Kradzież służbowego laptopa, smartfona lub innego nośnika danych może wiązać się się nie tylko ze stratą materialną i utratą cennych informacji, ale także naruszeniem bezpieczeństwa danych osobowych. Za naruszenie takie administratorowi teoretycznie grozi odpowiedzialność. Czy dotyczy ona również przypadku kradzieży nośnika, na którym znajdują się dane osobowe? Jakie rozwiązania wdrożyć na wypadek kradzieży? Jak natomiast postąpić, gdy do tej kradzieży dojdzie? Odpowiedzi na te pytania znajdziesz w temacie numeru.

Pytanie:  W firmie został wybudowany parking dla pracowników. Każde miejsce parkingowe zostało oznaczone imieniem i nazwiskiem pracownika. Niektóre osoby posiadające miejsce parkingowe opisane imieniem i nazwiskiem wykonują obowiązki w firmie w oparciu o własną działalność gospodarczą. Czy w przypadku tych pracowników opisanie miejsca parkingowego ich imieniem i nazwiskiem bez pisemnej zgody jest naruszeniem danych osobowych?

Ogólnie rzecz ujmując zawarcie umowy najmu lokalu wymaga przetwarzania danych osobowych stron umowy. Z lokali mogą korzystać także wspólnicy spółek cywilnych. Warto zatem rozważyć, czy przetwarzanie danych osobowych tych wspólników takich jak imię, nazwisko i numer PESEL nie ma charakteru nadmiarowego.

Pytanie:  Czy kasa zapomogowo-pożyczkowa działająca u Pracodawcy może ustalać składkę dla jej członków w wysokości procentowej od wynagrodzenia? Wszak taki sposób daje możliwość osobom prowadzącym kasę ustalenia wysokości wynagrodzenia pracownika na podstawie wysokości wpływającej składki do kasy.

Korzystając z poczty elektronicznej można bardzo łatwo popełnić błąd polegający na ujawnieniu adresów e-mail albo wysłaniu zawartości wiadomości osobom nieupoważnionym. W takim przypadku dochodzi do omyłkowego udostępnienia danych, które może być kwalifikowane jako naruszenie RODO. Już bowiem sam adres e-mail może stanowić dane osobowe. Dostęp do danych uzyskują wówczas osoby nieuprawnione. Zobacz, jak postąpić w tej trudnej sytuacji.

Pytanie:  Czy posiadany certyfikat ISO 27001 zwalnia szpital z niektórych obowiązków RODO? Jakie dodatkowe obowiązki ciążą na podmiocie leczniczym?

Pytanie:  W trakcie współpracy z jednym klientów nastąpił wyciek danych osobowych (karty medyczne zawierające imię, nazwisko i numer ewidencyjny przez pomyłkę trafiły w niepowołane ręce). Karty zostały natychmiast dostarczone do działu personalnego i przesłane do klienta z prośbą o wyjaśnienie. W ramach działań zaradczych karty plastikowe zostały zastąpione kartami elektronicznymi, aby wyeliminować zaistniałą sytuację w przyszłości. Czy administrator postąpi prawidłowo, ewidencjonując to zdarzenie w rejestrze naruszeń, jednak ze względu na natychmiastowe wprowadzenie środków zaradczych nie informując organu nadzorczego?

Ogólne rozporządzenie o ochronie danych (RODO) zobowiązuje administratorów do odpowiedniego reagowania na naruszenia ochrony danych. Sprawdź, co zrobić, żeby zminimalizować groźbę wystąpienia takiego naruszenia. Dowiedz się, jak postąpić, gdy do takiego naruszenia dojdzie.  

Zgodnie z ogólnym rozporządzeniem o ochronie danych administrator ma obowiązek zgłoszenia naruszenia ochrony danych do Prezesa Urzędu Ochrony Danych Osobowych. Obowiązek ten powstaje, chyba że chyba jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych. Czy taki sam obowiązek istnieje w przypadku, gdy doszło do naruszenia ochrony danych u procesora?