U wielu pracodawców działają organizacje związkowe, które przetwarzają dane osobowe m.in. pracowników – członków danej organizacji. Niejednokrotnie zaś pracodawca ma obowiązek wyznaczyć inspektora ochrony danych, bądź wyznacza go z własnej inicjatywy. Czy inspektor ochrony danych musi wówczas automatycznie wykonywać swoje zadania na rzecz organizacji związkowych? Poznaj rozwiązanie.
Jak wynika z RODO, inspektor ochrony danych powinien posiadać wiedzę nie tylko na temat prawa, ale i praktyk w dziedzinie ochrony danych osobowych. Może ona obejmować np. wiedzę o sposobie tworzenia dokumentacji dotyczącej ochrony danych osobowych, sposobach realizacji uprawnień osób, których dane dotyczą (po tym, gdy zgłoszą odpowiednie żądania), umiejętność dokonywania analizy ryzyka, jak również dobierania odpowiednich zabezpieczeń związanych z ochroną informacji. W tym zakresie wymagana jest również wiedza z zakresu cyberbezpieczeństwa.
Pytanie: Czy prawidłowym jest wskazanie punktu kontaktowego w postaci adresu skrzynki e-mail Inspektora Ochrony Danych w zasobach zewnętrznej firmy świadczącej usługi outsourcingu IOD, którą administrator danych osobowych nie ma faktycznej zdolności zarządzać?
Pytanie: Podmiot, który wyznaczył inspektora, udostępnia dane inspektora, o których mowa w art. 10 ustawy o ochronie danych osobowych, na swojej stronie WWW, a jeżeli nie prowadzi własnej strony, w sposób ogólnie dostępny w miejscu prowadzenia działalności. Z kolei w klauzuli informacyjnej podaje się jedynie dane kontaktowe IOD. Jak pogodzić te wymogi?
Pytanie: Czy aktywa, zagrożenia, podatność na zagrożenia, zabezpieczenia, skutki dla osób fizycznych mogą zostać sumarycznie zestawione dla wszystkich czynności przetwarzania w rejestrze czynności? Czy też muszą być przypisane do konkretnych czynności przetwarzania?
Pytanie: Dom kultury otrzymał wniosek o udostępnienie informacji publicznej, w którym zawarto zapytania czy jednostka przeprowadziła audyt bezpieczeństwa informacji w roku 2019 i 2020 na zgodność z rozporządzeniem Rady Ministrów z dnia 12 kwietnia 2012 roku w sprawie Krajowych Ram Interoperacyjności, kto jest odpowiedzialny za przygotowanie w jednostce specyfikacji audytu bezpieczeństwa KRI, a także czy został ustanowiony w jednostce System Zarządzania Bezpieczeństwem Informacji (SZBI)?
Pytanie: Czy podprocesor jest zobowiązany do prowadzenia rejestru kategorii czynności przetwarzania?
Prawo do bycia zapomnianym to inaczej uprawnienie do żądania usunięcia danych osobowych. Administrator danych musi wiedzieć, jak na takie żądanie zareagować i w jakich przypadkach je zrealizować. Błąd w tym zakresie może nieść za sobą roszczenia odszkodowawcze podmiotów danych bądź kary UODO.
Pytanie: Czy w klauzuli informacyjnej należy umieścić informację, że dane osobowe są pozyskiwane z pośrednich źródeł, tzn. nie od osoby, których dotyczą?
Pytanie: Policja wystąpiła do szpitala z pismem, w którym żąda udostępnienia imion i nazwisk pacjentów hospitalizowanych przez lekarza, wobec którego toczy się postępowanie? Czy należy udostępnić te dane?
Pomiar temperatury może być przeprowadzany także z wykorzystaniem kamery termowizyjnej. Takie rozwiązanie można stosować w sytuacji, w której pomiar temperatury zostanie w odpowiednim trybie zalecony w zakładzie pracy przez sanepid. Powstaje pytanie, czy w takim przypadku zachodzi konieczność przeprowadzenia oceny skutków dla ochrony danych.
Pytanie: Na terenie Polski znajdują się spółki produkcyjne wchodzące w skład grupy zakładów, dla których spółka matka znajduje się w jednym z krajów UE. Tam też znajdują się serwery główne dla wszystkich zakładów. W zakładach zlokalizowanych w Polsce znajdują się serwerownie, sieci lokalne itd. Czy dla każdego z tych zakładów należy przeprowadzić analizę ryzyka dla systemów informatycznych znajdujących się w tych zakładach?
Kluczem dla zrozumienia przepisów i celów rozporządzenia 2016/679 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (dalej: RODO), jest tzw. podejście oparte na ryzyku. Wyraża się ono w nałożonym na administratora obowiązku przeprowadzania analizy ryzyka związanego z przetwarzaniem danych, jakie jest realizowane w organizacji.
Pytanie: W niektórych przypadkach organ publiczny nie ma statusu odbiorcy danych. Jak należy tę kwestię ująć w rejestrze czynności przetwarzania danych?
Pytanie: Czy prawidłowym jest wskazanie punktu kontaktowego w postaci adresu skrzynki e-mail Inspektora Ochrony Danych w zasobach zewnętrznej firmy świadczącej usługi outsourcingu IOD, którą administrator danych osobowych nie ma faktycznej zdolności zarządzać?
Pytanie: Ośrodek pomocy społecznej realizuje program „Wspieraj Seniora”. Zgodnie z tym programem ośrodek otrzymuje z MRiPS dane klientów - seniorów i wolontariuszy z którymi się kontaktujemy w celu udzielenia pomocy. Klauzule informacyjne dla seniora i wolontariusza realizuje MRiPS (poprzez infolinie i formularz kontaktowy). Czy ośrodek pomocy społecznej również musi spełnić obowiązek informacyjny?
Pytanie: Zapytanie dotyczy monitoringu na obiekcie graniczącym ze wspólnotą mieszkaniową. Otóż na terenie obiektu, tuż przy płocie, a tym samym w odległości kilku m od bloku mieszkalnego wspólnoty, właściciel obiektu umieścił słup z kamerą obrotową (półkula) na wysokości balkonu bloku mieszkalnego. Kamera znajduje się na wysokości oczu osób stojących na balkonie. Jak mogą zareagować mieszkańcy wspólnoty?
Wiemy, że powierzenie przetwarzania danych polega na ich przekazaniu innemu podmiotowi, który przetwarza te dane na podstawie umowy powierzenia, w celach i w zakresie wyznaczonym przez administratora. Cechą charakterystyczną umowy powierzenia jest m.in. odpowiedzialność administratora za działania procesora w zakresie powierzonych danych. Może więc zdarzyć się tak, że administrator będzie zmuszony do zapłacenia kary finansowej lub odszkodowania (na rzecz podmiotów danych) w wyniku niewłaściwych działań procesora. Administrator może wówczas rozważyć wytoczenie powództwa o odszkodowanie przeciwko procesorowi.
Pytanie: Dyrektor szkoły w korespondencji do rodziców uczniów danej klasy (za pośrednictwem dziennika elektronicznego), udzielając odpowiedzi na zarzuty jednego z rodziców podał imię i nazwisko dziecka tego rodzica. Działanie to mogło narazić dziecko na negatywne reakcje rówieśników. Czy doszło do naruszenia ochrony danych?
Pytanie: Rada nadzorcza spółdzielni mieszkaniowej przed posiedzeniem otrzymuje e-mailowe zawiadomienie o terminie posiedzeniu wraz z załącznikami (dokumentami Spółdzielni mieszkaniowej). Czy e-mail służbowy członka rady nadzorczej musi być szyfrowany? Czy w e-mailu powinna być informacja, że po podpisaniu protokołu z posiedzenia należy trwale usunąć emalia z wysłanymi dokumentami?
System Zarządzania Bezpieczeństwem Informacji (SZBI) powinien zostać wdrożony u podmiotów realizujących zadania publiczne. Obejmuje on nie tylko ochronę danych osobowych, ale także inne informacje wymagające ochrony, m.in. informacje niejawne. Kogo konkretnie dotyczy ten obowiązek? Na czym on polega? Z jakimi dodatkowymi zadaniami się wiąże? Odpowiedzi w temacie tygodnia.
Zadaj pytanie ekspertowi
Masz problem związany z ochroną danych osobowych? Napisz do nas i dowiedz się, jak powinieneś postąpić. Nasz ekspert odpowie na wszystkie Twoje pytania.
Zadaj pytanie ekspertowi »Czat z ekspertem
Zadawaj pytania na żywo, prowadź dyskusję i rozwiąż swoje problemy związane z ochroną danych osobowych.
Sprawdź kiedy »Narzędzia
Nasi eksperci przygotują dokumentację ODO zgodną z Twoimi potrzebami
Nasi partnerzy i zdobyte nagrody