Pytanie:  Lokator mieszkania w bloku spółdzielczym zainstalował własny (bez zgody pozostałych lokatorów i spółdzielni) monitoring (kamera w wizjerze), który obejmuje część klatki schodowej. Obraz jest rejestrowany (rejestruje przechodzące osoby), gdyż według opinii lokatora służy to poprawie jego bezpieczeństwa. Czy w tej sytuacji musi dopełnić obowiązków wynikających z RODO?

Pytanie:  Czy stowarzyszenie zwykłe jest administratorem danych osobowych i musi posiadać politykę ochrony danych?

Pytanie:  Czy prowadzenie wykazu zgód na dostęp do systemu informatycznego jest obowiązkowe?

Przekazanie danych osobowych do tzw. chmury (zapewnianej przez zewnętrznego usługodawcę) jest niczym innym jak powierzeniem ich przetwarzania. Nie można niestety wykluczyć wycieku tych danych lub innego naruszenia ich ochrony. W takiej sytuacji za naruszenie może odpowiadać zarówno administrator, który przekazał te dane, jak i podmiot przetwarzający, czy dostawca usługi chmurowej. Kiedy i w jakim zakresie? Wyjaśniamy to w temacie tygodnia.

Pytanie:  W jednym z marketów została na monitoringu została zarejestrowana kradzież? Właściciel sklepu chce zlecić emisję spotu z wizerunkiem złodzieja. Czy będzie to zgodne z przepisami?

Pytanie:  Czy administrator danych osobowych powinien podpisać oświadczenie o zapoznaniu się z przepisami ochrony danych i polityką bezpieczeństwa?

Nie każdy zwrócił na to uwagę, ale od ponad 2 miesięcy obowiązuje nowa ustawa o krajowym systemie cyberbezpieczeństwa. W przypadku niektórych podmiotów ustawa ta zwiększa i tak szeroki zakres obowiązków, jaki ciąży na administratorach danych osobowych i podmiotach przetwarzających. Sprawdź, czy spoczywają na Tobie dodatkowe obowiązki w związku z cyberbezpieczeństwem.

Korzystając z poczty elektronicznej można bardzo łatwo popełnić błąd polegający na ujawnieniu adresów e-mail albo wysłaniu zawartości wiadomości osobom nieupoważnionym. W takim przypadku dochodzi do omyłkowego udostępnienia danych, które może być kwalifikowane jako naruszenie RODO. Już bowiem sam adres e-mail może stanowić dane osobowe. Dostęp do danych uzyskują wówczas osoby nieuprawnione. Zobacz, jak postąpić w tej trudnej sytuacji.

Uchwalona w ostatnim czasie ustawa z dnia 10 maja 2018 roku o ochronie danych osobowych w art. 107 i 108 przewiduje odpowiedzialność karną za popełnienie opisanych w nich przestępstw. Stosownie do art. 107 ust. 1 Ustawy o ochronie danych osobowych, kto przetwarza dane osobowe, choć ich przetwarzanie nie jest dopuszczalne albo do ich przetwarzania nie jest uprawniony, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat dwóch. Natomiast w ust. 2 stwierdzono, że jeżeli czyn określony w ust. 1 dotyczy danych ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych, danych genetycznych, danych biometrycznych przetwarzanych w celu jednoznacznego zidentyfikowania osoby fizycznej, danych dotyczących zdrowia, seksualności lub orientacji seksualnej, sprawca podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat trzech. Ponadto w art. 108 ustawy została przewidziana odpowiedzialność karna za udaremnienie lub utrudnienie kontrolującemu prowadzenie kontroli przestrzegania przepisów o ochronie danych osobowych.

Administrator tzw. fanpage’a na portalu społecznościowym Facebook jest administratorem danych osobowych osób, które odwiedzają ten fanpage. Tak orzekł Trybunał Sprawiedliwości Unii Europejskiej z 5 czerwca 2018 r. Wyrok ten, choć wprost dotyczy poprzednio obowiązujących przepisów, to jednak ma kluczowe znaczenie w interpretowaniu RODO.