Pytanie: Jakie zmiany w zakresie RODO w Powiatowych Urzędach pracy wprowadza ustawa o rynku pracy i służbach zatrudnienia? Co trzeba zmienić w dokumentacji, a co należy może dodatkowo opracować?
Pytanie: W związku z koniecznością kontroli trzeźwości pracowników w szczególności kierowców planuje się dokonać zmian w tym zakresie. Czy osoby przeprowadzające badania powinny posiadać odrębne upoważnienie od pracodawcy do prowadzenia tego typu czynności oraz tym samym przetwarzania danych osobowych takich jak: imię, nazwisko, data, godzina, minuta oraz wynik badania?
Pytanie: Kancelaria prawna chce podpisać umowę na usługi prawne z zakładem komunikacji. Czy konieczne jest także podpisanie umowy powierzenia danych osobowych.
Atak ransomware nie tylko potrafi sparaliżować działalność organizacji, ale też narazić ją na poważne konsekwencje prawne związane z ochroną danych osobowych. Choć temat wydaje się domeną działów informatycznych, skutki tych ataków dotykają wszystkich — w tym inspektorów ochrony danych oraz zarząd firmy, którzy w obliczu cyberzagrożeń stają się pierwszą linią odpowiedzialności za właściwą reakcję i ograniczenie szkód. W tym artykule przedstawimy, czym jest ransomware, jak działa, na czym polega ochrona organizacji przed atakami ransomware i jaką rolę pełni IOD (Inspektor Ochrony Danych) w sytuacjach kryzysowych.
Wdrażanie Dyrektywy CER – a w szczególności projektowane przepisy krajowe – nakładają na podmioty krytyczne i operatorów infrastruktury krytycznej nowe obowiązki w zakresie przetwarzania danych osobowych.Jednym z kluczowych obszarów regulacji jest sprawdzanie przeszłości personelu mającego dostęp do kluczowych zasobów oraz dopuszczalność przetwarzania danych biometrycznych. IOD i ADO powinni już teraz przeanalizować projektowane przepisy, by opracować zgodne z prawem procedury i zabezpieczyć zgodność z RODO. Artykuł omawia szczegółowo zakres sprawdzenia, podstawy prawne oraz różnice między obowiązkami operatorów IK a pozostałymi podmiotami krytycznymi.
Szkolenie sztucznej inteligencji (AI) bez odpowiednich danych treningowych jest z góry skazane na porażkę. Właściciele dużych platform social media jak chociażby Facebook oraz Instagram mają ułatwione zadanie – ogromną bazę użytkowników i spore ilości danych do trenowania AI. Nasze dane zgromadzone na tych platformach stały się więc jeszcze bardziej pożądane, bowiem mogą być wykorzystywane nie tylko do celów marketingowych, ale również do trenowania sztucznej inteligencji. To właśnie dzięki tym danym modele AI uczą się, jak analizować informacje, tworzyć teksty i generować grafiki. Musimy jednak odpowiedzieć na pytanie, czy ten proces jest zgodny z prawem? W tym artykule skupię się na tematyce szkolenia modeli AI za pomocą danych zamieszczonych na Instagramie czy Facebooku, z perspektywy ochrony danych osobowych.
Pytanie: W ostatnim czasie objęłam stanowisko IOD w organizacji. Po zweryfikowaniu dokumentacji, np. upoważnień pracowników do przetwarzania danych osobowych wygląda to różnie. Czy mogę nadać wszystkim pracownikom nowe upoważnienia według jednego wzoru? Uporządkować rejestr na nowo? Czy muszę odwoływać stare, czasem w części aktualne upoważnienia?
Pytanie: Czy umowa administratora z inspektorem ochrony danych może zawierać postanowienie, zgodnie z którym w razie poniesienia przez administratora szkody zleceniobiorca czyli IOD zobowiązuje sięzrekompensować Zleceniodawcy doznaną z tego tytułu szkodę w pełnej wysokości, jeżeli powstanie tego obowiązku jest wynikiem zawinionego działania Zleceniobiorcy?
Ogólne rozporządzenie o ochronie danych przypisuje inspektorowi ochrony danych funkcję punktu kontaktowego. Poza tym w kilku przypadkach wymaga od administratora podania danych kontaktowych IOD. Sprawdź, co to znaczy, że inspektor ochrony danych ma być punktem kontaktowym, jak zrealizować to zadanie i jakie obowiązki spoczywają w związku z tym na administratorze.
Każdy powinien mieć zapewniony dostęp do swoich danych przetwarzanych w organizacji. Dotyczy to m.in. klientów, kontrahentów, czy pracowników. Dostęp to nie tylko wgląd do danych, ale także możliwość żądania ich kopii oraz przedstawienia informacji dotyczących przetwarzania. Sprawdź, jak zrealizować prawo dostępu do danych.
Pytanie: Czy możliwe jest dalsze przetwarzanie danych osobowych byłego czytelnika biblioteki po wystąpieniu przez niego z żądaniem usunięcia danych (prawo do bycia zapomnianym)?
Pytanie: Co powinno zawierać upoważnienie do dostępu do dokumentów przez kontrolującego (z jednostki nadrzędnej)? My jako podległa jednostka dajemy dostęp do dokumentów z zakresu kontroli np. inwentaryzacji.
Pytanie: Lokator kamienicy zamontował na fasadzie budynku przy swoim oknie kamerę. Mieszkańcy posesjii zarazem wspólnota mieszkaniowa wystąpiła do tegoż lokatora z prośbą o jej usunięcie, a następnie do UODO z powiadomieniem o nielegalnie zamontowanym monitoringu wizyjnego. UODO w odpowiedzi wysłał pismo do Wspólnoty i Zarządcy Wspólnoty (TBS) wnosząc o „bezzwłoczne podjęcie działań mających na celu zabezpieczenie urządzeń rejestrujących oraz wszelkich danych źródłowych, jako materiału dowodowego, przeprowadzenie dochodzenia dla ustalenia celu oraz zakresu prowadzonej rejestracji obrazu i dźwięku bez zgody uczestników." (cyt. z pisma UODO do Wspólnoty i Zarządcy). Ponadto UODO zażądał od Wspólnoty i Zarządcy "wydania zakazu nagrywania i ostatecznie zabezpieczenia lub zniszczenia kompletnego materiału źródłowego po zakończeniu sprawy". Czy zarządca powinien rozpocząć realizację żądania UODO, czy też poinformować UODO o tym, że powinien skierować to żądanie do lokatora, który samodzielnie zamontował system monitoringu??
Pytanie: Dyrektor Biblioteki wysyła wnioski o nagrody dla pracowników do organizatorów instytucji (Urząd Miasta, Urząd Marszałkowski), też do Urzędu Wojewódzkiego i MKiDN. Wymaga to podania szerokich informacji o pracownikach (danych osobowych). Jaka jest podstawa prawna przetwarzania tych danych? Mam nadzieję, że nie zgoda, dyrektor wolałby nie informować pracownika o podjętych staraniach w obawie o sprawienie mu zawodu lub przykrości w przypadku negatywnego rozpatrzenia wniosku.
Pytanie: Spółka wodno-kanalizacyjna uchwałą rady miasta została upoważniona do prowadzenia kontroli w trybie art. 5a - 5c ustawy o utrzymaniu czystości i porządku w gminach, w tym do wydawania decyzji administracyjnych (przekazanie zadania własnego gminy). Spółka chcąc wykonywać kontrole żąda przekazywania danych z urzędu miasta o mieszkańcach z zakresu odpadów ciekłych. Czy w przypadku kontroli spółka występuje w roli podmiotu przetwarzającego czy samodzielnego administratora?
Pytanie: Czy szkoła podstawowa (jednostka organizacyjna) powinna udzielić odpowiedzi wnioskodawcy w ramach dostępu do informacji publicznej, że posiadamy certyfikat tzw. kwalifikowanego podpisu elektronicznego (szkoła posiada jeden podpis kwalifikowany Szafir), czy jest to objęte tajemnicą i nie podlega udostępnianiu jako informacja publiczna w rozumieniu ustawy o dostępie do informacji publicznej?
Pytanie: Jaką przyjąć retencję korespondencji przychodzącej przez skrzynkę eDoręczenia?
Pytanie: Jakie obowiązki na gruncie przepisów RODO należy spełnić wysyłając zapytania do przedsiębiorców o wyrażenie zgody na przesyłanie informacji handlowych drogą mailową? Rozsyłanie zapytań będzie kierowane do przedsiębiorców - byłych, obecnych i potencjalnych klientów. Zapytanie będzie wysyłane mailowo przez spółki działające w ramach jednej grupy (pomiędzy którymi zachodzi współadministrowanie). Zgoda ma dotyczyć przesyłania informacji handlowych drogą mailową lub telefoniczną (z prawem wyboru kanału komunikacji przesyłania informacji handlowych). Zapytania o wyrażenie zgody będą przesyłane zarówno na ogólne adresy przedsiębiorców tj. adresy mailowe, które nie zawierają imion i nazwisk jak i adresy służbowe zawierające imiona i nazwiska. Czy w takim przypadku wymagane jest pozyskanie dodatkowej zgody na przetwarzanie danych? Kiedy należy pozyskać taką zgodę? Czy zgoda na przetwarzanie danych może zostać wyrażona w jednym oświadczeniu, czy potrzebne są dwie odrębne zgody (na przesyłanie informacji i na przetwarzanie danych)? Czy i na jakim etapie należy przekazać obowiązek informacyjny RODO?
Okres wiosenny i letni to czas, w którym zwykle organizowane są konkursy na dyrektora szkoły i placówki oświatowej. W związku z przeprowadzeniem konkursu na stanowisko dyrektora szkoły wymagane jest spełnienie licznych wymogów w zakresie ochrony danych osobowych, m.in. obowiązku informacyjnego. Przy okazji rodzi się kilka wątpliwości, zważywszy na to, że przepisy krajowe, w tym rozporządzenie Ministra Edukacji Narodowej z dnia 11 sierpnia 2017 r. w sprawie regulaminu konkursu na stanowisko dyrektora publicznego przedszkola, publicznej szkoły podstawowej, publicznej szkoły ponadpodstawowej lub publicznej placówki oraz trybu pracy komisji konkursowej nie odnosi się w żaden sposób do danych osobowych. Rozpatrzenia wymaga choćby kwestia, czy członkom komisji konkursowej należy nadać upoważnienia do przetwarzania danych osobowych. Sprawdź, jakie są obowiązki RODO w związku z organizacją konkursu na dyrektora szkoły i przetwarzaniem danych osobowych kandydatów w dokumentacji konkursowej i nie tylko.
Pytanie: Zwracamy się z uprzejmą prośbą o opinię w sprawie incydentu, kiedy to decyzja administracyjna w sprawie podatku od nieruchomości, adresowana do Pani Jagody X, została omyłkowo doręczona syndykowi Pani Ilony X. Obie osoby mają to samo nazwisko, co najprawdopodobniej wpłynęło na błędne przekierowanie przesyłki przez operatora pocztowego. Pismo zawierało dane osobowe oraz informacje objęte tajemnicą skarbową. Dokument przez dwa miesiące znajdował się w placówce pocztowej, a ostatecznie trafił do syndyka. Zdarzenie to można uznać za naruszenie ochrony danych osobowych, a także ujawnienie tajemnicy skarbowej. Czy zgłoszenie tego naruszenia do PUODO było zasadne? Czy należy dodatkowo powiadomić inne instytucje (np. KAS)? Jakie dodatkowe środki organizacyjne należy wdrożyć w przyszłości? Czy należy pociągnąć operatora pocztowego do odpowiedzialności cywilnoprawnej?
Pytanie: Czy istnieją praktyczne wskazówki, jak zorganizować postępowanie w sytuacji naruszeń w organizacji, w której działa IOD? Według poradnika IOD powinien być o naruszeniu niezwłocznie informowany, aby umożliwić mu monitorowanie procesu jego obsługi od najwcześniejszego etapu. Ale czy może te zgłoszenia przyjmować? Z pewnością ustaleniem zaistnienia naruszenia oraz postępowaniem wyjaśniającym powinien zająć się zespół ds. naruszeń, w którego skład wchodziłby m.in. IOD. Z drugiej strony wyznaczenie jednej osoby przyjmującej zgłoszenia byłoby praktyczniejsze i szybsze niż powiadamianie każdego członka zespołu.
Informacja o stanie zdrowia pracownika wynikająca ze zwolnienia lekarskiego stanowi daną osobową szczególnej kategorii. Jako taka nie może być ujawniona przez pracodawcę pozostałym pracownikom zakładu pracy. Praktyka taka prowadzi bowiem do naruszenia ochrony danych osobowych i może skończyć się administracyjną karą pieniężnych wymierzoną przez Prezesa UODO.
Atak ransomware nie tylko potrafi sparaliżować działalność organizacji, ale też narazić ją na poważne konsekwencje prawne związane z ochroną danych osobowych. Choć temat wydaje się domeną działów informatycznych, skutki tych ataków dotykają wszystkich — w tym inspektorów ochrony danych oraz zarząd firmy, którzy w obliczu cyberzagrożeń stają się pierwszą linią odpowiedzialności za właściwą reakcję i ograniczenie szkód. W tym artykule przedstawimy, czym jest ransomware, jak działa, na czym polega ochrona organizacji przed atakami ransomware i jaką rolę pełni IOD (Inspektor Ochrony Danych) w sytuacjach kryzysowych.
04.03.2025
Otrzymuj raz w tygodniu aktualne informacje o zmianach w prawie oraz komentarze ekspertów
© Portal Poradyodo.pl
