2023

W jaki sposób zgłaszać naruszenia ochrony danych osobowych

Czasu na zgłoszenie naruszenia ochrony danych do Prezesa Urzędu Ochrony Danych jest bardzo niewiele. Poza tym w niektórych przypadkach administrator danych osobowych musi poinformować o naruszeniu także osoby poszkodowane. Ważny jest nie tylko czas reakcji, ale też treść zgłoszeń. Sprawdź, w jaki sposób dokonać zgłoszenia naruszenia ochrony danych.

W jaki sposób przygotować się na nowe przepisy o sygnalistach

Wciąż oczekujemy na uchwalenie przepisów o sygnalistach, z których wynika wiele obowiązków nałożonych na administratorów danych osobowych. Warto sprawdzić, jakie kroki możemy podjąć w ramach podmiotu prywatnego, aby się przygotować na ich wejście w życie.

Przepisy o sygnalistach: wpływ ujawnień publicznych na administratora danych osobowych

Podmioty prywatne i publiczne wciąż oczekują na uchwalenie przepisów o sygnalistach, z których wynika wiele obowiązków nałożonych na administratorów danych osobowych. Na podstawie obecnego projektu ustawy o ochronie osób zgłaszających naruszenia prawa można wstępnie przeanalizować obowiązki podmiotów prywatnych związane z ujawnieniem publicznym, tj. podaniem informacji o naruszeniu prawa do wiadomości publicznej.

W jaki sposób należy realizować obowiązek informacyjny w sieci

 Podstawowym obowiązkiem administratora danych osobowych przetwarzającego dane osobowe za pośrednictwem Internetu jest oczywiście obowiązek informacyjny względem podmiotów danych. Organizacja przetwarzająca dane osobowe w sieci podlega mu w takim samym zakresie jak pozostali administratorzy. Wiedza o tym, jak wykonywać obowiązek informacyjny, gdy administrator danych działa w sieci, jest więc niezwykle istotna, tym bardziej że na realizację tego obowiązku szczególną uwagę zwraca się podczas kontroli.

Zakaz przetwarzania danych osobowych w ramach reklamy behawioralnej

Europejska Rada Ochrony Danych przyjęła wiążącą decyzję nakazującą irlandzkiemu organowi nadzorczemu nałożenie zakazu przetwarzania danych osobowych na potrzeby reklamy behawioralnej według dotychczasowych podstaw przetwarzania danych.

Co trzeba wiedzieć o zasadach przetwarzania danych osobowych w ramach kontroli PIP

Państwowa Inspekcja Pracy sprawuje kontrolę i nadzór nad przestrzeganiem prawa pracy. Natomiast inspektor, na potrzeby kontroli, jest ustawowo uprawniony do możliwości pozyskiwania danych osobowych. Sprawdźmy zatem, jakie uprawnienia ma PIP w zakresie ochrony danych osobowych pracowników.

Szkolenie nowych pracowników z danych osobowych – kiedy jest niezbędne

 Wśród obowiązków inspektora ochrony danych znajduje się między innymi szkolenie pracowników administratora danych. Zobaczmy, na czym dokładnie polega ten obowiązek, a w szczególności, czy pracowników przejętych przez nowego pracodawcę trzeba przeszkolić z ochrony danych osobowych.

Jak uregulować przechowywanie danych osobowych w organizacji

Dane osobowe należy przechowywać w formie umożliwiającej identyfikację osoby, której dane dotyczą, przez okres nie dłuższy, niż jest to niezbędne do celów, w których dane te są przetwarzane. Tak brzmi zasada ograniczonego przechowywania, będąca podstawową regułą ochrony danych osobowych (art. 5 ust. 1 lit. e RODO). Jak zatem przyjąć i wdrożyć politykę retencji danych osobowych w organizacji i co w niej zawrzeć?

Jak dochodzić zadośćuczynienia za naruszenie RODO – czy w polskim sądzie można uzyskać więcej niż 1.500 zł?

Nawet jeśli zgłaszane przez powodów roszczenia za naruszenie RODO opiewały na dwadzieścia tysięcy złotych, to w wyrokach sądów można było do tej pory liczyć przede wszystkim na kwoty rzędu 1.500 zł. Biorąc pod uwagę koszty sądowe, a także konieczność długotrwałego zaangażowania w postępowanie sądowe, nie są to wielkie sumy. Czy jednak istnieje szansa na uzyskanie wyższej kwoty w polskim sądzie?

Jak kontrolować pracę zdalną pod kątem ochrony danych osobowych

 Pracodawca może kontrolować to, jak pracownik wykonuje pracę zdalną. Kontrola pracy zdalnej obejmuje również bezpieczeństwo informacji, w tym danych osobowych. Zasady tej kontroli ustala się zaś w procedurze ochrony danych osobowych i precyzuje w porozumieniu z kontrolowanym pracownikiem. Sprawdź, co objąć kontrolą pracy zdalnej w aspekcie ochrony danych osobowych.

Jak dbać o bezpieczeństwo danych w związku z okazjonalną pracą zdalną

 Praca zdalna może polegać również na okazjonalnym jej wykonywaniu z domu lub mieszkania. Także w przypadku okazjonalnej pracy zdalnej kluczową kwestią jest bezpieczeństwo danych osobowych. Pracodawca jako administrator danych w żadnym razie nie został zwolniony z obowiązku zapewnienia właściwej procedury ochrony danych, która powinna być przestrzegana niezależnie od częstotliwości wykonywania pracy na odległość.

RODO a system elektronicznego obiegu dokumentacji w zakładzie pracy

Dzięki zmianom w Kodeksie pracy 2023 pracownicy mogą składać różnego rodzaju dokumenty w postaci elektronicznej. To oznacza dodatkowe zadania dla pracodawcy w zakresie bezpieczeństwa danych osobowych pracowników i nie tylko. Sprawdź, jak zapewnić ochronę danych osobowych w systemie elektronicznego obiegu dokumentacji pracowniczej w Twojej firmie.

RODO a monitoring GPS w pojazdach służbowych i nie tylko – jak chronić dane osobowe pracowników

Geolokalizacja, czyli monitoring GPS stanowi odmianę monitoringu pracowniczego uregulowanego w Kodeksie pracy, tak jak choćby monitoring poczty elektronicznej. Wymogi dotyczące monitoringu wizyjnego obejmują także monitoring GPS floty pojazdów, telefonów, komputerów służbowych.

Zasady wysyłania seryjnych wiadomości e-mail – sprawdź, jak postępować

Prezes Urzędu Ochrony Danych Osobowych (UODO) upomniał jednego z administratorów danych osobowych (ADO). Upomnienie dotyczyło nieprawidłowości w przetwarzaniu danych osobowych. Otóż w elektronicznej korespondencji seryjnej, w ramach tzw. kopii otwartej, ADO udostępniał nieupoważnionym osobom trzecim dane innych odbiorców dotyczące adresu e-mail. Jeden z odbiorców wystosował skargę na nieuprawnione przetwarzanie jego danych.

Nowy mechanizm transferów danych z Unii Europejskiej do USA – Data Privacy Framework

Gdy chodzi o biznesy związane w szczególności z branżą technologiczną, niezbędne okazuje się przekazywanie danych osobowych pomiędzy organizacjami. W Unii Europejskiej, za sprawą RODO, transfery te podlegają konkretnym ograniczeniom. Przykładowo, jeżeli transfer taki miałby następować z UE do państwa trzeciego lub organizacji międzynarodowej, miejsce docelowe przekazania danych musi zapewniać stosowny poziom ochrony tychże danych. Mechanizmów, które pozwalają na zagwarantowanie tych wymogów, jest kilka, a należy do nich wydanie przez Komisję Europejską decyzji stwierdzającej odpowiedni poziom ochrony. Niedawno KE wydała taką w stosunku do USA, mowa oczywiście o EU-U.S. Data Privacy Framework (DPF).

Najnowszy wyrok TSUE dotyczący odszkodowania za naruszenie RODO

Naruszenie ochrony danych przez administratora może oznaczać, że będzie on musiał zapłacić odszkodowanie, ale tylko wtedy, jeżeli w związku z tym naruszeniem zostanie wyrządzona szkoda majątkowa lub niemajątkowa. Takie wnioski płyną z niedawnego wyroku TSUE.

Jakie naruszenia ochrony danych należy dokumentować i jak to robić

 Administrator danych osobowych ma obowiązek poinformować Prezesa UODO o wystąpieniu w jego organizacji naruszenia ochrony danych. Niekiedy ADO musi to także zgłosić osobom, których te dane dotyczą. Ponadto ADO ma obowiązek dokumentować wszystkie incydenty bezpieczeństwa.

Lista dokumentów, które będą wymagane podczas kontroli UODO

 Przygotowując się do kontroli UODO, należy zdawać sobie sprawę, że kontrola będzie koncentrowała się na weryfikacji, czy kontrolowany posiada odpowiednie dokumenty. Z tego względu potencjalny kontrolowany powinien takie dokumenty przygotować.

Jak przebiega postępowanie w sprawie naruszenia ochrony danych

 Po przeprowadzeniu kontroli UODO Prezes Urzędu Ochrony Danych Osobowych może wszcząć postępowanie w sprawie naruszenia przepisów o ochronie danych osobowych. Może ono zakończyć się nakazem usunięcia uchybień, ale również karą finansową. Od decyzji UODO można złożyć odwołanie do wojewódzkiego sądu administracyjnego. Sprawdź, jak przebiega procedura w sprawie naruszenia.

Zestawienie zmian o uprawnieniach związanych z rodzicielstwem

Od 18 maja 2023 r. obowiązuje nowe rozporządzenie w sprawie wniosków dotyczących uprawnień pracowników związanych z rodzicielstwem oraz dokumentów dołączanych do takich wniosków.

Przetwarzanie danych osobowych w procesie kandydowania i wyboru ławników

Ławnik pełniący rolę sędziego społecznego ma za zadanie służyć swoim doświadczeniem życiowym i zawodowym tak, aby jednocześnie podnosić jakość sądownictwa oraz sprawować jego społeczną kontrolę. Ławnicy wybierani są spośród obywateli polskich po spełnieniu szeregu wymagań. W tym celu odbywa się proces naboru, który związany jest ściśle z przetwarzaniem danych osobowych.

Jak nawiązać i sformalizować współpracę z inspektorem ochrony danych

Inspektor ochrony danych ma za zadanie wspomagać administratora danych i podmiot przetwarzający w monitorowaniu wewnętrznego przestrzegania rozporządzenia RODO. Nie ulega zatem wątpliwości, że skuteczne wsparcie może być zapewnione wyłącznie przez osobę dysponującą wiedzą fachową na temat prawa i praktyk w dziedzinie ochrony danych osobowych. Kwalifikacje i praktyka to kluczowe wymogi, jakie należy wziąć pod uwagę, wyznaczając inspektora, który z założenia ma być wsparciem i doradcą.

Jak nagrywać rozmowy telefoniczne z poszanowaniem ochrony danych osobowych

Nagrywanie rozmów telefonicznych to dość powszechnie stosowane zjawisko w kontaktach z klientami i interesantami. Takie rozwiązanie jest również praktykowane na potrzeby pracodawcy, który nagrywa rozmowy służbowe swoich pracowników. Zapis dźwięku zawiera zwykle dane osobowe tych osób, a to oznacza konieczność spełnienia wymogów dotyczących ochrony tych danych.

Jakie zmiany w dokumentacji pracowniczej czekają administratorów

Nowelizacja kodeksu pracy wpływa na zasady przetwarzania danych osobowych w dokumentacji pracowniczej. Według nowych przepisów należy uwzględnić w dokumentacji pracowniczej kwestie związane z pracą zdalną oraz kontrolą trzeźwości.

Jak prawidłowo złożyć skargę do WSA na decyzję UODO

Administrator danych osobowych ma prawo odwołać się od decyzji Prezesa Urzędu Ochrony Danych Osobowych w zakresie nałożenia kary pieniężnej. Jest to możliwe poprzez złożenie skargi do Wojewódzkiego Sądu Administracyjnego w Warszawie. Sprawdź, jakie wymogi formalne musi spełniać skarga.

Szyfrowanie danych osobowych – jak może pomóc w uniknięciu cyberataku

Administrator przetwarzając w toku swojej działalności dane osobowe, w tym niekiedy także dane wrażliwe, jest zobowiązany do ich właściwego zabezpieczenia. W przypadku gdy dane te są przetwarzane w sposób elektroniczny, jedną z metod zabezpieczenia wartych rozważenia jest szyfrowanie.

Jakie zapisy należy zawrzeć w polityce haseł

CNIL (Commission Nationale de l’Informatique et des Libertés) to Francuska Komisja Krajowa ds. Informatyki oraz Wolności Obywatelskich. Jest to francuski organ ochrony danych, który niedawno opublikował nowe rekomendacje dotyczące polityki haseł w organizacji. Zawarte w nich wytyczne nie są oczywiście obligatoryjne, niemniej jednak warto rozważyć ich zastosowanie także w polskich firmach.

Lista kontrolna: jak poprawnie zredagować kodeks postępowania

Przystępując do redakcji kodeksu postępowania w zakresie RODO, twórcy muszą przyjąć pewne techniki legislacyjne. Od twórców kodeksu postępowania wymaga się w szczególności wskazania uzasadnienia, stosowania przykładów – czyli ogólnie ujmując wyjaśniania zapisów. Skorzystaj z zaprezentowanej listy kontrolnej, aby zredagować zrozumiały i czytelny kodeks postępowania.

Jakich błędów powinni unikać twórcy kodeksów postępowania

Walka z cyberatakami na podstawie projektu ustawy o zwalczaniu nadużyć w komunikacji elektronicznej

 Regularnie słyszymy o wiadomościach SMS informujących o rzekomych drobnych zaległościach w płatnościach np. rachunków za prąd, wraz z linkiem prowadzącym do zewnętrznej strony internetowej, którego kliknięcie może doprowadzić do dotkliwych skutków finansowych. W celu walki z m.in. takimi nieuczciwymi działaniami, podejmowanymi za pośrednictwem środków porozumiewania się na odległość, Rada Ministrów przyjęła projekt ustawy o zwalczaniu nadużyć w komunikacji elektronicznej. Mimo że ustawa nie jest jeszcze obowiązującym prawem, warto przeanalizować jej podstawowe założenia i zastanowić się, na ile skutecznie może ona chronić obywateli przed oszustwami w sferze komunikacji elektronicznej.

Naruszenie RODO przy pozyskiwaniu zgód od potencjalnych klientów

Aby pozyskać klientów, przedsiębiorcy stosują różne metody dotarcia do nich. Przykład ukaranej kancelarii pokazuje, że chcąc przetwarzać dane osobowe w celu ewentualnego nawiązania współpracy, musimy szczególnie zadbać o prawidłowo uzyskaną zgodę na takie przetwarzanie. Decyzja wydana w tej sprawie ma wpływ na sposób pozyskiwania danych osobowych przez przedsiębiorców działających w różnych branżach.

Po co przystępować do stosowania kodeksu postępowania dla sektora medycznego

Pierwszy w Polsce kodeks postępowania w zakresie ochrony danych osobowych zatwierdzony przez Prezesa UODO dotyczy małych placówek medycznych. Kodeks ten precyzuje zasady stosowania RODO. Sam fakt istnienia zatwierdzonego kodeksu postępowania nie rodzi po stronie małych placówek medycznych obowiązku jego stosowania. Kodeks ten może jednak pomóc w praktycznym stosowaniu przepisów o ochronie danych osobowych. Jego zapisy mogą też nas chronić, jeżeli oficjalnie przystąpimy do jego stosowania.

Jakie są zasady ochrony danych osobowych podczas pracy zdalnej

Pandemia COVID-19 przyzwyczaiła nas do możliwości świadczenia pracy w formie zdalnej. Aktualnie duża część potencjalnych pracowników uważa opcję takiej pracy za niezbędny element ich zatrudnienia. To udogodnienie staje się sporym problemem dla pracodawców, którzy muszą starannie przemyśleć sposób nowego funkcjonowania ich przedsiębiorstwa. Jak podejść do tego tematu, mając na uwadze konieczność zapewnienia ochrony danych osobowych?

Zgoda marketingowa – najważniejsze zasady dla administratora danych

Zgoda marketingowa czy inaczej zgoda na marketing bezpośredni to oświadczenie woli, które nie jest uregulowane przepisami RODO. Każdy przedsiębiorca zamierzający wysyłać informacje handlowe do swoich klientów musi od nich takie zgody uzyskać. Sprawdź, w jaki sposób pozyskać legalnie zgodę marketingową.

Przekazanie pacjentowi wyników badań laboratoryjnych – poznaj wskazówki

Pytanie:  Placówki medyczne powinny mieć wewnętrzne regulacje w zakresie zasad udostępniania dokumentacji. Nie mogą przy tym utrudniać dostępności dokumentacji. Muszą jednak wziąć pod uwagę względy bezpieczeństwa. Dlatego w niektórych przypadkach mogą np. ograniczyć dostęp do wyników badań. Jakich konkretnie przypadków to dotyczy?

Podstawy przetwarzania danych biometrycznych

Automatyczne rozpoznawanie twarzy, skanowanie odcisków palców – to jedne z usprawnień najczęściej stosowanych przez administratorów danych osobowych. Rozwiązania te wiążą się z przetwarzaniem danych biometrycznych. Dane te mogą być przetwarzane jedynie w szczególnych przypadkach. Sprawdź, jakich.

Decyzje EROD wobec Facebooka, Instagrama i WhatsAppa – poznaj szczegóły

Podczas 72. posiedzenia plenarnego, które odbyło się 5 grudnia 2022 r. Europejska Rada Ochrony Danych (dalej: EROD) przyjęła trzy wiążące decyzje dotyczące platform Facebooka, Instagrama i WhatsAppa. Jakie kompetencje ma EROD i czym są te decyzje?

Sprawa Virgin Mobile Polska ciąg dalszy

 1,6 mln zł kary administracyjnej nałożył Prezes Urzędu Ochrony Danych Osobowych na P4 Sp. z o.o., następcę prawnego Virgin Mobile Polska Sp. z o.o. Tak wysoka kara była wynikiem niewdrożenia środków bezpieczeństwa przez Virgin Mobile.