj analizy ryzyka RODO. Obowiązek dokonania DPIA powstanie w przypadkach określonych w art. 35 ogólnego rozporządzenia o ochronie danych.  Na obowiązek ten szczególną uwagę powinny zwrócić podmioty prowadzące sklepy internetowe – ze względu na potencjalnie dużą liczbę podmiotów, których dane osobowe są przetwarzane w związku z funkcjonowaniem sklepu. Sprawdź, kiedy i jak przeprowadzić ocenę skutków w sklepie internetowym

Jednym z najważniejszych obowiązków administratorów danych osobowych oraz podmiotów przetwarzających jest prowadzenie odpowiednio rejestru czynności przetwarzania danych osobowych oraz kategorii czynności przetwarzania. Dokumenty te służą gromadzeniu informacji w zakresie ochrony danych osobowych w organizacji. Sprawdź, jak zapewnić zgodność z RODO rejestru czynności przetwarzania danych oraz rejestru kategorii czynności przetwarzania.

Żaden przepis RODO ani inny akt prawny nie obliguje do prowadzenia polityki prywatności. Niemniej jednak w praktyce właściciele stron internetowych powszechnie takie polityki przygotowują, głównie w celu spełnienia obowiązku informacyjnego RODO np. w związku ze sprzedażą towarów lub zapisami na newsletter - w jednym dokumencie. Sprawdź, jak napisać politykę prywatności na swojej stronie internetowej zgodnie z RODO i jakie informacje warto zawrzeć w jej treści.

Przyznawanie świadczeń z zakładowego funduszu świadczeń socjalnych, w tym ich wymiar, zależy od sytuacji życiowej, rodzinnej i materialnej osoby uprawnionej do korzystania z funduszu. To zaś wiąże się z przetwarzaniem danych osobowych i to nie tylko pracownika czy emeryta, ale też członków jego rodziny. Pracodawca jako administrator danych osobowych beneficjentów, musi przekazać im klauzulę informacyjną w związku z ZFŚS. Nie zawsze jednak jest to konieczne.

Na żądanie osoby, której dane dotyczą administrator musi przenieść te dane osobowe do innego administratora. Poza tym dane te należy przekazać na żądanie bezpośrednio tej osobie - w odpowiedniej postaci. Na tym polega właśnie realizacja prawa do przenoszenia danych osobowych z artykułu 20 RODO. Prezentujemy praktyczne aspekty przeniesienia danych osobowych na żądanie.

O wyciek dokumentacji medycznej z placówki nie jest trudno. Co oczywiste, dokumentacja ta zawiera dane osobowe, w tym dane wrażliwe o stanie zdrowia pacjentów. Dlatego kierownictwo placówki medycznej musi wdrożyć rozwiązania mające na celu minimalizację ryzyka wystąpienia tego typu incydentów.  Wszak to placówka medyczna jako administrator, niezależnie od odpowiedzialności zawodowej jej personelu, odpowiada za ochronę danych osobowych pacjentów. Duża w tym rola personelu placówki medycznej. Sprawdź, jakie środki bezpieczeństwa wdrożyć względem personelu placówki medycznej, by zabezpieczyć dokumentację medyczną przed wyciekiem.

Zawierając umowę serwisową administrator daje firmie zajmującej się serwisem sprzętu komputerowego dostęp do danych osobowych przechowywanych w serwisowanych urządzeniach. Wykonanie serwisu bez dostępu do tych danych byłoby niemożliwe. Wobec tego administrator danych osobowych powinien dołożyć wszelkich starań, by przekazane dane osobowe były bezpieczne. Sprawdź, jak uregulować kwestie ochrony danych osobowych w związku z umową serwisową. Dowiedz się, w jakich przypadkach wymagana jest umowa powierzenia przetwarzania danych osobowych.

Co oczywiste, najlepiej uczyć się na cudzych błędach. Warto zatem sięgnąć do orzecznictwa Prezesa Urzędu Ochrony Danych Osobowych ale też zagranicznych organów nadzorczych i wyciągnąć wnioski z naruszeń ukaranych administratorów. Przedstawiamy w związku z tym przegląd wybranych orzeczeń zagranicznych organów nadzorczych z 2023 i 2024 r.