Przepisy RODO określają, jakie zadania powinien realizować inspektor ochrony danych. Nie wskazują natomiast, jakich czynności wykonywać nie powinien. Wiemy jedynie, że istnieje możliwość wykonywania innych obowiązków, niż wymienione w RODO, o ile nie powoduje to konfliktu interesów. Jakie są to obowiązki? Analizujemy to w artykule.

Pytanie:  Czy główny specjalista ds. marketingu i sprzedaży może pełnić funkcję inspektora ochrony danych?

Pytanie:  Czy pracownicza kasa zapomogowo-pożyczkowa funkcjonująca w instytucji samorządowej musi mieć powołanego Inspektora ochrony danych?

Rejestr czynności przetwarzania danych to podstawowy dokument, którego co do zasady powinien posiadać każdy administrator danych osobowych. W praktyce problemem jest wypełnienie tego rejestru. Administratorzy zastanawiają się czy do rejestru powinna zostać wpisana każda operacja przetwarzania danych osobowych czy też wystarczy ogólne ujęcie czynności przetwarzania. Które rozwiązanie jest prawidłowe? Odpowiedź znajdziesz w artykule.

Pytanie:  Czy przekazanie dokumentów do składnicy akt, archiwum zakładowego należy traktować jako osobny proces z koniecznością wpisu do rejestru czynności jaki jest zobligowany prowadzić administrator danych?

Rejestr czynności przetwarzania danych prowadzi pracodawca jako administrator natomiast rejestr kategorii czynności przetwarzania danych prowadzi podmiot przetwarzający czyli firma zewnętrzna prowadząca sprawy kadrowe. Obowiązkiem podmiotu przetwarzającego jest zatem prowadzenie rejestru wszystkich kategorii czynności przetwarzania dokonywanych w imieniu administratora a nie rejestrowania czynności przetwarzania – co leży w gestii administratora danych. Sprawdź, jak przedstawia się kwestia prowadzenia tych rejestrów w przypadku outsourcingu kadrowo-płacowego.

Pytanie:  Czy podmiot danych musi być poinformowany na piśmie o usunięciu jego danych osobowych na żądanie?

Pytanie:  Do pracownika przyszła korespondencja zaadresowana na firmę w następujący sposób: imię nazwisko – nazwa firmy. Pracownik przebywa na urlopie. Nie ma na kopercie klauzuli „poufne” czy „do rąk własnych”. Czy dyrektor firmy może otworzyć to pismo bez narażania się na konsekwencje?

Pytanie:  Przepisów Prawa zamówień publicznych nie stosuje się do zamówień o wartości do 30 000 euro. Czy to oznacza, że przy takich zamówieniach nie mają zastosowania regulacje Prawa zamówień publicznych ograniczające korzystania z praw wynikających z RODO a także ograniczenia jawności postępowania?

Pytanie:  Szpital podpisał kontrakt z lekarzem na wykonywanie przez niego badań. Czy lekarz musi zostać upoważniony do przetwarzania danych?

Pytanie:  Przedsiębiorstwo komunalne realizuje dla kilku gmin z okolicy usługi wywozu śmieci i usługi kanalizacyjne. Dla realizacji tych celów pozyskała od tych gmin dane osobowe. Czy powinna zawrzeć z gminami umowy powierzenia czy raczej występuje tutaj jako oddzielny administrator?

Pytanie:  Czy administrator musi nadać upoważnienia do przetwarzania danych osobowych dla członków komisji konkursowej oceniającej oferty na wsparcie realizacji przez organizacje pozarządowe i podmioty prowadzące działalność pożytku publicznego zadań publicznych powiatu, powołanej na podstawie art. 15 ust 2a ustawy o działalności pożytku publicznego i o wolontariacie?

Pytanie:  Pracownik wyraził zgodę na publikację w sieci firmowej zdjęć z imprezy integracyjnej, na których został uwieczniony. Po publikacji zdjęć na dysku wspólnym, cofnął zgodę. Jak postąpić w tej sytuacji?

Pytanie:  Czy pracownik schroniska dla zwierząt (z którym gmina ma podpisaną umowę na wyłapywanie bezdomnych zwierząt) może udzielić pracownikowi urzędu gminy informacji, kto odebrał psa lub kto jest jego właścicielem?

Pytanie:  W przedszkolu zbierane są dane osób upoważnionych do odbioru dziecka po zakończonych zajęciach w postaci imienia i nazwiska oraz serii i nr dowodu. Jaka jest przesłanka przetwarzania tych danych osobowych?

Przekazanie danych osobowych do tzw. chmury (zapewnianej przez zewnętrznego usługodawcę) jest niczym innym jak powierzeniem ich przetwarzania. Nie można niestety wykluczyć wycieku tych danych lub innego naruszenia ich ochrony. W takiej sytuacji za naruszenie może odpowiadać zarówno administrator, który przekazał te dane, jak i podmiot przetwarzający, czy dostawca usługi chmurowej. Kiedy i w jakim zakresie? Wyjaśniamy to w temacie tygodnia.

Czy istnieją rozwiązania prawne regulujące okres przechowywania dokumentacji związanej z ochroną danych osobowych np. upoważnień do przetwarzania danych, umów powierzenia przetwarzania danych czy kart szkoleń? Pytanie to zadaje sobie wielu administratorów. Niektórzy zastanawiają się nawet, czy w świetle reguły rozliczalności wynikającej z art. 5 RODO nie jest konieczne przyjęcie bezterminowego okresu przechowywania tego typu dokumentacji. Sprawdź, jak ustalić okres przechowywania takiej dokumentacji.

Aktywność związków zawodowych dotyczy nie tylko strajków. Warto wiedzieć, że organizacje związkowe są uprawnione żądać od pracodawców różnych informacji niezbędnych do wykonywania zadań związkowych m.in. do obrony interesów swoich członków. Takimi informacjami mogą być dane o wynagrodzeniu, które w konkretnych sytuacjach mogą posiadać status danych osobowych. Sprawdź, czy takie dane mogą być udostępnione związkowi zawodowemu.

W określonych okolicznościach obowiązkiem administratora danych osobowych staje się ocena skutków przetwarzania dla ochrony danych (DPIA). Proces ten powinien być zrealizowany przy wsparciu personelu administratora, ale przede wszystkim z udziałem inspektora ochrony danych, jeżeli takowy jest wyznaczony w organizacji. Sprawdź, jaką rolę pełni IOD w ocenie skutków dla ochrony danych.

W określonych przypadkach obowiązkiem administratora danych osobowych jest przeprowadzenie oceny skutków przetwarzania dla ochrony danych. Na obowiązek ten szczególną uwagę powinny zwrócić podmioty prowadzące sklepy internetowe – ze względu na potencjalnie dużą liczbę podmiotów, których dane osobowe są przetwarzane w związku z funkcjonowaniem sklepu. Sprawdź, kiedy i jak przeprowadzić ocenę skutków w sklepie internetowym.

W Monitorze Polskim opublikowano nowy wykaz operacji rodzajów przetwarzania podlegających wymogowi dokonania oceny skutków dla ochrony danych. W zaktualizowanym wykazie po uwzględnieniu opinii wydanej przez Europejską Radę Ochrony Danych i obejmuje również czynności przetwarzania związane z oferowaniem towarów lub usług osobom, których dane dotyczą, lub z monitorowaniem ich zachowania w kilku państwach członkowskich lub mogące znacznie wpłynąć na swobodny przepływ danych osobowych w Unii Europejskiej.

Pytanie:  Czy pracownicy powinni otrzymać klauzule informacyjne w związku z przekazaniem służbowych telefonów komórkowych?

Pytanie:  Czy administratorem danych osobowych może być urząd? Chodzi o postępowanie rekrutacyjne do urzędu gminy.

Pytanie:  Jaką podstawę prawną przetwarzania danych osobowych dla kandydatów na wolne stanowisko urzędnicze należy podać w klauzuli informacyjnej.

Pytanie:  Nowy inspektor ochrony danych wykrył naruszenie ochrony danych, które miało miejsce w przeszłości, przed objęciem przez niego funkcji IOD. Jak powinien zareagować?

Każdy administrator danych osobowych ma obowiązek informowania o naruszeniu ochrony danych osoby, których te dane dotyczą. Obowiązek ten dotyczy również dzieci. Prezes UODO wyjaśnia, w jaki sposób powiadomić dziecko o naruszeniu dotyczących go danych osobowych.

Naruszenie ochrony danych osobowych spotyka się z reakcją Prezesa UODO. Organ nadzoru reaguje odpowiednio do wagi konkretnego naruszenia, korzystając z licznych uprawnień, jakie mu przysługują zgodnie z RODO.O uprawnieniach tych, a w szczególności o karach pieniężnych możemy przeczytać w najnowszym komunikacie Prezesa Urzędu.

Dbanie o bezpieczeństwo przetwarzanych danych to nie tylko stosowanie środków prawnych ale też technicznych. Dotyczy to także bezpieczeństwa systemów IT w organizacji. Utwardzanie konfiguracji (tzw. hardening) jest jedną z prostszych metod poprawiających bezpieczeństwo poprzez zmniejszenie powierzchni ataku konfigurowanego komponentu.

Pytanie:  Czy w przypadku monitoringu wizyjnego i nagrywanych rozmów telefonicznych konieczne jest sporządzanie kopii bezpieczeństwa nagrań?

Pytanie:  Firma stworzyła w Google stworzony został kalendarz zabiegów pacjentów. Wpisuje tam dane pacjentów i daty zabiegów. Na pierwszy rzut oka w kalendarzu widać tylko inicjały pacjenta, ale po wejściu osoby uprawnionej w dany dzień widać już wszystkie dane pacjenta. Kalendarz jest udostępniany każdej osobie uprawnionej i zainteresowanej przez login i hasło. Czy bezpieczne jest zamieszczanie w kalendarzu Google takich danych?