Pytanie:  Czy samorządowy inspektor ochrony danych podlega ocenie okresowej? Co w przypadku, gdy IOD zajmuje zarazem inne stanowisko urzędnicze?

Przedsiębiorca prowadzący szkołę językową ma co oczywiste liczne obowiązki związane z przetwarzaniem danych osobowych. Sprawdź, czy wśród tych obowiązków mieści się również wyznaczenie inspektora ochrony danych.

Pytanie:  Administrator zamierza wyznaczyć zastępcę inspektora ochrony danych. Jaka powinna być pozycja zastępcy IOD w organizacji. Komu podlega zastępca?

Rejestr czynności przetwarzania danych to podstawowy dokument, którego co do zasady powinien posiadać każdy administrator danych osobowych. W praktyce problemem jest wypełnienie tego rejestru. Administratorzy zastanawiają się czy do rejestru powinna zostać wpisana każda operacja przetwarzania danych osobowych czy też wystarczy ogólne ujęcie czynności przetwarzania. Które rozwiązanie jest prawidłowe? Odpowiedź znajdziesz w artykule.

Pytanie:  Czy przekazanie dokumentów do składnicy akt, archiwum zakładowego należy traktować jako osobny proces z koniecznością wpisu do rejestru czynności jaki jest zobligowany prowadzić administrator danych?

Rejestr czynności przetwarzania danych prowadzi pracodawca jako administrator natomiast rejestr kategorii czynności przetwarzania danych prowadzi podmiot przetwarzający czyli firma zewnętrzna prowadząca sprawy kadrowe. Obowiązkiem podmiotu przetwarzającego jest zatem prowadzenie rejestru wszystkich kategorii czynności przetwarzania dokonywanych w imieniu administratora a nie rejestrowania czynności przetwarzania – co leży w gestii administratora danych. Sprawdź, jak przedstawia się kwestia prowadzenia tych rejestrów w przypadku outsourcingu kadrowo-płacowego.

Pytanie:  Czy Spółdzielnia ma prawo podać członkowi spółdzielni na jego prośbę informacje o liczbie lokali, dla których ustanowiono odrębną własność w zamieszkałym przez niego budynku?

Pytanie:  W związku z planowanymi wyborami prezydenckimi i zapytaniami Poczty Polskiej o udostępnienie spisu wyborców do urzędu wpływają e-maile wyborców z oświadczeniami o braku zgody na przekazanie Poczcie Polskiej danych osobowych. Jak zareagować na te oświadczenia?

Pytanie:  Czy podmiot danych musi być poinformowany na piśmie o usunięciu jego danych osobowych na żądanie?

Pytanie:  Podmiot ubezpieczył się od odpowiedzialności cywilnej. Osoba, która została poszkodowana (nie jest to pracownik, osoba spoza organizacji), żąda od tego podmiotu (za pośrednictwem swojego pełnomocnika) zadośćuczynienia za poniesione szkody, w przeciwnym razie skieruje sprawę do sądu. Podmiot planuje zlecić prowadzenie tej sprawy ubezpieczycielowi (m.in. rozmowy z poszkodowanym w celu zawarcia ugody). Czy przekazując firmie ubezpieczeniowej dane osobowe poszkodowanego (w tym o stanie zdrowia) należy zawrzeć z ubezpieczycielem umowę powierzenia?

Pytanie:  Jakie informacje należy przekazać dla osób, które będą składać wnioski o udostępnienie informacji publicznej

Pytanie:  Czy współadministratorzy mogą w umowie o współadministrowanie ustalić, że jeden z nich będzie stroną zawierającą umowy powierzenia?

Pytanie:  Podmiot zamierza rozpisać przetarg na roboty remontowe. Jak zweryfikować czy pracownicy firmy która wygra przetarg którzy będą wykonywali prace są zatrudnieni na umowę o pracę. Czy można prosić w wgląd np. do umów o pracę- czy w takim przypadku imię i nazwisko pracownika może być widoczne a pozostałe dane zanominizowane?

Pytanie:  Czy w upoważnieniu do przetwarzania danych wystarczy wpisać, że wynika on z zakresu umowy o pracę? Czy tez takie upoważnienie będzie zbyt ogólne?

Pytanie:  W spółce z o.o. ze 100-procentowym udziałem samorządu ma odbyć się kontrola poselska, zgodnie z ustawą o wykonywaniu mandatu posła i senatora. Czy w trakcie takiej kontroli należy udostępnić wszelkie dane osobowe, żądane przez kontrolerów - wśród nich obok danych pracowników i klientów również np. dane współpracowników? Czy obok legitymacji poselskiej poseł powinien okazać jeszcze inne dokumenty uprawniające do kontroli?

Przekazanie danych osobowych do tzw. chmury (zapewnianej przez zewnętrznego usługodawcę) jest niczym innym jak powierzeniem ich przetwarzania. Nie można niestety wykluczyć wycieku tych danych lub innego naruszenia ich ochrony. W takiej sytuacji za naruszenie może odpowiadać zarówno administrator, który przekazał te dane, jak i podmiot przetwarzający, czy dostawca usługi chmurowej. Kiedy i w jakim zakresie? Wyjaśniamy to w temacie tygodnia.

Czy istnieją rozwiązania prawne regulujące okres przechowywania dokumentacji związanej z ochroną danych osobowych np. upoważnień do przetwarzania danych, umów powierzenia przetwarzania danych czy kart szkoleń? Pytanie to zadaje sobie wielu administratorów. Niektórzy zastanawiają się nawet, czy w świetle reguły rozliczalności wynikającej z art. 5 RODO nie jest konieczne przyjęcie bezterminowego okresu przechowywania tego typu dokumentacji. Sprawdź, jak ustalić okres przechowywania takiej dokumentacji.

Aktywność związków zawodowych dotyczy nie tylko strajków. Warto wiedzieć, że organizacje związkowe są uprawnione żądać od pracodawców różnych informacji niezbędnych do wykonywania zadań związkowych m.in. do obrony interesów swoich członków. Takimi informacjami mogą być dane o wynagrodzeniu, które w konkretnych sytuacjach mogą posiadać status danych osobowych. Sprawdź, czy takie dane mogą być udostępnione związkowi zawodowemu.

Pytanie:  Pracodawca zamontował monitoring GPS w samochodach służbowych, którymi jeżdżą pracownicy i współpracownicy firmy. Monitoring służy wyłącznie do weryfikacji stanu pojazdu tj. stanu akumulatora, spalania, przejechanych kilometrów, ale także do celów lokalizacji samochodu w razie kradzieży. Czy w związku z tym konieczne jest przeprowadzenie oceny skutków dla ochrony danych?

Tzw. ogólna analiza ryzyka to obowiązek każdego administratora danych osobowych. Jest to wymóg oceny, czy przetwarzanie danych osobowych w konkretnej organizacji generuje ryzyka i jakiego rodzaju. Z kolei obowiązek przeprowadzenia oceny skutków dla ochrony danych (DPIA), powstaje tylko w sytuacjach określonych RODO. O ile przed wejściem w życie RODO nacisk był kładziony na spełnienie wymogów formalnych (w tym posiadanie dokumentacji, którą można było opracować raz i praktycznie o niej zapomnieć), o tyle aktualnie istotne jest to, aby nie dochodziło do naruszeń danych osobowych. To na administratorze ciąży bowiem obowiązek zapewnienia bezpieczeństwa przetwarzania danych osobowych. Dlatego w obydwu przypadkach zgodnie z regułą rozliczalności należy udokumentować przeprowadzenie oceny, ale także wyciągnięte na ich podstawie wnioski. W ten sposób organizacja zabezpieczy się przed ewentualnymi karami za naruszenie przepisów o ochronie danych.

Pytanie:  W firmie doszło o utraty komputera z danymi osobowymi. Komputer został odzyskany, a dane osobowe na nim nie uległy wyciekowi. Urząd Ochrony Danych Osobowych zażądał od administratora podania wyników oceny ryzyka dla praw i wolności podmiotów danych w sytuacji czasowej utraty dostępności danych. Jak powinien zareagować administrator?

Pytanie:  W umowie podane są dane osoby reprezentującej kontrahenta. Czy wobec tego względem tej osoby należy spełnić obowiązek informacyjny?

Pytanie:  Pracodawca zatrudnia pracownika w kraju nienależącym do EOG. Czy względem takiego pracownika należy zrealizować obowiązek informacyjny?

Pytanie:  Czy wobec współmałżonka pracownika korzystającego z zakładowego funduszu świadczeń socjalnych Administrator jest zobligowany spełnić obowiązek informacyjny?

Każdy użytkownik smartfona ma dostęp do wielu darmowych aplikacji, które jednak mogą okazać się niebezpieczne dla przechowywanych na urządzeniu danych osobowych. Chodzi tu nie tylko o nasze dane, ale także o takie, które przechowujemy na smartfonie np. w związku z prowadzoną działalnością gospodarczą. A w tym wypadku za ich ewentualny wyciek możemy ponieść odpowiedzialność.

Pytanie:  Do urzędu wpłynęła skarga podpisana przez osobę skarżącego, wskutek czego możliwa stała się jego identyfikacja. Urząd ujawnił pismo ze skargą osobom, których ta skarga dotyczyła. Czy jest to naruszenie ochrony danych?

Pytanie:  Czy związek zawodowy jest administratorem danych osobowych swych członków, którzy mają zostać zwolnieni z zakładu pracy i w związku z tym pracodawca przeprowadza procedurę konsultacyjną? Pytanie jest związane z ujawnieniem danych osobowych tych członków w formie ogłoszenia.

Pytanie:  Pracodawca przebadał wszystkich pracowników na obecność koronawirusa. Jak długi powinien być okres przechowywania wyników badań laboratoryjnych w zakładzie pracy?

Pytanie:  Poprzez platformę ZUS wpłynęła do zakładu pracy informacja o osobie (zawierająca m.in. imię i nazwisko, pesel, termin zwolnienia lekarskiego), która nie jest pracownikiem firmy. Jak postąpić z tymi danymi?

W ostatnim czasie coraz większą popularność zdobywają szkolenia prowadzone przez Internet. Sprawdź, jakie wymogi w związku z RODO musi spełnić organizator szkolenia.