Osoba, która dokona zgłoszenia naruszenia prawa w organizacji m.in. w zakresie ochrony danych osobowych lub cyberbezpieczeństwa staje się sygnalistą. Status ten może uzyskać nie tylko pracownik. Wyjaśniamy, kto może zostać sygnalistą w organizacji w związku ze zgłoszeniem lub ujawnieniem publicznym informacji na temat naruszenia prawa.
Zgromadzone dokumenty w podajniku drukarki, wnioski klientów zawierające dane osobowe porzucone na biurku czy lista płac pracowników leżąca obok - takie przypadki to gotowa recepta na utratę lub wyciek danych osobowych. Jak tego uniknąć? Praktycznym rozwiązaniem jest stosowanie zasady czystego biurka, która pomoże zapewnić adekwatny poziom bezpieczeństwa danych osobowych w papierowej dokumentacji. W tym pomóc może dokument nazywany polityką czystego biurka.
Podstawowym obowiązkiem administratora jest zgłoszenie naruszenia ochrony danych osobowych organowi nadzorczemu. Czy za zgłoszenia te może odpowiadać inspektor ochrony danych? Jaka jest rola IOD w dokonywaniu zgłoszeń naruszenia ochrony danych?
Zarządzając zgłoszeniami naruszenia prawa od sygnalistów podmiot prawny może skorzystać ze wsparcia w postaci dedykowanej aplikacji dla sygnalistów. Program ten musi jednak spełniać wymogi wynikające z RODO i krajowej ustawy o ochronie sygnalistów. Jednym z najważniejszych jest warunek poufności. Sprawdź, jakie wymogi w zakresie ochrony danych osobowych musi spełniać platforma do obsługi zgłoszeń naruszenia prawa.
Jakie dane osobowe powinny znaleźć się w zgłoszeniu naruszenia prawa dokonanym przez sygnalistę? Podmiot prawny jako administrator danych powinien kierować się w tym zakresie zasadą minimalizacji.
Obowiązek wprowadzenia dokumentacji związanej z sygnalistami tj. procedury zgłoszeń wewnętrznych oraz rejestru zgłoszeń wewnętrznych mają co do zasady wyłącznie organizacje, w których pracę zarobkową wykonuje co najmniej 50 osób. Nie oznacza to jednak, że podmioty z mniejszą liczbą zatrudnionych są zwolnione z obowiązku ochrony danych osobowych sygnalisty zgodnie z wymogami RODO.
Pytanie: U dostawcy, z którym współpracuje administrator, doszło do naruszenia ochrony danych. Obydwie firmy są odrębnymi administratorami danych osobowych, ale naruszenie dotyczy danych, które jeden administrator udostępnił drugiego. Czy administrator ma obowiązek zgłoszenia naruszenia ochrony danych u kontrahenta będącego odrębnym administratorem udostępnionych danych osobowych?
Pytanie: Przyjęta w firmie polityka bezpieczeństwa nakazuje pracownikom szyfrować wszelkie e-maile zawierające dane osobowe? Czy nieprzestrzeganie takiej polityki przez pracownika należy uznać za naruszenie prawa?
Wyobraźmy sobie sytuację, w której do urzędu wpłynęła skarga podpisana przez osobę skarżącego, wskutek czego możliwa stała się jego identyfikacja. Urząd ujawnił pismo ze skargą osobom, których ta skarga dotyczyła. Sprawdzamy, czy takie działanie stanowi naruszenie ochrony danych w świetle RODO i może skończyć się karą nałożoną przez Prezesa Urzędu Ochrony Danych Osobowych.
Tzw. ustawa Kamilka, wprowadzając nowe zasady ochrony dzieci rozszerzyła zakres weryfikacji niekaralności osób pracujących z małoletnimi. Poszerzony obowiązek weryfikacyjny wszedł w życie 15 lutego 2024 r. Wiąże się on oczywiście z przetwarzaniem danych osobowych dotyczących niekaralności i nie tylko. Skorzystaj z praktycznych wskazówek i sprawdź, jakie wymogi RODO spełnić w związku z weryfikacją niekaralności.
Inspektor Ochrony Danych pełni kluczową rolę w zapewnieniu zgodności przetwarzania danych osobowych z przepisami RODO. Jego rola powinna koncentrować się na nadzorze, doradztwie oraz opiniowaniu procesów związanych z upoważnieniami, aby zagwarantować ich zgodność z obowiązującym prawem i uniknąć konfliktu interesów. A jak wygląda kwestia nadawania upoważnień do przetwarzania danych osobowych? Na kim spoczywa odpowiedzialność za tego rodzaju czynności – administratorze danych osobowych czy może inspektorze ochrony danych?
04.03.2025
Otrzymuj raz w tygodniu aktualne informacje o zmianach w prawie oraz komentarze ekspertów
© Portal Poradyodo.pl
