Pytanie:  Pracodawca przetwarza informacje o dacie, godzinie i minucie badania na stan trzeźwości pracownika oraz jego wyniku wskazującym na stan po użyciu alkoholu albo stan nietrzeźwości lub środków działających podobnie do alkoholu wyłącznie w przypadku, gdy jest to niezbędne do zapewnienia ochrony życia i zdrowia pracowników lub innych osób lub ochrony mienia. Następnie przechowuje te informacje w aktach osobowych pracownika przez okres nieprzekraczający roku od dnia ich zebrania. Tym samym nie powinno się przechowywać negatywnych wyników kontroli, tj. o braku zawartości alkoholu we krwi lub braku obecności w organizmie pracownika środków działających podobnie do alkoholu. Niemniej jednak wychodząc naprzeciw sytuacjom, w których nastąpi np. zdarzenie komunikacyjne z udziałem kierowcy ZKM i kierowca (mimo tego, że jest trzeźwy) poprosi pracodawcę o przeprowadzenie kontroli trzeźwości na wypadek ewentualnego postępowania (pracownik chce tym samym na własne żądanie uzyskać potwierdzenie/dokument od pracodawcy, że tego dnia i w tej konkretnej sytuacji był trzeźwy) prosi o opinię. Czy w tej sytuacji mając na względzie powyższe oraz art. 5 ust. 1 lit. b i c RODO, pracodawca może sporządzić formularz z kontroli trzeźwości i udokumentować fakt, że pracownik jest trzeźwy (zachować wynik negatywny)? Ponadto czy przypadku wystąpienia ewentualnych zdarzeń konfliktowych/komunikacyjnych, kierowca po zakończonym kursie składa pracodawcy raport ze zdarzenia. W przedmiotowym raporcie chciałby zapisać informację, że po danym zdarzeniu na swój wniosek został skontrolowany przez pracodawcę na obecność alkoholu w wydychanym powietrzu, a kontrola wykazała 0,00 mg 1dm3. Czy w tej sytuacji pracodawca może przebadać pracownika i przetwarzać jego dane uwzgledniające negatywny wynik kontroli, mimo iż zapis ten będzie zachowany na oświadczeniu, a nie na formularzu z kontroli?

Pytanie:  Pracodawca nie ma komisja socjalna ZFŚS. Czy wobec tego ma obowiązek dokonywania przeglądu danych osobowych przetwarzanych w ramach funduszu socjalnego?

Administrator może zapewnić pracownikom możliwość korzystania z ChatGPT na komputerach służbowych. Czy należy w związku z tym uwzględnić obowiązki wynikające z zasady privacy by design. Jakie obowiązki związane z wdrożeniem ChatGPT na komputerach służbowych musi wykonać administrator danych osobowych?

Do zadań inspektora ochrony danych należy monitorowanie przestrzegania przepisów RODO, innych przepisów unijnych lub państw członkowskich o ochronie danych oraz polityk administratora lub podmiotu przetwarzającego w dziedzinie ochrony danych osobowych. W ramach tego zadania mieści się także podział obowiązków, działania zwiększające świadomość, szkolenia personelu uczestniczącego w operacjach przetwarzania danych a przede wszystkim powiązane z tym audyty zgodności z RODO.

Przed wdrożeniem nowych rozwiązań w ramach ochrony sygnalistów i związanym z tym przetwarzaniem danych osobowych rolą organizacji jako administratora danych osobowych było przeprowadzenie analizy ryzyka RODO. Analiza ta jest procesem ciągłym, dlatego musi być dokonywana na bieżąco także w trakcie tego przetwarzania. Sprawdzamy, na jakie zagrożenia należy zwrócić uwagę w analizie ryzyka związanej z procesem obsługi zgłoszeń naruszenia prawa od sygnalistów.

Audyt bezpieczeństwa danych osobowych nie został wprost wymieniony w RODO jako obowiązek administratora danych. Nie znaczy to jednak, że jego przeprowadzenie nie ma żadnego uzasadnienia. Wręcz przeciwnie, okresowe audyty RODO należy uznać za jeden z organizacyjnych środków bezpieczeństwa danych osobowych w organizacji.

Grupa przedsiębiorstw ma w świetle RODO specjalny status choć oczywiście przedsiębiorstwa wchodzące w jej skład są odrębnymi administratorami danych osobowych. Sprawdź, czy wykonując obowiązki w ramach ochrony danych osobowych członkowie grupy przedsiębiorstw mogą przeprowadzić wspólną analizę ryzyka RODO.

Zgodnie z ogólnym rozporządzeniem o ochronie danych w przypadku wniosku o usunięcie danych należy również usunąć dane osobowe z kopii zapasowych. Z drugiej strony należy rozważyć, czy podstawą dalszego przetwarzania danych w kopii zapasowej może być prawnie uzasadniony interes lub inna podstawa przetwarzania. Usuwanie danych z kopii zapasowych to jeden z istotnych obowiązków w zakresie ochrony danych osobowych. Nie ma on jednak bezwzględnego charakteru,

Mam pytanie odnośnie dawnej polityki bezpieczeństwa. Jak prawidłowo powinien obecnie nazywać się ten dokument? Jaką podstawę prawną w nim podać?

Analiza ryzyka nazywana też oceną ryzyka często mylona jest z oceną skutków dla ochrony danych z art. 35 RODO (DPIA). Tymczasem ocena ryzyka w RODO podstawowy obowiązek ciążący na każdym administratorze danych osobowych, zaś obowiązek przeprowadzenia DPIA aktualizuje się dopiero w określonych sytuacjach.  Obowiązek przeprowadzenia analizy ryzyka wynika z zasady risk based approach, czyli podejściu opartym na ryzyku. To, jakie techniczne i organizacyjne środki bezpieczeństwa powinien wdrożyć administrator, zależy bowiem od charakteru, zakresu, kontekstu i celów przetwarzania danych oraz od ryzyka naruszenia praw lub wolności osób fizycznych, których dane dotyczą. Nie bez znaczenia jest także ryzyko naruszenia interesów administratora.