2019

Systematyczne monitorowanie osób fizycznych a ocena skutków przetwarzania

Jednym z podstawowych rodzajów monitoringu, który pod­lega wymogowi dokonania oceny skutków dla ochrony danych osobowych jest – wskazany w RODO oraz podany przez Prezesa UODO w wykazie rodzajów operacji przetwarzania podlegają­cych temu obowiązkowi – systematyczny monitoring na dużą skalę miejsc dostępnych publicznie. 

Operacje, które wymagają̨ oceny skutków przetwarzania danych

Prezes Urzędu Ochrony Danych Osobowych wydał komuni­kat, w którym przedstawił zaktualizowany wykaz 12 kategorii rodzajów operacji przetwarzania danych osobowych. Wszystkie wskazane w wykazie czynności wymagają przeprowadzenia przez administratora oceny skutków przetwarzania dla ich ochrony. Dodatkowo wykaz zawiera przykłady operacji, w których może wystąpić wysokie ryzyko naruszenia praw lub wolności.

Ocena skutków przetwarzania dla ochrony danych w 8 krokach

Przeprowadzanie oceny skutków dla ochrony danych jest nowym obowiązkiem, który ciąży na administratorze danych. Administrator będzie zobligowany do przeprowadzenia oceny w przypadku wysokiego ryzyka naruszenia praw lub wolności osób fizycznych. Sprawdź, jak zrealizować ten obowiązek zgodnie z wytycznymi Grupy Roboczej Ar. 29.

Wszczęcie postępowania administracyjnego z urzędu – jak poinformować stronę

Procedura postępowania w przypadku naruszenia ochrony danych

Każdy administrator danych osobowych musi przygotować odpowiednią dokumentację związaną z przetwarzaniem danych osobowych. Jeden z takich dokumentów dotyczy naruszenia ochrony danych osobowych, a dokładnie procedury działania w przypadku wystąpienia incydentu w placówce. Jest to bardzo ważny dokument potrzebny chociażby podczas kontroli UODO, aby wykazać że podjęto wszystkie wymagane przez RODO czynności. 

Pierwsza kara UODO dla jednostki samorządu terytorialnego

Brak umowy powierzenia przetwarzania danych osobowych z firmą, na której serwerach znalazły się zasoby Biuletynu Informacji Publicznej Urzędu Miejskiego w Aleksandrowie Kujawskim oraz z firmą dostarczającą oprogramowanie do stworzenia BIP i zajmującą się obsługą serwisową w tym zakresie. 

Zasady postępowania administracyjnego przed Prezesem UODO

Jeżeli w trakcie postępowania kontrolnego okaże się, że mogło dojść do naruszenia prawa, to prezes Urzędu Ochrony Danych Osobowych wszczyna postępowanie w sprawie naruszenia przepisów o ochronie danych osobowych. Dzięki poniższej instrukcji dowiesz się, jak dokładnie wygląda ta procedura.  

Wizerunek pracownika w legitymacji służbowej – na jakiej podstawie przetwarzać dane

PROBLEM Pracownicy, a w szczególności urzędnicy, posługują się zwykle legitymacjami służbowymi. Na legitymacjach tych znajduje się wizerunek pracownika. Czy jako urząd postępujemy zgodnie z przepisami RODO? Na jakiej podstawie powinny być przetwarzane dane osobowe w postaci tego wizerunku?

Ocena skutków przetwarzania – jaką rolę spełnia IOD

PROBLEM Do czyich kompetencji należy wykonanie oceny skutków przetwarzania dla ochrony danych (DPIA)? Co do zasady proces ten powinien być zrealizowany przy wsparciu pracowników administratora danych osobowych danego podmiotu. Czy podczas tej procedury można liczyć na wsparcie inspektora ochrony danych jednostki?

Upomnienie za nieprzestrzeganie prawa dostępu do danych

Belgijski organ nadzorczy upomniał federalną służbę publiczną ds. zdrowia Service Public Fédéral (SPF) Santé Publique za nieudzielenie odpowiedzi na wniosek obywatela, który chciał zrealizować prawo dostępu do swoich danych. 

Umowa pomiędzy współadministratorami – poznaj najważniejsze zapisy

Jeżeli co najmniej dwóch administratorów wspólnie ustala cele i sposoby przetwarzania, są oni współadministratorami. Wspólnie powinni określić odpowiednie zakresy swojej odpowiedzialności dotyczącej wypełniania obowiązków wynikających z RODO. W tym celu niezbędne jest prawidłowe sformułowanie umowy. Poniżej przedstawiamy przykładowe postanowienia umowne pomocne dla współadministratorów. 

RODO w pomocy społecznej – najważniejsze zagadnienia

Istota funkcjonowania jednostek pomocy społecznej wiąże się z przetwarzaniem danych osobowych – przede wszystkim osób korzystających z tej pomocy. Na jakiej podstawie przetwarzać te dane? Jak zrealizować obowiązek informacyjny? Czy należy w związku z tym przeprowadzić ocenę ryzyka? Odpowiedzi na te pytania zależą od okoliczności konkretnego przypadku. Poznaj rozwiązania wybranych problemów z zakresu przetwarzania danych osobowych w pomocy społecznej.

RODO a cyberbezpieczeństwo – poznaj obowiązki związane z bezpieczeństwem cyfrowym

W przypadku niektórych podmiotów ustawa o krajowym systemie cyberbezpieczeństwa zwiększa i tak szeroki zakres obowiązków, jaki ciąży na administratorach danych osobowych i podmiotach przetwarzających. Sprawdź, czy spoczywają na Tobie dodatkowe obowiązki w związku z cyberbezpieczeństwem.

Upoważnienie do przetwarzania danych osobowych w sprawach budowlanych

Tajemnica ochrony danych obowiązuje m.in. organy administracji architektoniczno-budowlanej oraz organy nadzoru budowlanego. Aby zadbać o bezpieczeństwo danych, dozwolone jest dopuszczenie do przetwarzania danych osobowych tylko i wyłącznie przez osooby posiadające upoważnienie wydane przez administratora danych. Sprawdź, jak przygotować taki dokument. 

Udostępnianie informacji publicznej zawierającej dane osobowe

Przekazanie danych osobowych wiąże się ze znacznie wyższym ryzykiem ingerencji w prywatność osoby fizycznej. W świetle obecnego orzecznictwa należy jednak uznać, że zasadą jest dopuszczalność udostępniania imion i nazwisk stron umów cywilnoprawnych zawieranych z organami administracji. Sam fakt zawierania przez informację publiczną danych osobowych nie może być samodzielną podstawą odmowy dostępu do tej informacji.

Straż miejska może zwrócić się do operatora telekomunikacyjnego o udostępnienie danych

Straż miejska w celu realizacji zadań ustawowych może przetwarzać dane osobowe, z wyłączeniem danych ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub filozoficzne, przynależność wyznaniową, partyjną lub związkową, jak również danych o stanie zdrowia, kodzie genetycznym, nałogach lub życiu seksualnym, bez wiedzy i zgody osoby, której dane te dotyczą, uzyskane w wyniku wykonywania czynności podejmowanych w postępowaniu w sprawach o wykroczenia. 

Zmiany w prawie to dobry powód do przeprowadzenia szkolenia

Zmiany dotyczące dokumentacji pracowniczej czy też przepisy ustawy sektorowej. Czy za każdym razem, gdy zmieniają się przepisy dotyczące przetwarzania danych osobowych, należy przeprowadzić szkolenie dla pracowników? Jakie informacje merytoryczne należałoby podczas takiego szkolenia przekazać pracownikom? Odpowiedzi na te pytania znajdują się w poniższym artykule. 

Zasady wypełniania rejestru kategorii czynności przetwarzania danych

PROBLEM W naszym urzędzie mamy wątpliwości, tj. ADO oraz IOD, jak wypełnić rubryki, takie jak nazwa kategorii czynności przetwarzania czy środki bezpieczeństwa. Jak prawidłowo wypełnić rejestr kategorii czynności przetwarzania?

Wzór rejestru czynności przetwarzania danych osobowych przygotowany na potrzeby urzędu miasta

Rejestrowanie wniosków o udostępnienie informacji publicznej, Obsługa korespondencji przychodzącej i wychodzącej, a może wydawanie decyzji o rozbiórce? Są to typowe działania, jakie podejmują urzędy w trakcie typowych postępowań administracyjnych. Wszystkie z nich wymagają odpowiedniego ujęcia w rejestrze czynności przetwarzania danych osobowych. Sprawdź, jak należy uzupełnić dokumenty zgodnie z przepisami o ochronie danych osobowych. 

Stosowanie RODO na terenie UE

Retencja danych – poznaj przykładowy wzór polityki

Jedna z podstawowych zasad dotyczących przetwarzania danych osobowych stanowi, że dane muszą być przechowywane w formie umożliwiającej identyfikację osoby, której dane dotyczą, przez okres nie dłuższy, niż jest to niezbędne do celów, w których dane te są przetwarzane. Sprawdź, jak opracować dokumentacje ochrony danych w tym zakresie. 

Regulamin korzystania z usług i świadczeń przez ZFŚS – nowe wzory

Ustawa sektorowa uporządkowała kwestię przetwarzania danych osobowych na potrzeby korzystania ze świadczeń z zakładowego funduszu świadczeń socjalnych. Nałożyła m.in. obowiązek wskazania pewnych zapisów w regulaminie ZFŚS. Poniżej prezentujemy – w formie załączników do regulaminu – wzory dokumentów zgodne z nowymi przepisami. 

Rejestry przetwarzania danych nie są informacją publiczną - zdaniem sądu

Rejestr czynności przetwarzania oraz rejestr kategorii czynności przetwarzania nie zawierają informacji o sprawach publicznych, lecz informację o sposobie gromadzenia danych osobowych. Są więc nośnikiem informacji o charakterze wewnętrznym. Takie rejestry nie odnoszą się natomiast do publicznej sfery działania organu, zatem nie zawierają informacji publicznej. Dlatego też nie powinny być one traktowane jako źródło informacji publicznej. Tak postanowił Wojewódzki Sąd Administracyjny w Łodzi w wyroku z 12 lutego 2019 r. (sygn. akt: II SAB/Łd 181/18).

Prawa i obowiązki kontrolowanego

Podmioty publiczne należą do jednego z kilku z sektorów, w stosunku do których zaplanowane są kontrole przestrzegania przepisów ochronie danych osobowych. Sprawdź zatem, jakie prawa oraz obowiązki posiadasz w sytuacji, gdy w urzędzie pojawi się kontroler z Urzędu Ochrony Danych Osobowych. 

Zestawienie zmian w przepisach wynikających z ustawy sektorowej cz. I

Sprawdź, jakie zmiany wprowadza ustawa z 21 lutego 2019 r. o zmianie niektórych ustaw w związku z zapewnieniem stosowania rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE. Poniżej przedstawimy pierwszą część zestawienia. 

Wyznaczenie inspektora ochrony danych w sądach powszechnych – poznaj zasady

PROBLEM Jako sąd wyznaczyliśmy niedawno drugiego inspektora ochrony danych, który swą funkcję pełni w oparciu o ustawę o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości. Ponieważ nie jesteśmy zadowoleni z jego pracy, chcemy aby jego funkcję pełnił nasz pierwszy inspektor ochrony danych. Czy możemy znów powołać tego samego inspektora i czy pełnienie funkcji na podstawie ww. ustawy oraz RODO przez tą samą osobę będzie obecnie dopuszczalne?

W Służbie Cywilnej powinno być odrębne stanowisko IOD

Prezes Urzędu Ochrony Danych Osobowych zwrócił się do Szefa Służby Cywilnej z prośbą o zainicjowanie prac legislacyjnych zmierzających do umożliwienia zatrudniania w służbie cywilnej inspektorów ochrony danych na wyodrębnionym stanowisku pracy. 

Wyznaczenie inspektorów ochrony danych zgodnie z ustawą wdrażającą dyrektywę policyjną

Wybrano nowego Prezesa Urzędu Ochrony Danych Osobowych

Ustawa wdrażająca RODO zaczyna obowiązywać

Wykonanie operatu szacunkowego – jak zadbać o ochronę danych

PROBLEM Nasza gmina podpisuje umowę z rzeczoznawcą na wykonanie operatu szacunkowego określającego wartość działki. Czy w umowie powinny być zapisy o powierzeniu przetwarzania danych osobowych?

Wprowadzenie monitoringu na terenie miasta – co na to RODO

PROBLEM Chcemy wprowadzić na terenie naszego miasta monitoring w celu poprawy bezpieczeństwa naszych mieszkańców oraz turystów. Dotarła jednak do nas wiadomość, że w związku ze skargami mieszkańców na rozbudowę systemu monitoringu w Krakowie, interweniował Rzecznik Praw Obywatelskich. Czy przepisy RODO oraz interwencje rzecznika doprowadzą do tego, że wprowadzenie monitoringu będzie bezcelowe? Nie chcemy ponosić kosztów instalacji urządzeń, które trzeba będzie później demontować.

Unijne rozporządzenie o ochronie danych osobowych a 1% podatku

Dane osobowe podatników-darczyńców 1% podatku, deklarowane w rozliczeniu PIT za 2018 rok, przekazywane są organizacji pożytku publicznego przez naczelników urzędów skarbowych. Jeśli organizacja pożytku publicznego otrzyma dane osobowe podatnika od organu podatkowego, wówczas staje się ADO. Może je przetwarzać np. po to, by podziękować darczyńcy. Zdaniem Prezesa UODO podstawą do podjęcia takiego działania jest art. 6 ust. 1 lit. f RODO, czyli prawnie uzasadniony interes administratora. A zatem kierując korespondencję do darczyńców, OPP powinny zadbać, by został wobec nich spełniony obowiązek informacyjny, w tym poinformować o przysługujących tym osobom prawach.

Przetwarzanie danych pracowników w jednostkach samorządowych – jak realizować

Jakie dane osobowe może przetwarzać pracodawca i na jakiej podstawie? Kiedy potrzebna jest zgoda pracownika?  Jakie najważniejsze dokumenty powinien posiadać zakład pracy w związku z nowymi przepisami? Poniższe opracowanie zawiera wszystkie niezbędne odpowiedzi. Sprawdź, jak prawidłowo postępować i nie narazić się na zarzuty organu nadzorczego. 

Pozyskiwanie informacji o wynagrodzeniach pracowników jednostki samorządowej – czy dozwolone

PROBLEM  Czy kontroler z urzędu gminy lub starostwa powiatowego może żądać do wglądu listy płac pracowników samorządowej jednostki organizacyjnej bez ich zgody? Czy osoba kontrolująca ma prawo wykonywać kopię takich dokumentów, np. do analizy poza siedzibą danej jednostki?

Poinformowanie związku zawodowego o zamiarze zwolnienia pracownika – czy potrzebna zgoda

PROBLEM Nasza jednostka jako pracodawca ma obowiązek współdziałać z organizacją związkową reprezentującą danego pracownika. Dotyczy to m.in. zawiadamiania organizacji związkowej o zamiarze i przyczynie wypowiedzenia stosunku pracy. Właśnie mamy taki przypadek, gdy rozpoczęto procedurę konsultacyjną. Jak należy ją przeprowadzić zgodnie z ochroną danych osobowych wskazanych w RODO? Czy potrzebna jest w takim przypadku zgoda pracownika na przetwarzanie jego danych?

Zawiadomienie o przekształceniu prawa użytkowania wieczystego – co na to RODO

PROBLEM W jaki sposób wydać zaświadczenie o przekształceniu prawa użytkowania wieczystego gruntów zabudowanych na cele mieszkaniowe w prawo własności tych gruntów? Dotyczy to 30 lokali (30 właścicieli). Czy wystarczy w jednym zaświadczeniu podać imię, nazwisko, nr księgi wieczystej, adres i opłatę i to rozesłać wszystkim?

Zasady wykonywania czynności przez inspektora ochrony danych

Monitorowanie przestrzegania przepisów dotyczących ochrony danych osobowych, współpraca z administratorem oraz Urzędem Ochrony Danych Osobowych. To jedne z najważniejszych obowiązków, jakie należą do IOD. Jednak nie wyczerpuje to wszystkich wymagań, jakie stawia przed inspektorem RODO. Sprawdź, jakie czynności powinien wykonywać IOD w Twojej jednostce. 

Wzór rejestru czynności przetwarzania danych osobowych przygotowany na potrzeby urzędu miasta

Administratorzy danych osobowych oraz podmioty przetwarzające są zobowiązane do prowadzenia rejestru czynności przetwarzania danych. Obowiązek ten wynika z art. 30 RODO. Jednak sam wzór tego dokumentu oraz sposób i zakres zamieszczanych w nim informacji może budzić wątpliwości, a nawet skutkować błędnym opracowaniem dokumentacji w jednostce. W obliczu zbliżających się kontroli z Urzędu Ochrony Danych Osobowych taka sytuacja może stwarzać zagrożenie i narażać podmiot na kary. Aby ich uniknąć, proponuję zapoznanie się z przykładowym wzorem rejestru czynności przetwarzania danych dla urzędu miasta. Sprawdź, jak prawidłowo uzupełnić rejestr. 

Wzór klauzuli informacyjnej z art. 14 RODO

Wśród obowiązków, które nakłada na administratora danych RODO, wskazuje się w szczególności na obowiązek informacyjny. Administrator danych zobowiązany jest przekazać określony zakres informacji osobie, której dane dotyczą. Forma udzielenia tych informacji jest dowolna, jednakże ADO powinien umieć wykazać, że spełnił ciążący na nim obowiązek informacyjny. Spoczywa on na administratorze danych nie tylko w sytuacji pozyskania danych od osoby, której dane dotyczą (art. 13 RODO), ale także w razie uzyskania danych z innego źródła (art. 14 RODO).

Zgoda na publikację wizerunku w Internecie – jak ją pozyskać

Zasady udostępniania informacji publicznej w 4 krokach

Każdy obywatel ma prawo do uzyskiwania informacji o działalności organów władzy publicznej oraz osób pełniących funkcje publiczne. Prawo to obejmuje również uzyskiwanie informacji o działalności organów samorządu gospodarczego i zawodowego, a także innych osób oraz jednostek organizacyjnych w zakresie, w jakim wykonują one zadania władzy publicznej i gospodarują mieniem komunalnym lub majątkiem Skarbu Państwa. Pytanie jednak powstaje, jak podmioty publiczne mogą realizować to prawo. Sprawdź krok po kroku reguły.

Wykaz odpowiednich środków technicznych i organizacyjnych

RODO nakłada na administratora danych osobowych obowiązek zabezpieczenia danych osobowych przetwarzanych w jego jednostce publicznej. W tym celu musi zapewnić odpowiednie środki techniczne oraz organizacyjne. Sprawdź, jak przygotować dokumentację zawierającą wykaz takich środków.