Wyobraźmy sobie sytuację, w której spółka-matka jest administratorem swoich danych kadrowych. Jednocześnie zaś pełni rolę procesora względem danych kadrowych pracowników spółki-córki. Spółka-córka jest zaś, który powierzył do przetwarzania dane kadrowe swoich pracowników spółce matce. Spółka matka jest spółką wiodącą i sprawującą kontrolę (struktura właścicielska). Na podstawie tego przykładu przeanalizujemy, jak chronić dane osobowe w grupie kapitałowej.

Coraz wyższe koszty związane z prowadzeniem działalności gospodarczej zmuszają wielu przedsiębiorców do zakończenia działalności. Okres zaprzestawania działalności wiąże się z rozwiązywaniem umów, aneksowaniem mający na celu przesuwanie terminów na przyszłość czy ograniczaniem przedmiotu umowy. Zakończenie działalności nie oznacza jednak końca wszystkich obowiązków związanych z ochroną danych osobowych. Sprawdź, jak zadbać o bezpieczeństwo danych osobowych i realizować pozostałe wymogi RODO w związku z zakończeniem działalności.

Pytanie:  Czy administrator może zostać obciążony kosztami prewencyjnych działań związanych z naruszeniem ochrony danych np. wymiany dowodów osobistych przez podmioty danych?

Firma sprzątająca nie przetwarza danych osobowych administratora. Z drugiej strony pracownicy tej firmy mogą uzyskać przypadkowy dostęp do tych danych. W związku z tym warto przewidzieć pewne środki bezpieczeństwa.

W tym roku warto zwrócić uwagę na bezpieczeństwo danych osobowych przy ich przetwarzaniu w aplikacji mobilnej. W styczniu Prezes UODO opublikował bowiem plan kontroli sektorowych na 2022 r. Wskazano w nim, że kontrolowane w tym roku będą w szczególności administratorzy przetwarzający dane osobowe przy użyciu aplikacji mobilnych np. do obsługi platform społecznościowych, e-commerce czy też komunikatory. Sprawdź, jak przygotować się do takiej kontroli.

Jednym z narzędzi, którymi dysponuje Prezes UODO, jest możliwość przesyłania pytań do administratorów w związku z otrzymanymi sygnałami o nieprawidłowościach. Organ nadzorczy podał niedawno listę takich pytań dotyczących współpracy z IOD i zapowiedział, że będzie je kierował do administratorów. Sprawdź, jak mogą wyglądać odpowiedzi na pytania IOD.

Pytanie:  Czy można udzielić wykonawcy na jego żądanie informacji o firmach jakie brały udział w postępowaniu. Co, jeśli taka informacja będzie zawierała dane osobowe?

Z jednej strony założeniem RODO jest rozliczanie za skuteczność ochrony danych osobowych. Ogólnie rzecz ujmując, RODO nie obliguje do prowadzenia konkretnej dokumentacji. Niemniej jednak braki w dokumentacji ODO mogą skutkować wymierzeniem administracyjnej kary pieniężnej.

Jak zauważa organ nadzorczy, w toku prac nad kodeksami branżowymi popełnianych jest wiele błędów. M.in. zawężany jest zakres konsultacji społecznych, brakuje mechanizmów monitorowania przestrzegania kodeksów a także zbyt ogólnie podchodzi się do kwestii przetwarzania danych bądź wręcz powtarza przepisy RODO.

W korespondencji z Prezesem UODO niewątpliwie największym błędem jest milczenie. Brak reakcji na wezwania organu nadzorczego może zakończyć się nawet wymierzeniem kary pieniężnej, o czym przekonał się już niejeden administrator danych w Polsce. W artykule wyjaśniamy, w jaki sposób powinna być prowadzona współpraca z Prezesem UODO, aby należycie zadbać o interes organizacji i nie narazić się na odpowiedzialność finansową.