Transfer danych osobowych do Stanów Zjednoczonych musi być oparty na decyzji Komisji Europejskiej stwierdzającej zapewnienie odpowiedniego stopnia ochrony danych osobowych przez niektóre organizacje w USA. Władze amerykańskie przyjęły mechanizm dochodzenia roszczeń w związku z ewentualnymi naruszeniami ochrony danych, które miały miejsce w USA. Sprawdź, co to oznacza dla administratora danych osobowych.

Niektóre firmy muszą ustalić wewnętrzną procedurę dokonywania zgłoszeń naruszeń prawa i podejmowania działań następczych, zwaną dalej „procedurą” w związku z wymogami ustawy o ochronie sygnalistów. Wdrożenie procedury ma związek z przetwarzaniem danych osobowych, natomiast legalne przetwarzanie należy poprzedzić analizą ryzyka identyfikującą potencjalne zagrożenia i środki przed nimi zabezpieczające. Poznaj przykładowe ryzyka dla praw i wolności wszystkich osób powiązanych ze stosowaniem procedury, w tym sygnalistów.

Ustawa o ochronie sygnalistów stanowi, że sposoby przekazywania zgłoszeń wewnętrznych w ramach procedury obejmują co najmniej możliwość dokonywania zgłoszeń ustnie lub pisemnie. Dlatego też administrator danych osobowych (dalej: ADO) powinien zdecydować, jaki system zgłoszeń stworzyć: ustny, pisemny czy mieszany. Skoncentrujemy się zatem na zagrożeniach, jakie niesie za sobą wybór konkretnego sposobu dokonywania zgłoszeń w ramach procedury.

Przepisy o ochronie sygnalistów nakazują m.in. niektórym firmom stworzenie wewnętrznej procedury przyjmowania zgłoszeń. Bez względu na to, czy procedurę wdrożymy z obowiązku, czy dobrowolnie, należy przeprowadzić analizę ryzyka w związku z przetwarzaniem danych osobowych.

Zasady dotyczące bezpiecznego korzystania z sieci mają być istotnym zagadnieniem w ramach nowego przedmiotu edukacja zdrowotna. Jak wskazuje wiceminister edukacji Katarzyna Lubnauer, edukacja zdrowotna w szkołach będzie miała na celu także zapewnienie bezpieczeństwa cyfrowego dzieci.

 Firma kurierska Posti z Finlandii zapłaci 2,4 mln euro za praktyki niezgodne z RODO w związku z usługą elektronicznej skrzynki pocztowej. Spółka przetwarzała dane osobowe w ramach usługi elektronicznej bez podstawy prawnej i nie wykonując w pełni obowiązku informacyjnego. Naruszyła także regułę privacy by default.