Privacy by design (ochrona danych w fazie projektowania) i privacy by default (domyślna ochrona danych) to dwie zasady, które RODO wynosi do rangi obowiązku prawnego. Art. 25 RODO wymaga, aby administrator uwzględniał ochronę danych osobowych na każdym etapie projektowania systemów, produktów i procesów — nie jako dodatek na końcu, ale jako integralny element od samego […]
Wybór właściwej podstawy prawnej przetwarzania danych osobowych to jedna z najważniejszych decyzji, jakie podejmuje administrator danych — i jednocześnie jedna z najczęstszych przyczyn naruszeń stwierdzanych przez UODO. Błędnie dobrana podstawa prawna może oznaczać, że całe przetwarzanie jest nielegalne, nawet jeśli organizacja spełnia wszystkie inne wymagania RODO. Art. 6 RODO wymienia sześć — i tylko sześć […]
Rejestr czynności przetwarzania (RCP) to jeden z fundamentalnych dokumentów wymaganych przez RODO. Jest to wewnętrzna ewidencja wszystkich procesów przetwarzania danych osobowych w organizacji — swego rodzaju „mapa danych”, która pokazuje, jakie dane są przetwarzane, w jakim celu, na jakiej podstawie prawnej, komu są udostępniane i jak długo przechowywane. RCP to zazwyczaj pierwszy dokument, o który […]
Każda firma, która korzysta z usług zewnętrznych dostawców przetwarzających dane osobowe w jej imieniu — biura rachunkowego, firmy hostingowej, dostawcy systemu CRM, agencji marketingowej, firmy IT, dostawcy chmury — ma obowiązek zawarcia z takim podmiotem umowy powierzenia przetwarzania danych osobowych. Obowiązek ten wynika z art. 28 RODO i dotyczy każdego administratora danych, niezależnie od wielkości […]
Obowiązek informacyjny to jeden z filarów RODO i jednocześnie jeden z najczęściej nieprawidłowo realizowanych. Każda firma, instytucja i organizacja, która przetwarza dane osobowe, musi poinformować o tym osoby, których dane dotyczą — a informacja ta musi spełniać ściśle określone wymagania. Dokument, w którym te informacje są przekazywane, nazywany jest potocznie klauzulą informacyjną. W praktyce klauzule […]
Ogólne rozporządzenie o ochronie danych, znane jako RODO (ang. GDPR — General Data Protection Regulation), to najważniejszy akt prawny regulujący ochronę danych osobowych w Europie. Obowiązuje od 25 maja 2018 r. i dotyczy praktycznie każdej firmy, instytucji i organizacji, która przetwarza dane osobowe osób przebywających w Unii Europejskiej. W tym przewodniku wyjaśniam najważniejsze zagadnienia RODO […]