NR 28

Wzór umowy podpowierzenia przetwarzania danych osobowych

Podpowierzenie danych osobowych jest częstą praktyką. Zawsze jednak wymaga sformalizowania tych czynności, aby administrator mógł wykazać poprawność swoich działań zgodnie z RODO i uniknąć zarzutów organów kontrolnych. Poniżej przedstawiamy przykładowy wzór umowy, który można zmodyfikować i dostosować na potrzeby konkretnego przypadku.

W jaki sposób należy usunąć dane osobowe zgodnie z RODO

PROBLEM Kiedy dane osobowe muszą zostać usunięte z inicjatywy administratora, a kiedy na żądanie? W jaki sposób należy usunąć przetwarzane dane osobowe?

Usunięcie danych osobowych na żądanie – instrukcja krok po kroku

Zgodnie z jedną z podstawowych zasad RODO administrator danych osobowych może przechowywać dane osobowe przez okres nie dłuższy, niż jest to niezbędne do celów, w których dane te są przetwarzane. Jeśli zatem przestanie istnieć cel przetwarzania danych osobowych, wówczas administrator powinien usunąć dane, dokonać ich anonimizacji. W niektórych przypadkach usunięcie danych może nastąpić na żądanie. Sprawdź, jak wykonać taką procedurę.

NR 27

W jaki sposób zweryfikować zatrudnienie u wykonawców na potrzeby przetargu

PROBLEM Podmiot zamierza rozpisać przetarg na roboty remontowe. Jak zweryfikować, czy pracownicy firmy, która wygra przetarg, którzy będą wykonywali prace, są zatrudnieni na umowę o pracę? Czy można prosić w wgląd np. do umów o pracę – czy w takim przypadku imię i nazwisko pracownika może być widoczne, a pozostałe dane zanonimizowane?

Numer specjalny 7, wrzesień 2020

Zabezpieczenie danych osobowych – jak na bieżąco przestrzegać przepisów

RODO w swoim założeniu ma być neutralne technologicznie, a każda kontrola powinna indywidualnie oceniać, czy w danym przypadku ADO zabezpiecza dane osobowe we właściwy sposób. Tym samym żadna analiza przepisów RODO nie może wskazywać, jakiej klasy zabezpieczenia elektroniczne i fizyczne powinien stosować w danym przypadku ADO czy też z ilu znaków powinny się składać hasła zabezpieczające dostęp do danych osobowych. Są to bowiem parametry zmienne i uzależnione od czasu, okoliczności, rodzaju działalności ADO czy też od rodzaju zabezpieczanych danych osobowych.

Właściwa komunikacja w przedmiocie przetwarzania danych osobowych

Przepisy art. 12–22 RODO nakładają na ADO obowiązek realizacji praw osób, których przetwarzane przez ADO dane osobowe dotyczą. Prawa te rozpatrujemy na podstawie przepisów RODO oraz przepisów sektorowych. Tym samym nie zawsze osoba, której dane przetwarzamy, może skutecznie żądać ich realizacji – np. gdy przy realizacji prawa do bycia zapomnianym okaże się, że dane osobowe będące przedmiotem tego wniosku są nadal niezbędne do celów, w których zostały zebrane.

Wzór klauzuli informacyjnej dla rodzica szkoły podstawowej

Dyrektor szkoły powinien bardzo pilnować, aby wszystkie dokumenty dotyczące ochrony danych osobowych były przygotowane w sposób poprawny i zgodny z RODO. Jednym z takich dokumentów jest klauzula informacyjna o przetwarzaniu danych ucznia. Sprawdź, jak powinien wyglądać taki dokument.

NR 26

„Niebieska Karta” a ochrona danych osobowych – kto ma dostęp do dokumentacji

PROBLEM Powstał zespół interdyscyplinarny, w którego kompetencjach leży realizacja procedury „Niebieskie Karty”. Powstaje pytanie, kto może mieć dostęp do dokumentacji zebranej w toku takiej procedury. Czy można te dokumenty przekazywać policji?

Wywiady dotyczące osobistej sytuacji uczniów niedopuszczalne

Prezes UODO nałożył karę upomnienia na jedną ze szkół w związku z przetwarzaniem bez podstawy prawnej danych osobowych uczniów. Sprawa dotyczy przeprowadzania wśród nich wywiadów pod nazwą „Diagnozowanie sytuacji domowej i szkolnej ucznia. Ankieta dla ucznia”.

Wyciąg z regulaminu zarządzania ryzykiem ochrony danych osobowych

Ważnym aspektem w pracy administratora danych osobowych pod kątem bezpiecznego przetwarzania danych jest przeprowadzanie oceny ryzyka. Taki dokument powinien jednak być opracowywany w odpowiednich standardach. W tym celu warto przygotować regulamin zarządzania ryzykiem ochrony danych osobowych.

NR 25

Zgoda rodzica na przetwarzanie danych ucznia w e-dzienniku – czy potrzebna

PROBLEM Zdaniem niektórych rodziców na przetwarzanie danych osobowych ucznia w elektronicznym dzienniku jest wymagana ich zgoda. Czy to prawda?

Procedura weryfikacji istnienia podstawy do przetwarzania danych

Sprawdź, czy pracownicy jednostki działają zgodnie z zasadami zawartymi w unijnym rozporządzeniu o ochronie danych osobowych. W tym celu warto skorzystać z procedury niezbędnej dla administratora danych osobowych, za pomocą której można zweryfikować, czy dane osobowe są przetwarzane w zgodzie z aktualną podstawą prawną.

NR 24

Wypowiedzenie stosunku pracy – jak dokonać w zgodzie z zasadami RODO

PROBLEM Wypowiedzenie stosunku pracy to czynność, która wiąże się z przetwarzaniem danych osobowych, w tym ich przekazywaniem do organizacji związkowej. Obowiązkiem pracodawcy jest więc ochrona danych osobowych pracownika w trakcie wykonywania tych czynności. Jak tego dokonać?

Trwają konsultacje nad nowym kodeksem branżowym dla oświaty

Niedawno przedstawiliśmy raport stanu prac nad kodeksami branżowymi w Polsce. Jak się okazuje, rozpoczęły się konsultacje jeszcze jednego kodeksu – dla szkół i placówek oświatowych. Potrwają one do 30 września 2020 r.

Numer specjalny 6, czerwiec 2020

Weryfikacja podstaw prawnych do przetwarzania danych osobowych

Na obecnym etapie stosowania RODO warto raz jeszcze zweryfikować, czy przyjęte przez instytucje kultury zasady przetwarzania danych osobowych są zgodne ze wszystkimi obowiązującymi ją przepisami. 

Prawidłowe przeprowadzenie analizy ryzyka w jednostce kultury

Przed rozpoczęciem przetwarzania danych w określony sposób musimy dokonać ogólnej, a czasem również szczegółowej analizy ryzyka. Obowiązek jej przeprowadzania, weryfikacji i ponawiania skłania do bliższego omówienia tej kwestii.

Podział zadań związanych z ochroną danych osobowych

Weryfikując stan przestrzegania RODO, warto jeszcze sprawdzić, jak wygląda u nas podział pracy w związku z przetwarzaniem i ochroną danych osobowych. Państwowe i samorządowe instytucje kultury – jako podmioty publiczne w rozumieniu RODO –  mają obowiązek powołania IOD. Może być on wybrany spośród dotychczas zatrudnionego personelu, zrekrutowany jako nowy pracownik czy też wyznaczony na podstawie umowy cywilnoprawnej (np. na podstawie umowy o świadczenie usług z zewnętrznym podmiotem gospodarczym). Dla kilku podmiotów publicznych można też wyznaczyć – z uwzględnieniem ich struktury organizacyjnej i wielkości – jednego IOD.

NR 23

Wzór klauzuli informacyjnej na potrzeby prowadzenia szkolenia online

Szkolenia w formie tradycyjne w obecnej sytuacji są raczej niewykonalne. Popularność zdobywają natomiast kursy prowadzone w formie elektronicznej. Szczególnie istotne, jeśli musimy przeszkolić pracowników przez ekspertów zewnętrznych. Nie zapominajmy o spełnieniu obowiązku informacyjnego w stosunku do kursantów. Poniżej proponujemy przykładowy wzór takiego dokumentu. 

Wymiana informacji o badaniach na obecność koronawirusa pod kontrolą

Podczas tworzenia systemu informatycznego, w którym przetwarzane będą dane osób, u których przeprowadzono badania na obecność koronawirusa, środki ochrony przetwarzania danych osobowych muszą być dostosowane do skali ryzyka. Przy czym systemy takie mogą być tworzone i wykorzystywane jedynie przez podmioty, które mogą przeprowadzać takie badania lub poznawać ich wyniki, tj. laboratoria, szpitale czy stacje sanitarno-epidemiologiczne. Dostęp poszczególnych podmiotów do danych powinien być ograniczonydo tych, które są im niezbędne do realizacji ich określonych przepisami zadań i kompetencji.

W jaki sposób należy stosować monitoring w jednostkach oświaty

PROBLEM Jak należycie chronić interesy pracowników i uczniów, w szczególności respektować przysługujące im prawo do ochrony wizerunku? Tym bardziej że okres wakacji może okazać się bardzo dogodnym momentem do wprowadzenia monitoringu w szkole.

NR 22

Zasady bezpiecznego kształcenia na odległość – wytyczne UODO

Zachowanie odpowiednich środków bezpieczeństwa podczas lekcji online dotyczy nie tylko kadry kierowniczej oświaty, ale i nauczycieli, uczniów oraz ich rodziców. Placówki oświatowe nie mogą również zapominać o spełnieniu obowiązku informacyjnego. Sprawdź, czy postępujesz według zaleceń.  

W jaki sposób przekazać dokumenty do archiwum na potrzeby dezynsekcji

PROBLEM Czy przekazanie dokumentów z podmiotu publicznego do archiwum w celu dokonania procesu fumigacji, poprzedzającego przekazanie dokumentów do archiwum następuje na podstawie udostępnienia, czy powierzenia? Dane uzupełniające: usługa polegająca na dezynfekcji-odgrzybianiu dokumentacji w specjalnej komorze fumigacyjnej; zgodnie z ustaleniami archiwum musi być wykonana przed przekazaniem dokumentacji do archiwum; fumigacja jest płatna i odbywa się na podstawie umowy między stronami – stroną nie musi być archiwum, bo nie wszystkie mają możliwość wykonania usługi; czas trwania fumigacji to z reguły 30 dni; dokumenty są wkładane do komory w takiej postaci, w jakiej zostały przywiezione (zszyte teczki, nawet w kartonach); po usłudze są odbierane i przekazywane do właściwego archiwum.

NR 21

Zgłaszanie inspektora ochrony danych tylko elektronicznie

O wyznaczeniu inspektora ochrony danych lub jego zastępcy, a także o zmianie jego danych i odwołaniu należy poinformować Prezesa UODO. Administrator ma na to 14 dni. Zawiadomienie musi zostać dokonane elektronicznie.

UODO karze za pobieranie odcisków palców uczniów

W decyzji z 18 lutego 2020 r. Prezes UODO wymierzył karę 20 tys. zł jednej ze szkół w związku z przetwarzaniem danych biometrycznych w postaci odcisków palców podczas korzystania przez dzieci ze szkolnej stołówki. 

NR 20

Zasady ochrony danych w ramach ZFŚS według UODOD

W związku z administrowaniem zakładowym funduszem świadczeń socjalnym dochodzi do przetwarzania danych osobowych beneficjentów, w tym danych wrażliwych. Wszak administrator ZFŚS musi zweryfikować sytuację życiową, rodzinną i materialną beneficjentów. Sprawdź, co w tej kwestii radzi UODO.

Wzór ewidencji upoważnień do przetwarzania danych w zakresie monitoringu wizyjnego

W zakresie monitoringu wizyjnego w podmiocie istnieje wiele obowiązków, które musi spełnić administrator danych osobowych na podstawie RODO. Począwszy od spełnienia obowiązku informacyjnego aż po przygotowanie dla pracowników upoważnień do przetwarzania danych podczas monitoringu. Pamiętajmy bowiem, że upoważnienie należy ewidencjonować. Pomocny w tym będzie poniższy wzór. 

W jaki sposób należy zrealizować obowiązek informacyjny warstwami

PROBLEM Problematyczny w wykonaniu obowiązku informacyjnego jest bardzo szeroki zakres informacji, jakie powinny być przekazane podmiotowi danych. Z drugiej strony administrator musi przekazywać te informacje w zwięzłej, przejrzystej, zrozumiałej i łatwo dostępnej formie. Jak pogodzić te wymogi? Jednym z rozwiązań jest skorzystanie z tzw. warstwowego przekazywania informacji. Na czym to dokładnie polega?

NR 19

Zawiadomienie o zastosowaniu kary porządkowej za naruszenie ochrony danych przez pracownika

Pracodawca będący jednocześnie administratorem danych osobowych danego podmiotu ma prawo wymierzyć kare dla pracownika, gdy ten dopuści się naruszenia ochrony danych. Rodzaj kary jest zależny m.in. od stopnia przewinienia. Poniżej prezentujemy wzór zawiadomienia o zastosowaniu kary porządkowej.

Za co została nałożona pierwsza kara w sektorze publicznym

Prezes UODO nałożył na Burmistrza Aleksandrowa Kujawskiego karę pieniężną w wysokości 40.000 złotych za nieprzestrzeganie RODO. Kara ta ma m.in. funkcję prewencyjną, czyli powinna skutecznie zniechęcać do naruszania prawa ochrony danych osobowych zarówno adresata decyzji, jak również innych administratorów. Z decyzji możemy dowiedzieć się w jaki sposób PUODO podchodzi do kwestii przetwarzania danych w samorządach.

Wyrok sądu w sprawie skargi na decyzję PUODO

Firmy, które pozyskują m.in. dane osobowe osób prowadzących działalność gospodarczą, z ogólnodostępnych rejestrów publicznych (np. KRS, CEIDG, REGON) oraz zajmują się analizowaniem, interpretowaniem, a następnie udostępnianiem tych informacji klientom, musi spełnić obowiązek informacyjny wobec tych osób. A zatem powinny przekazać informacje bezpośrednio osobie, której dane dotyczą. 

NR 18

Wzór zarządzenia w sprawie powołania wspólnego IOD

Podmiot publiczny ma prawo, po spełnieniu określonych w przepisach warunków szczególnych, powołać wspólnego inspektora ochrony danych osobowych według rozporządzenia RODO oraz dyrektywy DODO. W tym celu potrzebne jest jednak przygotowanie aktu powołania. Poniżej przedstawimy wzór takiego dokumentu wraz z komentarzem. 

W jaki sposób należy prowadzić ewidencje upoważnień

PROBLEM  Czy inspektor ochrony danych powinien prowadzić ewidencje upoważnionych pracowników wyznaczonych do przetwarzania danych osobowych?

Umowa powierzenia przetwarzania danych w związku z obsługą BIP

Jedna z ostatnich decyzji Prezesa Urzędu Ochrony Danych Osobowych dotycząca nałożenia kary na JST za brak umowy powierzenia przetwarzania danych osobowych z firmą, która dostarczała oprogramowanie do stworzenia BIP i zajmowała się obsługą serwisową w tym zakresie, ujawniła pewne braki w postepowaniu nie tylko w tym konkretnym podmiocie. Poniższy wzór umowy pomoże uregulować te obowiązki.