Blog - ochrona danych osobowych RODO

Wykorzystanie monitoringu wizyjnego w zakładzie pracy nie było dotąd wprost uregulowane w przepisach prawa. Dostosowanie przepisów krajowych do RODO zobligowało polskiego ustawodawcę do unormowania również tego obszaru. Nowelizację kodeksu pracy w zakresie dodania przepisów dotyczących kontrolowania pracowników za pomocą kamer oraz systemów informatycznych wprowadzono na podstawie nowej ustawy o ochronie danych osobowych. Przepisy o monitoringu wizyjnym w zakładzie pracy weszły w życie 25 maja 2018 roku.

Monitorowanie pracowników – zarówno za pomocą kamer, jak i systemów informatycznych – dotychczas stanowiło obszar nieuregulowany w polskich przepisach prawa. RODO przyspieszyło temat unormowania tego obszaru przez polskiego ustawodawcę. Wraz z RODO weszła w życie polska ustawa o ochronie danych osobowych wprowadzająca m.in. nowelizację przepisów prawa pracy. Kodeks pracy został rozszerzony o regulację odnoszącą się do monitoringu wizyjnego w zakładzie pracy, monitoringu służbowej poczty elektronicznej oraz innych form monitoringu pracowników.

Zapraszamy do lektury drugiej części artykułu na temat rekomendacji Urzędu Ochrony Danych Osobowych w zakresie przetwarzania danych osobowych w miejscu pracy. Poprzedni tekst dotyczył dwóch obszarów: etapu poszukiwania pracy i rekrutacji. Teraz skupimy się na trzecim obszarze – procesie zatrudniania.

Urząd Ochrony Danych Osobowych wydał 4 października br. poradnik dotyczący rekomendacji w zakresie przetwarzania danych osobowych w miejscu pracy. To bardzo istotny obszar dla każdego przedsiębiorcy. Bez względu na to, w jaki sposób będzie poszukiwał kandydatów do pracy, proces ten zawsze będzie się wiązał z pozyskiwaniem przez niego danych osobowych.

Rada Ministrów przyjęła 28 sierpnia br. projekt ustawy wdrażający unijną dyrektywę o ochronie danych 2016/680, zwaną policyjną. Jaki jest cel i zakres dyrektywy policyjnej?

Dnia 24 sierpnia 2018 r. został ogłoszony w Monitorze Polskim pierwszy Komunikat Prezesa Urzędu Ochrony Danych Osobowych (dalej także jako PUODO) z dnia 17 sierpnia 2018 r. W komunikacie zostały wskazane operacje przetwarzania, które wymagają od administratora przeprowadzenia oceny skutków dla ochrony danych osobowych.

Obowiązek uprzednich konsultacji ściśle powiązany jest z wynikającym z RODO wymogiem dokonywania przez administratorów oceny skutków planowanych operacji przetwarzania dla ochrony danych osobowych. Uprzednie konsultacje w określonych przypadkach powinny być kolejnym etapem działań administratora po przeprowadzeniu oceny skutków przetwarzania, a jeszcze przed rozpoczęciem nowych procesów przetwarzania danych osobowych.

25 maja 2018 to data rozpoczęcia nowego etapu prawnej ochrony danych osobowych. W porządku prawnym Unii Europejskiej ogólne rozporządzenie o ochronie danych osobowych, najbardziej rozpoznawalne jako RODO, zastąpiło dyrektywę 95/46/WE z 1995 roku w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych. Wraz z reformą przepisów powstał nowy unijny organ doradczy do spraw zgodnego z prawem przetwarzania danych osobowych – Europejska Rada Ochrony Danych Osobowych.

Skarga do organu nadzorczego stanowi tylko jeden z przewidzianych w przepisach RODO środków ochrony prawnej dla osób, których dane dotyczą. Na terenie Rzeczpospolitej Polskiej organem nadzorczym, którego kompetencje określa RODO oraz krajowa ustawa o ochronie danych osobowych jest Prezes Urzędu Ochrony Danych Osobowych (dalej jako: organ nadzorczy, PUODO). Niniejszy artykuł ma pomóc w uporządkowaniu informacji o możliwości wniesienia skargi do PUODO oraz o tym, jak można to obecnie zrobić.

Przepisy RODO w powszechnym przekonaniu oznaczają wprowadzenie surowego reżimu w zakresie ochrony danych osobowych, który obciąża przedsiębiorców szeregiem nowych obowiązków. Jednym z takich nowych obowiązków jest zawiadomienie osoby, której dane dotyczą, o naruszeniu ochrony danych osobowych.

Jedną z istotnych zmian wprowadzonych na gruncie krajowego porządku prawnego było zastąpienie z dniem 25 maja 2018 roku Generalnego Inspektora Ochrony Danych Osobowych nowym organem, który otrzymał nazwę Prezesa Urzędu Ochrony Danych Osobowych. Co ta zmiana przyniosła w praktyce?

Cały wachlarz działań marketingowych prowadzonych przez przedsiębiorców wiąże się z przetwarzaniem danych osobowych klientów. Po 25 maja 2018 r., od kiedy w całej Unii zaczęło obowiązywać ogólne rozporządzenie o ochronie danych – realizacja działań promocyjnych kierowanych bezpośrednio do konkretnych osób jest obwarowana dodatkowymi obostrzeniami. Jednym z popularnych działań marketingowych jest konkurs. Jak realizować konkursy zgodnie z prawem, respektując wymogi RODO?

Wprowadzone przez RODO zmiany w istotny sposób dotyczą przedsiębiorców działających w obszarze handlu elektronicznego. O czym powinni pamiętać właściciele e-sklepów w związku z nowymi unijnymi przepisami dotyczącymi ochrony danych osobowych?

Jedną z wielu nowości, jakie wprowadziło RODO – unijne rozporządzenie o ochronie danych osobowych – jest prawo do przenoszenia danych. Jak powinien wyglądać wniosek osoby, która chce skorzystać z tego prawa i kiedy przeniesienie danych pomiędzy Administratorami jest możliwe?

Zgodnie z RODO każdy Administrator zobowiązany jest do tego, aby zgromadzone przez niego dane były aktualne. Również osoby, których dane dotyczą, mają prawo do zgłoszenia Administratorowi wszelkich nieprawidłowości w danych lub konieczności ich sprostowania. Jak wygląda procedura aktualizacji danych osobowych?

Jak powinna wyglądać zgoda by była poprawna według przepisów RODO? Kiedy trzeba zbierać zgodę, a kiedy nie. Jakie obowiązki informacyjne trzeba spełnić zbierając dane osobowe.

Administratorem danych osobowych, czyli podmiotem upoważnionym do wykonywania różnych operacji na danych osobowych może być konkretna firma. Nie oznacza to jednak, że uprawnienia administratora zyskuje automatycznie każdy pracownik danego przedsiębiorstwa. Wymagane jest w tym celu nadanie wybranym osobom odpowiedniego upoważnienia. Operacje na danych osobowych to m.in.: zbieranie, utrwalanie, przechowywanie, opracowywanie, modyfikowanie, udostępnianie czy usuwanie danych.

RODO wskazuje, że każdy administrator danych osobowych powinien spełnić tak zwany obowiązek informacyjny. Celem przekazania wymaganych informacji osobie jest uświadomienie jej, kto i w jaki sposób będzie przetwarzał udostępnione przez nią dane. Jakie obowiązki informacyjne mają spełnić administratorzy danych osobowych i w jaki sposób mogą tego dokonać?

Artykuł 5 Rozporządzenia o Ochronie Danych Osobowych (RODO) określa zasady, według których dane osobowe mogą być przetwarzane. Jedna z nich stanowi, że dane poufne mogą być zbierane oraz przetwarzane wyłącznie w konkretnych oraz uzasadnionych przepisami prawa celach (art. 5 pkt 1b). Jakie cele są zatem uznawane przez unijną regulację za legalne przesłanki pozwalające na przetwarzanie danych osobowych?

Standardy RODO wchodzące w życie 25 maja 2018 r. wypełnią od lat obecną lukę prawną w ustawie krajowej, która nie regulowała do tej pory kwestii podpowierzania danych osobowych kolejnym podmiotom. Wiąże się to z dodatkowymi obowiązkami dla administratorów i podmiotów przetwarzających przez dostosowanie umów do wymogów rozporządzenia. Nieprzestrzeganie przepisów RODO będzie wiązało się m.in. z wysokimi karami pieniężnymi dla obu stron.