Pytanie:  Firma sprzedaje suplementy diety. W tym celu gromadzi takie dane klientów, jak imię i nazwisko, wiek (potrzebne do analiz ciała) oraz telefon do kontaktu. W firmie planowany jest znaczny przyrost klientów – do ok. 1000 osób. Czy firma powinna wyznaczyć inspektora ochrony danych?

Pytanie:  Czy w związku z przeniesieniem akt stanu cywilnego do rejestru stanu cywilnego kierownik urzędu stanu cywilnego staje się odrębnym administratorem danych osobowych? Czy powinien w związku z tym wyznaczyć inspektora ochrony danych?

Przepisy RODO określają, jakie zadania powinien realizować inspektor ochrony danych. Nie wskazują natomiast, jakich czynności wykonywać nie powinien. Wiemy jedynie, że istnieje możliwość wykonywania innych obowiązków, niż wymienione w RODO, o ile nie powoduje to konfliktu interesów. Jakie są to obowiązki? Analizujemy to w artykule.

Rejestr czynności przetwarzania danych to podstawowy dokument, którego co do zasady powinien posiadać każdy administrator danych osobowych. W praktyce problemem jest wypełnienie tego rejestru. Administratorzy zastanawiają się czy do rejestru powinna zostać wpisana każda operacja przetwarzania danych osobowych czy też wystarczy ogólne ujęcie czynności przetwarzania. Które rozwiązanie jest prawidłowe? Odpowiedź znajdziesz w artykule.

Pytanie:  Czy przekazanie dokumentów do składnicy akt, archiwum zakładowego należy traktować jako osobny proces z koniecznością wpisu do rejestru czynności jaki jest zobligowany prowadzić administrator danych?

Rejestr czynności przetwarzania danych prowadzi pracodawca jako administrator natomiast rejestr kategorii czynności przetwarzania danych prowadzi podmiot przetwarzający czyli firma zewnętrzna prowadząca sprawy kadrowe. Obowiązkiem podmiotu przetwarzającego jest zatem prowadzenie rejestru wszystkich kategorii czynności przetwarzania dokonywanych w imieniu administratora a nie rejestrowania czynności przetwarzania – co leży w gestii administratora danych. Sprawdź, jak przedstawia się kwestia prowadzenia tych rejestrów w przypadku outsourcingu kadrowo-płacowego.

Pytanie:  Czy podmiot danych musi być poinformowany na piśmie o usunięciu jego danych osobowych na żądanie?

Pytanie:  Do pracownika przyszła korespondencja zaadresowana na firmę w następujący sposób: imię nazwisko – nazwa firmy. Pracownik przebywa na urlopie. Nie ma na kopercie klauzuli „poufne” czy „do rąk własnych”. Czy dyrektor firmy może otworzyć to pismo bez narażania się na konsekwencje?

Pytanie:  Przepisów Prawa zamówień publicznych nie stosuje się do zamówień o wartości do 30 000 euro. Czy to oznacza, że przy takich zamówieniach nie mają zastosowania regulacje Prawa zamówień publicznych ograniczające korzystania z praw wynikających z RODO a także ograniczenia jawności postępowania?

Pytanie:  Specjalista spoza zakładu pracy, który wykonuje obowiązki służby bhp na podstawie umowy o współpracy z danym pracodawcą. M.in. przeprowadza w związku z tym szkolenia. Kto jest administratorem danych osobowych przetwarzanych podczas szkoleń?

Pytanie:  Administrator chce skorzystać z aplikacji mobilnej, przy użyciu której będzie przetwarzał dane osobowe. Z producentem aplikacji zostanie oczywiście podpisana umowa powierzenia

To, w jaki sposób szkoła powinna przekazać dane osobowe dotyczące zdrowia ucznia pielęgniarce szkolnej, budzi duże kontrowersje. Wiele osób nie zgadza się ze stanowiskiem, że przekazanie to następuje w drodze powierzenia przetwarzania danych. Co więcej, konieczność zawierania umowy powierzenia zanegowała również Okręgowa Izba Pielęgniarek i Położnych w Gdańsku Dlaczego mimo tego sugerujemy zawierać umowy powierzenia przetwarzania danych?

Pytanie:  Do urzędu wpływają aktu notarialne przysyłane przez notariuszy na podstawie art. 37 ust. 5 ustawy o planowaniu i gospodarowaniu przestrzennym. Czy inne wydziały urzędu mogą również korzystać z tych aktów notarialnych w celu realizacji swoich czynności służbowych, do których potrzebny jest ten sam akt?

Pytanie:  Czy administrator w dobie epidemii koronawirusa może udostępnić monitoring zakładu pracy służbie bhp, która wykonywana jest przez zewnętrzny podmiot?

Pytanie:  Kto jest administratorem danych osobowych dla osób powołanych zarządzeniem starosty do powiatowej rady rynku pracy?

Przekazanie danych osobowych do tzw. chmury (zapewnianej przez zewnętrznego usługodawcę) jest niczym innym jak powierzeniem ich przetwarzania. Nie można niestety wykluczyć wycieku tych danych lub innego naruszenia ich ochrony. W takiej sytuacji za naruszenie może odpowiadać zarówno administrator, który przekazał te dane, jak i podmiot przetwarzający, czy dostawca usługi chmurowej. Kiedy i w jakim zakresie? Wyjaśniamy to w temacie tygodnia.

Czy istnieją rozwiązania prawne regulujące okres przechowywania dokumentacji związanej z ochroną danych osobowych np. upoważnień do przetwarzania danych, umów powierzenia przetwarzania danych czy kart szkoleń? Pytanie to zadaje sobie wielu administratorów. Niektórzy zastanawiają się nawet, czy w świetle reguły rozliczalności wynikającej z art. 5 RODO nie jest konieczne przyjęcie bezterminowego okresu przechowywania tego typu dokumentacji. Sprawdź, jak ustalić okres przechowywania takiej dokumentacji.

Aktywność związków zawodowych dotyczy nie tylko strajków. Warto wiedzieć, że organizacje związkowe są uprawnione żądać od pracodawców różnych informacji niezbędnych do wykonywania zadań związkowych m.in. do obrony interesów swoich członków. Takimi informacjami mogą być dane o wynagrodzeniu, które w konkretnych sytuacjach mogą posiadać status danych osobowych. Sprawdź, czy takie dane mogą być udostępnione związkowi zawodowemu.

Od dnia 25 maja 2018, roku czyli od początku obowiązywania Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 roku w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (dalej: RODO, Rozporządzenie) na każdym administratorze danych osobowych ciąży obowiązek przeprowadzania analizy ryzyka.

Pytanie:  Czy prawidłowe jest powiązanie koncepcji "Privacy by design" z oceną skutków przetwarzania danych osobowych (DPIA) w sytuacji wprowadzania nowego procesu biznesowego, w którym dane osobowe są przetwarzane (lub jego aktualizacji)?

W określonych okolicznościach obowiązkiem administratora danych osobowych staje się ocena skutków przetwarzania dla ochrony danych (DPIA). Proces ten powinien być zrealizowany przy wsparciu personelu administratora, ale przede wszystkim z udziałem inspektora ochrony danych, jeżeli takowy jest wyznaczony w organizacji. Sprawdź, jaką rolę pełni IOD w ocenie skutków dla ochrony danych.

Pytanie:  Pracodawca przetwarza dane osobowe dziecka pracownika. Jak spełnić obowiązek informacyjny względem tego dziecka?

Pytanie:  W związku ze sprzedażą detaliczną w sklepie stacjonarnym firma wystawia faktury sprzedaży, a także przyjmuje płatności gotówką i terminalem. Faktury są przesyłane do biura rachunkowego. Jak określić cele przetwarzania w klauzuli informacyjnej?

Klauzula informacyjna musi spełniać odpowiednie warunki nie tylko w zakresie treści, ale też sposobu jej zredagowania. Przede wszystkim musi być przejrzysta i zrozumiała dla odbiorcy, ale także wystarczająco skonkretyzowana. Redagując klauzulę informacyjną, nietrudno o błąd. Sprawdź czego należy wystrzegać się w treści klauzuli.

Pytanie:  Czy w przyjętej w firmie procedurze naruszeń należy rozróżniać przypadki, kiedy występuje tylko zagrożenie wystąpienia naruszenia (np. niestosowanie polityki haseł) od przypadków, w których występuje naruszenie (np. awaria serwera z danymi)?

Pytanie:  Nowy inspektor ochrony danych wykrył naruszenie ochrony danych, które miało miejsce w przeszłości, przed objęciem przez niego funkcji IOD. Jak powinien zareagować?

Każdy administrator danych osobowych ma obowiązek informowania o naruszeniu ochrony danych osoby, których te dane dotyczą. Obowiązek ten dotyczy również dzieci. Prezes UODO wyjaśnia, w jaki sposób powiadomić dziecko o naruszeniu dotyczących go danych osobowych.

RODO nie precyzuje środków ochrony danych osobowych w przypadku pracy zdalnej. Oznacza to, że administrator ma prawo wybierać z absolutnie całego dostępnego mu instrumentarium. Poznaj przykładowe rozwiązania służące bezpieczeństwu danych w pracy zdalnej.

Pytanie:  Nauczyciel chce przesyłać uczniom materiały za pośrednictwem komunikatorów internetowych typu Messenger. Jakie wymogi muszą być spełnione przez szkołę?

W ostatnim czasie, z powodu zagrożenia epidemicznego spowodowanego pandemią koronawirusa, wiele organizacji przeszło na model pracy zdalnej. Dzięki temu pracownicy mogą realizować swoje obowiązki z domu, wykorzystując narzędzia komunikacji elektronicznej do kontaktu z pozostałymi członkami zespołu. Taki sposób pracy oczywiście jest uzasadniony obecna sytuacją na świecie, ale nie można przy tym zapominać o konieczności odpowiedniego zabezpieczania informacji przechowywanych przez pracowników na komputerach w domu oraz przesyłanych przez Internet.