Pytanie: Pracodawca przetwarza informacje o dacie, godzinie i minucie badania na stan trzeźwości pracownika oraz jego wyniku wskazującym na stan po użyciu alkoholu albo stan nietrzeźwości lub środków działających podobnie do alkoholu wyłącznie w przypadku, gdy jest to niezbędne do zapewnienia ochrony życia i zdrowia pracowników lub innych osób lub ochrony mienia. Następnie przechowuje te informacje w aktach osobowych pracownika przez okres nieprzekraczający roku od dnia ich zebrania. Tym samym nie powinno się przechowywać negatywnych wyników kontroli, tj. o braku zawartości alkoholu we krwi lub braku obecności w organizmie pracownika środków działających podobnie do alkoholu. Niemniej jednak wychodząc naprzeciw sytuacjom, w których nastąpi np. zdarzenie komunikacyjne z udziałem kierowcy ZKM i kierowca (mimo tego, że jest trzeźwy) poprosi pracodawcę o przeprowadzenie kontroli trzeźwości na wypadek ewentualnego postępowania (pracownik chce tym samym na własne żądanie uzyskać potwierdzenie/dokument od pracodawcy, że tego dnia i w tej konkretnej sytuacji był trzeźwy) prosi o opinię. Czy w tej sytuacji mając na względzie powyższe oraz art. 5 ust. 1 lit. b i c RODO, pracodawca może sporządzić formularz z kontroli trzeźwości i udokumentować fakt, że pracownik jest trzeźwy (zachować wynik negatywny)? Ponadto czy przypadku wystąpienia ewentualnych zdarzeń konfliktowych/komunikacyjnych, kierowca po zakończonym kursie składa pracodawcy raport ze zdarzenia. W przedmiotowym raporcie chciałby zapisać informację, że po danym zdarzeniu na swój wniosek został skontrolowany przez pracodawcę na obecność alkoholu w wydychanym powietrzu, a kontrola wykazała 0,00 mg 1dm3. Czy w tej sytuacji pracodawca może przebadać pracownika i przetwarzać jego dane uwzgledniające negatywny wynik kontroli, mimo iż zapis ten będzie zachowany na oświadczeniu, a nie na formularzu z kontroli?
Administrator może zapewnić pracownikom możliwość korzystania z ChatGPT na komputerach służbowych. Czy należy w związku z tym uwzględnić obowiązki wynikające z zasady privacy by design. Jakie obowiązki związane z wdrożeniem ChatGPT na komputerach służbowych musi wykonać administrator danych osobowych?
Do zadań inspektora ochrony danych należy monitorowanie przestrzegania przepisów RODO, innych przepisów unijnych lub państw członkowskich o ochronie danych oraz polityk administratora lub podmiotu przetwarzającego w dziedzinie ochrony danych osobowych. W ramach tego zadania mieści się także podział obowiązków, działania zwiększające świadomość, szkolenia personelu uczestniczącego w operacjach przetwarzania danych a przede wszystkim powiązane z tym audyty zgodności z RODO.
Przed wdrożeniem nowych rozwiązań w ramach ochrony sygnalistów i związanym z tym przetwarzaniem danych osobowych rolą organizacji jako administratora danych osobowych było przeprowadzenie analizy ryzyka RODO. Analiza ta jest procesem ciągłym, dlatego musi być dokonywana na bieżąco także w trakcie tego przetwarzania. Sprawdzamy, na jakie zagrożenia należy zwrócić uwagę w analizie ryzyka związanej z procesem obsługi zgłoszeń naruszenia prawa od sygnalistów.
Audyt bezpieczeństwa danych osobowych nie został wprost wymieniony w RODO jako obowiązek administratora danych. Nie znaczy to jednak, że jego przeprowadzenie nie ma żadnego uzasadnienia. Wręcz przeciwnie, okresowe audyty RODO należy uznać za jeden z organizacyjnych środków bezpieczeństwa danych osobowych w organizacji.
Grupa przedsiębiorstw ma w świetle RODO specjalny status choć oczywiście przedsiębiorstwa wchodzące w jej skład są odrębnymi administratorami danych osobowych. Sprawdź, czy wykonując obowiązki w ramach ochrony danych osobowych członkowie grupy przedsiębiorstw mogą przeprowadzić wspólną analizę ryzyka RODO.
Zgodnie z ogólnym rozporządzeniem o ochronie danych w przypadku wniosku o usunięcie danych należy również usunąć dane osobowe z kopii zapasowych. Z drugiej strony należy rozważyć, czy podstawą dalszego przetwarzania danych w kopii zapasowej może być prawnie uzasadniony interes lub inna podstawa przetwarzania. Usuwanie danych z kopii zapasowych to jeden z istotnych obowiązków w zakresie ochrony danych osobowych. Nie ma on jednak bezwzględnego charakteru,
Mam pytanie odnośnie dawnej polityki bezpieczeństwa. Jak prawidłowo powinien obecnie nazywać się ten dokument? Jaką podstawę prawną w nim podać?
Analiza ryzyka nazywana też oceną ryzyka często mylona jest z oceną skutków dla ochrony danych z art. 35 RODO (DPIA). Tymczasem ocena ryzyka w RODO podstawowy obowiązek ciążący na każdym administratorze danych osobowych, zaś obowiązek przeprowadzenia DPIA aktualizuje się dopiero w określonych sytuacjach. Obowiązek przeprowadzenia analizy ryzyka wynika z zasady risk based approach, czyli podejściu opartym na ryzyku. To, jakie techniczne i organizacyjne środki bezpieczeństwa powinien wdrożyć administrator, zależy bowiem od charakteru, zakresu, kontekstu i celów przetwarzania danych oraz od ryzyka naruszenia praw lub wolności osób fizycznych, których dane dotyczą. Nie bez znaczenia jest także ryzyko naruszenia interesów administratora.
Do 1 stycznia 2028 roku wszystkie jednostki administracji publicznej w Polsce mają obowiązek przejścia na pełną elektroniczną dokumentację. Kluczowym narzędziem wspierającym ten proces jest EZD RP – Elektroniczne Zarządzanie Dokumentacją Rzeczypospolitej Polskiej, czyli system umożliwiający prowadzenie spraw urzędowych w formie cyfrowej. Już teraz na jego serwerach przechowywane jest ponad 50 milionów plików. EZD RP stanowi odpowiedź na potrzebę budowy spójnej i bezpiecznej przestrzeni przetwarzania informacji publicznej, która jednocześnie ma znacząco zwiększyć efektywność działania instytucji. To duży krok ku sprawniejszej administracji – ale czy w ślad za efektywnością nie pojawią się także nowe zagrożenia dla prywatności i bezpieczeństwa danych?
04.03.2025
Otrzymuj raz w tygodniu aktualne informacje o zmianach w prawie oraz komentarze ekspertów
© Portal Poradyodo.pl
