WYDANIE ONLINE
Komisja Europejska przyjęła decyzję w sprawie programu Tarcza Prywatności UE-USA (Privacy Shield UE-USA). Zastąpi on program Bezpieczna Przystań i ma dawać większe niż jej poprzednik gwarancje ochrony danych osobowych Europejczyków. Porozumienie umożliwi przekazywanie danych osobowych między Stanami Zjednoczonymi a Unią Europejską.
Firmy przetwarzające dane osobowe na potrzeby swojej działalności muszą kierować się prawem państwa, na którego terytorium prowadzą działalność – orzekł Trybunał Sprawiedliwości UE w wyroku z 28 lipca 2016 r.
Wiele firm, zwłaszcza te działające w Internecie, oferuje swoim klientom darmowe usługi. Są one jednak tylko pozornie darmowe, ponieważ firmy w zamian pobierają od klientów szeroki zakres ich danych osobowych. Unia Europejska pracuje nad dyrektywą, która ureguluje takie umowy.
W każdym podmiocie może zdarzyć się tak, że osoby nieuprawnione, np. personel sprzątający, będą miały dostęp do danych osobowych. Nie oznacza to jednak, że należy nadawać im upoważnienia do przetwarzania danych. Trzeba tak zorganizować system zabezpieczeń, by takiego dostępu nie miały. Dodatkowo warto zapoznać personel sprzątający z zasadami bezpieczeństwa obowiązującymi w podmiocie.
Nawet w najlepiej zabezpieczonym i zarządzanym systemie może dojść do zdarzenia skutkującego naruszeniem bezpieczeństwa danych osobowych, czyli incydentu bezpieczeństwa. Obecnie administrator danych nie musi informować o tym GIODO ani osób, których danych incydent dotyczył. Zmieni się to po wejściu w życie ogólnego rozporządzenia.
Nowelizacja ustawy o ochronie danych osobowych wprowadziła zwolnienie z obowiązku rejestracji zbiorów danych, jeśli administrator danych powoła ABI i zgłosi go do GIODO. Jednak jeśli taki ADO przetwarza dane wrażliwe, wciąż obowiązuje go zgłaszanie zbiorów do rejestracji.
Nie tylko z ustawy o ochronie danych osobowych wynikają obowiązki informacyjne. Podmioty, które świadczą swoje usługi drogą elektroniczną, także muszą podać klientom np. swoje dane identyfikacyjne. W przeciwieństwie do obowiązku informacyjnego z uodo nie wszystkie informacje m uszą być zawarte w specjalnych klauzulach. Niektóre z nich można umieścić w regulaminie.
Przepisy o ochronie danych osobowych nie zobowiązują administratorów danych do wykreślania zbiorów, w których dane nie są już przetwarzane, z rejestru GIODO. Nie trzeba obawiać się żadnej sankcji, jeśli taki zbiór wciąż widnieje w rejestrze. Jednak administratorzy danych we własnym interesie powinni zadbać, aby u GIODO były zarejestrowane tylko te zbiory, które posiadają.
W każdej placówce oświatowej może pojawić się konieczność powierzenia przetwarzania danych osobowych innemu podmiotowi. Może się tak zdarzyć, np. jeżeli szkoła korzysta z dziennika elektronicznego, który znajduje się na serwerze firmy zewnętrznej. W takiej sytuacji trzeba zawrzeć umowę powierzenia przetwarzania danych osobowych.
Podpisując umowę o powierzeniu danych osobowych, procesor nie staje się administratorem danych. Ma jednak wobec danych, które zostały mu powierzone, wiele obowiązków. Musi je m.in. odpowiednio zabezpieczać, zwłaszcza jeśli są one przetwarzane w systemie informatycznym.
