Numer specjalny 4, grudzień 2019
Systematyczne monitorowanie osób fizycznych a ocena skutków przetwarzania
Jednym z podstawowych rodzajów monitoringu, który podlega wymogowi dokonania oceny skutków dla ochrony danych osobowych jest – wskazany w RODO oraz podany przez Prezesa UODO w wykazie rodzajów operacji przetwarzania podlegających temu obowiązkowi – systematyczny monitoring na dużą skalę miejsc dostępnych publicznie.
Operacje, które wymagają̨ oceny skutków przetwarzania danych
Prezes Urzędu Ochrony Danych Osobowych wydał komunikat, w którym przedstawił zaktualizowany wykaz 12 kategorii rodzajów operacji przetwarzania danych osobowych. Wszystkie wskazane w wykazie czynności wymagają przeprowadzenia przez administratora oceny skutków przetwarzania dla ich ochrony. Dodatkowo wykaz zawiera przykłady operacji, w których może wystąpić wysokie ryzyko naruszenia praw lub wolności.
Ocena skutków przetwarzania dla ochrony danych w 8 krokach
Przeprowadzanie oceny skutków dla ochrony danych jest nowym obowiązkiem, który ciąży na administratorze danych. Administrator będzie zobligowany do przeprowadzenia oceny w przypadku wysokiego ryzyka naruszenia praw lub wolności osób fizycznych. Sprawdź, jak zrealizować ten obowiązek zgodnie z wytycznymi Grupy Roboczej Ar. 29.
NR 17
Procedura postępowania w przypadku naruszenia ochrony danych
Każdy administrator danych osobowych musi przygotować odpowiednią dokumentację związaną z przetwarzaniem danych osobowych. Jeden z takich dokumentów dotyczy naruszenia ochrony danych osobowych, a dokładnie procedury działania w przypadku wystąpienia incydentu w placówce. Jest to bardzo ważny dokument potrzebny chociażby podczas kontroli UODO, aby wykazać że podjęto wszystkie wymagane przez RODO czynności.
Pierwsza kara UODO dla jednostki samorządu terytorialnego
Brak umowy powierzenia przetwarzania danych osobowych z firmą, na której serwerach znalazły się zasoby Biuletynu Informacji Publicznej Urzędu Miejskiego w Aleksandrowie Kujawskim oraz z firmą dostarczającą oprogramowanie do stworzenia BIP i zajmującą się obsługą serwisową w tym zakresie.
NR 16
Zasady postępowania administracyjnego przed Prezesem UODO
Jeżeli w trakcie postępowania kontrolnego okaże się, że mogło dojść do naruszenia prawa, to prezes Urzędu Ochrony Danych Osobowych wszczyna postępowanie w sprawie naruszenia przepisów o ochronie danych osobowych. Dzięki poniższej instrukcji dowiesz się, jak dokładnie wygląda ta procedura.
Wizerunek pracownika w legitymacji służbowej – na jakiej podstawie przetwarzać dane
PROBLEM Pracownicy, a w szczególności urzędnicy, posługują się zwykle legitymacjami służbowymi. Na legitymacjach tych znajduje się wizerunek pracownika. Czy jako urząd postępujemy zgodnie z przepisami RODO? Na jakiej podstawie powinny być przetwarzane dane osobowe w postaci tego wizerunku?
Ocena skutków przetwarzania – jaką rolę spełnia IOD
PROBLEM Do czyich kompetencji należy wykonanie oceny skutków przetwarzania dla ochrony danych (DPIA)? Co do zasady proces ten powinien być zrealizowany przy wsparciu pracowników administratora danych osobowych danego podmiotu. Czy podczas tej procedury można liczyć na wsparcie inspektora ochrony danych jednostki?
NR 15
Upomnienie za nieprzestrzeganie prawa dostępu do danych
Belgijski organ nadzorczy upomniał federalną służbę publiczną ds. zdrowia Service Public Fédéral (SPF) Santé Publique za nieudzielenie odpowiedzi na wniosek obywatela, który chciał zrealizować prawo dostępu do swoich danych.
Umowa pomiędzy współadministratorami – poznaj najważniejsze zapisy
Jeżeli co najmniej dwóch administratorów wspólnie ustala cele i sposoby przetwarzania, są oni współadministratorami. Wspólnie powinni określić odpowiednie zakresy swojej odpowiedzialności dotyczącej wypełniania obowiązków wynikających z RODO. W tym celu niezbędne jest prawidłowe sformułowanie umowy. Poniżej przedstawiamy przykładowe postanowienia umowne pomocne dla współadministratorów.
RODO w pomocy społecznej – najważniejsze zagadnienia
Istota funkcjonowania jednostek pomocy społecznej wiąże się z przetwarzaniem danych osobowych – przede wszystkim osób korzystających z tej pomocy. Na jakiej podstawie przetwarzać te dane? Jak zrealizować obowiązek informacyjny? Czy należy w związku z tym przeprowadzić ocenę ryzyka? Odpowiedzi na te pytania zależą od okoliczności konkretnego przypadku. Poznaj rozwiązania wybranych problemów z zakresu przetwarzania danych osobowych w pomocy społecznej.
Numer specjalny 3 ,wrzesień 2019
RODO a cyberbezpieczeństwo – poznaj obowiązki związane z bezpieczeństwem cyfrowym
W przypadku niektórych podmiotów ustawa o krajowym systemie cyberbezpieczeństwa zwiększa i tak szeroki zakres obowiązków, jaki ciąży na administratorach danych osobowych i podmiotach przetwarzających. Sprawdź, czy spoczywają na Tobie dodatkowe obowiązki w związku z cyberbezpieczeństwem.
NR 14
Upoważnienie do przetwarzania danych osobowych w sprawach budowlanych
Tajemnica ochrony danych obowiązuje m.in. organy administracji architektoniczno-budowlanej oraz organy nadzoru budowlanego. Aby zadbać o bezpieczeństwo danych, dozwolone jest dopuszczenie do przetwarzania danych osobowych tylko i wyłącznie przez osooby posiadające upoważnienie wydane przez administratora danych. Sprawdź, jak przygotować taki dokument.
Udostępnianie informacji publicznej zawierającej dane osobowe
Przekazanie danych osobowych wiąże się ze znacznie wyższym ryzykiem ingerencji w prywatność osoby fizycznej. W świetle obecnego orzecznictwa należy jednak uznać, że zasadą jest dopuszczalność udostępniania imion i nazwisk stron umów cywilnoprawnych zawieranych z organami administracji. Sam fakt zawierania przez informację publiczną danych osobowych nie może być samodzielną podstawą odmowy dostępu do tej informacji.
Straż miejska może zwrócić się do operatora telekomunikacyjnego o udostępnienie danych
Straż miejska w celu realizacji zadań ustawowych może przetwarzać dane osobowe, z wyłączeniem danych ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub filozoficzne, przynależność wyznaniową, partyjną lub związkową, jak również danych o stanie zdrowia, kodzie genetycznym, nałogach lub życiu seksualnym, bez wiedzy i zgody osoby, której dane te dotyczą, uzyskane w wyniku wykonywania czynności podejmowanych w postępowaniu w sprawach o wykroczenia.
NR 13
Zmiany w prawie to dobry powód do przeprowadzenia szkolenia
Zmiany dotyczące dokumentacji pracowniczej czy też przepisy ustawy sektorowej. Czy za każdym razem, gdy zmieniają się przepisy dotyczące przetwarzania danych osobowych, należy przeprowadzić szkolenie dla pracowników? Jakie informacje merytoryczne należałoby podczas takiego szkolenia przekazać pracownikom? Odpowiedzi na te pytania znajdują się w poniższym artykule.
Zasady wypełniania rejestru kategorii czynności przetwarzania danych
PROBLEM W naszym urzędzie mamy wątpliwości, tj. ADO oraz IOD, jak wypełnić rubryki, takie jak nazwa kategorii czynności przetwarzania czy środki bezpieczeństwa. Jak prawidłowo wypełnić rejestr kategorii czynności przetwarzania?
Wzór rejestru czynności przetwarzania danych osobowych przygotowany na potrzeby urzędu miasta
Rejestrowanie wniosków o udostępnienie informacji publicznej, Obsługa korespondencji przychodzącej i wychodzącej, a może wydawanie decyzji o rozbiórce? Są to typowe działania, jakie podejmują urzędy w trakcie typowych postępowań administracyjnych. Wszystkie z nich wymagają odpowiedniego ujęcia w rejestrze czynności przetwarzania danych osobowych. Sprawdź, jak należy uzupełnić dokumenty zgodnie z przepisami o ochronie danych osobowych.
NR 12
Retencja danych – poznaj przykładowy wzór polityki
Jedna z podstawowych zasad dotyczących przetwarzania danych osobowych stanowi, że dane muszą być przechowywane w formie umożliwiającej identyfikację osoby, której dane dotyczą, przez okres nie dłuższy, niż jest to niezbędne do celów, w których dane te są przetwarzane. Sprawdź, jak opracować dokumentacje ochrony danych w tym zakresie.
Regulamin korzystania z usług i świadczeń przez ZFŚS – nowe wzory
Ustawa sektorowa uporządkowała kwestię przetwarzania danych osobowych na potrzeby korzystania ze świadczeń z zakładowego funduszu świadczeń socjalnych. Nałożyła m.in. obowiązek wskazania pewnych zapisów w regulaminie ZFŚS. Poniżej prezentujemy – w formie załączników do regulaminu – wzory dokumentów zgodne z nowymi przepisami.
Numer specjalny 2, czerwiec 2019
Rejestry przetwarzania danych nie są informacją publiczną - zdaniem sądu
Rejestr czynności przetwarzania oraz rejestr kategorii czynności przetwarzania nie zawierają informacji o sprawach publicznych, lecz informację o sposobie gromadzenia danych osobowych. Są więc nośnikiem informacji o charakterze wewnętrznym. Takie rejestry nie odnoszą się natomiast do publicznej sfery działania organu, zatem nie zawierają informacji publicznej. Dlatego też nie powinny być one traktowane jako źródło informacji publicznej. Tak postanowił Wojewódzki Sąd Administracyjny w Łodzi w wyroku z 12 lutego 2019 r. (sygn. akt: II SAB/Łd 181/18).
Prawa i obowiązki kontrolowanego
Podmioty publiczne należą do jednego z kilku z sektorów, w stosunku do których zaplanowane są kontrole przestrzegania przepisów ochronie danych osobowych. Sprawdź zatem, jakie prawa oraz obowiązki posiadasz w sytuacji, gdy w urzędzie pojawi się kontroler z Urzędu Ochrony Danych Osobowych.
NR 11
Zestawienie zmian w przepisach wynikających z ustawy sektorowej cz. I
Sprawdź, jakie zmiany wprowadza ustawa z 21 lutego 2019 r. o zmianie niektórych ustaw w związku z zapewnieniem stosowania rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE. Poniżej przedstawimy pierwszą część zestawienia.
Wyznaczenie inspektora ochrony danych w sądach powszechnych – poznaj zasady
PROBLEM Jako sąd wyznaczyliśmy niedawno drugiego inspektora ochrony danych, który swą funkcję pełni w oparciu o ustawę o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości. Ponieważ nie jesteśmy zadowoleni z jego pracy, chcemy aby jego funkcję pełnił nasz pierwszy inspektor ochrony danych. Czy możemy znów powołać tego samego inspektora i czy pełnienie funkcji na podstawie ww. ustawy oraz RODO przez tą samą osobę będzie obecnie dopuszczalne?
W Służbie Cywilnej powinno być odrębne stanowisko IOD
Prezes Urzędu Ochrony Danych Osobowych zwrócił się do Szefa Służby Cywilnej z prośbą o zainicjowanie prac legislacyjnych zmierzających do umożliwienia zatrudniania w służbie cywilnej inspektorów ochrony danych na wyodrębnionym stanowisku pracy.
NR 09
Wykonanie operatu szacunkowego – jak zadbać o ochronę danych
PROBLEM Nasza gmina podpisuje umowę z rzeczoznawcą na wykonanie operatu szacunkowego określającego wartość działki. Czy w umowie powinny być zapisy o powierzeniu przetwarzania danych osobowych?
Wprowadzenie monitoringu na terenie miasta – co na to RODO
PROBLEM Chcemy wprowadzić na terenie naszego miasta monitoring w celu poprawy bezpieczeństwa naszych mieszkańców oraz turystów. Dotarła jednak do nas wiadomość, że w związku ze skargami mieszkańców na rozbudowę systemu monitoringu w Krakowie, interweniował Rzecznik Praw Obywatelskich. Czy przepisy RODO oraz interwencje rzecznika doprowadzą do tego, że wprowadzenie monitoringu będzie bezcelowe? Nie chcemy ponosić kosztów instalacji urządzeń, które trzeba będzie później demontować.
Unijne rozporządzenie o ochronie danych osobowych a 1% podatku
Dane osobowe podatników-darczyńców 1% podatku, deklarowane w rozliczeniu PIT za 2018 rok, przekazywane są organizacji pożytku publicznego przez naczelników urzędów skarbowych. Jeśli organizacja pożytku publicznego otrzyma dane osobowe podatnika od organu podatkowego, wówczas staje się ADO. Może je przetwarzać np. po to, by podziękować darczyńcy. Zdaniem Prezesa UODO podstawą do podjęcia takiego działania jest art. 6 ust. 1 lit. f RODO, czyli prawnie uzasadniony interes administratora. A zatem kierując korespondencję do darczyńców, OPP powinny zadbać, by został wobec nich spełniony obowiązek informacyjny, w tym poinformować o przysługujących tym osobom prawach.
Numer specjalny 1
Przetwarzanie danych pracowników w jednostkach samorządowych – jak realizować
Jakie dane osobowe może przetwarzać pracodawca i na jakiej podstawie? Kiedy potrzebna jest zgoda pracownika? Jakie najważniejsze dokumenty powinien posiadać zakład pracy w związku z nowymi przepisami? Poniższe opracowanie zawiera wszystkie niezbędne odpowiedzi. Sprawdź, jak prawidłowo postępować i nie narazić się na zarzuty organu nadzorczego.
Pozyskiwanie informacji o wynagrodzeniach pracowników jednostki samorządowej – czy dozwolone
PROBLEM Czy kontroler z urzędu gminy lub starostwa powiatowego może żądać do wglądu listy płac pracowników samorządowej jednostki organizacyjnej bez ich zgody? Czy osoba kontrolująca ma prawo wykonywać kopię takich dokumentów, np. do analizy poza siedzibą danej jednostki?
Poinformowanie związku zawodowego o zamiarze zwolnienia pracownika – czy potrzebna zgoda
PROBLEM Nasza jednostka jako pracodawca ma obowiązek współdziałać z organizacją związkową reprezentującą danego pracownika. Dotyczy to m.in. zawiadamiania organizacji związkowej o zamiarze i przyczynie wypowiedzenia stosunku pracy. Właśnie mamy taki przypadek, gdy rozpoczęto procedurę konsultacyjną. Jak należy ją przeprowadzić zgodnie z ochroną danych osobowych wskazanych w RODO? Czy potrzebna jest w takim przypadku zgoda pracownika na przetwarzanie jego danych?
NR 08
Zawiadomienie o przekształceniu prawa użytkowania wieczystego – co na to RODO
PROBLEM W jaki sposób wydać zaświadczenie o przekształceniu prawa użytkowania wieczystego gruntów zabudowanych na cele mieszkaniowe w prawo własności tych gruntów? Dotyczy to 30 lokali (30 właścicieli). Czy wystarczy w jednym zaświadczeniu podać imię, nazwisko, nr księgi wieczystej, adres i opłatę i to rozesłać wszystkim?
Zasady wykonywania czynności przez inspektora ochrony danych
Monitorowanie przestrzegania przepisów dotyczących ochrony danych osobowych, współpraca z administratorem oraz Urzędem Ochrony Danych Osobowych. To jedne z najważniejszych obowiązków, jakie należą do IOD. Jednak nie wyczerpuje to wszystkich wymagań, jakie stawia przed inspektorem RODO. Sprawdź, jakie czynności powinien wykonywać IOD w Twojej jednostce.
Wzór rejestru czynności przetwarzania danych osobowych przygotowany na potrzeby urzędu miasta
Administratorzy danych osobowych oraz podmioty przetwarzające są zobowiązane do prowadzenia rejestru czynności przetwarzania danych. Obowiązek ten wynika z art. 30 RODO. Jednak sam wzór tego dokumentu oraz sposób i zakres zamieszczanych w nim informacji może budzić wątpliwości, a nawet skutkować błędnym opracowaniem dokumentacji w jednostce. W obliczu zbliżających się kontroli z Urzędu Ochrony Danych Osobowych taka sytuacja może stwarzać zagrożenie i narażać podmiot na kary. Aby ich uniknąć, proponuję zapoznanie się z przykładowym wzorem rejestru czynności przetwarzania danych dla urzędu miasta. Sprawdź, jak prawidłowo uzupełnić rejestr.
NR 07
Wzór klauzuli informacyjnej z art. 14 RODO
Wśród obowiązków, które nakłada na administratora danych RODO, wskazuje się w szczególności na obowiązek informacyjny. Administrator danych zobowiązany jest przekazać określony zakres informacji osobie, której dane dotyczą. Forma udzielenia tych informacji jest dowolna, jednakże ADO powinien umieć wykazać, że spełnił ciążący na nim obowiązek informacyjny. Spoczywa on na administratorze danych nie tylko w sytuacji pozyskania danych od osoby, której dane dotyczą (art. 13 RODO), ale także w razie uzyskania danych z innego źródła (art. 14 RODO).
NR 06
Zasady udostępniania informacji publicznej w 4 krokach
Każdy obywatel ma prawo do uzyskiwania informacji o działalności organów władzy publicznej oraz osób pełniących funkcje publiczne. Prawo to obejmuje również uzyskiwanie informacji o działalności organów samorządu gospodarczego i zawodowego, a także innych osób oraz jednostek organizacyjnych w zakresie, w jakim wykonują one zadania władzy publicznej i gospodarują mieniem komunalnym lub majątkiem Skarbu Państwa. Pytanie jednak powstaje, jak podmioty publiczne mogą realizować to prawo. Sprawdź krok po kroku reguły.
Wykaz odpowiednich środków technicznych i organizacyjnych
RODO nakłada na administratora danych osobowych obowiązek zabezpieczenia danych osobowych przetwarzanych w jego jednostce publicznej. W tym celu musi zapewnić odpowiednie środki techniczne oraz organizacyjne. Sprawdź, jak przygotować dokumentację zawierającą wykaz takich środków.