Pytanie:  Czy prowadzenie wykazu zgód na dostęp do systemu informatycznego jest obowiązkowe?

Przekazanie danych osobowych do tzw. chmury (zapewnianej przez zewnętrznego usługodawcę) jest niczym innym jak powierzeniem ich przetwarzania. Nie można niestety wykluczyć wycieku tych danych lub innego naruszenia ich ochrony. W takiej sytuacji za naruszenie może odpowiadać zarówno administrator, który przekazał te dane, jak i podmiot przetwarzający, czy dostawca usługi chmurowej. Kiedy i w jakim zakresie? Wyjaśniamy to w temacie tygodnia.

Czy istnieją rozwiązania prawne regulujące okres przechowywania dokumentacji związanej z ochroną danych osobowych np. upoważnień do przetwarzania danych, umów powierzenia przetwarzania danych czy kart szkoleń? Pytanie to zadaje sobie wielu administratorów. Niektórzy zastanawiają się nawet, czy w świetle reguły rozliczalności wynikającej z art. 5 RODO nie jest konieczne przyjęcie bezterminowego okresu przechowywania tego typu dokumentacji. Sprawdź, jak ustalić okres przechowywania takiej dokumentacji.

Aktywność związków zawodowych dotyczy nie tylko strajków. Warto wiedzieć, że organizacje związkowe są uprawnione żądać od pracodawców różnych informacji niezbędnych do wykonywania zadań związkowych m.in. do obrony interesów swoich członków. Takimi informacjami mogą być dane o wynagrodzeniu, które w konkretnych sytuacjach mogą posiadać status danych osobowych. Sprawdź, czy takie dane mogą być udostępnione związkowi zawodowemu.

Pytanie:  W jednym z marketów została na monitoringu została zarejestrowana kradzież? Właściciel sklepu chce zlecić emisję spotu z wizerunkiem złodzieja. Czy będzie to zgodne z przepisami?

Konsekwencją przeprowadzenia kontroli i stwierdzenia w jej następstwie uchybień może być wszczęcie postepowania w sprawie naruszenia przepisów o ochronie danych osobowych. Postępowanie takie prowadzone jest przez Prezesa Urzędu Ochrony Danych Osobowych. Może ono zakończyć się nakazaniem usunięcia uchybień, ale także bardzo wysoką karą finansową. Od rozstrzygnięcia Prezesa UODO przysługuje jednak skarga do wojewódzkiego sądu administracyjnego. Sprawdź, jak przebiega postępowanie w sprawie naruszenia, a także, jakie działania w jego trakcie może bądź powinien podejmować podmiot, u którego stwierdzono naruszenie.

Znamy już zapowiedzi Prezesa UODO odnośnie kontroli sektorowych. Na ewentualne kontrole powinni się przygotować przede wszystkim administratorzy z sektora publicznego w tym placówki oświatowe i medyczne. Wygląda na to, że kontrole nie ominą również sektora prywatnego, głównie w zakresie telemarketingu, profilowania w bankowości i w ubezpieczeniach. Nie możemy także zapominać o kontrolach doraźnych. Poniższe zestawienie obrazuje krok po kroku przebieg kontroli UODO a także związane z nią obowiązki i uprawnienia kontrolowanego.

Pytanie:  Czy administrator danych osobowych powinien podpisać oświadczenie o zapoznaniu się z przepisami ochrony danych i polityką bezpieczeństwa?

Jak wiadomo, za wszelkie naruszenia RODO grozą bardzo wysokie kary finansowe. Tymczasem o uchybienie nie jest trudno. A może warto pomyśleć o ubezpieczeniu na wypadek kar? Sprawdź, czy zasadne jest zawarcie w tym zakresie polisy OC.

Nie każdy zwrócił na to uwagę, ale od ponad 2 miesięcy obowiązuje nowa ustawa o krajowym systemie cyberbezpieczeństwa. W przypadku niektórych podmiotów ustawa ta zwiększa i tak szeroki zakres obowiązków, jaki ciąży na administratorach danych osobowych i podmiotach przetwarzających. Sprawdź, czy spoczywają na Tobie dodatkowe obowiązki w związku z cyberbezpieczeństwem.