Przedsiębiorca prowadzący szkołę językową ma co oczywiste liczne obowiązki związane z przetwarzaniem danych osobowych. Sprawdź, czy wśród tych obowiązków mieści się również wyznaczenie inspektora ochrony danych.

Pytanie:  Administrator zamierza wyznaczyć zastępcę inspektora ochrony danych. Jaka powinna być pozycja zastępcy IOD w organizacji. Komu podlega zastępca?

Pytanie:  Czy administrator może powierzyć kompetencję nadawania i odbierania upoważnień do przetwarzania danych osobowych dla pracowników jednostki inspektorowi ochrony danych?

Rejestr czynności przetwarzania danych to podstawowy dokument, którego co do zasady powinien posiadać każdy administrator danych osobowych. W praktyce problemem jest wypełnienie tego rejestru. Administratorzy zastanawiają się czy do rejestru powinna zostać wpisana każda operacja przetwarzania danych osobowych czy też wystarczy ogólne ujęcie czynności przetwarzania. Które rozwiązanie jest prawidłowe? Odpowiedź znajdziesz w artykule.

Pytanie:  Czy przekazanie dokumentów do składnicy akt, archiwum zakładowego należy traktować jako osobny proces z koniecznością wpisu do rejestru czynności jaki jest zobligowany prowadzić administrator danych?

Rejestr czynności przetwarzania danych prowadzi pracodawca jako administrator natomiast rejestr kategorii czynności przetwarzania danych prowadzi podmiot przetwarzający czyli firma zewnętrzna prowadząca sprawy kadrowe. Obowiązkiem podmiotu przetwarzającego jest zatem prowadzenie rejestru wszystkich kategorii czynności przetwarzania dokonywanych w imieniu administratora a nie rejestrowania czynności przetwarzania – co leży w gestii administratora danych. Sprawdź, jak przedstawia się kwestia prowadzenia tych rejestrów w przypadku outsourcingu kadrowo-płacowego.

Pytanie:  Czy Spółdzielnia ma prawo podać członkowi spółdzielni na jego prośbę informacje o liczbie lokali, dla których ustanowiono odrębną własność w zamieszkałym przez niego budynku?

Pytanie:  W związku z planowanymi wyborami prezydenckimi i zapytaniami Poczty Polskiej o udostępnienie spisu wyborców do urzędu wpływają e-maile wyborców z oświadczeniami o braku zgody na przekazanie Poczcie Polskiej danych osobowych. Jak zareagować na te oświadczenia?

Pytanie:  Czy podmiot danych musi być poinformowany na piśmie o usunięciu jego danych osobowych na żądanie?

W razie stwierdzenia wysokiego ryzyka naruszenia praw lub wolności osób fizycznych administrator danych osobowych musi przeprowadzić DPIA. W zależności od wyników oceny konieczne może okazać się zainicjowanie konsultacji z Prezesem UODO.

Pytanie:  Urząd wynajmuje terapeucie pomieszczenie do przyjmowania osób uzależnionych. Terapeuta jest zatrudniony na umowę zlecenie przez urząd w ramach komisji gminnej uzależnień. W pomieszczeniu będzie przechowywał dokumenty z zamkniętej szafce. Czy powinien podpisać stosowne oświadczania dotyczące poufności?

Pytanie:  Rodzicie złożyli skargę do kuratorium na działanie szkoły. Kuratorium zgłosiło się do gminy z żądaniem przekazania listy uczniów z określonego rocznika. Czy taka lista może być przekazana?

Zatrudnienie pracownika wiąże się z przetwarzaniem jego danych osobowych. Zakres tych danych uregulowany jest w przepisach Kodeksu pracy, ale może także wynikać z innych aktów prawnych. Dotyczy to m.in. informacji o niekaralności pracownika. Sprawdzamy, kiedy pracodawca może pozyskiwać takie informacje.

Pytanie:  Wodociągi, w celu rozliczenia zużytej wody, korzystają z systemu, który pozwala w sposób zdalny dokonać odczytu stanu liczników - wodomierzy. Następnie po zadokowaniu urządzenia przenośnego do komputera, dane te są kopiowane do systemu, sprawdzana jest ich poprawność i dokonuje się rozliczenia. Czy jest to profilowanie?

Pytanie:  Czy we wniosku rekrutacyjnym do przedszkola można żądać od rodziców/opiekunów dziecka dodatkowych informacji o zdrowiu, np. stałe choroby, wady rozwojowe, alergie?

Przekazanie danych osobowych do tzw. chmury (zapewnianej przez zewnętrznego usługodawcę) jest niczym innym jak powierzeniem ich przetwarzania. Nie można niestety wykluczyć wycieku tych danych lub innego naruszenia ich ochrony. W takiej sytuacji za naruszenie może odpowiadać zarówno administrator, który przekazał te dane, jak i podmiot przetwarzający, czy dostawca usługi chmurowej. Kiedy i w jakim zakresie? Wyjaśniamy to w temacie tygodnia.

Czy istnieją rozwiązania prawne regulujące okres przechowywania dokumentacji związanej z ochroną danych osobowych np. upoważnień do przetwarzania danych, umów powierzenia przetwarzania danych czy kart szkoleń? Pytanie to zadaje sobie wielu administratorów. Niektórzy zastanawiają się nawet, czy w świetle reguły rozliczalności wynikającej z art. 5 RODO nie jest konieczne przyjęcie bezterminowego okresu przechowywania tego typu dokumentacji. Sprawdź, jak ustalić okres przechowywania takiej dokumentacji.

Aktywność związków zawodowych dotyczy nie tylko strajków. Warto wiedzieć, że organizacje związkowe są uprawnione żądać od pracodawców różnych informacji niezbędnych do wykonywania zadań związkowych m.in. do obrony interesów swoich członków. Takimi informacjami mogą być dane o wynagrodzeniu, które w konkretnych sytuacjach mogą posiadać status danych osobowych. Sprawdź, czy takie dane mogą być udostępnione związkowi zawodowemu.

Pytanie:  W firmie doszło o utraty komputera z danymi osobowymi. Komputer został odzyskany, a dane osobowe na nim nie uległy wyciekowi. Urząd Ochrony Danych Osobowych zażądał od administratora podania wyników oceny ryzyka dla praw i wolności podmiotów danych w sytuacji czasowej utraty dostępności danych. Jak powinien zareagować administrator?

Analiza ryzyka często mylona jest z oceną skutków dla ochrony danych (DPIA). Tymczasem to pierwsze to podstawowy obowiązek ciążący na każdym administratorze danych osobowych, zaś obowiązek przeprowadzenia DPIA aktualizuje się dopiero w określonych sytuacjach.  Obowiązek przeprowadzenia analizy ryzyka wynika z zasady risk based approach, czyli podejściu opartym na ryzyku. To, jakie środki bezpieczeństwa powinien wdrożyć administrator, zależy bowiem od charakteru, zakresu, kontekstu i celów przetwarzania danych oraz od ryzyka naruszenia praw i wolności osób, których dane dotyczą, a także ryzyka naruszenia interesów administratora.

Celem przyjęcia na poziomie Unii Europejskiej rozporządzenia 2016/679 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE, było przede wszystkim wzmocnienie ochrony praw i wolności osób, których dane są przetwarzane. Cel ten jest realizowany m.in. poprzez wprowadzenie podejścia opartego na ryzyku (ang. risk-based approach) – koncepcji stanowiącej zasadniczy filar przepisów RODO.

W związku ze zgłoszeniem członków rodziny pracownika do ubezpieczenia społecznego pracodawca pozyskuje dane tych osób. Na jakiej podstawie? Czy musi w związku z tym spełnić obowiązek informacyjny? Na pytania te odpowiada Prezes UODO.

Pytanie:  Czy w związku z przejściem na pracę zdalną pracodawca musi ponownie realizować obowiązek informacyjny wobec pracowników?

Pytanie:  Pracodawca przetwarza dane osobowe dziecka pracownika. Jak spełnić obowiązek informacyjny względem tego dziecka?

Pytanie:  W firmie doszło o utraty komputera z danymi osobowymi. Komputer został odzyskany, a dane osobowe na nim nie uległy wyciekowi. Urząd Ochrony Danych Osobowych zażądał od administratora podania wyników oceny ryzyka dla praw i wolności podmiotów danych w sytuacji czasowej utraty dostępności danych. Jak powinien zareagować administrator?

Pytanie:  Czy zagubienie notatnika służbowego przez strażnika gminnego, w którym znajdują się dane osobowe, zebrane w związku z wykonaniem czynności w trybie Kodeksu Postępowania w Sprawach o Wykroczenia, wymaga podjęcia działań związanych ze zgłoszeniem naruszenia ochrony danych?

Pytanie:  Czy w przyjętej w firmie procedurze naruszeń należy rozróżniać przypadki, kiedy występuje tylko zagrożenie wystąpienia naruszenia (np. niestosowanie polityki haseł) od przypadków, w których występuje naruszenie (np. awaria serwera z danymi)?

W ostatnim czasie coraz większą popularność zdobywają szkolenia prowadzone przez Internet. Sprawdź, jakie wymogi w związku z RODO musi spełnić organizator szkolenia.

RODO nie precyzuje środków ochrony danych osobowych w przypadku pracy zdalnej. Oznacza to, że administrator ma prawo wybierać z absolutnie całego dostępnego mu instrumentarium. Poznaj przykładowe rozwiązania służące bezpieczeństwu danych w pracy zdalnej.

Pytanie:  Nauczyciel chce przesyłać uczniom materiały za pośrednictwem komunikatorów internetowych typu Messenger. Jakie wymogi muszą być spełnione przez szkołę?