Obowiązek powołania inspektora ochrony danych spoczywa na wielu firmach ze względu na skalę lub specyfikę prowadzonej działalności gospodarczej. Wybór specjalisty, który weźmie na siebie ciężar nadzoru prawidłowości przestrzegania RODO w całej organizacji, wcale jednak nie jest taki prosty, jak mogłoby się wydawać. Wyjaśniamy, na czym polega outsourcing funkcji inspektora ochrony danych, jakie obowiązki ma taka osoba i czego możesz od niej oczekiwać.

Wojewódzki Sąd Administracyjny w Warszawie w wyroku o sygnaturze II SA/Wa 2378/20 zmierzył się z problemem, który dotyka tysięcy konsumentów – nadmiernie skomplikowanym i wprowadzającym w błąd procesem wycofania zgody na przetwarzanie danych osobowych. Ważne w tym sporze jest to, że w wyroku z dnia 12 listopada 2024 r. Naczelny Sąd Administracyjny oddalił skargę kasacyjną spółki ClickQuickNow, przychylając się do stanowiska Wojewódzkiego Sądu Administracyjnego.

Duża część dyskusji w zakresie ochrony danych osobowych krąży wokół tego czy jakieś konkretne dane można uznać za dane osobowe czy nie. Czasami granica jest bardzo cienka. Przykładowo czy sam numer telefonu – bez imienia i nazwiska – może stanowić daną osobową. Wyrok Wojewódzkiego Sądu Administracyjnego we Wrocławiu z 27 marca 2024 r. (II SA/Wa 1378/23) rzuca nowe światło na tę problematykę, jednocześnie poruszając kluczowe aspekty odpowiedzialności administratorów danych osobowych.

Jednym z ciekawszych przypadków wykorzystania danych szczególnej kategorii jest wykorzystanie danych biometrycznych uczniów, które mimo swojej efektywności, budzi istotne wątpliwości prawne. Właśnie tej problematyki dotyczy przełomowy wyrok Naczelnego Sądu Administracyjnego z 10 października 2024 r. (sygn. akt III OSK 4984), który w fundamentalny sposób wpłynął na interpretację przepisów o ochronie danych osobowych w kontekście autonomii woli wyrażonej w zgodzie na przetwarzanie danych.

Administrator danych osobowych prowadząc przedsiębiorstwo, organizację non-profit (NGO) lub też działając jako organ publiczny rzadko kiedy jest w stanie zrealizować wszystkie swoje cele bez udziału lub pomocy podmiotów trzecich. Taką sytuację, w której administrator chce zrealizować swój cel z pomocą innego podmiotu nazywamy powierzeniem przetwarzania danych osobowych.

W czerwcu 2024 r. Wojewódzki Sąd Administracyjny w Warszawie wydał istotny wyrok dotyczący obowiązków administratora danych w przypadku naruszenia ochrony danych osobowych (wyrok z dnia 18 czerwca 2024 r., II SA/Wa 219/24). Sprawa dotyczyła kary w wysokości blisko 283 000 zł nałożonej przez Prezesa UODO na spółkę E. S.A. za niezgłoszenie naruszenia ochrony danych osobowych oraz niepoinformowanie o tym osoby, której dane dotyczą.

Decydując się na przetwarzanie danych osobowych, administrator powinien móc wykazać, że dysponuje ku temu odpowiednią podstawą. W przeciwnym razie ryzykuje wysokie kary w związku z przetwarzaniem danych osobowych bez podstawy prawnej. W tym kontekście warto przyjrzeć się bliżej testowi równowagi. Kiedy trzeba go przeprowadzić i jak zrobić to prawidłowo?

Naruszenie praw i wolności w kontekście ochrony danych osobowych to jedno z kluczowych pojęć w RODO. Od właściwej oceny poziomu tego ryzyka zależy szereg obowiązków administratora danych – od wdrożenia odpowiednich zabezpieczeń, przez przeprowadzenie analizy skutków przetwarzania, aż po konieczność zgłoszenia naruszenia organom nadzorczym i osobom poszkodowanym. W tym artykule przyjrzymy się, jak RODO definiuje te naruszenia i jakie konkretne działania musi podjąć administrator w zależności od poziomu ryzyka.

Każde przetwarzanie danych osobowych musi mieć swoją podstawę prawną. Ogólne rozporządzenie o ochronie danych (RODO) przewiduje sześć różnych podstaw prawnych, dzięki którym przetwarzanie danych osobowych jest zgodne z RODO. Jedną z takich podstaw jest zgoda osoby, której dane dotyczą. Jest to najbardziej popularna podstawa i można mieć wrażenie, że jedyna słuszna. Nic bardziej mylnego. Zgoda odpowiada za wiele ważnych procesów przetwarzania danych osobowych, ale na pewno nie za wszystkie.