Pytanie:  Czy pracownicza kasa zapomogowo-pożyczkowa funkcjonująca w instytucji samorządowej musi mieć powołanego Inspektora ochrony danych?

Pytanie:  Prowadzę działalność gospodarczą jako inspektor ochrony danych. Czy mogę zatrudnić osobę na podstawie umowy zlecenia lub o dzieło, która również będzie świadczyła usługi IOD w stosunku do firm zewnętrznych?

Pytanie:  Grupa przedsiębiorstw powołała tego samego inspektora ochrony danych dla każdej ze spółek. W międzyczasie jedna ze spółek zmieniła nazwę. Czy należy informować o tym fakcie Prezesa UODO?

Rejestr czynności przetwarzania danych to podstawowy dokument, którego co do zasady powinien posiadać każdy administrator danych osobowych. W praktyce problemem jest wypełnienie tego rejestru. Administratorzy zastanawiają się czy do rejestru powinna zostać wpisana każda operacja przetwarzania danych osobowych czy też wystarczy ogólne ujęcie czynności przetwarzania. Które rozwiązanie jest prawidłowe? Odpowiedź znajdziesz w artykule.

Pytanie:  Czy przekazanie dokumentów do składnicy akt, archiwum zakładowego należy traktować jako osobny proces z koniecznością wpisu do rejestru czynności jaki jest zobligowany prowadzić administrator danych?

Rejestr czynności przetwarzania danych prowadzi pracodawca jako administrator natomiast rejestr kategorii czynności przetwarzania danych prowadzi podmiot przetwarzający czyli firma zewnętrzna prowadząca sprawy kadrowe. Obowiązkiem podmiotu przetwarzającego jest zatem prowadzenie rejestru wszystkich kategorii czynności przetwarzania dokonywanych w imieniu administratora a nie rejestrowania czynności przetwarzania – co leży w gestii administratora danych. Sprawdź, jak przedstawia się kwestia prowadzenia tych rejestrów w przypadku outsourcingu kadrowo-płacowego.

Pytanie:  Przepisów Prawa zamówień publicznych nie stosuje się do zamówień o wartości do 30 000 euro. Czy to oznacza, że przy takich zamówieniach nie mają zastosowania regulacje Prawa zamówień publicznych ograniczające korzystania z praw wynikających z RODO a także ograniczenia jawności postępowania?

Jednym z uprawnień przysługujących podmiotowi danych jest prawo ograniczenia przetwarzania danych. Jest to mniej popularne uprawnienie, którego jednak nie należy mylić np. z prawem do „bycia zapomnianym”. Jak zrealizować to uprawnienie na żądanie osoby, której dotyczą dane? Odpowiedź znajdziesz w temacie tygodnia.

Jeżeli administrator danych osobowych otrzyma sprzeciw podmiotu tych danych co do ich przetwarzania, wówczas musi podjąć określone działania w celu realizacji tego uprawnienia. Sprawdź, jak zareagować na wniesiony sprzeciw, aby nie naruszyć praw podmiotu danych i nie narazić się na konsekwencje finansowe względem podmiotu danych i Prezesa UODO.

Pytanie:  Arkusze organizacji szkół i przedszkoli są przekazywane do zaopiniowania związkom zawodowym. Czy w związku z tym konieczne jest podpisanie ze związkami umów powierzenia przetwarzania danych bądź upoważnienia władz związkowych do przetwarzania danych zawartych w arkuszach?

Pytanie:  Co powinno znaleźć się w umowie powierzenia zawieranej z hostingodawcą, który będzie przechowywał nagrania z posiedzeń rady gminy?

W przypadku powierzenia przetwarzania danych osobowych procesor może przetwarzać przekazane dane osobowe wyłącznie w zakresie i celu przewidzianym w umowie.  Powierzenie danych następuje bowiem w związku ze zleceniem procesorowi realizacji części zadań administratora. Powierzenie przetwarzania danych osobowych innemu podmiotowi nie oznacza, że ten podmiot staje się przez to ich administratorem. Status administratora danych posiada nadal powierzający dane. Natomiast w przypadku udostępnienia danych podmiot, któremu te dane są przekazywane, ma własną podstawę ich przetwarzania i czyni to we własnym imieniu. Sprawdź, które rozwiązanie wybrać w poszczególnych stanach faktycznych.

Pytanie:  Firma zamierza zorganizować konferencję, podczas której będą wykonywane zdjęcia i filmy, niejednokrotnie utrwalające wizerunek uczestników. Czy w związku z tym potrzebuje zgody uczestników konferencji, czy wystarczy stosowna informacja w regulaminie konferencji? Jak postąpić, by nie narazić się na odpowiedzialność względem Prezesa UODO i osób, których dotyczą dane?

Pytanie:  Czy od członków komisji wyborczej Młodzieżowej Rady należy uzyskać zgodę na przetwarzanie danych osobowych podpisaną przez rodzica lub opiekuna?

Dużo wątpliwości wywołuje w świetle RODO kwestia wysyłania kartek świątecznych przez administratora, zwłaszcza kontrahentom i klientom firmy. Sprawdź jakie rozwiązania w tym zakresie proponuje Urząd Ochrony Danych Osobowych.

Przekazanie danych osobowych do tzw. chmury (zapewnianej przez zewnętrznego usługodawcę) jest niczym innym jak powierzeniem ich przetwarzania. Nie można niestety wykluczyć wycieku tych danych lub innego naruszenia ich ochrony. W takiej sytuacji za naruszenie może odpowiadać zarówno administrator, który przekazał te dane, jak i podmiot przetwarzający, czy dostawca usługi chmurowej. Kiedy i w jakim zakresie? Wyjaśniamy to w temacie tygodnia.

Czy istnieją rozwiązania prawne regulujące okres przechowywania dokumentacji związanej z ochroną danych osobowych np. upoważnień do przetwarzania danych, umów powierzenia przetwarzania danych czy kart szkoleń? Pytanie to zadaje sobie wielu administratorów. Niektórzy zastanawiają się nawet, czy w świetle reguły rozliczalności wynikającej z art. 5 RODO nie jest konieczne przyjęcie bezterminowego okresu przechowywania tego typu dokumentacji. Sprawdź, jak ustalić okres przechowywania takiej dokumentacji.

Aktywność związków zawodowych dotyczy nie tylko strajków. Warto wiedzieć, że organizacje związkowe są uprawnione żądać od pracodawców różnych informacji niezbędnych do wykonywania zadań związkowych m.in. do obrony interesów swoich członków. Takimi informacjami mogą być dane o wynagrodzeniu, które w konkretnych sytuacjach mogą posiadać status danych osobowych. Sprawdź, czy takie dane mogą być udostępnione związkowi zawodowemu.

W określonych okolicznościach obowiązkiem administratora danych osobowych staje się ocena skutków przetwarzania dla ochrony danych (DPIA). Proces ten powinien być zrealizowany przy wsparciu personelu administratora, ale przede wszystkim z udziałem inspektora ochrony danych, jeżeli takowy jest wyznaczony w organizacji. Sprawdź, jaką rolę pełni IOD w ocenie skutków dla ochrony danych.

W określonych przypadkach obowiązkiem administratora danych osobowych jest przeprowadzenie oceny skutków przetwarzania dla ochrony danych. Na obowiązek ten szczególną uwagę powinny zwrócić podmioty prowadzące sklepy internetowe – ze względu na potencjalnie dużą liczbę podmiotów, których dane osobowe są przetwarzane w związku z funkcjonowaniem sklepu. Sprawdź, kiedy i jak przeprowadzić ocenę skutków w sklepie internetowym.

W Monitorze Polskim opublikowano nowy wykaz operacji rodzajów przetwarzania podlegających wymogowi dokonania oceny skutków dla ochrony danych. W zaktualizowanym wykazie po uwzględnieniu opinii wydanej przez Europejską Radę Ochrony Danych i obejmuje również czynności przetwarzania związane z oferowaniem towarów lub usług osobom, których dane dotyczą, lub z monitorowaniem ich zachowania w kilku państwach członkowskich lub mogące znacznie wpłynąć na swobodny przepływ danych osobowych w Unii Europejskiej.

Pytanie:  Czy podmiot publiczny może zrezygnować z realizacji obowiązku informacyjnego, jeżeli dane osobowe pozyskał od innego podmiotu publicznego?

Pytanie:  Czy w związku ze skróceniem okresu przechowywania akt osobowych pracownikom należy ponownie przedłożyć klauzulę informacyjną?

Pytanie:  Jaką podstawę prawną ująć w klauzuli informacyjnej w związku z zamówieniami publicznymi? Jak ująć uprawnienia podmiotów danych?

Każdy administrator danych osobowych ma obowiązek informowania o naruszeniu ochrony danych osoby, których te dane dotyczą. Obowiązek ten dotyczy również dzieci. Prezes UODO wyjaśnia, w jaki sposób powiadomić dziecko o naruszeniu dotyczących go danych osobowych.

Naruszenie ochrony danych osobowych spotyka się z reakcją Prezesa UODO. Organ nadzoru reaguje odpowiednio do wagi konkretnego naruszenia, korzystając z licznych uprawnień, jakie mu przysługują zgodnie z RODO.O uprawnieniach tych, a w szczególności o karach pieniężnych możemy przeczytać w najnowszym komunikacie Prezesa Urzędu.

Obowiązkiem administratora danych osobowych, u którego wystąpi naruszenie ochrony danych, jest zawiadomienie Prezesa Urzędu Ochrony Danych Osobowych. Ale to nie wszystko. W określonych przypadkach konieczne stanie się również poinformowanie o tym naruszeniu osoby, której dane dotyczą. Upewnij się, kiedy takie zawiadomienie jest konieczne, co powinno zawierać i w jakiej formie i terminie je zrealizować.

Pytanie:  Czy w przypadku monitoringu wizyjnego i nagrywanych rozmów telefonicznych konieczne jest sporządzanie kopii bezpieczeństwa nagrań?

Pytanie:  Firma stworzyła w Google stworzony został kalendarz zabiegów pacjentów. Wpisuje tam dane pacjentów i daty zabiegów. Na pierwszy rzut oka w kalendarzu widać tylko inicjały pacjenta, ale po wejściu osoby uprawnionej w dany dzień widać już wszystkie dane pacjenta. Kalendarz jest udostępniany każdej osobie uprawnionej i zainteresowanej przez login i hasło. Czy bezpieczne jest zamieszczanie w kalendarzu Google takich danych?

Pytanie:  Czy administrator może przechowywać kopie faktur na serwerze obsługiwanym w innym kraju UE?