Pytanie:  Jako IOD sprawdzam każdego roku wszystkie komórki organizacyjne w bibliotece w różnych aspektach przetwarzania danych osobowych. Czy poprawnym będzie wybór poszczególnych działów i zakresu kontroli w opracowanym planie kontroli na dany rok. Myślę, że dzięki temu audyt będzie bardziej szczegółowy i obejmie szerszy obszar sprawdzenia (poszczególnych komórek). Czy są jakieś zalecenia w tym zakresie, że kontroluje wszystkie obszary przetwarzania danych każdego roku?

Pytanie:  Pracodawca przetwarza informacje o dacie, godzinie i minucie badania na stan trzeźwości pracownika oraz jego wyniku wskazującym na stan po użyciu alkoholu albo stan nietrzeźwości lub środków działających podobnie do alkoholu wyłącznie w przypadku, gdy jest to niezbędne do zapewnienia ochrony życia i zdrowia pracowników lub innych osób lub ochrony mienia. Następnie przechowuje te informacje w aktach osobowych pracownika przez okres nieprzekraczający roku od dnia ich zebrania. Tym samym nie powinno się przechowywać negatywnych wyników kontroli, tj. o braku zawartości alkoholu we krwi lub braku obecności w organizmie pracownika środków działających podobnie do alkoholu. Niemniej jednak wychodząc naprzeciw sytuacjom, w których nastąpi np. zdarzenie komunikacyjne z udziałem kierowcy ZKM i kierowca (mimo tego, że jest trzeźwy) poprosi pracodawcę o przeprowadzenie kontroli trzeźwości na wypadek ewentualnego postępowania (pracownik chce tym samym na własne żądanie uzyskać potwierdzenie/dokument od pracodawcy, że tego dnia i w tej konkretnej sytuacji był trzeźwy) prosi o opinię. Czy w tej sytuacji mając na względzie powyższe oraz art. 5 ust. 1 lit. b i c RODO, pracodawca może sporządzić formularz z kontroli trzeźwości i udokumentować fakt, że pracownik jest trzeźwy (zachować wynik negatywny)? Ponadto czy przypadku wystąpienia ewentualnych zdarzeń konfliktowych/komunikacyjnych, kierowca po zakończonym kursie składa pracodawcy raport ze zdarzenia. W przedmiotowym raporcie chciałby zapisać informację, że po danym zdarzeniu na swój wniosek został skontrolowany przez pracodawcę na obecność alkoholu w wydychanym powietrzu, a kontrola wykazała 0,00 mg 1dm3. Czy w tej sytuacji pracodawca może przebadać pracownika i przetwarzać jego dane uwzgledniające negatywny wynik kontroli, mimo iż zapis ten będzie zachowany na oświadczeniu, a nie na formularzu z kontroli?

Pytanie:  Pracodawca nie ma komisja socjalna ZFŚS. Czy wobec tego ma obowiązek dokonywania przeglądu danych osobowych przetwarzanych w ramach funduszu socjalnego?

Pytanie:  Jesteśmy podmiotem publicznym. Umowy dotyczące usług takich jak BHP czy sprzątanie są zawierane w naszym imieniu przez jednostkę nadrzędną. To ona podpisuje również umowy powierzenia przetwarzania danych osobowych, a my nie mamy bezpośredniego dostępu do tych dokumentów ani danych. W związku z tym proszę o informację, czy w naszej sytuacji jesteśmy zobowiązani do prowadzenia rejestru kategorii czynności przetwarzania. Dodatkowo proszę o wyjaśnienie, czy powinniśmy prowadzić rejestr czynności serwisowych, jeżeli obsługę informatyczną zapewnia nam nasz własny informatyk.

Pytanie:  Czy przygotowując wykaz aktywów należy wpisać rekrutację pracowników? Co dokładnie należy wskazać: nieuprawnione ujawnienie danych, możliwość dostępu do danych zawartych w dokumentacji pracowniczej, pomieszczenie kadry, pracownicy kadr? Czy wydając upoważnienie pracownikowi do przetwarzania danych, należy sztywno trzymać się wykazu aktywów i wpisywać tylko te, które są zawarte w dokumentacji, czy można dodać coś dodatkowego?

Pytanie:  Czy jest w systemie informatyczny potrzebny rejestrator udostępnień? Jakie rejestry są konieczne, jeśli jesteśmy sekatorem publicznym i nie mamy do czynienia z klientami i kontrahentami? Mam tylko umowę z firmą BHP.

W razie stwierdzenia wysokiego ryzyka naruszenia praw lub wolności osób fizycznych administrator danych osobowych musi przeprowadzić ocenę skutków dla ochrony danych (DPIA). W zależności od wyników oceny konieczne może okazać się zainicjowanie konsultacji z Prezesem Urzędu Ochrony Danych Osobowych. Sprawdź, w jakich przypadkach i jak przeprowadzić uprzednie konsultacje z Prezesem UODO.

Ogólna analiza ryzyka oraz Ocena skutków dla ochrony danych (DPIA) to podstawowe obowiązki wynikających z RODO. Ogólna analiza ryzyka musi być przeprowadza przez każdego. Z kolei DPIA to szczególny rodzaj analizy ryzyka dokonywany w określonych okolicznościach. Zarówno ogólną analizę ryzyka jak i DPIA musi przeprowadzić nie tylko administrator danych osobowych, ale także procesor.

Jak już wielokrotnie wskazywaliśmy, ocena skutków dla ochrony danych (DPIA) to szczególny rodzaj analizy ryzyka RODO. Obowiązek dokonania DPIA powstanie w przypadkach określonych w art. 35 ogólnego rozporządzenia o ochronie danych.  Na obowiązek ten szczególną uwagę powinny zwrócić podmioty prowadzące sklepy internetowe – ze względu na potencjalnie dużą liczbę podmiotów, których dane osobowe są przetwarzane w związku z funkcjonowaniem sklepu. Sprawdź, kiedy i jak przeprowadzić ocenę skutków w sklepie internetowym

Pytanie:  Czym jest Ocena Skutków ochrony danych osobowych i jakie są cele RODO?

Administrator może zapewnić pracownikom możliwość korzystania z ChatGPT na komputerach służbowych. Czy należy w związku z tym uwzględnić obowiązki wynikające z zasady privacy by design. Jakie obowiązki związane z wdrożeniem ChatGPT na komputerach służbowych musi wykonać administrator danych osobowych?

Wdrożenie procedury zgłoszeń wewnętrznych w ramach ochrony sygnalistów może wiązać się z koniecznością przeprowadzenia oceny skutków dla ochrony danych (DPIA). Na ocenę konieczności przeprowadzenia DPIA administrator danych osobowych powinien zwrócić szczególną uwagę, uwzględniając treść wykazu opublikowanego przez Prezesa Urzędu Ochrony Danych Osobowych.