Artykuły eksperckie

Obowiązek powołania inspektora ochrony danych spoczywa na wielu firmach ze względu na skalę lub specyfikę prowadzonej działalności gospodarczej. Wybór specjalisty, który weźmie na siebie ciężar nadzoru prawidłowości przestrzegania RODO w całej organizacji, wcale jednak nie jest taki prosty, jak mogłoby się wydawać. Wyjaśniamy, na czym polega outsourcing funkcji inspektora ochrony danych, jakie obowiązki ma taka osoba i czego możesz od niej oczekiwać.

Programy wykorzystujące generatywną sztuczną inteligencję do tworzenia różnego rodzaju treścii stają się coraz bardziej popularne. Choć tego typu narzędzia mogą przyśpieszyć prace nad projektem i uczynić ją bardziej wydajną, wielu „twórców” zapomina o potencjalnych problemach natury prawnej, jakie niesie ze sobą zbyt gorliwe sięganie po algorytmy AI/ML. O czym pamiętać, przygotowując umowę z klientem, aby nie narazić się na nieprzyjemności?

Wojewódzki Sąd Administracyjny w Warszawie w wyroku o sygnaturze II SA/Wa 2378/20 zmierzył się z problemem, który dotyka tysięcy konsumentów – nadmiernie skomplikowanym i wprowadzającym w błąd procesem wycofania zgody na przetwarzanie danych osobowych. Ważne w tym sporze jest to, że w wyroku z dnia 12 listopada 2024 r. Naczelny Sąd Administracyjny oddalił skargę kasacyjną spółki ClickQuickNow, przychylając się do stanowiska Wojewódzkiego Sądu Administracyjnego.

Już 13 grudnia 2024 roku zaczyna obowiązywać unijne rozporządzenie Parlamentu Europejskiego i Rady 2023/988 w sprawie ogólnego bezpieczeństwa produktów. Jego celem jest zwiększenie poziomu ochrony konsumentów przy jednoczesnym dążeniu do ujednolicenia warunków działań przedsiębiorstw. Nowe prawo wprowadza wiele nowych rozwiązań, które zmuszone będą wdrożyć przede wszystkim podmioty działające w obszarze e-commerce. Co dokładnie zmienia rozporządzenie GPSR?

W czerwcu 2024 r. Wojewódzki Sąd Administracyjny w Warszawie wydał istotny wyrok dotyczący obowiązków administratora danych w przypadku naruszenia ochrony danych osobowych (wyrok z dnia 18 czerwca 2024 r., II SA/Wa 219/24). Sprawa dotyczyła kary w wysokości blisko 283 000 zł nałożonej przez Prezesa UODO na spółkę E. S.A. za niezgłoszenie naruszenia ochrony danych osobowych oraz niepoinformowanie o tym osoby, której dane dotyczą.

Decydując się na przetwarzanie danych osobowych, administrator powinien móc wykazać, że dysponuje ku temu odpowiednią podstawą. W przeciwnym razie ryzykuje wysokie kary w związku z przetwarzaniem danych osobowych bez podstawy prawnej. W tym kontekście warto przyjrzeć się bliżej testowi równowagi. Kiedy trzeba go przeprowadzić i jak zrobić to prawidłowo?

Naruszenie praw i wolności w kontekście ochrony danych osobowych to jedno z kluczowych pojęć w RODO. Od właściwej oceny poziomu tego ryzyka zależy szereg obowiązków administratora danych – od wdrożenia odpowiednich zabezpieczeń, przez przeprowadzenie analizy skutków przetwarzania, aż po konieczność zgłoszenia naruszenia organom nadzorczym i osobom poszkodowanym. W tym artykule przyjrzymy się, jak RODO definiuje te naruszenia i jakie konkretne działania musi podjąć administrator w zależności od poziomu ryzyka.

Każde przetwarzanie danych osobowych musi mieć swoją podstawę prawną. Ogólne rozporządzenie o ochronie danych (RODO) przewiduje sześć różnych podstaw prawnych, dzięki którym przetwarzanie danych osobowych jest zgodne z RODO. Jedną z takich podstaw jest zgoda osoby, której dane dotyczą. Jest to najbardziej popularna podstawa i można mieć wrażenie, że jedyna słuszna. Nic bardziej mylnego. Zgoda odpowiada za wiele ważnych procesów przetwarzania danych osobowych, ale na pewno nie za wszystkie.

Wielu by się z tym kłóciło ale dane osobowe są jednym z najcenniejszych zasobów w obecnych gospodarkach i firmach. Jednocześnie są one narażone na różnorodne zagrożenia. Wystarczy chwila nieuwagi, błąd systemu czy celowe działanie osoby nieuprawnionej, by wrażliwe informacje wyciekły, zostały zmienione lub bezpowrotnie utracone. Takie zdarzenia nie tylko naruszają nasze prawo do prywatności, ale mogą prowadzić do poważnych konsekwencji zarówno dla osób, których dane dotyczą, jak i dla podmiotów odpowiedzialnych za ich ochronę. Ale kiedy w ogóle możemy mówić, że doszło do naruszenia ochrony danych osobowych?