Przed rozpoczęciem przetwarzania danych osobowych administrator ma w określonych okolicznościach obowiązek dokonać oceny skutków dla ochrony danych (DPIA). Prawidłowo przeprowadzona ocena skutków dla ochrony danych może być skutecznym narzędziem dla administratora danych usprawniającym zarządzanie ochroną danych. Dla wielu podmiotów konieczność realizacji takiej oceny będzie wiązała się z kosztami finansowymi m.in. związanymi z zastosowanymi środkami bezpieczeństwa. Z drugiej strony odpowiedzialność za błędy w ocenie skutków lub jej nieprzeprowadzenie ponosi niestety wyłącznie administrator, nawet jeżeli powierzył on dokonanie tej oceny innemu wyspecjalizowanemu podmiotowi. Sprawdź, jak wygląda procedura oceny skutków dla ochrony danych osobowych.

Dokumenty udostępniane jako informacja publicznych podlegają anonimizacji przede wszystkim ze względu na ochronę prywatności. Podmiot publiczny musi więc anonimizować dokumenty z danymi osobowymi, zanim udostępni je w charakterze informacji publicznej. Wymóg anonimizacji wynika zarówno z ustawy o dostępie do informacji publicznej, jak i z RODO. Sprawdź, jak może wyglądać anonimizacja danych z dokumentów.

Privacy by design to obok reguły privacy by default jedna z podstawowych zasad RODO. Jest to inaczej zasada prywatności w fazie projektowania. Zgodnie z nią administrator danych musi zastosować odpowiednie środki bezpieczeństwa. Innymi słowy, musi on na etapie projektowania, a więc jeszcze przed rozpoczęciem przetwarzania uwzględnić w odpowiednim zakresie ochronę danych osobowych i wdrożyć stosowne środki bezpieczeństwa danych.

Pracodawca może zobligować pracownika do prowadzenia firmowej strony internetowej. Oczywiście może to wiązać się z przetwarzaniem danych osobowych. Czy pracownicy mogą wykorzystywać w tym celu prywatne komputery? Jakie środki bezpieczeństwa danych warto wprowadzić w takim przypadku w celu ochrony danych osobowych?

Tworzenie kopii zapasowych danych osobowych to jeden ze środków bezpieczeństwa przetwarzania. Wprawdzie nie jest on obowiązkowy. Niemniej jednak w wielu przypadkach stosowanie takich kopii jest rekomendowane przez ekspertów. Sprawdź, na jakich zasadach wdrożyć i stosować kopie zapasowe danych w organizacji.

Jednym z obowiązków administratora danych wynikającym z RODO będzie zgłaszanie naruszeń ochrony danych do organu nadzorczego. Należy przygotować się do realizacji tego obowiązku. Dowiedz się, jakie elementy należy zamieścić w instrukcji postępowania w przypadku naruszenia ochrony danych osobowych.

Pytanie:  Jeżeli w ramach konsultacji przy przeprowadzaniu oceny skutków dla ochrony danych (DPIA) będą zbierane dane osobowe osób, które np. wypełnią ankietę, to należy wobec nich wypełnić obowiązek informacyjny, a co za tym idzie, poinformować, przez jaki czas ich dane będą przechowywane? Jak długo trzeba przechowywać te dane, które służą udokumentowaniu DPIA? Czy wystarczy jako udokumentowanie konsultacji przedstawić anonimowe ankiety?

Pytanie:  Pracuję w urzędzie gminy, przełożony zlecił mi wykonanie oceny ryzyka dla ochrony danych osobowych pod kątem ogólnego rozporządzenia o ochronie danych (RODO). Jak taka ocena powinna wyglądać w praktyce? Jak krok po kroku powinienem przeprowadzić taką analizę, żeby było to zgodne z RODO?

Wprawdzie ogólne rozporządzenie o ochronie danych (RODO) nie nakazuje administratorowi danych prowadzenia polityki bezpieczeństwa i instrukcji zarządzania systemem informatycznym, jednak aby móc udowodnić, że realizuje się postanowienia RODO, warto opracować polityki ochrony danych i instrukcje postępowania dla pracowników.

Pytanie:  Na jakiej podstawie odbywa się obecnie przekazywanie danych osobowych z Unii Europejskiej do Stanów Zjednoczonych? Czy Stany Zjednoczone są uznane za państwo bezpieczne pod tym względem? Jak zmienią się zasady przekazywania danych po rozpoczęciu stosowania ogólnego rozporządzenia o ochronie danych (RODO)?