Pytanie:  Czy właściciel małej firmy może równocześnie pełnić funkcję inspektora ochrony danych w tej firmie.

Pytanie:  Kto odpowiada za wystąpienie ewentualnego konfliktu interesów u inspektora ochrony danych? Jakie znaczenie ma tu oświadczenie IOD o braku konfliktu interesów?

Jak wynika z RODO, inspektor ochrony danych powinien posiadać wiedzę nie tylko na temat prawa, ale i praktyk w dziedzinie ochrony danych osobowych. Może ona obejmować np. wiedzę o sposobie tworzenia dokumentacji dotyczącej ochrony danych osobowych, sposobach realizacji uprawnień osób, których dane dotyczą (po tym, gdy zgłoszą odpowiednie żądania), umiejętność dokonywania analizy ryzyka, jak również dobierania odpowiednich zabezpieczeń związanych z ochroną informacji. W tym zakresie wymagana jest również wiedza z zakresu cyberbezpieczeństwa.

Pytanie:  Dom kultury otrzymał wniosek o udostępnienie informacji publicznej, w którym zawarto zapytania czy jednostka przeprowadziła audyt bezpieczeństwa informacji w roku 2019 i 2020 na zgodność z rozporządzeniem Rady Ministrów z dnia 12 kwietnia 2012 roku w sprawie Krajowych Ram Interoperacyjności, kto jest odpowiedzialny za przygotowanie w jednostce specyfikacji audytu bezpieczeństwa KRI, a także czy został ustanowiony w jednostce System Zarządzania Bezpieczeństwem Informacji (SZBI)?

Pytanie:  Czy podprocesor jest zobowiązany do prowadzenia rejestru kategorii czynności przetwarzania?

Rejestr czynności przetwarzania danych to podstawowy dokument, którego co do zasady powinien posiadać każdy administrator danych osobowych. W praktyce problemem jest wypełnienie tego rejestru. Administratorzy zastanawiają się czy do rejestru powinna zostać wpisana każda operacja przetwarzania danych osobowych czy też wystarczy ogólne ujęcie czynności przetwarzania. Które rozwiązanie jest prawidłowe? Odpowiedź znajdziesz w artykule.

W czasie pandemii niejednokrotnie działania dyrektorów szkół i placówek oświatowych spotykają się z oporem rodziców. Dotyczy to m.in. przekazywania danych uczniów do sanepidu. Zdarza się, że rodzice sprzeciwiają się przetwarzaniu danych w ten sposób. Sprawdź, czy taki sprzeciw należy uwzględnić.

Pytanie:  Czy klient na podstawie art. 15 RODO może zażądać przesłania kopii nagrań z poczty głosowej?

Pytanie:  Czy Spółdzielnia ma prawo podać członkowi spółdzielni na jego prośbę informacje o liczbie lokali, dla których ustanowiono odrębną własność w zamieszkałym przez niego budynku?

Pytanie:  Dzieci ze szkół biorą udział w programie powszechnej nauki pływania „Umiem pływać”. Szkoły zostały poproszone przez aquapark o przekazanie następujących danych osobowych ucznia: imię i nazwisko, data urodzenia, klasa, szkoła. Na jakiej podstawie prawnej szkoły mogą to zrobić?

Pytanie:  Czy Centrum Usług Wspólnych, które obsługuje pod względem kadrowym oraz płacowym samorządowe jednostki organizacyjne musi mieć podpisaną z tymi jednostkami umowę powierzenia przetwarzania danych?

Pytanie:  Czy podmiot przetwarzający, przetwarzając dane osobowe administratora tj. jednostki publicznej oraz umowy powierzenia przetwarzania danych osobowych, ma obowiązek dostosować realizowanie przez siebie zadań i wdrożyć u siebie postanowienia obowiązującego w administratora Systemu Zarządzania Bezpieczeństwem Informacji?

Pytanie:  Do placówki medycznej wpłynęło pismo z prokuratury o wydanie dowodu w sprawie w postaci oryginału historii zgonowej i sekcji prokuratorskiej. Czy w związku z wydaniem tych dokumentów należy wystawić fakturę VAT dla prokuratury?

Pytanie:  Czy spółdzielnia mieszkaniowa powinna udostępnić informacje o wynagrodzeniu prezesa zarządu na żądanie jednego z członków?

Pytanie:  Czy pozyskując dane osobowe pełnoletnich członków najbliższej rodziny pracownika, które tenże pracownik umieszcza w kwestionariuszu osobowym w przypadku zamiaru korzystania ze szczególnych uprawnień przewidzianych w prawie pracy, należy dodatkowo pozyskać ich zgodę na przetwarzanie danych osobowych. Dane te są niezbędne m.in. do zgłaszania do ubezpieczenia zdrowotnego, czy też rozliczania świadczeń z tytułu opieki nad dziećmi.

Pytanie:  Czy prowadzenie wykazu zgód na dostęp do systemu informatycznego jest obowiązkowe?

Przekazanie danych osobowych do tzw. chmury (zapewnianej przez zewnętrznego usługodawcę) jest niczym innym jak powierzeniem ich przetwarzania. Nie można niestety wykluczyć wycieku tych danych lub innego naruszenia ich ochrony. W takiej sytuacji za naruszenie może odpowiadać zarówno administrator, który przekazał te dane, jak i podmiot przetwarzający, czy dostawca usługi chmurowej. Kiedy i w jakim zakresie? Wyjaśniamy to w temacie tygodnia.

Czy istnieją rozwiązania prawne regulujące okres przechowywania dokumentacji związanej z ochroną danych osobowych np. upoważnień do przetwarzania danych, umów powierzenia przetwarzania danych czy kart szkoleń? Pytanie to zadaje sobie wielu administratorów. Niektórzy zastanawiają się nawet, czy w świetle reguły rozliczalności wynikającej z art. 5 RODO nie jest konieczne przyjęcie bezterminowego okresu przechowywania tego typu dokumentacji. Sprawdź, jak ustalić okres przechowywania takiej dokumentacji.

Kluczem dla zrozumienia przepisów i celów rozporządzenia 2016/679 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (dalej: RODO), jest tzw. podejście oparte na ryzyku. Wyraża się ono w nałożonym na administratora obowiązku przeprowadzania analizy ryzyka związanego z przetwarzaniem danych, jakie jest realizowane w organizacji.

Pytanie:  Pracodawca zamontował monitoring GPS w samochodach służbowych, którymi jeżdżą pracownicy i współpracownicy firmy. Monitoring służy wyłącznie do weryfikacji stanu pojazdu tj. stanu akumulatora, spalania, przejechanych kilometrów, ale także do celów lokalizacji samochodu w razie kradzieży. Czy w związku z tym konieczne jest przeprowadzenie oceny skutków dla ochrony danych?

Tzw. ogólna analiza ryzyka to obowiązek każdego administratora danych osobowych. Jest to wymóg oceny, czy przetwarzanie danych osobowych w konkretnej organizacji generuje ryzyka i jakiego rodzaju. Z kolei obowiązek przeprowadzenia oceny skutków dla ochrony danych (DPIA), powstaje tylko w sytuacjach określonych RODO. O ile przed wejściem w życie RODO nacisk był kładziony na spełnienie wymogów formalnych (w tym posiadanie dokumentacji, którą można było opracować raz i praktycznie o niej zapomnieć), o tyle aktualnie istotne jest to, aby nie dochodziło do naruszeń danych osobowych. To na administratorze ciąży bowiem obowiązek zapewnienia bezpieczeństwa przetwarzania danych osobowych. Dlatego w obydwu przypadkach zgodnie z regułą rozliczalności należy udokumentować przeprowadzenie oceny, ale także wyciągnięte na ich podstawie wnioski. W ten sposób organizacja zabezpieczy się przed ewentualnymi karami za naruszenie przepisów o ochronie danych.

Pytanie:  W jakich przypadkach ośrodek pomocy społecznej nie musi realizować obowiązku informacyjnego np. względem sprawcy przemocy w rodzinie czy ofiar dotkniętych tą przemocą?

Pytanie:  W klauzuli informacyjnej są zawarte dane administratora oraz współadministratora. Tylko jeden z administratorów powołał inspektora ochrony danych. Czy dane tego inspektora powinny znaleźć się we wspólnej klauzuli informacyjnej?

Pytanie:  Czy administrator danych osobowych powinien podpisać klauzulę informacyjną, którą przekazuje podmiotom danych?

Zgodnie z regułą rozliczalności każdy administrator czy podmiot przetwarzający musi być gotowy do wykazania przestrzegania RODO. W tym może pomóc mu m.in. odpowiednia dokumentacja. Sprawdź, jakie dokumenty przygotować przed ewentualną kontrolą UODO.

Każdy użytkownik smartfona ma dostęp do wielu darmowych aplikacji, które jednak mogą okazać się niebezpieczne dla przechowywanych na urządzeniu danych osobowych. Chodzi tu nie tylko o nasze dane, ale także o takie, które przechowujemy na smartfonie np. w związku z prowadzoną działalnością gospodarczą. A w tym wypadku za ich ewentualny wyciek możemy ponieść odpowiedzialność.

Pytanie:  Do urzędu wpłynęła skarga podpisana przez osobę skarżącego, wskutek czego możliwa stała się jego identyfikacja. Urząd ujawnił pismo ze skargą osobom, których ta skarga dotyczyła. Czy jest to naruszenie ochrony danych?

Pytanie:  Czy prowadzenie wykazu zgód na dostęp do systemu informatycznego jest obowiązkowe?

Pytanie:  Czy konieczne jest szyfrowanie dokumentów przesyłanych pomiędzy urzędami?

Pytanie:  Pracodawca przebadał wszystkich pracowników na obecność koronawirusa. Jak długi powinien być okres przechowywania wyników badań laboratoryjnych w zakładzie pracy?

Pytanie:  Czy właściciel małej firmy może równocześnie pełnić funkcję inspektora ochrony danych w tej firmie.

Pytanie:  Kto odpowiada za wystąpienie ewentualnego konfliktu interesów u inspektora ochrony danych? Jakie znaczenie ma tu oświadczenie IOD o braku konfliktu interesów?

Jak wynika z RODO, inspektor ochrony danych powinien posiadać wiedzę nie tylko na temat prawa, ale i praktyk w dziedzinie ochrony danych osobowych. Może ona obejmować np. wiedzę o sposobie tworzenia dokumentacji dotyczącej ochrony danych osobowych, sposobach realizacji uprawnień osób, których dane dotyczą (po tym, gdy zgłoszą odpowiednie żądania), umiejętność dokonywania analizy ryzyka, jak również dobierania odpowiednich zabezpieczeń związanych z ochroną informacji. W tym zakresie wymagana jest również wiedza z zakresu cyberbezpieczeństwa.

Pytanie:  Dom kultury otrzymał wniosek o udostępnienie informacji publicznej, w którym zawarto zapytania czy jednostka przeprowadziła audyt bezpieczeństwa informacji w roku 2019 i 2020 na zgodność z rozporządzeniem Rady Ministrów z dnia 12 kwietnia 2012 roku w sprawie Krajowych Ram Interoperacyjności, kto jest odpowiedzialny za przygotowanie w jednostce specyfikacji audytu bezpieczeństwa KRI, a także czy został ustanowiony w jednostce System Zarządzania Bezpieczeństwem Informacji (SZBI)?

Pytanie:  Czy podprocesor jest zobowiązany do prowadzenia rejestru kategorii czynności przetwarzania?

Rejestr czynności przetwarzania danych to podstawowy dokument, którego co do zasady powinien posiadać każdy administrator danych osobowych. W praktyce problemem jest wypełnienie tego rejestru. Administratorzy zastanawiają się czy do rejestru powinna zostać wpisana każda operacja przetwarzania danych osobowych czy też wystarczy ogólne ujęcie czynności przetwarzania. Które rozwiązanie jest prawidłowe? Odpowiedź znajdziesz w artykule.

W czasie pandemii niejednokrotnie działania dyrektorów szkół i placówek oświatowych spotykają się z oporem rodziców. Dotyczy to m.in. przekazywania danych uczniów do sanepidu. Zdarza się, że rodzice sprzeciwiają się przetwarzaniu danych w ten sposób. Sprawdź, czy taki sprzeciw należy uwzględnić.

Pytanie:  Czy klient na podstawie art. 15 RODO może zażądać przesłania kopii nagrań z poczty głosowej?

Pytanie:  Czy Spółdzielnia ma prawo podać członkowi spółdzielni na jego prośbę informacje o liczbie lokali, dla których ustanowiono odrębną własność w zamieszkałym przez niego budynku?

Pytanie:  Dzieci ze szkół biorą udział w programie powszechnej nauki pływania „Umiem pływać”. Szkoły zostały poproszone przez aquapark o przekazanie następujących danych osobowych ucznia: imię i nazwisko, data urodzenia, klasa, szkoła. Na jakiej podstawie prawnej szkoły mogą to zrobić?

Pytanie:  Czy Centrum Usług Wspólnych, które obsługuje pod względem kadrowym oraz płacowym samorządowe jednostki organizacyjne musi mieć podpisaną z tymi jednostkami umowę powierzenia przetwarzania danych?

Pytanie:  Czy podmiot przetwarzający, przetwarzając dane osobowe administratora tj. jednostki publicznej oraz umowy powierzenia przetwarzania danych osobowych, ma obowiązek dostosować realizowanie przez siebie zadań i wdrożyć u siebie postanowienia obowiązującego w administratora Systemu Zarządzania Bezpieczeństwem Informacji?

Pytanie:  Do placówki medycznej wpłynęło pismo z prokuratury o wydanie dowodu w sprawie w postaci oryginału historii zgonowej i sekcji prokuratorskiej. Czy w związku z wydaniem tych dokumentów należy wystawić fakturę VAT dla prokuratury?

Pytanie:  Czy spółdzielnia mieszkaniowa powinna udostępnić informacje o wynagrodzeniu prezesa zarządu na żądanie jednego z członków?

Pytanie:  Czy pozyskując dane osobowe pełnoletnich członków najbliższej rodziny pracownika, które tenże pracownik umieszcza w kwestionariuszu osobowym w przypadku zamiaru korzystania ze szczególnych uprawnień przewidzianych w prawie pracy, należy dodatkowo pozyskać ich zgodę na przetwarzanie danych osobowych. Dane te są niezbędne m.in. do zgłaszania do ubezpieczenia zdrowotnego, czy też rozliczania świadczeń z tytułu opieki nad dziećmi.

Pytanie:  Czy prowadzenie wykazu zgód na dostęp do systemu informatycznego jest obowiązkowe?

Przekazanie danych osobowych do tzw. chmury (zapewnianej przez zewnętrznego usługodawcę) jest niczym innym jak powierzeniem ich przetwarzania. Nie można niestety wykluczyć wycieku tych danych lub innego naruszenia ich ochrony. W takiej sytuacji za naruszenie może odpowiadać zarówno administrator, który przekazał te dane, jak i podmiot przetwarzający, czy dostawca usługi chmurowej. Kiedy i w jakim zakresie? Wyjaśniamy to w temacie tygodnia.

Czy istnieją rozwiązania prawne regulujące okres przechowywania dokumentacji związanej z ochroną danych osobowych np. upoważnień do przetwarzania danych, umów powierzenia przetwarzania danych czy kart szkoleń? Pytanie to zadaje sobie wielu administratorów. Niektórzy zastanawiają się nawet, czy w świetle reguły rozliczalności wynikającej z art. 5 RODO nie jest konieczne przyjęcie bezterminowego okresu przechowywania tego typu dokumentacji. Sprawdź, jak ustalić okres przechowywania takiej dokumentacji.

Kluczem dla zrozumienia przepisów i celów rozporządzenia 2016/679 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (dalej: RODO), jest tzw. podejście oparte na ryzyku. Wyraża się ono w nałożonym na administratora obowiązku przeprowadzania analizy ryzyka związanego z przetwarzaniem danych, jakie jest realizowane w organizacji.

Pytanie:  Pracodawca zamontował monitoring GPS w samochodach służbowych, którymi jeżdżą pracownicy i współpracownicy firmy. Monitoring służy wyłącznie do weryfikacji stanu pojazdu tj. stanu akumulatora, spalania, przejechanych kilometrów, ale także do celów lokalizacji samochodu w razie kradzieży. Czy w związku z tym konieczne jest przeprowadzenie oceny skutków dla ochrony danych?

Tzw. ogólna analiza ryzyka to obowiązek każdego administratora danych osobowych. Jest to wymóg oceny, czy przetwarzanie danych osobowych w konkretnej organizacji generuje ryzyka i jakiego rodzaju. Z kolei obowiązek przeprowadzenia oceny skutków dla ochrony danych (DPIA), powstaje tylko w sytuacjach określonych RODO. O ile przed wejściem w życie RODO nacisk był kładziony na spełnienie wymogów formalnych (w tym posiadanie dokumentacji, którą można było opracować raz i praktycznie o niej zapomnieć), o tyle aktualnie istotne jest to, aby nie dochodziło do naruszeń danych osobowych. To na administratorze ciąży bowiem obowiązek zapewnienia bezpieczeństwa przetwarzania danych osobowych. Dlatego w obydwu przypadkach zgodnie z regułą rozliczalności należy udokumentować przeprowadzenie oceny, ale także wyciągnięte na ich podstawie wnioski. W ten sposób organizacja zabezpieczy się przed ewentualnymi karami za naruszenie przepisów o ochronie danych.

Pytanie:  W jakich przypadkach ośrodek pomocy społecznej nie musi realizować obowiązku informacyjnego np. względem sprawcy przemocy w rodzinie czy ofiar dotkniętych tą przemocą?

Pytanie:  W klauzuli informacyjnej są zawarte dane administratora oraz współadministratora. Tylko jeden z administratorów powołał inspektora ochrony danych. Czy dane tego inspektora powinny znaleźć się we wspólnej klauzuli informacyjnej?

Pytanie:  Czy administrator danych osobowych powinien podpisać klauzulę informacyjną, którą przekazuje podmiotom danych?

Zgodnie z regułą rozliczalności każdy administrator czy podmiot przetwarzający musi być gotowy do wykazania przestrzegania RODO. W tym może pomóc mu m.in. odpowiednia dokumentacja. Sprawdź, jakie dokumenty przygotować przed ewentualną kontrolą UODO.

Każdy użytkownik smartfona ma dostęp do wielu darmowych aplikacji, które jednak mogą okazać się niebezpieczne dla przechowywanych na urządzeniu danych osobowych. Chodzi tu nie tylko o nasze dane, ale także o takie, które przechowujemy na smartfonie np. w związku z prowadzoną działalnością gospodarczą. A w tym wypadku za ich ewentualny wyciek możemy ponieść odpowiedzialność.

Pytanie:  Do urzędu wpłynęła skarga podpisana przez osobę skarżącego, wskutek czego możliwa stała się jego identyfikacja. Urząd ujawnił pismo ze skargą osobom, których ta skarga dotyczyła. Czy jest to naruszenie ochrony danych?

Pytanie:  Czy prowadzenie wykazu zgód na dostęp do systemu informatycznego jest obowiązkowe?

Pytanie:  Czy konieczne jest szyfrowanie dokumentów przesyłanych pomiędzy urzędami?

Pytanie:  Pracodawca przebadał wszystkich pracowników na obecność koronawirusa. Jak długi powinien być okres przechowywania wyników badań laboratoryjnych w zakładzie pracy?