Pytanie:  Najemca lokalu mieszkalnego zainstalował prywatny system monitoringu wizyjnego na oknie mieszkania usytuowanego na parterze budynku wielorodzinnego. System składa się z dwóch kamer, z których jedna skierowana jest na okoliczny chodnik i drogę, natomiast druga obejmuje fragment parkingu i ulicy. Kamery nie rejestrują dźwięku. W przesłanym do zarządcy budynku piśmie najemca wskazuje, że instalacja kamer była reakcją na incydenty dewastacji i kradzieży, m.in. uszkodzenie pojazdu jego żony. Monitoring pełni funkcję prewencyjną i ma na celu ochronę osób i mienia. W piśmie deklaruje również wdrożenie podstawowych elementów polityki bezpieczeństwa danych osobowych zgodnie z RODO. W załączeniu do pisma znalazła się deklaracja „Polityki bezpieczeństwa” monitoringu. Uprzejmie proszę o przeanalizowanie polityki w zakresie: zgodności z art. 5, 6, 13 oraz 32 RODO, ewentualnej konieczności przeprowadzenia oceny skutków dla ochrony danych (DPIA) zgodnie z art. 35 RODO, adekwatności zastosowanych środków technicznych i organizacyjnych, zasadności powoływania się na uzasadniony interes (art. 6 ust. 1 lit. f RODO), ryzyka naruszenia dóbr osobistych (art. 23 Kodeksu cywilnego).

Pytanie:  Prowadzę Biuro Usług Płatniczych jako jednoosobową działalność i do tej pory robiłam analizę ryzyka w RODO w sposób opisowy. Chciałabym ten proces ujednolicić, ale nie mam odpowiedniego wzoru i nie wiem jak prawidłowo to wykonać. Jak to zrobić?

Pytanie:  W związku z koniecznością kontroli trzeźwości pracowników w szczególności kierowców planuje się dokonać zmian w tym zakresie. Czy osoby przeprowadzające badania powinny posiadać odrębne upoważnienie od pracodawcy do prowadzenia tego typu czynności oraz tym samym przetwarzania danych osobowych takich jak: imię, nazwisko, data, godzina, minuta oraz wynik badania?

Administrator może zapewnić pracownikom możliwość korzystania z ChatGPT na komputerach służbowych. Czy należy w związku z tym uwzględnić obowiązki wynikające z zasady privacy by design. Jakie obowiązki związane z wdrożeniem ChatGPT na komputerach służbowych musi wykonać administrator danych osobowych?

Przed rozpoczęciem przetwarzania danych osobowych administrator ma w określonych okolicznościach obowiązek dokonać oceny skutków dla ochrony danych (DPIA). Prawidłowo przeprowadzona ocena skutków dla ochrony danych może być skutecznym narzędziem dla administratora danych usprawniającym zarządzanie ochroną danych. Dla wielu podmiotów konieczność realizacji takiej oceny będzie wiązała się z kosztami finansowymi m.in. związanymi z zastosowanymi środkami bezpieczeństwa. Z drugiej strony odpowiedzialność za błędy w ocenie skutków lub jej nieprzeprowadzenie ponosi niestety wyłącznie administrator, nawet jeżeli powierzył on dokonanie tej oceny innemu wyspecjalizowanemu podmiotowi. Sprawdź, jak wygląda procedura oceny skutków dla ochrony danych osobowych.