Tematy - RODO, UODO

W 2025 r. kontrolerzy Urzędu Ochrony Danych Osobowych skupią się m.in. na bezpieczeństwie danych medycznych i przetwarzaniu danych dzieci. Plan kontroli uwzględnia te sektory, w których coraz częściej pojawiają się zagrożenia oraz te, które społeczne zainteresowanie.

Czy firmy szkolą swoich pracowników w zakresie ochrony danych osobowych więcej niż tylko na początku zatrudnienia? Jaki odsetek przedsiębiorstw nie robi tego wcale? Czy wiedzą, jak postępować w przypadku wycieku danych?

W dzisiejszym dynamicznie zmieniającym się świecie prawnym, przedsiębiorcy muszą być na bieżąco z otoczeniem prawnym firmy, w tym regulacjami dotyczącymi ochrony danych osobowych. Compliance, czyli zgodność z przepisami prawa, staje się kluczowym elementem w działalności każdej firmy, niezależnie od jej wielkości. W obliczu surowych kar finansowych i rosnącej świadomości konsumentów, ochrona danych osobowych przestała być jedynie formalnością, a stała się fundamentem odpowiedzialnego prowadzenia biznesu.

Użytkownicy różnych urządzeń, aplikacji czy systemów często nie są świadomi, przez kogo i do jakich celów są gromadzone i wykorzystywane dane na ich temat. Rozwój technologii rzadko idzie w parze ze świadomością użytkowników i regulacjami prawnymi. To stanowi zagrożenie dla ochrony danych osobowych.

Przedsiębiorcy telekomunikacyjni z obowiązkiem przekazywania do GUS szczegółowych danych osobowych abonentów usług telefonicznych, a więc danych osobowych milionów polskich obywateli oraz obywateli innych państw, którzy wykupili usługi u polskiego operatora. Krajowa Izba Gospodarcza Elektroniki i Telekomunikacji oraz Polska Izba Informatyki i Telekomunikacji są zaniepokojone.

30 listopada 2022 r. o godz. 10:00-11:30 zapraszamy na webinar z nowej serii: Spotkania przy RODO organizowany przez GDPR Risk Tracker – aplikację do wdrażania RODO oraz kancelarię Lubasz i Wspólnicy. Portal infor.pl jest patronem medialnym tego wydarzenia.

Ochrona danych osobowych w ostatnich latach nabrała znacznie większego znaczenia, również wskutek unijnego rozporządzenia RODO. Można wręcz powiedzieć, że świadomość pracowników w relacjach z pracodawcami znacznie wzrosła, co z kolei przekłada się na wyższy poziom ochrony danych osobowych w stosunkach pracy. Każda bowiem strona stosunku pracy jest niejako wyczulona a zarazem ostrożna w pozyskiwaniu danych osobowych (pracodawca), czy też ich udostępnianiu (pracownik). W tym kontekście warto zwrócić uwagę na jeden z aspektów przetwarzania danych osobowych na etapie procesu rekrutacji i zatrudnienia.

Zmiany w prawie pracy związane ochroną sygnalistów oraz weryfikacją szczepień, regulacje dotyczące plików cookies czy ocena profilowania osób ubiegających się o kredyt - to niektóre z wyzwań związanych z ochroną danych osobowych w 2022 r. - uważa Mirosław Gumularz z WSB Warszawa.

Suma kar nałożonych przez Urząd Ochrony Danych Osobowych z tytułu RODO przekroczyła 2 mln euro; najwyższa do tej pory kara to ponad 600 tys., a średnia to 79 tys. euro - wynika z opublikowanej w piątek analizy. Zgodnie z nią w 35 proc. przypadków przyczyną kary były nieodpowiednie zabezpieczenia.

Czy przed wejściem można sprawdzać lub skanować paszporty covidowe? Czy jest to zgodne z prawem?

W tym roku czeka nas jubileuszowa 10. edycja Konwentu Ochrony Danych i Informacji. Obejmie aż dwa dni spotkań: 6 i 7 października. Jak co roku uczestnicy wydarzenia spotkają się z ekspertami ze świata nauki, administracji i biznesu, którzy są specjalistami w dziedzinie ochrony danych i bezpieczeństwa informacji. Tegoroczna edycja Konwentu skupiona będzie wokół tematu naruszeń ochrony danych osobowych, decyzji Prezesa Urzędu Ochrony Danych Osobowych i kar. Poza prelekcjami i znanymi już warsztatami #DataProtectionMixer, uczestnicy wydarzenia będą świadkami debaty komentatorskiej, w której wezmą udział zaproszeni eksperci. Portal infor.pl objął patronat medialny nad tym wydarzeniem.

Standardowe klauzule umowne przy powierzaniu danych - od 27 czerwca 2021 r. obowiązuje decyzja Komisji Europejskiej w tym przedmiocie.

Czy choć raz usłyszałeś “NIE, bo RODO”? Absurdy RODO są skutkiem złej interpretacji przepisów, wprowadzania nadmiernej papierologii i zastraszanie przedsiębiorców wysokimi karami.

RODO: 93% Polaków potwierdza, że ich pracodawca dba o kwestie ochrony danych osobowych. Czy według polskich pracowników, unijne rozporządzenie zwiększyło dbałość pracodawców o ochronę danych osobowych? Co jeszcze się zmieniło po wprowadzeniu nowych przepisów?

RODO w czasach pandemii zyskuje na znaczeniu. Firmy i organizacje powinny określić gdzie i kto przetwarza dane osobowe oraz zapewnić cykliczne szkolenia z przetwarzania danych osobowych.

UODO ma prawo przeprowadzić kontrolę w każdej organizacji – zarówno z sektora prywatnego, jak i publicznego. Niewiele osób zdaje sobie sprawę, że karze może podlegać zgubienie sprzętu służbowego czy utrudnianie kontroli.

Rodo w czasie pandemii - okazuje się, że najbardziej boimy się wycieku z bazy firm i instytucji oraz tego, że damy się oszukać przestępcom wyłudzającym dane.

Status Inspektora Danych Osobowych (IOD) w spółkach może rodzić wiele wątpliwości. RODO przewiduje przypadki, w których powołanie Inspektora Ochrony Danych jest obligatoryjne, a także przypadki, w których jest to fakultatywne. Niezależnie jednak od tego, czy w danym podmiocie jest obowiązek powołania IOD, RODO wyznacza także pewne wymogi, które powinny zostać spełnione przez IOD oraz w stosunku do IOD tak, aby jego pozycja w ramach struktury organizacyjnej podmiotu, uprawnienia i obowiązki były zgodne z wymogami prawa.

Kodeksy postępowania muszą spełniać określone wymagania. Choć do zatwierdzenia pierwszych kodeksów postępowania jest już coraz bliżej, to wciąż nie mamy w Polsce takiego dokumentu, który byłby już stosowany.

Rozwój technologiczny pociąga za sobą coraz większe zainteresowanie zagadnieniami związanymi z ochroną prywatności. Na kwestie dotyczące pozyskiwania i wykorzystywania danych zwracają uwagę nie tylko konsumenci, ale także instytucje finansowe, w tym banki i ubezpieczyciele.

Monitoring poczty służbowej oraz jej czytanie przez pracodawcę budzi wiele emocji. Niemniej jednak Urząd Ochrony Danych Osobowych stoi na stanowisko, że pracodawca może kontrolować służbową pocztę elektroniczną pracownika, ale musi najpierw poinformować o prowadzeniu monitoringu poczty.

W przypadku, kiedy na terenie przedsiębiorstwa funkcjonuje monitoring wizyjny - pracodawca powinien również brać pod uwagę przepisy RODO. Narusza to bowiem ich prywatność, a pracownicy mają do niej prawo nawet w miejscu wykonywania swojej pracy.

Zgodnie z RODO naruszenie ochrony danych osobowych należy zgłosić do Prezesa Urzędu Ochrony Danych Osobowych, chyba że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych.

Stosowanie plików cookies wymaga od administratora zapewnienia zgodności takiego przetwarzania z prawem, w tym dotyczącym ochrony danych osobowych i ochrony prywatności. Może to polegać np. na konieczności uzyskania zgody użytkownika na zapisywanie tych plików. Stosowanie zgody do wszystkich plików cookies nie zapewni jednak zgodności przetwarzania z prawem.

Przy rekrutacji pracowników np. w urzędach należy pamiętać, że można pozyskiwać tylko określone dane osobowe; nie ma obowiązku dostarczania np. zdjęcia, informacji o stanie cywilnym, czy toczących się postępowaniach karnych.

To często występujący rodzaj ataku stosowany wśród firm. Ransomware to rodzaj wirusa komputerowego, który szyfruje pliki na zaatakowanym komputerze i w praktyce blokuje jego działanie. Za wydanie klucza do odszyfrowania danych przestępcy żądają okupu.

Jak stosować mechanizmy domyślnej ochrony danych i ochrony danych w fazie projektowania? Przedstawiamy wnioski z wytycznych Europejskiej Rady Ochrony Danych

Pracodawca może żądać od pracownika informacji o zarażeniu wirusem SARS-CoV-2 (tzw. koronawirusem), a także innych danych związanych z przeciwdziałaniem chorobie COVID-19. Podstawę prawną zapewniają mu przepisy RODO. Wymagają jednak zagwarantowania tym danym bezpieczeństwa i poufności.

Czy pracodawca może zezwolić pracownikom na korzystanie w pracy zdalnej z dokumentacji papierowej zawierającej dane osobowe? Przedstawiamy opinię UODO.

Dane biometryczne to szczególna kategoria danych. Czy przetwarzanie przez pracodawcę danych biometrycznych pracowników jest zgodne z RODO?

Zdaniem Prezesa Urzędu Ochrony Danych Osobowych przepisy o ochronie danych osobowych nie sprzeciwiają się przetwarzaniu danych pracowników i gości w zakresie np. mierzenia temperatury czy wdrażania kwestionariusza z objawami chorobowymi. Jednak tego typu działania podejmowane przez przedsiębiorców, pracodawców i inne podmioty będą legalne, jedynie w sytuacji, jeżeli administrator będzie realizował je na podstawie przepisów prawa – zgodnie z zasadą legalności określoną w art. 5 ust. 1 RODO. W przedmiotowej sprawie podstaw prawnych należy niewątpliwie doszukiwać się w rozwiązaniach wyznaczanych przez Głównego Inspektora Sanitarnego.

Niezależnie od regulacji prawnoautorskich należy pamiętać, iż wizerunek stanowi również daną osobową. Jak zatem wykorzystać wizerunek zgodnie z RODO?

Od 1 stycznia 2020 r. druga transza pracodawców dołączyła do programu PPK. Mimo że największe firmy musiały zmierzyć się z PPK już pół roku wcześniej, praktyka w dalszym ciągu nie wypracowała rozwiązań wyjaśniających wątpliwości, które powstają w związku z koniecznością pogodzenia nowych przepisów nie tylko z RODO, lecz także z Kodeksem pracy.

Prezes UODO wyjaśnia, że przepisy ogólnego rozporządzenia o ochronie danych (RODO) nie stoją w sprzeczności z przesyłaniem do użytkowników telefonów komórkowych wjeżdżających do Polski komunikatów związanych z rozprzestrzenianiem się koronawirusa 2019-nCoV.

Propozycje Rzecznika Małych i Średnich Przedsiębiorców byłyby sporym ułatwieniem. Dotyczą one wyłączenia przedsiębiorców w jak najszerszym zakresie z obowiązków informacyjnych wynikających z RODO.

Kwestie ochrony danych osobowych i prywatności do niedawna zajmowały jedynie wąską grupę specjalistów w przedsiębiorstwach i instytucjach. Jeśli ktoś nie był konsultantem ds. informatyki albo prawnikiem, nie interesował się zgodnością procedur z zasadami ochrony prywatności. W jaki sposób zatem udało się osiągnąć stan, w którym wiele organizacji jest prawnie zobowiązanych do zatrudnienia inspektora ochrony danych? Dlaczego menedżerowie tak bardzo interesują się strategią ochrony danych i polityką prywatności swoich przedsiębiorstw?

Wielu administratorów boi się dokonywania aktualizacji polityki ochrony danych osobowych. Czy słusznie? Czy przepisy RODO dają konkretne wytyczne dotyczące tworzenia i aktualizowania dokumentacji ochrony danych osobowych?

Gdy analizujemy kwestie związane z przetwarzaniem danych osobowych pracowników, bardzo często skupiamy się na właściwym przeprowadzaniu rekrutacji (zwłaszcza w kontekście stosunkowo niedawnych zmian w Kodeksie pracy) i na pułapkach, w które można wpaść w trakcie procesu zatrudnienia. Poświęcamy więc czas i uwagę odpowiedniej konstrukcji klauzul informacyjnych, uregulowaniu monitoringu pracowników czy dostosowaniu regulaminu zakładowego funduszu świadczeń socjalnych do wymagań ustawy. Możemy jednak przeoczyć z pozoru nieistotne, wąskie zagadnienia związane z zapewnieniem pracownikom bezpiecznych i higienicznych warunków pracy.

W ferworze wszystkich działań związanych z przygotowaniem do kontroli nie można zapomnieć o tym, co jest głównym przedmiotem zainteresowania pracowników Urzędu Ochrony Danych Osobowych, czyli o procesach przetwarzania danych osobowych realizowanych przez administratorów. Kluczowymi zagadnieniami spośród najważniejszych procesów, które zazwyczaj występują w organizacjach są: rekrutacja, zatrudnienie, marketing, ofertowanie i przetwarzanie danych kontrahentów.

Tylko w 2018 roku przeprowadzono łącznie 72 kontrole przestrzegania przepisów o ochronie danych osobowych – wynika ze sprawozdania UODO. Do sierpnia 2019 r. ta liczba wzrosła do 113. Co więcej, Prezes UODO wydał ponad 130 decyzji administracyjnych, w tym trzy o nałożeniu administracyjnych kar pieniężnych na: spółkę Bisnode, za niespełnienie obowiązku informacyjnego z art. 14 RODO w sytuacji, w której zdaniem organu spółka nie mogła powołać się na wyłączenie z art. 14 ust. 5 lit. b (niewspółmiernie duży wysiłek), na Dolnośląski Związek Piłki Nożnej za upublicznienie imion, nazwisk, adresów zamieszkania i numerów PESEL sędziów na stronie WWW i w końcu na Morele.net za naruszenie zasady poufności danych (art. 5 ust. 1 lit. f RODO).

Prezes Urzędu Ochrony Danych Osobowych może nakładać administracyjne kary pieniężne. Jaka jest wysokość kar nakładanych przez PUODO? Jakie czynniki Prezes UODO bierze pod uwagę przy wymierzaniu kary?

Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE, zwane „RODO”, zobowiązuje organizacje wykonujące operację lub zestaw operacji na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie (art. 4 pkt 2 RODO), do zarządzania ryzykiem ich przetwarzania.

Praktyka pokazuje, że zdarzają się sytuacje, gdy dostawca (kontrahent) – aby zapewnić prawidłowość świadczonych usług – musi korzystać z usług podwykonawców z krajów poza Europejskim Obszarem Gospodarczym (EOG). Jeżeli w związku ze świadczoną usługą będzie dochodzić do powierzenia danych osobowych w rozumieniu art. 28 RODO, należy uregulować transfer danych do państwa trzeciego.

Formą promocji, z jakiej korzysta wiele podmiotów, zarówno publicznych, jak i prywatnych, jest fanpage na Facebooku. Założenie go nie wymaga skomplikowanej wiedzy. Mało kto zdaje sobie jednak sprawę, że pomimo tego, iż administratorem serwisu jest Facebook, to podmiot prowadzący fanpage staje się także administratorem danych.

Wtyczka "Lubię to" pojawia się na wielu stronach internetowych. Czy użycie wtyczki „Lubię to” prowadzi do współadministrowania danymi osobowymi?

Zakończyły się konsultacje branżowe pierwszej części Kodeksu Ochrony Danych Osobowych w Rekrutacji. Dokument ma pomóc pracodawcom w stosowaniu regulacji prawnych dotyczących przetwarzania oraz ochrony danych osobowych. Głównym celem projektu jest zebranie i popularyzacja dobrych praktyk związanych ze stosowaniem w rekrutacji przepisów wynikających z RODO. Inicjatywa powstania Kodeksu spotkała się z pochlebną opinią branżowych ekspertów, którzy chętnie zaangażowali się w opracowanie dokumentu.

Prowadzenie dokumentacji ochrony danych to obowiązek, który nie ogranicza się do posiadania wewnętrznych procedur na wypadek kontroli UODO. Funkcją dokumentacji jest przede wszystkim uświadamianie pracowników, w jaki sposób powinni postępować z danymi osobowymi. Poniżej udzielamy wskazówek, jak osiągnąć ten cel.

Nowe przepisy wdrażające RODO w aż 162 ustawach doprecyzowały, a niekiedy dodały nowe wymogi związane z ochroną danych osobowych. Dla działu kadr oznacza to konieczność weryfikacji zakresu przetwarzanych danych, podstaw prawnych i klauzul informacyjnych, kierowanych do kandydatów do pracy, pracowników i członków ich rodzin. Szczegóły omówiono poniżej.

RODO weszło w życie w maju 2018 r. Jak nowe przepisy uregulowane w Rozporządzeniu o ochronie danych osobowych stosuje się w Polsce? Poniżej znajduje się podsumowanie pierwszego roku funkcjonowania RODO.

Rozporządzenie unijne RODO obowiązuje już od roku. Prezes UODO zapowiedział kontrole firm. Czego powinni spodziewać się przedsiębiorcy? Jakie ewentualne działania mogą podjąć? Jakie mają uprawnienia?

RODO, UODO

Które branże skontroluje UODO? Znamy plan na 2025 rok

Nie robią szkoleń z ochrony danych osobowych, lekceważą hakerów i ukrywają skutki kradzieży danych

Compliance a ochrona danych - co przedsiębiorcy muszą wiedzieć

Używasz smartfona? Twoje wrażliwe dane są jak na dłoni. Technologia pozbawia nas prywatności

Przedsiębiorcy telekomunikacyjni przekazują dane abonentów do GUS. W jakim celu?

Spotkanie przy RODO: „Aktualne wyzwania w relacji ADO-Podmiot przetwarzający” – panel ekspercki online 30 listopada

Pracownik wybrany na etapie rekrutacji - co z danymi osobowymi?

Ochrona sygnalistów, weryfikacja szczepień, uregulowanie cookies to wyzwania ochrony danych osobowych w 2022 r.

RODO: Suma kar UODO przekroczyła 2 mln euro

Sylwester 2021 r. Hotelarze i restauratorzy w ogniu przepisów

Konwent Ochrony Danych i Informacji – 6-7 października. RODO – naruszenia, decyzje, kary

Standardowe klauzule umowne przy powierzaniu danych

"Nie, bo RODO". Czy RODO blokuje rozwój firmy?

RODO w praktyce - co się zmieniło przez 3 lata?

Jak uniknąć problemów z RODO w firmie lub organizacji?

Za co firma może otrzymać karę od UODO?

Jak chronić dane osobowe w czasie pandemii?

Status Inspektora Ochrony Danych

Kodeksy postępowania - jaka jest ich rola?

Jak chronić dane klientów w insytucjach finansowych

Czy pracodawca może czytać pocztę służbową pracownika?

Nagranie z monitoringu - pracownik może je otrzymać na żądanie

Naruszenia ochrony danych: jakie są zgłaszane najczęściej i w jaki sposób można im zapobiegać

Nie zawsze zgoda na stosowanie plików cookies

Jak rekrutować do pracy nie łamiąc RODO?

Ransomware, czyli blokady firm dla okupu

Na czym polega domyślna ochrona danych?

Ochrona danych osobowych w czasie epidemii

Udostępnienie dokumentacji zawierającej dane osobowe a praca zdalna

Rejestracja czasu pracy za pomocą danych biometrycznych a RODO

Pomiar temperatury pracowników i gości firmy - wyjaśnienia UODO

Wykorzystanie wizerunku a ochrona danych osobowych

Obsługa PPK w zgodzie z RODO

Komunikaty w sprawie koronawirusa a RODO

Rzecznik MŚP proponuje zmiany w przepisach dotyczących RODO

Ochrona danych osobowych - strategie biznesowe i informatyczne

Polityka ochrony danych osobowych - czy można ją aktualizować?

RODO w BHP

Jak przygotować procesy przetwarzania danych osobowych do kontroli Prezesa UODO?

Kontrola Prezesa UODO

Administracyjne kary pieniężne nakładane przez PUODO

Szacowanie ryzyka zgodnie z RODO

Podpowierzenie danych do państwa trzeciego a standardowe klauzule umowne

Podmiot prowadzący fanpage staje się także administratorem danych

Wtyczka „Lubię to” a RODO

Kodeks Ochrony Danych Osobowych w Rekrutacji - co oznacza dla pracodawców?

Jak stworzyć użyteczną dokumentację ochrony danych?

Ustawa wdrażająca RODO – o czym powinien wiedzieć dział kadr? Rekrutacja i zatrudnienie

RODO - podsumowanie pierwszego roku

Kontrola RODO w firmie - pytania i odpowiedzi