Jakie kroki prawne powinien podjąć administrator w przypadku np. ataku hackerskiego i wykradzenia danych?

Odpowiadając na to pytanie na gruncie RODO, na pewno należy po stwierdzeniu wystąpienia takich zdarzeń zawiadomić Inspektora Ochrony Danych, Administratora Systemów Informatycznych oraz Zarząd/najwyższe kierownictwo i to niezwłocznie. Każdy Administrator powinien opracować procedurę/zasady zgłaszania naruszeń, gdyż trzeba pamiętać, że mamy 72 godziny na zgłoszenie takiego zdarzenia do organu nadzorczego. Czas liczymy od momentu stwierdzenia danego

Gdzie powinna zostać przedstawiona opcja wypisania się z bazy?

to zależy od decyzji Administratora i jest powiązane z udzielaniem/cofaniem zgód oraz formą spełnienia obowiązku informacyjnego. W ramach spełnienia tegoż obowiązku trzeba poinformować osobę, której dane dotyczą także o przysługujących jej prawach m.in. prawo do bycia zapomnianym, nie podlegania profilowaniu, usunięcia, sprostowania danych, ograniczenia ich przetwarzania…jeżeli jest powołany IOD to należy powiadomić zainteresowane osoby, iż

Jak przedstawić użytkownikom dane kontaktu z osobą zarządzającą ich danymi? W formularzu, gdzie wyrażają zgodę? W regulaminie?

Obowiązek informacyjny można spełnić na wielu płaszczyznach i do tego namawiam. Mamy do dyspozycji np. tablicę ogłoszeń/informacyjną w naszej placówce, mamy dokumenty papierowe w postaci ulotek, umów/formularzy/ regulaminów załączanych do umów. Można także stworzyć stosowną zakładkę na stronie internetowej. W tych wszystkich miejscach możemy umieścić dane Administratora oraz jeżeli został powołany dane kontaktowane Inspektora Ochrony

Jakie inne formy wyrażenia zgody prócz zaznaczeniem checkboxu można stosować? Kliknięcie w link? czy inne…

Przed stosowaniem linka bym przestrzegał z jednego prostego powodu. Bardzo często przestrzegano i wciąż przestrzega się ludzi przed klikaniem w różnego rodzaju podejrzane linki, mogące zawierać złośliwe oprogramowanie. Myślę, że u wielu budzi to już automatyczny odruch na zasadzie zapalania się w głowie czerwonej lampki ostrzegawczej. Po prostu w tematyce ochrony danych osobowych raczej namawiało

Uzyskując dane potrzebne do zamówienia, jak tego typu przetwarzanie danych ma się do RODO

Zależy od sytuacji. Pamiętajmy, że dane osobowe dotyczą osób fizycznych. Niemniej jednak faktury i to wcale nie wystawione dla osoby fizycznej, również podlegają pod RODO. Jeżeli bowiem na fakturze mamy „Jak Kowalski s.c. 26-600 Radom, ul. Radomska 76” to co prawda nie ma danych osobowych sensu stricte, gdyż informacje dotyczą firmy. Aczkolwiek jak czytamy w

Jak powinny wyglądać informacje o wypisaniu się z bazy i co powinny zawierać?

Administrator, jeśli podjął decyzję o usunięciu danych z bazy w związku ze złożeniem przez daną osobę takiego żądania, musi ją o tym poinformować. W takiej informacji zwrotnej należy nawiązać do żądania przedłożonego przez osobę, której dane dotyczą, umieścić oznaczenie Administratora, podstawę prawną na bazie której doszło do usunięcia oraz datę realizacji żądania. Sam fakt możliwości

Prawo do bycia zapomnianym

w momencie złożenia takiego żądania przez osobę, której dane dotyczą i uznania go za zasadne przez Administratora, dane należy usunąć zarówno w formie papierowej jak i elektronicznej. Przez usunięcie danych w formie elektronicznej rozumiemy zarówno ich kasację z systemu, ale także backupu, który powinien być usuwany po 72h. Często backup jest wykorzystywany jako archiwum. Jednak

Czego możemy żądać od Administratora jako osoba, której dane są przez niego przetwarzane?

Każda osoba, której dane osobowe są przetwarzane przez określony podmiot, ma prawo egzekwować od niego jako Administratora pewnych praw. Są to: Prawo do bycia poinformowanym o operacjach przetwarzania; Prawo dostępu; Prawo do sprostowania/uzupełnienia danych; Prawo do usunięcia danych; Prawo do ograniczenia przetwarzania; Prawo do przenoszenia danych; Prawo do sprzeciwu; Prawo do bycia zapomnianym; Prawo do

Czy i jakie jeszcze kary, oprócz 10 i 20 mln euro może na nas nałożyć organ nadzorczy?

Kary 10 mln euro lub 2% światowego obrotu za rok poprzedni oraz 20 mln euro i 4% światowego obrotu za rok poprzedni to tylko dwie z wielu możliwych decyzji, jakie może podjąć wobec nas organ nadzorczy w momencie stwierdzenia niezgodnego z przepisami przetwarzania danych osobowych. „Repertuar” możliwości jest naprawdę szeroki i obejmuje m.in.: Wydawanie ostrzeżeń

Czym się różni powierzenie danych od ich udostępnienia?

Powierzenie danych to ich przekazanie innemu podmiotowi po to, aby były one przetwarzane przez niego w naszym imieniu. Nie zmienia się zatem Administrator, którym wciąż jesteśmy my. Z takim podmiotem podpisywana jest umowa powierzenia przetwarzania danych, która umożliwia nam także jego kontrolę oraz pozwala wymusić usunięcie przekazanych danych oraz ich kopii papierowych i elektronicznych w