Pytanie: Do centrum opieki paliatywnej finansowanej gminę zwraca się zakład komunalny tej gminy z prośbą o udostępnienie danych podopiecznego (imię i nazwisko, okres przebywania w placówce). Jaką podstawę prawną należy wskazać: art. 14 pkt 1 , pkt. 5 ustawy z 27 sierpnia 2009 r. o finansach publicznych? Czy są to podstawy prawne do udostępniania danych?
Pytanie: Jakie zmiany w zakresie RODO w Powiatowych Urzędach pracy wprowadza ustawa o rynku pracy i służbach zatrudnienia? Co trzeba zmienić w dokumentacji, a co należy może dodatkowo opracować?
Pytanie: W związku z koniecznością kontroli trzeźwości pracowników w szczególności kierowców planuje się dokonać zmian w tym zakresie. Czy osoby przeprowadzające badania powinny posiadać odrębne upoważnienie od pracodawcy do prowadzenia tego typu czynności oraz tym samym przetwarzania danych osobowych takich jak: imię, nazwisko, data, godzina, minuta oraz wynik badania?
Sektor oświaty, w tym szkoły i przedszkola muszą stosować szereg przepisów, aby zapewnić cyberbezpieczeństwo informacjom przez siebie przetwarzanym. Chodzi w tym przypadku nie tylko o dane osobowe, ale także o inne informacje, takie jak np. instrukcje zarządzania incydentami, bezpiecznego korzystania z internetu, czy też karty dostępowe , a nawet reagować na cyberprzemoc.
Wielu administratorów danych osobowych (ADO) nadal nie podchodzi poważnie do tak podstawowej kwestii jak aktualizacja oprogramowania. Również w przypadku ADO, którzy wprowadzili zaawansowane zabezpieczenia może zaistnieć problem związany z zaniedbaniem aktualizacji, nieraz oddanej do przeprowadzenia w ręce pracowników, którzy nie mają świadomości co do jej znaczenia. Warto zatem spojrzeć, jak Prezes Urzędu Ochrony Danych Osobowych (UODO) widzi kwestię aktualizacji. Jego stanowisko opiera się na zaistniałych wydarzeniach oraz wydanych interpretacjach.
Nie trzeba włamywać się do serwera, przełamywać zapór sieciowych ani łamać haseł. Wystarczy dobrze przygotowany e-mail, odpowiednio dobrany nadawca i sugestywna treść, by w ciągu kilku minut uzyskać dostęp do danych, pieniędzy lub infrastruktury firmy. Tak właśnie działa phishing – jedna z najprostszych, a zarazem najskuteczniejszych metod ataków cyberprzestępczych. Phishing, czyli oszustwo polegające na podszywaniu się pod zaufane instytucje lub osoby, jest zagrożeniem, które mimo upływu lat nie traci na aktualności. Wręcz przeciwnie – z każdym rokiem ataki stają się bardziej dopracowane i trudniejsze do rozpoznania. Szczególnym zagrożeniem jest spear phishing – celowany atak na konkretne osoby lub stanowiska, często oparty na wcześniej zebranych informacjach.
Pytanie: W ostatnim czasie objęłam stanowisko IOD w organizacji. Po zweryfikowaniu dokumentacji, np. upoważnień pracowników do przetwarzania danych osobowych wygląda to różnie. Czy mogę nadać wszystkim pracownikom nowe upoważnienia według jednego wzoru? Uporządkować rejestr na nowo? Czy muszę odwoływać stare, czasem w części aktualne upoważnienia?
Pytanie: Czy umowa administratora z inspektorem ochrony danych może zawierać postanowienie, zgodnie z którym w razie poniesienia przez administratora szkody zleceniobiorca czyli IOD zobowiązuje sięzrekompensować Zleceniodawcy doznaną z tego tytułu szkodę w pełnej wysokości, jeżeli powstanie tego obowiązku jest wynikiem zawinionego działania Zleceniobiorcy?
Ogólne rozporządzenie o ochronie danych przypisuje inspektorowi ochrony danych funkcję punktu kontaktowego. Poza tym w kilku przypadkach wymaga od administratora podania danych kontaktowych IOD. Sprawdź, co to znaczy, że inspektor ochrony danych ma być punktem kontaktowym, jak zrealizować to zadanie i jakie obowiązki spoczywają w związku z tym na administratorze.
Każdy powinien mieć zapewniony dostęp do swoich danych przetwarzanych w organizacji. Dotyczy to m.in. klientów, kontrahentów, czy pracowników. Dostęp to nie tylko wgląd do danych, ale także możliwość żądania ich kopii oraz przedstawienia informacji dotyczących przetwarzania. Sprawdź, jak zrealizować prawo dostępu do danych.
Pytanie: Czy możliwe jest dalsze przetwarzanie danych osobowych byłego czytelnika biblioteki po wystąpieniu przez niego z żądaniem usunięcia danych (prawo do bycia zapomnianym)?
Pytanie: W szpitalu jest strona www, Facebook i inne media społecznościowe. Czy trzeba zbierać zgody pracowników, innych osób z zewnątrz na wykorzystanie wizerunku - umieszczając zdjęcia osób?
Pytanie: Co powinno zawierać upoważnienie do dostępu do dokumentów przez kontrolującego (z jednostki nadrzędnej)? My jako podległa jednostka dajemy dostęp do dokumentów z zakresu kontroli np. inwentaryzacji.
Pytanie: Spółka wodno-kanalizacyjna uchwałą rady miasta została upoważniona do prowadzenia kontroli w trybie art. 5a - 5c ustawy o utrzymaniu czystości i porządku w gminach, w tym do wydawania decyzji administracyjnych (przekazanie zadania własnego gminy). Spółka chcąc wykonywać kontrole żąda przekazywania danych z urzędu miasta o mieszkańcach z zakresu odpadów ciekłych. Czy w przypadku kontroli spółka występuje w roli podmiotu przetwarzającego czy samodzielnego administratora?
Pytanie: Czy szkoła podstawowa (jednostka organizacyjna) powinna udzielić odpowiedzi wnioskodawcy w ramach dostępu do informacji publicznej, że posiadamy certyfikat tzw. kwalifikowanego podpisu elektronicznego (szkoła posiada jeden podpis kwalifikowany Szafir), czy jest to objęte tajemnicą i nie podlega udostępnianiu jako informacja publiczna w rozumieniu ustawy o dostępie do informacji publicznej?
Pytanie: Jaką przyjąć retencję korespondencji przychodzącej przez skrzynkę eDoręczenia?
Pytanie: Członek spółdzielni mieszkaniowej (osoba fizyczna) chce prywatnie nagrywać walne zgromadzenie. Czy jest wymagana zgoda uczestników zgromadzenia?
Pytanie: Jakie obowiązki na gruncie przepisów RODO należy spełnić wysyłając zapytania do przedsiębiorców o wyrażenie zgody na przesyłanie informacji handlowych drogą mailową? Rozsyłanie zapytań będzie kierowane do przedsiębiorców - byłych, obecnych i potencjalnych klientów. Zapytanie będzie wysyłane mailowo przez spółki działające w ramach jednej grupy (pomiędzy którymi zachodzi współadministrowanie). Zgoda ma dotyczyć przesyłania informacji handlowych drogą mailową lub telefoniczną (z prawem wyboru kanału komunikacji przesyłania informacji handlowych). Zapytania o wyrażenie zgody będą przesyłane zarówno na ogólne adresy przedsiębiorców tj. adresy mailowe, które nie zawierają imion i nazwisk jak i adresy służbowe zawierające imiona i nazwiska. Czy w takim przypadku wymagane jest pozyskanie dodatkowej zgody na przetwarzanie danych? Kiedy należy pozyskać taką zgodę? Czy zgoda na przetwarzanie danych może zostać wyrażona w jednym oświadczeniu, czy potrzebne są dwie odrębne zgody (na przesyłanie informacji i na przetwarzanie danych)? Czy i na jakim etapie należy przekazać obowiązek informacyjny RODO?
Okres wiosenny i letni to czas, w którym zwykle organizowane są konkursy na dyrektora szkoły i placówki oświatowej. W związku z przeprowadzeniem konkursu na stanowisko dyrektora szkoły wymagane jest spełnienie licznych wymogów w zakresie ochrony danych osobowych, m.in. obowiązku informacyjnego. Przy okazji rodzi się kilka wątpliwości, zważywszy na to, że przepisy krajowe, w tym rozporządzenie Ministra Edukacji Narodowej z dnia 11 sierpnia 2017 r. w sprawie regulaminu konkursu na stanowisko dyrektora publicznego przedszkola, publicznej szkoły podstawowej, publicznej szkoły ponadpodstawowej lub publicznej placówki oraz trybu pracy komisji konkursowej nie odnosi się w żaden sposób do danych osobowych. Rozpatrzenia wymaga choćby kwestia, czy członkom komisji konkursowej należy nadać upoważnienia do przetwarzania danych osobowych. Sprawdź, jakie są obowiązki RODO w związku z organizacją konkursu na dyrektora szkoły i przetwarzaniem danych osobowych kandydatów w dokumentacji konkursowej i nie tylko.
Pytanie: Pacjentka leżąca w szpitalu, będąca świadoma i chodząca, stwierdziła brak dowodu osobistego w swojej szafce. Dowód osobisty został jednak znaleziony w szafce innej pacjentki. Pacjentka, której dowód się zagubił, była świadoma regulaminu szpitala dotyczącego depozytu i nie oddała dowodu do depozytu. Personel szpitala nie wiedział, że ta pacjentka ma dowód osobisty. Córka pacjentki zwróciła się do szpitala z zapytaniem o monitoring oraz incydent ochrony danych osobowych, twierdząc, że dowód został użyty, ponieważ znalazł się w innej szafce, ale nie jest tego pewna. Czy jest to incydent, który Inspektor Ochrony Danych (IOD) powinien zgłosić do Urzędu Ochrony Danych Osobowych (UODO)? Nie ma pewności, że inna osoba użyła tego dowodu, a pacjentka nie chciała oddać go do depozytu. Czy to jest poważny incydent dotyczący danych, biorąc pod uwagę, że personel nie wiedział o dowodzie? Szpital posiada procedury dotyczące oddawania rzeczy wartościowych i dokumentów do depozytu.
Pytanie: Zwracamy się z uprzejmą prośbą o opinię w sprawie incydentu, kiedy to decyzja administracyjna w sprawie podatku od nieruchomości, adresowana do Pani Jagody X, została omyłkowo doręczona syndykowi Pani Ilony X. Obie osoby mają to samo nazwisko, co najprawdopodobniej wpłynęło na błędne przekierowanie przesyłki przez operatora pocztowego. Pismo zawierało dane osobowe oraz informacje objęte tajemnicą skarbową. Dokument przez dwa miesiące znajdował się w placówce pocztowej, a ostatecznie trafił do syndyka. Zdarzenie to można uznać za naruszenie ochrony danych osobowych, a także ujawnienie tajemnicy skarbowej. Czy zgłoszenie tego naruszenia do PUODO było zasadne? Czy należy dodatkowo powiadomić inne instytucje (np. KAS)? Jakie dodatkowe środki organizacyjne należy wdrożyć w przyszłości? Czy należy pociągnąć operatora pocztowego do odpowiedzialności cywilnoprawnej?
Pytanie: Czy istnieją praktyczne wskazówki, jak zorganizować postępowanie w sytuacji naruszeń w organizacji, w której działa IOD? Według poradnika IOD powinien być o naruszeniu niezwłocznie informowany, aby umożliwić mu monitorowanie procesu jego obsługi od najwcześniejszego etapu. Ale czy może te zgłoszenia przyjmować? Z pewnością ustaleniem zaistnienia naruszenia oraz postępowaniem wyjaśniającym powinien zająć się zespół ds. naruszeń, w którego skład wchodziłby m.in. IOD. Z drugiej strony wyznaczenie jednej osoby przyjmującej zgłoszenia byłoby praktyczniejsze i szybsze niż powiadamianie każdego członka zespołu.
Sektor oświaty, w tym szkoły i przedszkola muszą stosować szereg przepisów, aby zapewnić cyberbezpieczeństwo informacjom przez siebie przetwarzanym. Chodzi w tym przypadku nie tylko o dane osobowe, ale także o inne informacje, takie jak np. instrukcje zarządzania incydentami, bezpiecznego korzystania z internetu, czy też karty dostępowe , a nawet reagować na cyberprzemoc.
04.03.2025
Otrzymuj raz w tygodniu aktualne informacje o zmianach w prawie oraz komentarze ekspertów
© Portal Poradyodo.pl
