Baza wiedzy: Abc RODO, Blog, Poradniki, Pomoc…

RODO: PYTANIA I ODPOWIEDZI

Kategoria:

- wszystkie kategorie -

Czy pomiędzy uczelnią/szkołą a zakładem pracy powinna zostać zawarta umowa powierzenia danych osobowych?
Czy monitoring w zakładzie pracy może obejmować pomieszczenie palarni dla pracowników i gości?
Czy pracownicy ochrony mogą żądać okazania dokumentu tożsamości w celu weryfikacji gościa?
Czy lekarz może skonsultować przypadek medyczny pacjenta z innym lekarzem?
Czy pracodawca może udostępnić służbowy adres mailowy pracownika innemu pracownikowi po rozwiązaniu stosunku pracy?
Czy personel sprzątający może wykonywać swoje obowiązki po zakończeniu pracy przez pozostałych pracowników administratora?
Jakie dane osobowe pracodawca może pozyskiwać od świadków wypadku przy pracy?
Czy agencja pracy tymczasowej jest administratorem danych pracowników i czy należy zawrzeć z nią umowę powierzenia danych osobowych?
Czy upoważnienie do przetwarzania danych osobowych może mieć wersję elektroniczną?
Czy pracodawca musi posiadać zgody na przetwarzanie danych osobowych swoich pracowników oraz członków rodziny w celu organizacji wycieczki zakładowej?
Czy imię i nazwisko lub adres e-mail bez żadnej dodatkowej informacji są daną osobową?
Czy po wejściu w życie ustawy o dokumentach publicznych można kserować dowody osobiste?
Czy pracodawca powinien podpisać umowę powierzenia z podmiotem wykonującym świadczenia zdrowotne z zakresu medycyny pracy?
Czy dyrektorzy poszczególnych działów w firmie mogą mieć dostęp do planów urlopowych wszystkich pracowników czy jedynie swojego działu?
Czy przekazywanie informacji o ciąży pracownicy pomiędzy pozostałymi pracownikami administratora stanowi naruszenie ochrony danych osobowych?
Czy ubezpieczycielowi można udostępnić nagranie z monitoringu osiedlowego?
Czy jednostka administracji publicznej może na podstawie art. 35 ust. 10 RODO nie przeprowadzać oceny skutków dla ochrony danych osobowych dla procesów przetwarzania z art. 6 ust. 1 lit. c RODO?
W jakim terminie administrator danych jest zobowiązany udzielić odpowiedzi na wniosek w trybie art. 15 ust. 3 RODO?
Czy w treści umowy współpracy powinna być umieszczona klauzula informacyjna odnośnie przetwarzania danych osobowych?
Czy osoba, której dane dotyczą może żądać odszkodowania od administratora, jeśli ten ujawni jej dane osobie nieuprawnionej w wyniku pomyłki zamówienia?
Czy przetwarzanie danych osobowych w ramach kart meldunkowych musi być oparte na zgodzie osoby, której dane dotyczą z art. 6 ust. 1 lit. a RODO?
Czy przetwarzanie danych osobowych w ramach bezprzewodowych punktów dostępowych odbywa się na podstawie zgody osoby, której dane dotyczą?
Przez jaki okres, po zakończeniu umowy można przetwarzać dane osobowe pracownika zatrudnionego w oparciu o umowę agencyjną?
Czy pracodawca może w zamian za sfinansowanie szkolenia dla IOD, żądać umowy lojalnościowej?
Czy można ubiegać się o odszkodowanie na skutek ujawnienia adresów mailowych osób fizycznych na skutek wysłania przez administratora danych zbiorczej korespondencji bez zastosowania kopii ukrytej?
Czy informacja podana na forum na portalu społecznościowego na temat wyników egzaminu jest naruszeniem RODO?
Czy w danej jednostce organizacyjnej może być zatrudnionych dwóch IOD oraz czy IOD może mieć zastępcę?
Czy przy przekazywaniu danych osobowych klientów zewnętrznej firmie serwisowej należy podpisać umowę powierzenia?
Czy z osobą zatrudnioną na podstawie umowy cywilnoprawnej należy zawrzeć umowę powierzenia?
Czy należy nadać nowe upoważnienie do przetwarzania danych osobowych pracownikowi w sytuacji, gdy zmienia się tylko stanowisko pracy?
Czy należy podpisać politykę ochrony danych osobowych oraz w jakiej formie ją przyjąć?
Czy podmiot wynajmujący lokal osobie fizycznej może żądać podania numeru PESEL do umowy?
Czy zamieszczając dane służbowe pracowników na stronie internetowej, pracodawca przekazuje dane do państw trzecich?
Czy w obowiązku informacyjnym należy wskazać wszystkie prawa przysługujące osobie fizycznej, czy tylko te, które rzeczywiście osobie przysługują?
Czy procesor powinien ujawniać podmiotowi, z którym łączy go umowa powierzenia, treść polityki ochrony danych osobowych obowiązującej w jego organizacji?
Czy należy zawrzeć umowę powierzenia z firmą szkoleniową w sytuacji udostępnienia osobie szkolącej rzeczywistych danych osobowych przetwarzanych przez administratora na potrzeby przeprowadzenia szkolenia dla pracowników?
Kto jest administratorem danych osobowych członków stowarzyszenia oraz jaka jest podstawa prawna przetwarzania danych osobowych członków stowarzyszenia?
Czy z administratorem strony Biuletynu Informacji Publicznej należy zawrzeć umowę powierzenia?
Czy pracodawca może ujawnić i rozpowszechnić treść upomnienia nałożonego na pracownika?
Czy szkoła może być administratorem danych osobowych klientów, którzy korzystają z zarejestrowanej na jej terenie stacji diagnostyki pojazdów?
Po upływie jakiego maksymalnego czasu należy usunąć dokumentację medyczną pacjenta?
Czy po ustaniu celu przetwarzania danych osobowych można je w dalszym ciągu przechowywać do celów statystycznych?
Czy administrator danych osobowych może upoważnić pracownika do nadawania uprawnień do przetwarzania danych osobowych?
Jaka jest podstawa prawna przetwarzania danych osobowych przez placówkę medyczną oraz w jaki sposób spełnić obowiązek informacyjny względem pacjentów?
Jak zgodnie z prawem przesłać mailing do klientów, jeżeli nie posiadam podstawy prawnej przetwarzania ich danych osobowych w tym celu?
Czy administrator może odmówić udostępnienia nagrania z monitoringu wizyjnego w sytuacji utrwalenia na nagraniu przestępstwa lub wykroczenia?
Jaki status posiada Społeczna Komisja Mieszkaniowa?
Czy w Zarządzeniach Burmistrza miasta i gminy oraz Uchwałach Rady Miejskiej - mogą znajdować się dane osobowe osób nie pełniących funkcji publicznych?
Czy przesłanie pasków z wynagrodzeniem pracowniczym do osoby nieuprawnionej jest naruszeniem ochrony danych osobowych?
Czy można udostępnić informację o obniżeniu wynagrodzenia jednego pracownika innym pracownikom w firmie?
Czy pracownik jest zobowiązany podać swoje imię i nazwisko w relacji z klientem pracodawcy?
Czy pracodawca ma prawo żądać od pracownika podania prywatnego numeru telefonu?
Czy pracodawca może korzystać z rejestratora czasu pracy na linie papilarne za zgodą pracowników?
Jakie dane osobowe powinna zawierać umowa zlecenia? A jakich nie może zawierać?
Jaki status posiadają Pracownicze Kasy Zapomogowo – Pożyczkowe? Czy należy zawierać umowę o współadministrowanie danymi osobowymi?
Kto to jest właściciel procesu przetwarzania danych osobowych?
Czy zespół powypadkowy ustalający przyczyny wypadku w pracy może zwrócić się do lekarza w celu określenia ciężkości urazu osoby poszkodowanej? Czy niezbędna jest zgoda osoby poszkodowanej na uzyskanie jej danych osobowych dot. zdrowia?
Czy udostępnienie zdjęć osoby trzeciej na portalu społecznościowym jest naruszeniem RODO?
Czy pod nieobecność pracownika w pracy jego konto oraz skrzynka mailowa może być obsługiwana przez innych pracowników?
Czy znając datę urodzenia klienta można mu przesłać życzenia urodzinowe? Jaka będzie właściwa podstawa prawna przetwarzania w tym zakresie?
Czy przy pracy zdalnej pracowników administrator danych ma obowiązek aktualizować rejestr czynności przetwarzania?
Czy osoba pełniąca funkcję IOD może również być zatrudniona na innym stanowisku u danego administratora? Kiedy dochodzi do konfliktu interesów?
Jak długo należy przechowywać upoważnienia do przetwarzania danych osobowych?
Czy zaznaczenie przez pracownika w systemie CRM informacji, że osoba wyraziła zgodę na przesłanie oferty handlowej jest wystarczające?
Czy pracownik firmy windykacyjnej dzwoniąc do dłużnika musi poinformować go o nagrywaniu rozmowy telefonicznej?
Czy kancelaria prawna prowadzona przez adwokata lub radcę prawnego powinna podpisywać umowę powierzenia danych osobowych z klientami?
Czy policja powołując się na prowadzone postępowanie oraz na art. 15§2 kpk i art. 15 ust.6 Ustawy o Policji może żądać od pracodawcy przesłania uwierzytelnionej kserokopii dokumentacji pracowniczej w związku z wypadkiem przy pracy?
Czy stosowanie przez placówkę medyczną niekomercyjnego programu antywirusowego jest zgodne z RODO?
Czy pracodawca może stosować monitoring obrazu i dźwięku w zakładzie pracy?
Jakie podjąć działania w sytuacji przesłania mailingu do wielu odbiorców bez zachowania ukrytej kopii wiadomości?
Czy podmiot przetwarzający dane osobowe na zlecenie Administratora spoza EOG obowiązują przepisy RODO?
Czy z firmą ubezpieczeniową w zakresie umowy ubezpieczenia grupowego pracowników pracodawca powinien zawrzeć umowę powierzenia danych osobowych?
Jaka jest podstawa prawna, z której wynika, że informacja o funkcjonującym monitoringu wizyjnym musi znajdować się za ostatnimi drzwiami prowadzącymi do strefy objętej monitoringiem?
Czy wymagana jest zgoda osoby, której dane dotyczą na udostępnienie jej danych osobowych innemu administratorowi danych?
Jak i gdzie powinno się przechowywać CV osoby zatrudnionej na stanowisku administratora?
Czy pisemne oświadczenie pracownika, że nie był prawomocnie skazany za przestępstwo, stanowi przetwarzanie danych osobowych przez pracodawcę w rozumieniu art. 10 RODO?
Czy administrator może wyłączyć realizację praw osób, których dane dotyczą z art. 15-22 RODO w formie elektronicznej?
Czy w ramach realizacji obowiązku informacyjnego trzeba podawać Inspektora Danych Osobowych z imienia i nazwiska ?
Czy w kwestionariuszu osobowym pracodawca może przetwarzać dane osobowe dotyczące obywatelstwa?
W jakiej sytuacji administrator może odmówić wydania kopii przetwarzanych danych osobowych?
Czy rysunki techniczne, na których znajduje się ramka techniczna z wymienionymi projektantami i kierownikiem projektu są danymi osobowymi?
Czy sam numer prawa wykonywania zawodu lekarza bez podawania innych danych podlega przepisom o ochronie danych osobowych ?
Czy rejestr kategorii czynności przetwarzania powinien być prowadzony odrębnie dla każdego administratora danych czy można prowadzić jeden rejestr zbiorczy?
Czy zdalny odczyt liczników ciepła wymaga dokonania oceny skutków przetwarzania danych osobowych (DPiA)?
Czy po zapoznaniu pracownika z treścią Polityki Ochrony Danych Osobowych można uznać, że odbył on niezbędne szkolenie w zakresie ochrony danych?
Czy podczas przedłużania umowy o pracę z pracownikiem konieczne jest udzielenie nowego upoważnienia do przetwarzania danych osobowych?
Audyt wewnętrzny i zewnętrzny: kiedy zasadne jest nadanie upoważnienia audytorom, a kiedy zawarcie umowy powierzenia?
Czy w ramach organizacji stażu pracodawca jest administratorem danych osobowych, czy podmiotem, któremu dane osobowe powierzono do przetwarzania?
Czy przy stosowaniu fotopułapki niezbędne jest umieszczenie w obszarze jej zasięgu klauzuli informacyjnej?
Czy zasadne jest zawarcie umowy powierzenia z podmiotem świadczącym usługi migracji danych?
Czy przekazując umowy o pracę zamawiającemu wykonawca może je zanonimizować?
Czy umieszczając kamery do obserwacji bez nagrywania mamy do czynienia z przetwarzaniem danych osobowych?
Jaką formę powinno mieć upoważnienie dla przedstawiciela wyznaczonego na mocy art. 27 RODO?
Jakie obowiązki ciążą na podmiocie pełniącym rolę przedstawiciela? Który z podmiotów ponosi odpowiedzialność w przypadku naruszeń przepisów RODO?
Czy podmioty publiczne podlegają obowiązkowo od 17.12.2021 ustawie o sygnalistach?
Czy wewnętrzny system sygnalizowania musi zakładać anonimowe zgłoszenia, czy to organizacja decyduje o dopuszczeniu anonimowych zgłoszeń?
Kto może zostać sygnalistą? Czy to jest osoba wyznaczona w organizacji?
Czy gminy poniżej 10 tysięcy mieszkańców i zatrudniające mniej niż 50 osób muszą przygotowywać dokumentację w sprawie sygnalisty?
Czy członkom komisji należy wydać oddzielne upoważnienia do przetwarzania danych osobowych w celu dotyczącym procedowania spraw/działalności komisji oraz czy realizujemy obowiązek informacyjny (art. 13 i 14 RODO)?
Czy inspektor ochrony danych może znajdować się w zespole przyjmującym i rozpatrującym zgłoszenia?
Co w sytuacji, gdy incydent bezpieczeństwa dotyczy zgłoszenia, a incydenty rozpatrują inni pracownicy niż komisja?
Jak możemy spełniać obowiązek informacyjny względem zgłoszeń otrzymanych np. drogą telefoniczną?
Jak postąpić w przypadku wniosku o przekazanie zgłoszenia w sprawie z powództwa cywilnego w przypadku np. pomówienia?
Czy naruszeniem UODO jest zamieszczenie w filmie reklamowym nagrania z widocznymi numerami rejestracyjnymi/numerami rejestracyjnymi aut prywatnych?
Jak liczyć czas e-maili przychodzących w nocy lub w dni wolne od pracy?
Czy można zgłosić do PUODO naruszenie niekompletne, a później sukcesywnie przesyłać dalsze informacje do PUODO co do zgłoszenia?
Czyli w Państwa opinii każde naruszenie obejmujące numer PESEL będzie do zgłoszenia i do zawiadomienia osoby?
Co z korespondencją, która jest adresowana na nasz adres (ulica, numer firmy), ale nie zgadza się odbiorca (nazwa)? Odsyłać? Otwierać?
W jakiej formie należy prowadzić rejestr naruszeń ? Czy jest jakiś wzór takiego rejestru?
Czy zasadę privacy by design należy stosować także w przypadku istniejącego oprogramowania?
W jaki sposób aktualizować rejestr czynności przetwarzania, aby zachować zasadę rozliczalności?
Czy w upoważnieniach pracowników do przetwarzania danych osobowych należy wskazywać dokładnie do jakich czynności, ujętych w rejestrze czynności, upoważniony jest dany pracownik?
Czy rejestr powinien być podpisywany przez Administratora Danych?
Jak rozumieć art.30 ust.4, że rejestr czynności przetwarzania należy udostępnić tylko na żądanie organu nadzorczego (UODO)?
Czy monitoring wizyjny np. straży gminnej powinien być w rejestrze kategorii, w myśl ustawy z 14 grudnia 2018, czy w RP z RODO?
Czy przeprowadzanie audytów zewnętrznych powinno być wyodrębnione w rejestrze czynności przetwarzania?
Jak dokonać anonimizacji danych osoby publicznej?
Czy udostępniając informację publiczną o kontrahentach jednostki samorządu terytorialnego również należy zanonimizować nr NIP i REGON?
Czy wobec osoby, którą należy zawiadomić w razie wypadku, jeżeli pracownik wyrazi zgodę na podanie danych takiej osoby, należy spełniać obowiązek informacyjny? Czy potraktować te dane jako dane pracownika?
Jaka będzie podstawa przetwarzania z RODO dla podmiotów administracji państwowej w przypadku testów kompetencyjnych czy psychologicznych?
Co z testami psychologicznymi wykonywanymi w trakcie zatrudnienia?
Czy pracodawca może zmusić potencjalnego pracownika do przedstawienia zaświadczenia o niekaralności?
Czy pracodawca może na rozmowie kwalifikacyjnej prosić kandydata o wgląd w świadectwa pracy z poprzednich miejsc pracy?
A co z podanymi przez kandydata w CV danymi szczególnej kategorii, np. stopniem niepełnosprawności? Czy pracodawca może przetwarzać te dane bez dodatkowej zgody, tj. przez czynność, jaką jest wysłanie CV przez kandydata?
Czy przy rekrutacji wewnętrznej przekazujemy pracownikom klauzulę informacyjną?
Czy pracownicy polecający mogą przekazywać CV osób, które polecają do HR?
Czy możemy nakazać kandydatowi przeprowadzenie testu osobowości?
Co z platformą Linkedin.com w nawiązaniu do zakazu weryfikacji kandydata w mediach społecznościowych?
Czy możemy posiadać kopię prawa jazdy, jeśli handlowiec korzysta z samochodu służbowego?
Jak długo przechowywać politykę bezpieczeństwa, w której są zasady dla pracowników?
Czy pracodawca musi poinformować pracowników o monitoringu, jeżeli cel monitorowania jest inny niż monitoring pracownika, np. monitorowanie pracy sieci i urządzeń IT?
Czy powinniśmy udostępniać pełną treść jakiejś procedury, np. instrukcji teleinformatycznej?
Jak powinien wyglądać modelowy audyt podmiotu przetwarzającego w razie incydentu oraz czy (i co) powinna zawierać analiza ryzyka po incydencie?
Czy w umowie powierzenia procesor może wpisać postanowienie o stawce za godzinę pracy jego IOD przy obsłudze audytu administratora?
Kiedy przekazać osobie polecanej klauzulę informacyjną?
Czy można podglądać kandydatów w mediach społecznościowych?
Czy należy wystawiać upoważnienia do przetwarzania danych dla pracownika, który będzie zastępować innego pracownika podczas jego absencji (urlop, choroba itp.)? Jakie powinno być prawidłowe działanie w takim zakresie?
Co w przypadku, jeśli na nagraniu z monitoringu znajdą się również inne osoby? Czy taki filmik możemy udostępnić podmiotowi danych?
Czy osoby fizyczne prowadzące jednoosobową działalność gospodarczą też zalicza się do osób fizycznych?
Czy np. powinniśmy udostępniać pełną treść jakiejś procedury, np. instrukcji teleinformatycznej?
Dlaczego w rejestrze czynności przetwarzania przy nazwie procesu wpisane są dane osoby?
Czy wykonywanie kopii zapasowych to oddzielny proces?
Kto odpowiada za przesłanie ankiety bezpieczeństwa do podmiotu przetwarzającego?
Czy zgoda na pliki cookies może zostać odebrana poprzez akceptację Terms&Conditions?
Czy jeśli dalszy podmiot przetwarzający transferuje dane to ja tez jako ADO musze robić TIA?
Czy dyrektywa o sygnalistach obowiązuje nas wprost czy organizacja może (bez konsekwencji) czekać na krajowe przepisy?
Czy ankieta bezpieczeństwa dla podmiotu przetwarzającego powinna być indywidualnie dostosowana do każdej umowy powierzenia/ konkretnego rodzaju usług?
Jak często należy wykonywać skan podatności zasobów informatycznych?
Czy transfer danych do USA jest niezgodny z prawem? /Jakie obowiązki spoczywają na podmiotach przekazujących dane do USA?
Czy ubezpieczenie grupowe pracowników będzie stanowiło oddzielny proces przetwarzania danych w Rejestrze Czynności Przetwarzania?
Czy w razie występowania 2 lub 3 administratorów w danej organizacji możliwe jest prowadzenie przez nich wspólnych Rejestrów Czynności Przetwarzania Danych w sytuacji gdy część procesów jest dla nich tożsama?
Jak intepretować transfer danych z państwa trzeciego w razie przekazania danych do naszej Organizacji?
Czy audyt zewnętrzny należy traktować jako odrębny proces przetwarzania danych w Rejestrze Czynności Przetwarzania?
Jaka jest podstawa prawna przetwarzania plików cookies? Wiele portali praktykuje check boxy z możliwością wyboru podstawy przetwarzania - czy może być to zarówno uzasadniony interes administratora (art. 6 ust. 1 lit. f RODO) jak i wyrażenie zgody prze uży
Jak prawidłowo przetwarzać dane spseudonimizowane? Czy przekazanie takich danych wymaga zawarcia umowy powierzenia przetwarzania?
Czy firmy produkcyjne zatrudniające powyżej 50 osób mają obowiązek wdrożenia procedury zgłaszania naruszeń przez sygnalistów zgodnie z (projektem) ustawy o ochronie osób zgłaszających naruszenia prawa?
Jakie są kanały zgłaszania naruszeń zgodnie z (projektem) ustawy o ochronie osób zgłaszających naruszenia prawa? Czy wystarczające jest zapewnienie jednego kanału np. drogą elektroniczną?
Czy należy wydawać osobne upoważnienia do przetwarzania danych członkom komisji oraz czy należy wobec nich spełnić obowiązek informacyjny przewidziany w art. 13 i 14 RODO?
Kto powinien rozpatrywać zgłoszenia dotyczące incydentów bezpieczeństwa w zakresie ochrony sygnalistów? Czy inni pracownicy niż wyznaczona do tego komisja posiadają takie uprawnienia?
Czy sygnalista może zgłosić naruszenie dokonane przez jednego z członków komisji?
Czy wprowadzenie nowego systemu IT winno wiązać się z jego analizą w aspekcie ochrony danych osobowych?
Czy przeprowadzenie procesu ochrony danych w fazie projektowania może się odbyć już po jego wprowadzeniu?
Jak zwiększyć ochronę przed atakami na Microsoft Active Directory?
Poważny błąd w popularnej bibliotece Javy - Log4j
Jak bronić się przed atakami ransomware DeadBolt?
Czy wizerunek na nagraniach monitoringu to dane biometryczne?
Czy biometria na podstawie monitoringu może być wykorzystana do rozliczania czasu pracy?
Czy powinniśmy animizować zdjęcia w CV, jeśli nie mamy zgody?
Jaka może być podstawa prawna do przetwarzania zdjęć na przepustkach pracowniczych?
Jaka jest podstawa prawna w przypadku biletów miesięcznych dla pracownika? Czy konieczna jest zgoda na zdjęcie?
Jaka będzie właściwa podstawa do przetwarzania wizerunku pracownika w wewnętrznej gazetce
Jeśli pracownik udzieli nam zgody na wystąpienie w filmie reklamowym, a później ją wycofa, to musimy ten film usunąć. Ale przecież w Internecie nic nie ginie
Jeśli wizerunek miałby się pojawić w materiałach publikowanych na zewnątrz firmy, to lepsza jest zgoda czy uzasadniony interes?
Czy potrzebna jest zgoda pracownika pomocy społecznej na udostępnienie wizerunku na identyfikatorze dot. wolontariatu po godzinach pracy (pomoc Ukrainie)?
Czy w przypadku udostępnienia telefonu z możliwością odblokowania poprzez linie papilarne, pracodawca przetwarza dane biometryczne?
Na jakiej podstawie może odbywać się przetwarzanie danych przy prowadzeniu szkolenia on-line? Szkolenia będą nagrywane.
Dlaczego zezwolenie na publikację wizerunku może być bezterminowe, a zgoda nie?
Czy platformy typu ZOOM są ADO czy podmiotem przetwarzającym?
Jak legalnie nagrywać spotkania służbowe, np. audyty, w celu sporządzenia raportu czy notatki? Na co zwrócić uwagę?
Czy od osób, w tym nieletnich, biorących udział w imprezie sportowej należy zbierać zgody, czy jednak można uznać, że osoby te stanowią jedynie szczegół całości takiej imprezy
Czy w przypadku osób, które zdobyły na zawodach miejsca na podium (ich zdjęcia są publikowane w mediach) należy zbierać zgody? W jakim momencie, bo przed startem nie wiadomo, kto zdobędzie nagrodę?
Czy logi są danymi osobowymi?
Co z danymi zbieranymi przez Google Analytics
Jak odwołać zgodę w logach?
Czy informacja o monitoringu logów powinna być w regulaminie pracy?
Jak usuwać logi biorąc pod uwagę cały cykl życia danych osobowych
Czy logowanie pracowników do baz danych / platform za pomocą profilu zaufanego jest prawidłowe?
Jak logi opisywane w RCP powinny być zapisane?
Co to są Standardowe Klauzule Umowne?
Jakie Standardowe Klauzule Umowne zostały przyjęte przez Komisję Europejską?
Jakie są zalety stosowania SCC?
Jaki proces został zastosowany przez Komisję Europejską przy opracowywaniu SCC?
Czy Komisja Europejska oceni po jakimś czasie, jak nowe SCC działają w praktyce?
Czy istnieją szczególne wymagania dotyczące zawierania przez strony SCC?
Czy treść SCC może zostać zmieniona?
Czy możliwe jest dodanie dodatkowych klauzul do SCC lub włączenie SCC do umowy głównej?
Czy strony mogą usunąć moduły i/lub opcje, które nie mają zastosowania w konkretnym przypadku?
W jaki sposób włączyć treść SCC do umowy głównej?
Jaki jest cel klauzuli dokującej
Jak w praktyce działa klauzula dokująca? Czy istnieją jakieś wymogi formalne dotyczące przystąpienia nowych stron do umowy?
Co się dzieje, gdy nowa strona przystępuje do SCC? Czy istnieje obowiązek dopełnienia dodatkowych formalności?
Jaka jest różnica między SCC przyjętymi przez organy nadzorcze poszczególnych krajów, a SCC przyjętymi przez Komisję?
W jakiej formie instrukcje administratora powinny być przekazywane podmiotowi przetwarzającemu?
Czy podmiot przetwarzający ma obowiązek poinformowania administratora, o subprocesorze(-ach), którego(-ych) angażuje?
Co się stanie, jeżeli administrator zgłosi sprzeciw wobec zmian subprocesorów, w przypadku ogólnego upoważnienia na zaangażowanie subprocesorów?
W jakim terminie podmiot przetwarzający musi powiadomić administratora o naruszeniu ochrony danych?
W inny jaki sposób, oprócz audytu, podmiot przetwarzający może wykazać zgodność z wymaganiami wynikającymi z SCC?
Dlaczego Komisja znowelizowała poprzednie SCC w zakresie transferu danych do państw trzecich?
Co nowego w porównaniu z poprzednimi SCC?
Czy podmioty przekazujące i podmioty odbierające dane, które nadal stosują
Do jakich transferów można wykorzystać SCC?
Czy SCC mogą być wykorzystywane, aby przekazać dane administratorom lub podmiotom przetwarzającym, które podejmują operacje przetwarzania podlegające bezpośrednio RODO?
Czy SCC mogą być wykorzystane do przekazywania danych osobowych do organizacji międzynarodowej?
Czy SCC można wykorzystywać tylko do międzynarodowego przekazywania danych w ramach RODO?
Jakie są dostępne moduły i jak należy wybrać moduł właściwy?
Czy kilka modułów może być zastosowanych przez te same strony w tym samym czasie?
W jaki sposób można zapewnić zgodność z art. 28 RODO?
W jakich sytuacjach należy zastosować moduł 4 (przekazanie danych przez podmiot przetwarzający dane do administratora)?
Skąd mogę uzyskać informację, że moje dane są przekazywane poza Europę na podstawie SCC?
Zostałem poinformowany, że moje dane zostały przekazane poza EOG w oparciu o SCC. W jaki sposób mogę uzyskać więcej informacji na temat transferu danych, moich praw, oraz obowiązujących zabezpieczeń? Czy mogę otrzymać kopię treści SCC?
Co zrobić, jeżeli moje dane były przetwarzane z naruszeniem postanowień SCC? Czy mogę uzyskać odszkodowanie? Gdzie można złożyć skargę?
Dla Modułów 1, 2 i 3: czy podmiot odbierający dane musi podejmować określone kroki w związku z udostępnianiem otrzymanych danych osobowych stronom trzecim?
Czy odpowiedzialność wynikająca z SCC może być ograniczona postanowieniami zawartymi w umowie głównej?
Jaki jest wpływ zawarcia SCC na postanowienia umowne między stronami?
Czy istnieją wymagania dotyczące wyboru prawa właściwego dla umowy?
Dla Modułu 1, 2 i 3: który organ nadzorczy należy wyznaczyć jako organ właściwy?
Czy istnieją wymogi dotyczące wypełniania załączników? Jak szczegółowe powinny być uzupełniane informacje?
Czy w przypadku stosowania nowych SCC, konieczne jest podjęcie dodatkowych kroków, w celu zapewnienia zgodności z wyrokiem w sprawie Schrems II? Czy nadal konieczne jest uwzględnianie wskazówek EROD?
W jakim zakresie podmiot odbierający dane ma obowiązek informować podmiot przekazujący dane, o żądaniach ujawnienia danych, które otrzymuje od organów publicznych (np. organów ścigania lub organów bezpieczeństwa narodowego)?
Czy podmiot odbierający dane musi informować osoby, których dane dotyczą, o żądaniach ujawnienia danych otrzymanych od organu publicznego? Co zrobić, jeśli podmiot odbierający dane ma zakaz udzielania takich informacji obowiązujący na mocy prawa krajowego
Czy umowa może zobowiązywać podmiot odbierający dane, do zaskarżania każdego żądania ujawnienia danych, otrzymanego od organu publicznego?
Czy w przypadku korzystania z Modułu 4, konieczne jest przestrzeganie postanowień Sekcji III SCC?
Czym są pliki cookie?
Czy pliki cookie to dane osobowe?
Jakie są ramy prawne korzystania z plików cookie?
Czy staję się administratorem danych osobowych w związku z korzystaniem z plików cookie na mojej stronie?
Czy zapisywanie i przechowywanie wszystkich plików cookie wymaga zgody użytkownika?
Kiedy pliki cookie są technicznie niezbędne?
Czy należy informować użytkowników o stosowaniu plików cookie, które nie wymagają zgody użytkownika (np. technicznie pliki cookie)?
Czy mechanizmy śledzące używane do pomiaru oglądalności są zwolnione z obowiązku uzyskania zgody?
Czy pliki cookie używane do rozliczeń w ramach marketingu afiliacyjnego są zwolnione z obowiązku uzyskania zgody?
Czy pliki cookie wykorzystywane w celu świadczenia usług typu cashback lub reward, korzystają ze zwolnienia z obowiązku uzyskania zgody?
Czy wykorzystywanie plików cookie w celu zwalczania nadużyć (np. przy usługach e-commerce lub w banku internetowym) objęte jest zwolnieniem z obowiązku uzyskania zgody?
Jakie są warunki udzielenia zgody?
Czy możliwe jest wyrażenie zgody poprzez ustawienia przeglądarki?
Jak poinformować użytkownika o plikach cookie podczas odbierania zgody?
Czy korzystanie z przycisku udostępnienia informacji na portalach społecznościowych wiąże się z koniecznością uzyskania zgody użytkowników?
Co to jest baner cookie i czy potrzebuję paska cookie na mojej stronie internetowej?
Jak zaprojektować baner cookie, aby zgoda była ważna?
Czy muszę umożliwić użytkownikowi wycofanie zgody?
Czy można przetwarzać dane osobowe za pomocą plików cookie na podstawie uzasadnionego interesu?
Czy jest możliwe, aby przycisk: akceptuj wszystko, był innego koloru niż przycisk: odrzuć wszystko?
Czy przycisk: odrzuć wszystko, musi być widoczny na pierwszy rzut oka?
Czy opcja odrzuć wszystko może być dostępna dopiero w drugiej warstwie informacyjnej np. po naciśnięciu przycisku Ustawienia dotyczące plików cookie.
Czy jest możliwe, aby w ustawieniach dla ciasteczek analitycznych i marketingowych było wstępnie zaznaczone „TAK”?
Czy muszę informować o wszystkich indywidualnych ciasteczkach, które otrzymuje użytkownik? Gdzie powinna być umieszczona taka informacja?
Czy użytkownicy powinni mieć możliwość indywidualnego wyboru podmiotów dostarczających mechanizmy śledzące, na które wyrażają zgodę?
Czy zawsze muszę informować odwiedzających o korzystaniu z plików cookie?
W jak szczegółowy sposób należy przedstawić użytkownikowi cele korzystania z plików cookie?
Czy mogę uniemożliwić klientowi korzystanie z witryny przed wyrażeniem zgody na pliki cookie?
Co oznacza pojęcie: pay or okay?
Czy można uzależnić dostęp do niektórych treści publikowanych na stronie od zgody na korzystanie z plików cookie, które dostarczają podmioty trzecie?
Czy zamknięcie wyskakującego okienka dotyczącego plików cookie można uznać za zgodę?
Czy można stosować reklamę kontekstową, jeśli użytkownik odmawia akceptacji plików cookie?
Jak długo aktualna pozostaje zgoda na korzystanie z plików cookie i kiedy można ponownie poprosić o zgodę, jeżeli wcześniej udzielono odpowiedzi odmownej?
Czy technika maskowania CNAME w celu zapisania plików cookie jest legalna? Czy takie działanie pozwala uniknąć konieczności pozyskania zgody?
Czy można udostępniać prywatne adresy e-mail radnych?
Jaka będzie właściwa forma: upoważnienie czy umowa powierzenia z osobą prowadzącą jednoosobową działalność gospodarczą, która świadczy usługi na sprzęcie administratora?
Czy biblioteka, organizując lekcje biblioteczne, w których uczestniczą dzieci, może robić zdjęcia i upubliczniać je na stronie internetowej w ramach promocji swojej działalności?
Czy szyfrowanie przesyłanych wiadomości elektronicznych jest zgodne z RODO?
Czy radca prawny może być jednocześnie IOD w podmiocie administratora?
Czy nie prowadząc firmy można być ADO, jeśli robi się zdjęcia i udostępnia je na portalach społecznościowych?
Czy pracownicy zatrudnieni w tej samej firmie mogą sobie przekazywać dane osobowe klientów?
Czy w rejestrze czynności przetwarzania danych osobowych należy rejestrować tylko procesorów z państw trzecich, czy również podprocesorów?
Jak należy liczyć 72 godziny na zgłoszenie naruszenia ochrony danych?
Co to znaczy, wg art. 38 RODO, że IOD nie jest odwoływany ani karany przez administratora, ani podmiot przetwarzający za wypełnianie swoich zadań?
Czy dyrektor może być inspektorem ochrony danych? | ODO 24
Czy osoba prowadząca działalność gospodarczą polegającą na wynajmie lokali mieszkaniowych (administrator danych) może od najemcy żądać oświadczenia o dochodach?
Co powinienem zrobić, gdy otrzymałem informację o naruszeniu ochrony moich danych osobowych?
Jakie dane kontaktowe współadministratorów powinny być podane w rejestrze czynności?
Czy prowadząc działalność nierejestrowaną podlega się pod przepisy RODO?
Czy procesor ma obowiązek udostępnić rejestr kategorii czynności przetwarzania administratorowi?
Czy administrator danych może dawać podprocesorowi bezpośrednie wytyczne, jak przetwarzać dane?
Czy termin na zgłoszenie naruszenia do UODO (72h) będzie liczony od daty stempla pocztowego?
Czy z firmą doradztwa podatkowego należy zawrzeć umowę powierzenia przetwarzania danych osobowych ?
Czy pracodawca musi uzyskać zgodę pracowników na przekazanie ich danych o wynagrodzeniu do sądu?
Czy można liczyć na szersze omówienie PUI w zakresie marketingu bezpośredniego i jak Państwo identyfikują czym jest marketing bezpośredni?
Czy jako podmiot publiczny mogę oprzeć przetwarzanie danych za pomocą systemu monitoringu wizyjnego w związku z art. 6 ust .1 lit. e RODO na podstawie. Kodeksu pracy?
Czy art. 6 jest podstawą prawną , bo słyszałam opinię, że jest to przesłanka a podstawą prawną jest np. jakiś art kodeksu pracy?
Czy Biblioteka Publiczna zamiast litery f) powinna używać litery c)?
Czy konieczne jest zawarcie umowy powierzenia przetwarzania danych z firmą świadczącą usługę audytu certyfikacji na zgodność z wymaganiami ISO?
Czy powinniśmy zawrzeć umowę powierzenia z kancelarią prawną świadczącą usługę obsługi prawnej?
Czy z firmą dostarczającą usługi Internetu, poczty elektronicznej lub faksu elektronicznego, należy zawrzeć umowę powierzenia przetwarzania danych?
Czy jednostka organizacyjna podległa pod Urząd Gminy powinna zawrzeć umowę powierzenia z Urzędem jeżeli Urząd udostępnia pocztę elektroniczną na swojej bezpiecznej platformie?
Czy z firmą zajmującą się konfiguracją sprzętu sieciowego (rutery, switche) powinniśmy zawrzeć umowę powierzenia?
Czy oddzielnym administratorem jest również rzeczoznawca majątkowy?
PFRON powierzył PCPR-owi realizację programu. PCPR zbiera i przechowuje dane, które przetwarzane są także w programie SOW obsługiwanym przez PFRON. Kto jest ADO?
Czy fotograf, który wykonuje zdjęcia do dowodów osobistych na zlecenie gminy i za pieniądze gminy (dla osób uciekających z Ukrainy przed wojną) to powierzenie przetwarzania?
Sąd udostępnia (wypożycza) akta organowi ścigania, który chce wykonać kserokopie do własnych akt. Rozumiem, że organ jest administratorem w stosunku do własnych akt i dołączonych do nich kserokopii, a nie do całości akt sądowych?
Czy podmiotem przetwarzającym mogą być osobne spółki należące do korporacji? Czy będą osobnymi administratorami?
Co w sytuacji, gdy mamy spółkę zależną i jednocześnie całą wspólną infrastrukturę IT dla obu spółek (czyli niejako spółka matka świadczy usługi z zakresu IT spółce córce). Współadministrowanie czy powierzenie w tej sytuacji?
Czy konieczna jest weryfikacja podmiotu podprzetwarzającego, gdy jesteśmy podmiotem przetwarzającym?
Jak wygląda sprawa z pracownikiem firmy, który jest na kontrakcie b2b? Czy jeśli on operuje danymi osobowymi pracowników firmy powinniśmy z nim podpisać umowę powierzenia danych?
Co z firmami zajmującymi się szkoleniami BHP? Czytałam różne opinie w związku z umową powierzenia czy zawierać z takim podmiotem czy nie?
Czy z firmą zajmującą się konfiguracją sprzętu komputerowego powinniśmy zawrzeć umowę powierzenia?
Firma X świadczy usługi ochroniarskie Firmie Y i przekazuje Firmie Y dane ochroniarzy, którzy będą świadczyć usługi. Kto jest administratorem tych danych? Czy dochodzi tu do powierzenia/udostępnienia?
Czy nieodpłatna pomoc prawna też jest oddzielnym ADO czy podpisuje się z pomocą prawną umowę PPD?
Czy wystawienie certyfikatów potwierdzających udział w szkoleniu nie jest przesłanką do powierzenia?
Rozumiem, że jeśli firma szkoleniowa podczas szkolenia sama zbierze dane to jest samodzielnym ADO?
Jeśli Urząd Pracy kieruje na staż osoby bezrobotne do danej firmy to jakie obowiązki wynikające z RODO firma musi wypełnić
Szkolenie dla nowego pracownika, podpisanie oświadczenia i co dalej?
Czy firma, z którą chcemy współpracować, musi wyrazić zgodę na audyty i/lub cykliczne wypełnianie ankiety bezpieczeństwa?
Jaka częstotliwość aktualizacji antywirusa jest właściwa?
Czy ochrona sieci wi-fi powinna dotyczyć również sieci domowych, w przypadku pracy zdalnej?
Czy ochrona antywirusowa jako element MS Windows jest wystarczająca, jeżeli samo środowisko jest regularnie aktualizowane?
Czy system SIEM zawiera funkcjonalność systemu MDM?
Kto powinien robić DPIA?
Czy w urzędzie gminy - ocena pracowników samorządowych może być procesem, który należy poddać ocenie skutków?
Czy konieczne jest DPiA dla wprowadzenia pracy zdalnej w zakładzie pracy?
Czy konieczne jest przeprowadzenie DPiA przy wdrożeniu mLegitymacja w szkole?
Co jeśli w umowie o zachowaniu poufności są zawarte informacje o powierzeniu danych osobowych, czy jest konieczność zawierania jeszcze dodatkowej umowy powierzenia danych osobowych?
Co zrobić jeżeli wysyłam umowę powierzenia a kontrahent jej nie podpisuje i nie odsyła?
Czy jeśli po analizie wychodzi, ze firma nie musi mieć IOD to czy rejestr przetwarzania nadal jest wymagany? Czy wystarczy np. powołać zespól ds. ochrony danych i rejestr prowadzić?
Czy sprzedaż produktów i towarów w Internecie np. Allegro, Empik i inne platformy - czy wówczas trzeba z każda podpisać umowę powierzenia i czy też będzie występowały tam państwa trzecie?
Jak przeprowadzać ewaluację szkoleń zdalnych?
Jak potwierdzić odbycie szkolenia zdalnego przez pracownika?
Podpisując umowę zlecenie na świadczenie usługi bycia IOD u danego podmiotu, to nie podpisujemy umowy powierzenia? Czy należy wydać upoważnienie dla IOD, czy działa on w oparciu o uprawnienia/obowiązki IOD wynikające z RODO?
Czy ADO zamawiający aplikacje powinien wraz z aplikacją dostać od firmy tworzącej aplikacje dokumentacje związaną z realizacją art. 25 RODO przez firmę tworzącą aplikację?
Co jaki czas jest przeprowadzany audyt?
Jakiego rodzaju dokumenty należy przygotować przed audytem?
Z przepisu wynika, że przeprowadzenie audytu to zadanie administratora. Czy jego realizacja przez IOD nie stwarza konfliktu interesów?
Kto powinien wchodzić w skład zespołu audytowego?
Jak prowadzić audyt RODO w jednoosobowej firmie?
Czy naruszenia przepisów o ochronie danych osobowych, np. brak stosowania klauzul informacyjnych, które zostały ujawnione podczas audytu, należy wpisać do rejestru naruszeń, czy do rejestru wpisujemy tylko naruszenia ochrony danych osobowych?
Czy podczas tworzenia kart miejskich ze zdjęciem, oraz informacji o niepełnosprawności lub innym kryterium uprawniającym do zniżki na przejazd autobusami miejskimi, wymagane jest pozyskanie zgody na przetwarzanie danych osobowych?
Zgoda nie może być elementem regulaminu; czy to znaczy, że zapis w regulaminie, że zgłaszający udział akceptuje regulamin (w tym zgodę na przetwarzanie) jest nieprawidłowy?
Czy w przypadku audytu/sprawdzenia pomieszczeń po godzinach urzędowania, należy wcześniej powiadomić audytowane jednostki?
Czy naruszenia przepisów o ochronie danych osobowych, takie jak brak stosowania klauzul informacyjnych, które zostały ujawnione podczas audytu, powinny być wpisane do rejestru naruszeń?
Czy należy weryfikować procesora przed rozpoczęciem usługi, w trakcie jej trwania i po jej zakończeniu, np. poprzez odebranie oświadczenia o usunięciu danych po zakończeniu umowy?
Jakie informacje powinna zawierać klauzula informacyjna, gdy podstawą przetwarzania danych jest uzasadniony interes administratora?
Gdzie znajdę listę amerykańskich firm zgodnych z RODO
Czy w związku ze zmianą adresu siedziby administratora należy podjąć jakieś działania?
Czy mogę żądać od pracodawcy zaprzestania przetwarzania mojego wizerunku po ustaniu stosunku pracy?
Ile razy rodzic/opiekun prawny musi wyrazić zgodę na przetwarzanie wizerunku dziecka przez szkołę jako administratora?
Jak prawidłowo dokonać zmian w upoważnieniu do przetwarzania danych osobowych dla pracownika?
Jak szczegółowo wskazać możliwe konsekwencje naruszenia ochrony danych osobowych osobie, której dane dotyczą?
Ilu specjalistów do spraw RODO powinien zatrudnić pracodawca?
Jakie dokumenty są niezbędne do założenia monitoringu wizyjnego przez wspólnotę mieszkaniową?
Czy muszę pobrać zgodę od klienta na przekazanie jego danych do procesora?
Co musi zawierać audyt RODO?
Ile czasu ma podmiot przetwarzający na powiadomienie ADO o naruszeniu ochrony danych osobowych?
Kiedy należy usunąć kopie zapasowe danych?
Czy należy dokonać anonimizacji danych zawartych w protokołach Zarządu Spółdzielni Mieszkaniowej? W oparciu o jaką podstawę prawną?
Firma szkoleniowa: umowa powierzenia?
Czy można powierzyć do przetwarzania dane osobowe szczególnej kategorii?
Czy przy zmianie formy prawnej prowadzonej działalności należy na nowo uzyskać zgody na przetwarzanie danych osobowych?
Czy monitoring w czasie rzeczywistym to przetwarzanie danych w rozumieniu przepisów RODO?
Czy należy odpowiedzieć osobie, której dane dotyczą, że administrator nie przetwarza jej danych osobowych?
Czy administrator danych może dodatkowo zweryfikować osobę, której dane dotyczą, przed spełnieniem żądania usunięcia danych?
Czy można ukryć w ramach historii wpisów w CEIDG dane osobowe?
W oparciu o jaką podstawę prawną pracodawca może przetwarzać nr rejestracyjny samochodu pracownika?
Czy nagrywanie rozmów tel. należy traktować jako inna forma monitoringu?
Jaka może być podstawa prawna dotycząca monitoringu stosowna w podmiotach administracji publicznej?
Czy przy zastosowaniu monitoringu tylko na zewnątrz budynku obowiązują wszystkie omawiane stasowane wymogi np. zapisy w Regulaminie, powiadamianie itp.
Na czym polega monitoring poczty elektronicznej? Czy sporadyczny wgląd w pocztę konkretnego pracownika w uzasadnionym przypadku to monitoring? i jak o nim informować, przed tym jednostkowym zajrzeniem w pocztę? Czy ogólnie poinformować o tym, że taki moni
Czy samo posiadanie oprogramowania pozwalającego na zarządzanie centralne komputerami może być traktowane jako posiadanie zdolności do monitorowania?
Czy przełożeni mogą mieć dostęp do monitoringu, aby weryfikować postęp pracy pracowników?
Czy pracodawca ma podstawy ewaluować pracę pracownika na podstawie nagrań z monitoringu?
Czy można umieścić kamerę w korytarzu, w którym znajdują się pomieszczenia toalet, a także pomieszczenia związku zawodowego?
Czy na stołówce, z której nie korzystają pracownicy mogą być umieszczone kamery?
Czy można sprawdzać na monitoringu godziny przyjścia do pracy pracowników pracujących w systemie 3-zmianowycm oraz czy można w ramach celu kontroli jakości sprawdzać efektywność i jakość pracy (praca z osobami niepełnosprawnymi).
IOD zakwestionował kamerę w korytarzu, gdyż sięgała do miejsca, w którym były drzwi toalety. Zdaniem IOD w ten sposób stale były monitorowane osoby, które korzystały z toalety, a tego nie wolno robić. Czy IOD miał rację?
Jak regulować wykorzystanie monitoringu w budynku, w którym usługi realizuje firma zewnętrzna np. sprzątanie?
Czy zgoda reprezentacji pracowniczej powinna być złożona na piśmie?
Czy informacja o monitoringu nie może być przekazywane pracownikowi podczas zatrudnienia w treści polityki prywatności dla pracownika?
Jak monitorować ilość wysyłanych/odebranych maili oraz załączników nie sprawdzając treści maila?
Co grozi za brak piktogramów na pojazdach? samo podpisanie dokumentu przez pracownika, w którym jest informacja o takim monitoringu nie wystarczy?
Czy uzyskanie od pracownika zgody na widoczność tras prywatnych będzie uwzględnione w trakcie ewentualnej kontroli, co z równością stron pracodawca-pracownik (podwładny).
DPIA I i test równowagi kiedy są wymagane przy monitoringu i przetwarzaniu danych?
W jakich przypadkach monitoringu należy przeprowadzić test równowagi?
Czy są jakieś narzędzia, które pomogą nam w przeprowadzeniu DPIA oraz testu równowagi samodzielnie bez zatrudniania specjalisty?
Czy w pierwszej warstwie klauzuli odnośnie do monitoringu wizyjnego można pominąć prawa na rzecz podania kontaktu z IOD?
Obowiązek DPIA rodzaj operacji przetwarzanie na dużą skalę?
W jaki sposób weryfikujemy podmioty, które będą przetwarzały nasze dane? Czy są jakieś wytyczne, wzory ankiet pomagających na m weryfikację takich podmiotów?
Czy zagubienie w organizacji zwrotnego potwierdzenia odbioru korespondencji nadanej listem poleconym do adresata (na ZPO widoczne imię i nazwisko oraz adres adresata), mamy do czynienia z naruszeniem ochrony danych?
Na czym polegają scenariusze testów planów ciągłości działania?
Czy dobrze rozumiem, na każde zagrożenie - mam mieć przygotowany plan ciągłości działania, czyli pomysł co robić w danej sytuacji?
Czy ryzyko oceniamy przed wdrożeniem zabezpieczeń?
Czy dla oceny ryzyka nie powinniśmy ocenić poziom ryzyka przed zastosowaniem zabezpieczeń, a następnie po zastosowaniu wybranych zabezpieczeń?
Czy dla potrzeb BCP (ISO22301) analizy BIA czy analiza ryzyka podaje się z imienia i nazwiska osoby które stoją na czele jednostek organizacyjnych właścicieli zasobów? Czy wystarczy sprawowana funkcja / stanowisko?
Czy w przypadku zidentyfikowania ryzyka na różnym poziomie np.: niski, średni, wysoki dla różnych aktywów czy przyjmujemy wartość najwyższą dla tego aktywu czy całe ryzyko identyfikujemy jako najwyższe?
Jak Priorytetyzować Procesy w BCP?
Czy mając analizę ryzyka dla ochrony danych osobowych (nie dla organizacji) to dla planu ciągłości działania będzie ona wystarczająca? Czy może trzeba ją rozszerzyć? Jak tak, to proszę podpowiedzieć o jakie elementy.
Jaka jest rola IOD w w tworzeniu planu ciągłości działania?
Czy moja organizacja będzie podlegać pod AI Act?
Czy moja organizacja stosuje system wysokiego ryzyka w rozumieniu AI Act?
Kiedy AI Act wchodzi w życie?
Czy AI akt w sprawie sztucznej inteligencji zastępuje RODO?
Jakie działania w sprawie AI Act warto teraz podjąć?
Chciałbym się dowiedzieć jak dokonać oceny niezbędności i proporcjonalności przy realizacji wymogu privacy by design?
Czy jest możliwe i jakie są podstawy prawne do wglądu do poczty elektronicznej i zawartości dysków pracownika, który odszedł z pracy. Jakie przesłanki muszą zostać spełnione?
Czy Ośrodek Pomocy Społecznej może udostępnić Wójtowi dostęp do swojego konta bankowego na podstawie pisma Wójta, w którym nie jest wskazany cel i podstawa prawna przetwarzania? Czy fakt że Wójt bez zgody kierownika OPS uzyskał taki dostęp jest naruszenie
Czy pełniąc funkcję IOD na podstawie RODO oraz ustawy o ochronie danych osobowych jestem zobligowany raz na rok do przekazywania administratorowi danych osobowych sprawozdania z działań z zakresu ochrony danych osobowych jak jest to opisane w art. 47 ust.
Sprawa dotyczy pracownika, list z dokumentem PIT -11 został wysłany na polecenie pracodawcy przez księgową (Rozliczenie Pit za poprzedni rok). List nie dotarł do adresata, nie wrócił do pracodawcy (zwykły list bez adresu zwrotnego), nie wiadomo kto go ode
Zagadnienie dotyczy okresu retencji nagrań z monitoringu stanowiących załącznik do protokołu powypadkowego lub protokołu z audytu wewnętrznego. Kodeks pracy wyznacza termin trzech miesięcy jako maksymalny dla możliwości przechowywania nagrań z wyjątkami.
Mam pytanie jak wdrożyć RODO w placówce medycznej, która ma główną siedzibę w jednej miejscowości, a filię w innej. To mają być tak jakby dwa oddzielne miejsca i wszystkie dokumenty tworzone osobno ? Czy to mam uznać za jedną jednostkę?
Udziałowiec/wspólnik w spółce z o.o. poprosił o przesłanie danych osobowych pracowników (imię i nazwisko i rodzaj umowy) w celu wykonywania nadzoru właścicielskiego nad Spółką. Prezes zarządu spółki odmówił przekazania ww. danych i wskazał, iż Przekazanie
Jak to jest z odpowiedzialnością IOD? Mam drobny incydent związany z ochroną danych osobowych, tzn. z kalkulatora wagi naruszeń wynika, Brak obowiązku zgłaszania naruszenia - i taką rekomendację przekazałem administratorowi. Jak rozumiem, to on podejmuje
Firma ochroniarska przetwarza dane kontaktowe pracowników administratora, upoważnionych do odwołania alarmu. Czy tego rodzaju współpraca wymaga zawarcia umowy powierzenia? Firma nie świadczy usług monitoringu wizyjnego, ma jedynie reagować na sygnał alarm
W przypadku gdy pracownik zmienia dział w podmiocie pracodawcy, a nie zmienia samego podmiotu zachowując przy tym kategorie przetwarzania danych osobowych czy należy takiemu pracownikowi aktualizować nową dokumentację RODO np. upoważnienie do przetwarzani
Czy i w jaki sposób możliwa jest skuteczna weryfikacja procesora (wewnątrz EOG), bez jego aktywnego udziału (np. wyłącznie na podstawie dokumentacji załączonej do umowy lub udostępnianej przez procesora na www)? Czy zawierając umowę powierzenia z podmiote
Jestem osobą fizyczna nie prowadząca działalności gospodarczej i mam być zatrudniona jako IOD w sp. z o.o. Proponowana przeze mnie forma zatrudniona na umowę zlecenia została poddana w wątpliwość przez dział kadr. Uważają, że powinna to być umowa o świadc
Czy na plakacie reklamującym pracę w naszej firmie (z podanym numerem telefonu, pod którym można dowiedzieć się na jakie stanowiska szukamy kandydatów) należy umieścić klauzulę RODO?
Czy zawierając umowę - zlecenie przez pracownika zatrudnionego w urzędzie gminy z gminą, polegająca na wykonaniu czynności operatora informatycznej obsługi Obwodowej Komisji Wyborczej jest obowiązek podpisania umowy powierzenia przetwarzania danych?
Jako firma występuję w umowie powierzenia jako podmiot przetwarzający. Mam pracowników, którzy swoją pracę będą wykonywać na terenie Ukrainy i tam będą mieć dostęp do powierzonych danych. Umowa zakłada zakaz przekazywania (transferowania) danych do państw
Czy mail z prośbą osoby o usunięcie jej danych osobowych (w związku z np. rekrutacją, że nie wyraża już zgody na dalsze przetwarzanie) oraz odpowiedź mailowa do tej osoby, gdy administrator usunie jej dane, także podlegają usunięciu? Czy też można przetw
Czy przy analizie ryzyka na gruncie RODO wymagana jest ocena ryzyka inherentnego i rezydualnego?
Kto powinien przeprowadzać ocenę ryzyka? Jaka jest rola IODa w tym zakresie?
Czy aby podlegać NIS2, muszą być spełnione jednocześnie kryteria zatrudnienia, jak i wielkości przedsiębiorstwa?
Czy mimo usunięcia zapisów o normach, wdrożenie ISO 27001 i ISO 22301 zapewnia zgodność z wymogami dyrektywy?
Jakie kary przewiduje NIS2?
Czy dokumentacja wprowadzająca przepisy NIS powinna być odrębna, mimo że większość informacji jest już zawarta w dokumentacji RODO?
Czy pełnomocnikiem Zarządu ds. wdrożenia i utrzymania NIS2 powinien być pracownik działu IT?
Jaka jest rola inspektora ochrony danych przy wdrażaniu przepisów NIS?
Pracownik po rozwiązaniu umowy żąda prawa dostępu do swoich danych? Czy podajemy mu wszystkie dokumenty, gdzie jego dane zostały wskazane?
Co w sytuacji, gdy policja lub sąd żądają oryginałów dokumentów zgromadzonych w ramach Niebieskiej karty?
Jak rozwiązać monitorowanie skrzynek pracowników, jeżeli w spółce jest skrzynka mailowa do przyjmowania zgłoszeń naruszenia prawa – sygnalista.
Jak długo powinien być utrzymany dostęp do skrzynki byłego pracownika?
Czy w przypadku monitoringu poczty elektronicznej konieczne jest wykonanie DPiA?
Jakie dokumenty musimy sporządzić, aby moc monitorować pocztę służbową pracowników.
Jaka retencja dla poczty elektronicznej? Po jakim czasie od rozwiązania umowy należy usunąć dane z poczty?
Czy rzeczywiście obsługa naruszeń i ich zgłaszanie przez IOD może mieć znamiona konfliktu interesu?
Czy w rejestrze naruszeń powinno się dokumentować także naruszenia przepisów o ochronie danych osobowych stwierdzone np. podczas audytu?
Kim jest ADO – czy jest to cały zarząd?
Co należy zrobić w przypadku zagubienia dokumentu w obrębie organizacji, gdy mamy pewność (100%), że nie wydostał się on poza firmę, a jedynie został prawdopodobnie dołączony do innej dokumentacji?
Czy upoważniony pracownik wysyłający maila z danymi osobowymi klientów na swojego prywatnego maila, to zaufany odbiorca?
Czy organy administracji publicznej, takie jak Policja, Zakład Ubezpieczeń Społecznych czy urzędy miejskie, można klasyfikować jako zaufanych odbiorców?
Jak długo się przechowuje te dowody naruszeń? Są jakieś terminy?
Jaka jest odpowiedzialność IOD, gdy doradzi, aby nie zgłaszać do UODO? Może mieć jakieś konsekwencje za to?
Czy do rejestru powinno się dołączyć Standardy Ochrony Małoletnich?
Czy dla każdej operacji robimy analizę ryzyka i jak często ja robić?
Jakie dokumenty będą wystarczające, aby realizować podstawowe obowiązki wynikające z ustawy o ochronie danych i RODO, jeśli organizacja nie musi powoływać inspektora i jest zwolniona z prowadzenia rejestru czynności przetwarzania? Obecnie posiadamy upoważ
Czy IOD jest przedstawicielem ADO i można na niego scedować prowadzenie RCP? Kogo mamy na myśli mówiąc, że administrator prowadzi ten rejestr? czy tu chodzi o inspektora ochrony danych, czy jakiś inny podmiot?
Jak szczegółowy powinien być rejestr czynności przetwarzania w przedszkolach? Czy mogliby Państwo podać konkretne przykłady dotyczące zakresu danych i czynności przetwarzania w odniesieniu do wychowanka przedszkola?
Jak szczegółowe powinny być operacje opisane w rejestrze? Czy wystarczy wpisać ogólne kategorie, takie jak "obsługa zatrudnienia pracowników", czy należy podzielić je na bardziej szczegółowe operacje, jak na przykład "ewidencja czasu pracy", "rozliczenia
Gdzie znajdziemy informacje nt. operacji przetwarzania?
Spółka udostępnia zdjęcia z wizerunkami pracowników i członków zarządu w postach na portalach społecznościowych oraz na stronie internetowej. Czy w takim przypadku jako odbiorcę danych osobowych należy wskazać wszystkich użytkowników sieci, czy wyłącznie
Jak opisać środki bezpieczeństwa, skoro nie mamy jurysdykcji nad sprzętem, na którym pracują nasi programiści?
Jaką przyjąć podstawę do obliczenia prawdopodobieństwa?
Jaka jest rola IOD przy analizie ryzyka? Proszę o konkretne przykłady jego zadań w tym procesie.
W jaki sposób małe organizacje powinny podejść do analizy ryzyka?
Czy RODO pozwala trenować modele AI na danych osobowych?
ChatGPT i Microsoft Copilot w urzędzie – legalność wg RODO i opinii EROD 28/2024?
Modele zewnętrzne a DPIA – czy bez pełnej wiedzy o AI da się ocenić ryzyko?
Zgoda na nagrywanie a trening AI — czy potrzeba oddzielnej zgody i klauzuli?
RODO a dokumentacja backupów – czy każdy środek bezpieczeństwa musi być spisany?
Jakie konsekwencje grożą za brak przeprowadzenia audytu zgodnie z wymaganiami KRI?
Retencja dokumentacji RODO – jak długo przechowywać dowody na kontrolę UODO?
Dyrektywa NIS2 – które organizacje muszą spełniać nowe wymogi cyberbezpieczeństwa?
Czy IOD może prowadzić szkolenia pracowników w firmie?
Szkolenie RODO dla nowego pracownika – co musi zawierać?
Szkolenia RODO – kto inicjuje: IOD czy ADO?
Lista obecności RODO – jak długo przechowywać dokumentację szkoleń?
W jakich organizacjach wymagane jest stosowanie przepisów dyrektywy NIS2?
Jaką rolę odgrywa IOD w procesie wdrażania dyrektywy NIS 2 w organizacji?
Czy inspektor ochrony danych (IOD) może pełnić funkcję pełnomocnika zarządu (ds. NIS2)?
Czy funkcję pełnomocnika zarządu ds. NIS2 może pełnić osoba z działu IT?
Czy mamy obowiązek zgłaszania do UODO zagubienia korespondencji przez Pocztę Polską?
Co w przypadku ujawnienia danych osobowych (imię, nazwisko, numer pracownika, poziom zaszeregowania, wysokość wynagrodzenia) pomiędzy pracownikami w jednej spółce? Odbiorca danych był nieuprawniony, lecz zaufany – usunął dane i potwierdził ich usunięcie.
Czy mogą Państwo podać przykłady bezpiecznych metod szyfrowania danych? Co rozumie się pod pojęciem „nowoczesne metody”? Jak bezpiecznie szyfrować pliki w sposób, który pozwala się ewentualnie powołać na zastosowane środki ochrony?
Jakie są przykłady naruszeń ochrony danych osobowych w instytucjach kultury lub w bibliotekach?
Czym się różni słaba umowa chmurowa od mocnej?
Jak należy podejść do sytuacji, w której ADO przyznaje pracownikom dostęp do systemu i danych osobowych spoza sieci firmowej, np. z domu, przy czym nie odbywa się to w ramach pracy zdalnej?
Jak należy udokumentować zastosowane zabezpieczenia baz danych w przypadku przekazywania informacji do KSeF?
Czy istnieje jednolity katalog obowiązków IOD dla poszczególnych branż biznesowych?
Jakie dane osobowe powinny się znaleźć na upoważnieniu do podejmowania różnych czynności w imieniu osoby fizycznej?
Czy można badać trzeźwość pracowników podwykonawców i kontrahentów?
Podmiot przetwarzający pozyskuje dane dla administratora. Czyją klauzulę informacyjną ma przekazać – swoją czy ADO?
Czy sprawdzenie służbowej poczty pracownika należy traktować jak monitoring poczty elektronicznej z Kodeksu pracy?
Czy podmiot przetwarzający dane ma obowiązek przeprowadzić DPIA?
Czy odnotowanie przez pracownika, że osoba udzieliła zgody podczas rozmowy telefonicznej, jest wystarczającym dowodem udzielenia zgody w rozumieniu art. 6 ust. 1 lit. a RODO?
Czy pracownik może żądać od pracodawcy kopii wszystkich dokumentów, które podpisał, sporządził lub które zawierają jego dane osobowe?
Kto powinien podpisać umowę powierzenia przetwarzania danych – prezes czy dyrektor działu?
Czy przy świadczeniu usług z zakresu bezpieczeństwa IT bezpieczne jest mapowanie wszystkich systemów i aplikacji wykorzystywanych w działalności?
Czy Urząd Ochrony Danych Osobowych ma podstawy, aby wymagać konkretnego podejścia do analizy ryzyka na gruncie RODO?
Czy analizę ryzyka należy prowadzić w sposób ciągły, czy wystarczy przeprowadzić ją jednorazowo dla wszystkich procesów?
Jak często należy aktualizować analizę ryzyka?
Czy najpierw wykonuje się analizę ryzyka, a dopiero potem DPIA (ocenę skutków dla ochrony danych)?
Czy wszystkie czynności przetwarzania ujęte w RCP powinny podlegać analizie ryzyka? Czy każdą z nich należy uwzględnić w rejestrze ryzyk?
Co w sytuacji, gdy zarząd poleci mi wykonanie takiej analizy jako IOD i ograniczy swoją rolę jedynie do zapoznania się z nią oraz jej podpisania?
Czy jeśli wycieknie 10 000 danych klientów, to skutek dla pojedynczej osoby fizycznej będzie większy? Wydaje mi się, że konsekwencje dla tej osoby są takie same, niezależnie od tego, ile danych innych klientów wyciekło równocześnie.
Czy istnieje różnica między skutkiem dla organizacji a skutkiem dla osoby fizycznej?
Kto w organizacji powinien odpowiadać za przeprowadzanie testów bezpieczeństwa?
Dla jakiego procesu należy szacować ryzyko? Czy zasób oceniamy w kontekście konkretnego procesu?
Czy wdrożenie systemu MDM zawsze jest dopuszczalne i adekwatne?

Wysłaliśmy do Ciebie wiadomość od ODO 24.

Każdy czytelnik naszego biuletunu otrzymuje pakiet 4 bezpłatnych poradników i 4 mikroszkoleń RODO.

Wysłaliśmy do Ciebie wiadomość od ODO 24.