Pytanie:  Jakie zmiany w zakresie RODO w Powiatowych Urzędach pracy wprowadza ustawa o rynku pracy i służbach zatrudnienia? Co trzeba zmienić w dokumentacji, a co należy może dodatkowo opracować?

Pytanie:  W związku z koniecznością kontroli trzeźwości pracowników w szczególności kierowców planuje się dokonać zmian w tym zakresie. Czy osoby przeprowadzające badania powinny posiadać odrębne upoważnienie od pracodawcy do prowadzenia tego typu czynności oraz tym samym przetwarzania danych osobowych takich jak: imię, nazwisko, data, godzina, minuta oraz wynik badania?

Pytanie:  Kancelaria prawna chce podpisać umowę na usługi prawne z zakładem komunikacji. Czy konieczne jest także podpisanie umowy powierzenia danych osobowych.

Jak ocenić anonimowość modeli AI? Czy uzasadniony interes może stanowić podstawę przetwarzania danych do celów sztucznej inteligencji? Europejska Rada Ochrony Danych w swojej najnowszej opinii analizuje kluczowe zagadnienia związane z przetwarzaniem danych osobowych w procesach tworzenia i wdrażania modeli sztucznej inteligencji. Dokument zawiera m.in. kryteria oceny, czy dany model można uznać za anonimowy, zasady stosowania prawnie uzasadnionego interesu jako podstawy prawnej przetwarzania danych oraz wytyczne dotyczące testu równowagi i środków łagodzących ryzyko naruszenia praw osób fizycznych. Dla administratorów danych i inspektorów ochrony danych to cenna wskazówka, jak bezpiecznie i zgodnie z RODO projektować rozwiązania oparte na AI. Dzięki nieoficjalnemu tłumaczeniu UODO dokument jest teraz łatwiej dostępny dla polskich instytucji i organizacji.

Z roku na rok rośnie skala zagrożeń związanych z ochroną danych osobowych. Z najnowszego raportu „Barometr Cyberbezpieczeństwa 2024”, przygotowanego przez KPMG, wynika, że aż 66% organizacji w Polsce doświadczyło co najmniej jednego incydentu związanego z cyberbezpieczeństwem w ciągu ostatnich 12 miesięcy. To wzrost o 8 punktów procentowych w porównaniu z rokiem 2022. Taka dynamika nie pozostawia złudzeń – administratorzy danych osobowych (ADO) oraz inspektorzy ochrony danych (IOD) muszą dziś podejmować aktywne działania w zakresie bezpieczeństwa informacji, za które odpowiadają.

Wdrożenie sztucznej inteligencji (AI) w firmie ma związek z pojawianiem się nowych zagrożeń, na które należy odpowiadać odpowiednimi zabezpieczeniami. Celem znalezienia takich zabezpieczeń, należy ponowić lub przeprowadzić analizę ryzyka, a czasem również jej zaawansowaną postać, tj. DPIA. To obowiązek wynikający z RODO, ale także kluczowy element dla bezpieczeństwa danych. Sprawdź, jak krok po kroku przeprowadzić analizę i właściwie zabezpieczyć dane w środowisku AI.

Pytanie:  W ostatnim czasie objęłam stanowisko IOD w organizacji. Po zweryfikowaniu dokumentacji, np. upoważnień pracowników do przetwarzania danych osobowych wygląda to różnie. Czy mogę nadać wszystkim pracownikom nowe upoważnienia według jednego wzoru? Uporządkować rejestr na nowo? Czy muszę odwoływać stare, czasem w części aktualne upoważnienia?

Pytanie:  Czy umowa administratora z inspektorem ochrony danych może zawierać postanowienie, zgodnie z którym w razie poniesienia przez administratora szkody zleceniobiorca czyli IOD zobowiązuje sięzrekompensować Zleceniodawcy doznaną z tego tytułu szkodę w pełnej wysokości, jeżeli powstanie tego obowiązku jest wynikiem zawinionego działania Zleceniobiorcy?

Ogólne rozporządzenie o ochronie danych przypisuje inspektorowi ochrony danych funkcję punktu kontaktowego. Poza tym w kilku przypadkach wymaga od administratora podania danych kontaktowych IOD. Sprawdź, co to znaczy, że inspektor ochrony danych ma być punktem kontaktowym, jak zrealizować to zadanie i jakie obowiązki spoczywają w związku z tym na administratorze.

Każdy powinien mieć zapewniony dostęp do swoich danych przetwarzanych w organizacji. Dotyczy to m.in. klientów, kontrahentów, czy pracowników. Dostęp to nie tylko wgląd do danych, ale także możliwość żądania ich kopii oraz przedstawienia informacji dotyczących przetwarzania. Sprawdź, jak zrealizować prawo dostępu do danych.

Pytanie:  Czy możliwe jest dalsze przetwarzanie danych osobowych byłego czytelnika biblioteki po wystąpieniu przez niego z żądaniem usunięcia danych (prawo do bycia zapomnianym)?

Pytanie:  Jaki powinien być okres przechowywania danych osobowych przetwarzanych w związku z realizacją sprzeciwu lub innych praw podmiotów danych?

Okres wiosenny i letni to czas, w którym zwykle organizowane są konkursy na dyrektora szkoły i placówki oświatowej. W związku z przeprowadzeniem konkursu na stanowisko dyrektora szkoły wymagane jest spełnienie licznych wymogów w zakresie ochrony danych osobowych, m.in. obowiązku informacyjnego. Przy okazji rodzi się kilka wątpliwości, zważywszy na to, że przepisy krajowe, w tym rozporządzenie Ministra Edukacji Narodowej z dnia 11 sierpnia 2017 r. w sprawie regulaminu konkursu na stanowisko dyrektora publicznego przedszkola, publicznej szkoły podstawowej, publicznej szkoły ponadpodstawowej lub publicznej placówki oraz trybu pracy komisji konkursowej nie odnosi się w żaden sposób do danych osobowych. Rozpatrzenia wymaga choćby kwestia, czy członkom komisji konkursowej należy nadać upoważnienia do przetwarzania danych osobowych. Sprawdź, jakie są obowiązki RODO w związku z organizacją konkursu na dyrektora szkoły i przetwarzaniem danych osobowych kandydatów w dokumentacji konkursowej i nie tylko.

Komisja rewizyjna gminy i powiatu ma szerokie uprawnienia kontrolne wobec samorządowych jednostek organizacyjnych. Sprawdzamy, jaki zakres dostępu do danych osobowych przysługuje komisji rewizyjnej w związku z realizacją uprawnień kontrolnych.

Pytanie:  Czy udostępnienie najemcy protokołu z rocznej kontroli stanu technicznego budynku jest zgodne z RODO?

Pytanie:  Czy w procesie rekrutacyjnym świadectwa pracy są dokumentem, którego pracodawca może żądać jako wymagane, czy jedynie dokumentem dodatkowym, który aplikant może dołączyć do dokumentacji dobrowolnie? Chodzi o kwestie przetwarzania danych z uwagi na przebieg dotychczasowego zatrudnienia oraz o kwestie dyskryminacji a raczej uniknięcia tego problemu. Ze świadectwa pracy można otrzymać informację o absencji pracownika, która może mieć wpływ na jego zatrudnienie. Jak udokumentować przebieg dotychczasowego zatrudnienia w inny sposób zgodny z potrzebami pracodawcy oraz RODO?

Pytanie:  Czy szkoła musi udostępnić formularz audytu KRI za rok 2024? Ten formularz zawiera informacje dotyczące bezpieczeństwa informacyjnego i informatycznego. Co zrobić, aby nie udostępniać wszystkich danych, animizować? Tym bardziej, że mamy obawy co do autentyczności istnienia wnioskodawcy w sprawie tej informacji publicznej. Jakie mogą być powody działania autora tego maila? Czy jest to badanie rynku?

Pytanie:  Czy pracownicy instytucji mogą korzystać ze swojego prywatnego aparatu fotograficznego na rzecz pracodawcy? Chodzi o robienie i udostępnianie w Internecie zdjęć i filmików na stronie internetowej, w social mediach pracodawcy, z organizowanych wydarzeń kulturalnych? Jak to wygląda w kontekście przepisów RODO, prawa autorskiego, kodeksu pracy?

Pytanie:  Jakie obowiązki na gruncie przepisów RODO należy spełnić wysyłając zapytania do przedsiębiorców o wyrażenie zgody na przesyłanie informacji handlowych drogą mailową? Rozsyłanie zapytań będzie kierowane do przedsiębiorców - byłych, obecnych i potencjalnych klientów. Zapytanie będzie wysyłane mailowo przez spółki działające w ramach jednej grupy (pomiędzy którymi zachodzi współadministrowanie). Zgoda ma dotyczyć przesyłania informacji handlowych drogą mailową lub telefoniczną (z prawem wyboru kanału komunikacji przesyłania informacji handlowych). Zapytania o wyrażenie zgody będą przesyłane zarówno na ogólne adresy przedsiębiorców tj. adresy mailowe, które nie zawierają imion i nazwisk jak i adresy służbowe zawierające imiona i nazwiska. Czy w takim przypadku wymagane jest pozyskanie dodatkowej zgody na przetwarzanie danych? Kiedy należy pozyskać taką zgodę? Czy zgoda na przetwarzanie danych może zostać wyrażona w jednym oświadczeniu, czy potrzebne są dwie odrębne zgody (na przesyłanie informacji i na przetwarzanie danych)? Czy i na jakim etapie należy przekazać obowiązek informacyjny RODO?

Okres wiosenny i letni to czas, w którym zwykle organizowane są konkursy na dyrektora szkoły i placówki oświatowej. W związku z przeprowadzeniem konkursu na stanowisko dyrektora szkoły wymagane jest spełnienie licznych wymogów w zakresie ochrony danych osobowych, m.in. obowiązku informacyjnego. Przy okazji rodzi się kilka wątpliwości, zważywszy na to, że przepisy krajowe, w tym rozporządzenie Ministra Edukacji Narodowej z dnia 11 sierpnia 2017 r. w sprawie regulaminu konkursu na stanowisko dyrektora publicznego przedszkola, publicznej szkoły podstawowej, publicznej szkoły ponadpodstawowej lub publicznej placówki oraz trybu pracy komisji konkursowej nie odnosi się w żaden sposób do danych osobowych. Rozpatrzenia wymaga choćby kwestia, czy członkom komisji konkursowej należy nadać upoważnienia do przetwarzania danych osobowych. Sprawdź, jakie są obowiązki RODO w związku z organizacją konkursu na dyrektora szkoły i przetwarzaniem danych osobowych kandydatów w dokumentacji konkursowej i nie tylko.

Pytanie:  Jednostka stosuje kamery monitorujące ruch drogowy, za pomocą których rejestrowane są nagrania albo stopklatki. Czy taka praktyka wymaga oznaczenia kamer i spełnienia obowiązku informacyjnego RODO?

Informacja o stanie zdrowia pracownika wynikająca ze zwolnienia lekarskiego stanowi daną osobową szczególnej kategorii. Jako taka nie może być ujawniona przez pracodawcę pozostałym pracownikom zakładu pracy. Praktyka taka prowadzi bowiem do naruszenia ochrony danych osobowych i może skończyć się administracyjną karą pieniężnych wymierzoną przez Prezesa UODO.

Bardzo wiele naruszeń ochrony danych osobowych jest sprokurowanych przez pracowników lub pozostały personel administratora. Błąd pracownika nie zwalnia jednak z odpowiedzialności w tym kar za naruszenie RODO nakładanych przez organ nadzorczy. Dlatego w pierwszej kolejności pracodawca powinien podjąć odpowiednie działania, mające na celu przygotowanie swojej załogi na ewentualne naruszenia ochrony danych.

Umowa powierzenia przetwarzania danych powinna zawierać postanowienia, które zapewnią wsparcie podmiotu przetwarzającego dla administratora danych osobowych w dokonywaniu zgłoszenia naruszenia ochrony danych. Nie oznacza to jednak, że administrator może przerzucić na procesora odpowiedzialność za naruszenie ochrony danych.