Pytanie: Pracodawca przetwarza informacje o dacie, godzinie i minucie badania na stan trzeźwości pracownika oraz jego wyniku wskazującym na stan po użyciu alkoholu albo stan nietrzeźwości lub środków działających podobnie do alkoholu wyłącznie w przypadku, gdy jest to niezbędne do zapewnienia ochrony życia i zdrowia pracowników lub innych osób lub ochrony mienia. Następnie przechowuje te informacje w aktach osobowych pracownika przez okres nieprzekraczający roku od dnia ich zebrania. Tym samym nie powinno się przechowywać negatywnych wyników kontroli, tj. o braku zawartości alkoholu we krwi lub braku obecności w organizmie pracownika środków działających podobnie do alkoholu. Niemniej jednak wychodząc naprzeciw sytuacjom, w których nastąpi np. zdarzenie komunikacyjne z udziałem kierowcy ZKM i kierowca (mimo tego, że jest trzeźwy) poprosi pracodawcę o przeprowadzenie kontroli trzeźwości na wypadek ewentualnego postępowania (pracownik chce tym samym na własne żądanie uzyskać potwierdzenie/dokument od pracodawcy, że tego dnia i w tej konkretnej sytuacji był trzeźwy) prosi o opinię. Czy w tej sytuacji mając na względzie powyższe oraz art. 5 ust. 1 lit. b i c RODO, pracodawca może sporządzić formularz z kontroli trzeźwości i udokumentować fakt, że pracownik jest trzeźwy (zachować wynik negatywny)? Ponadto czy przypadku wystąpienia ewentualnych zdarzeń konfliktowych/komunikacyjnych, kierowca po zakończonym kursie składa pracodawcy raport ze zdarzenia. W przedmiotowym raporcie chciałby zapisać informację, że po danym zdarzeniu na swój wniosek został skontrolowany przez pracodawcę na obecność alkoholu w wydychanym powietrzu, a kontrola wykazała 0,00 mg 1dm3. Czy w tej sytuacji pracodawca może przebadać pracownika i przetwarzać jego dane uwzgledniające negatywny wynik kontroli, mimo iż zapis ten będzie zachowany na oświadczeniu, a nie na formularzu z kontroli?
Administrator może zapewnić pracownikom możliwość korzystania z ChatGPT na komputerach służbowych. Czy należy w związku z tym uwzględnić obowiązki wynikające z zasady privacy by design. Jakie obowiązki związane z wdrożeniem ChatGPT na komputerach służbowych musi wykonać administrator danych osobowych?
Do zadań inspektora ochrony danych należy monitorowanie przestrzegania przepisów RODO, innych przepisów unijnych lub państw członkowskich o ochronie danych oraz polityk administratora lub podmiotu przetwarzającego w dziedzinie ochrony danych osobowych. W ramach tego zadania mieści się także podział obowiązków, działania zwiększające świadomość, szkolenia personelu uczestniczącego w operacjach przetwarzania danych a przede wszystkim powiązane z tym audyty zgodności z RODO.
Przed wdrożeniem nowych rozwiązań w ramach ochrony sygnalistów i związanym z tym przetwarzaniem danych osobowych rolą organizacji jako administratora danych osobowych było przeprowadzenie analizy ryzyka RODO. Analiza ta jest procesem ciągłym, dlatego musi być dokonywana na bieżąco także w trakcie tego przetwarzania. Sprawdzamy, na jakie zagrożenia należy zwrócić uwagę w analizie ryzyka związanej z procesem obsługi zgłoszeń naruszenia prawa od sygnalistów.
Audyt bezpieczeństwa danych osobowych nie został wprost wymieniony w RODO jako obowiązek administratora danych. Nie znaczy to jednak, że jego przeprowadzenie nie ma żadnego uzasadnienia. Wręcz przeciwnie, okresowe audyty RODO należy uznać za jeden z organizacyjnych środków bezpieczeństwa danych osobowych w organizacji.
Grupa przedsiębiorstw ma w świetle RODO specjalny status choć oczywiście przedsiębiorstwa wchodzące w jej skład są odrębnymi administratorami danych osobowych. Sprawdź, czy wykonując obowiązki w ramach ochrony danych osobowych członkowie grupy przedsiębiorstw mogą przeprowadzić wspólną analizę ryzyka RODO.
Zgodnie z ogólnym rozporządzeniem o ochronie danych w przypadku wniosku o usunięcie danych należy również usunąć dane osobowe z kopii zapasowych. Z drugiej strony należy rozważyć, czy podstawą dalszego przetwarzania danych w kopii zapasowej może być prawnie uzasadniony interes lub inna podstawa przetwarzania. Usuwanie danych z kopii zapasowych to jeden z istotnych obowiązków w zakresie ochrony danych osobowych. Nie ma on jednak bezwzględnego charakteru,
Mam pytanie odnośnie dawnej polityki bezpieczeństwa. Jak prawidłowo powinien obecnie nazywać się ten dokument? Jaką podstawę prawną w nim podać?
Analiza ryzyka nazywana też oceną ryzyka często mylona jest z oceną skutków dla ochrony danych z art. 35 RODO (DPIA). Tymczasem ocena ryzyka w RODO podstawowy obowiązek ciążący na każdym administratorze danych osobowych, zaś obowiązek przeprowadzenia DPIA aktualizuje się dopiero w określonych sytuacjach. Obowiązek przeprowadzenia analizy ryzyka wynika z zasady risk based approach, czyli podejściu opartym na ryzyku. To, jakie techniczne i organizacyjne środki bezpieczeństwa powinien wdrożyć administrator, zależy bowiem od charakteru, zakresu, kontekstu i celów przetwarzania danych oraz od ryzyka naruszenia praw lub wolności osób fizycznych, których dane dotyczą. Nie bez znaczenia jest także ryzyko naruszenia interesów administratora.
Najnowszy wyrok Naczelnego Sądu Administracyjnego potwierdza, że adres IP i identyfikatory plików cookies nie stanowią automatycznie danych osobowych, lecz wymagają indywidualnej oceny w świetle art. 4 pkt 1 RODO oraz motywów 26 i 30 RODO. NSA podkreślił, że kluczowe znaczenie ma możliwość identyfikacji osoby z wykorzystaniem wszystkich „rozsądnie prawdopodobnych” środków oraz to, czy administrator faktycznie dysponuje technicznymi i prawnymi sposobami powiązania IP lub ID cookies z konkretną osobą fizyczną.
13.11.2025
Otrzymuj raz w tygodniu aktualne informacje o zmianach w prawie oraz komentarze ekspertów
© Portal Poradyodo.pl
