Nr 53

Zgoda na przetwarzanie danych osoby uprawnionej przez członka KZP

Administrator musi uzyskać zgodę na przetwarzanie danych osobowych nie tylko członka KZP, ale również osoby uprawnionej do wypłacenia wkładu z kasy zapomogowo-pożyczkowej. Skorzystaj z gotowego wzoru dokumentu na tę okoliczność.

Klauzula informacyjna dla osoby uprawnionej przez członka KZP

Analogicznie jak w przypadku spełnienia obowiązku informacyjnego dla członka kasy zapomogowo-pożyczkowej, tak samo dla osoby uprawnionej do wypłacenia wkładu z kasy zapomogowo-pożyczkowej konieczne jest przygotowanie odpowiedniej klauzuli informacyjnej. Sprawdź przykładowy wzór.

Nr specjalny 16

Upoważnienie do przetwarzania danych osobowych (w języku ukraińskim)

Jeżeli pracownik lub inna osoba działająca z polecenia administratora danych osobowych przetwarza dane osobowe, to powinna zostać upoważniona do wykonywania tego rodzaju czynności. Oczywiście w zakresie, w jakim jest to niezbędne. Sprawdź wzór takiego upoważnienia w języku ukraińskim.

Zabezpieczenie danych w rejestrze dotyczącym wspierania rodziny i systemie pieczy zastępczej

Pytanie: Jako podmiot zobowiązany do prowadzenia nowego rejestru, na podstawie nowelizacji ustawy o wspieraniu rodziny i systemie pieczy zastępczej (jej nowych art. 38d–38f) musimy przestrzegać przepisów o ochronie danych osobowych. Czy musimy w związku z nowymi obowiązkami wprowadzić nową procedurę zabezpieczania danych?

Nr 52

Czy operator pocztowy poniesie odpowiedzialność za ujawnione dane osobowe

W ramach prowadzenia swej działalności podmioty często wysyłają klientom różnego rodzaju dokumenty, jak np. wzory umów, które zawierają dane osobowe. Przesyłanie tychże dokumentów następuje za pośrednictwem usług poczty czy też firm kurierskich. Jeżeli takie podmioty zagubią znajdujące się w powierzonej im korespondencji dane osobowe, wówczas za ich zagubienie może odpowiadać ADO, który zlecił dostarczenie przesyłki.

Co należy zamieścić w statucie szkoły w kontekście RODO

Pytanie: Od 1 września obowiązują nowe przepisy dotyczące nauczania zdalnego. Odpowiednie regulacje w tym zakresie powinny znaleźć się w statucie szkoły – również w zakresie ochrony danych osobowych. Co dokładnie należy uwzględnić w tym dokumencie?

NR 51, PAŹDZIERNIK 2022

Zakaz przetwarzania danych w Google Workspace w Danii

Duński organ nadzorczy na podstawie oceny skutków przetwarzania przeprowadzonej przez jedną z gmin stwierdził, że przetwarzanie danych osobowych w ramach Google Workspace stoi w sprzeczności z wymogami RODO. Sprawa dotyczyła jednej ze szkół.

Za pomocą jakich dokumentów potwierdzić wykonywanie zadań IOD

Pytanie: Dokumentacja współpracy z inspektorem ochrony danych nie jest wprost wymagana przez RODO. Jednak z uwagi na regułę rozliczalności warto ją rejestrować. Jak zatem powinna wyglądać dokumentacja wykonywania zadań IOD?

Umowa między podmiotami leczniczymi – jak spełnić obowiązek informacyjny

Pytanie: Szpital na rzecz innego NZOZ lub szpitala wykonuje specjalistyczne badania diagnostyczne, na podstawie skierowania, pacjentom wskazanych podmiotów. W takiej sytuacji szpital występuje w roli odrębnego administratora danych osobowych pacjentów. To z kolei skutkuje koniecznością spełnienia wobec pacjentów obowiązku informacyjnego. Jak powinna wyglądać realizacja obowiązków informacyjnych, o których mowa w art. 13 i art. 14 RODO? A co w sytuacji, gdy te dwa podmioty świadczą wobec siebie wzajemne usługi?

nr specjalny 15

Poznaj wzór porozumienia między współadministratorami danych osobowych

Poniżej zamieszczamy wzór przykładowego porozumienia współadministratorów danych osobowych oraz informacji udostępnianej podmiotom danych

Na czym polega porozumienie współadministratorów danych osobowych

Pytanie: Współadministratorzy muszą ustalić pomiędzy sobą sposób wypełnienia i podział obowiązków wynikających z ogólnego rozporządzenia o ochronie danych (RODO). Jak to zrobić, aby uniknąć niepotrzebnych nieporozumień.

Nr 50

Zawiadomienia dotyczące IOD tylko w formie elektronicznej

Podmiot, który wyznaczył inspektora ochrony danych osobowych musi poinformować o tym fakcie UODO w terminie 14 dni. Przy czym istotna jest forma przesłania zgłoszenia. Zawiadomienie musi mieć formę elektroniczną, w przeciwnym razie przesłanie zgłoszenia w innej formie jest bezskuteczne.

Wzór polityki haseł prowadzonej w organizacji

Jednym ze środków technicznych bezpieczeństwa danych osobowych jest „hasłowanie”. Hasła stosowane są m.in. w dostępach do systemów IT, które służą do przetwarzania danych w organizacji. Należy jednak pamiętać, iż samo ich wprowadzenie nie jest wystarczające, trzeba je systematycznie zmieniać. Do tego niezbędna jest odpowiednio opracowana polityka haseł.

Polityka porządkowania, kopiowania i niszczenia dokumentacji papierowej

Prezes UODO ukarał jednego z administratorów danych osobowych za zgubienie świadectwa pracy. Jakkolwiek, za zgubienie dokumentu odpowiadała osoba zatrudniona w tym podmiocie, to właśnie ADO poniósł odpowiedzialność za jej działania. ADO, aby zminimalizować ryzyko wystąpienia podobnych sytuacji, powinien zapoznać personel z polityką postępowania z dokumentacją papierową.

Nr 49

Procedura nadawania upoważnień do przetwarzania danych

Osoby, które mają styczność z przetwarzaniem danych osobowych gromadzonych przez podmioty, muszą mieć odpowiednie umocowanie do takich czynności. Jeżeli pracownicy zostali upoważnieni do tego rodzaju czynności, to muszą wykazać się takim dokumentem. Warto jest przygotować procedurę, zgodnie z którą nadawane są upoważnienia do przetwarzania danych osobowych.

Komunikat o naruszeniu ochrony danych oraz raport z naruszenia

Administrator danych osobowych, na wypadek wystąpienia incydentu naruszenia ochrony danych w podmiocie, powinien mieć specjalnie przygotowane dokumenty. Są to m.in.: komunikat o naruszeniu ochrony danych oraz raport z naruszenia ochrony danych osobowych. Poniżej przedstawiono przykładowe dokumenty.

NR 48

W jaki sposób przetwarzać dane osobowe rodziny pracownik

Pytanie: Czy przetwarzanie danych osoby podanej przez pracownika w kwestionariuszu osobowym jako osoby do kontaktu w razie wypadku odbywa się na podstawie art. 221 § 3 i § 4 Kodeksu pracy, czy na podstawie zgody? Jeżeli na podstawie przepisów prawa, to, czy można zastosować przesłankę wynikającą z art. 14 ust. 5 lit. c RODO odnośnie do zwolnienia z obowiązku informacyjnego?

Regulamin pracy osoby powołanej w miejsce inspektora ochrony danych

Wytyczne Grupy Roboczej Art. 29 dotyczące inspektorów ochrony danych dopuszczają dobrowolne wyznaczenie osoby do zadań związanych z ochroną danych przez podmioty, które zgodnie z przepisami nie mają obowiązku powołania inspektora ochrony danych. Poniżej przedstawiamy regulamin funkcjonowania takiej osoby.

Polityka zarządzania konfliktem interesów w kontekście pełnienia funkcji IOD w jednostce

Jedno z zagadnień, które znalazły się na liście pytań kontrolnych UODO, dotyczy tego, czy administrator opracował politykę zarządzania konfliktem interesów lub wprowadził inny mechanizm zapewniający niewystępowanie konfliktu interesów. Sprawdź, jak przygotować tego rodzaju dokument.

Nr specjalny 14

Wzór zgody na udostępnienie dokumentacji medycznej

Jeżeli pacjent składa do placówki wniosek o udostępnienie dokumentacji medycznej, to podmiot ten musi ustosunkować się do zawartego w nim żądania. A zatem wyraża na to zgodę, najlepiej w formie pisemnej. Poniżej przedstawiony jest przykładowy formularz.

Procedura przetwarzania danych osobowych w dokumentacji medycznej

Każdy administrator danych osobowych powinien mieć przygotowaną procedurę przetwarzania danych osobowych. Dotyczy to również placówek leczniczych takich jak np. szpitale, i przetwarzania danych w dokumentacji medycznej. Poniżej przedstawiony jest przykładowy wzór takiego dokumentu.

nr 47

Zasady weryfikacji istnienia prawnie uzasadnionego interesu

Jedną z przesłanek przetwarzania danych osobowych jest prawnie uzasadniony interes. Poniżej przedstawiamy element Polityki Bezpieczeństwa Ochrony Danych Osobowych, w którym zawarte są zasady weryfikacji istnienia prawnie uzasadnionego interesu.

Klauzula informacyjna w postępowaniu administracyjnym (w języku ukraińskim)

Administrator danych osobowych powinien spełnić obowiązek informacyjny w sposób jasny i zrozumiały. Tak samo powinna być przygotowana klauzula informacyjna. A zatem jeśli podmiot danych będący obywatelem Ukrainy zrozumiał treść komunikatu, powinien być on przygotowany w tymże języku. Poniżej prezentujemy wzór klauzuli informacyjnej w postępowaniu administracyjnym w języku ukraińskim, przydatny m.in. w procedurze nadawania numeru PESEL.

NR 46

Rejestr zgłoszeń wewnętrznych w szkole

Placówka oświatowa ma obowiązek prowadzić rejestr zgłoszeń wewnętrznych. Wynika to z konieczności ochrony sygnalistów. Co istotne, dokumentować wpisy w rejestrze należy już od momentu zgłoszenia danego naruszenia. Oto przykładowy formularz rejestru zgłoszeń wewnętrznych gotowy do użycia.

Procedura tworzenia kopii zapasowych dla placówek leczniczych

Centrum e-Zdrowia przygotowało rekomendacje dla podmiotów leczniczych zawierające zasady bezpieczeństwa przetwarzanych danych. Jedna z nich dotyczy wykonywania kopii zapasowych. Poniższy dokument zawiera najważniejsze aspekty w tym zakresie.

NR 45

Przykładowa informacja o cyberataku kierowana do osób poszkodowanych

Naruszenie ochrony danych osobowych, które może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, wymaga od administratora danych osobowych dokonania – bez zbędnej zwłoki – zawiadomienia osób, których dane dotyczą, o incydencie. Zawiadomienie powinno nie tylko odpowiadać wymogom sformułowanym w art. 34 RODO, ale również musi zachować zgodność z zasadą przejrzystości.

Procedura ciągłości pracy systemów informatycznych

Cyberbezpieczeństwo nabrało w ostatnim czasie szczególnego znaczenia. Bardzo istotne jest to, aby każdy administratora danych osobowych przygotował się na potencjalne cyberataki. Jednym ze sposobów jest opracowanie procedury ciągłości pracy systemów informatycznych. Poniżej przedstawiony jest przykładowy wzór dokumentu.

Numer specjalny 13, marzec 2022

Wyłudzenie danych osobowych – na co zwrócić szczególną uwagę

Wyłudzenie danych osobowych to naruszenie, które rodzi bardzo duże zagrożenie dla osoby, której te dane dotyczą. Jest ona wówczas narażona na kradzież tożsamości, zaciągnięcie zobowiązań bez jej wiedzy i zgody, ale też ataki skutkujące naruszeniem jej dóbr osobistych. Skala zagrożeń i ich poziom są tu bardzo duże. Dlatego administrator danych osobowych powinien uczulić swój personel na wszelkie zjawiska mogące stanowić takie wyłudzenie.

Przykładowa Polityka bezpieczeństwa danych osobowych

W każdym podmiocie powinna znajdować się szczegółowo opracowana i uaktualniania polityka bezpieczeństwa danych osobowych. Dokument ten określa zarówno zakres przetwarzanych danych w danej organizacji, jak również ich cel i zasady bezpieczeństwa. Poniżej przedstawiony został przykładowy dokument.

Czy nadal warto wyznaczać administratora systemów informatycznych

Administrator systemów informatycznych (dalej: ASI) może zostać powołany jako pomocnik i wsparcie dla administratora danych osobowych. Funkcja ta była znana jeszcze przed wejściem w życie RODO i nie straciła na swojej przydatności. Ustanowienie ASI to warty rozważenia pomysł, którego realizacja pozwoli na racjonalniejsze rozłożenie kompetencji związanych z ochroną danych osobowych, zwłaszcza w przypadku intensywnego przetwarzania danych osobowych w systemach informatycznych.

NR 44

Zasady zgłaszania naruszeń ochrony danych – poznaj wytyczne EROD

U każdego administratora danych osobowych mimo nawet najlepszych zabezpieczeń może w końcu dojść do incydentu. Przesłanki zgłaszania naruszeń są w przepisach RODO dość ogólnie sformułowane, co przysparza administratorom trudności w podejmowaniu decyzji w konkretnych przypadkach naruszeń. Obecnie można się będzie w tym zakresie wspomagać wytycznymi Europejskiej Rady Ochrony Danych.

Jak z pomocą pełnomocnika należy powiadamiać o wyznaczeniu IOD

PROBLEM Nasza przychodnia współpracuje z inspektorem ochrony danych. Ponieważ nie jesteśmy zadowoleni z jego usług, chcemy przeprowadzić rekrutację i docelowo powołać oraz zgłosić powołanie nowego inspektora. Czy tego typu zadania możemy powierzyć naszemu pracownikowi?

Czy można odpłatnie przetwarzać dane osobowe z rejestru publicznego

PROBLEM W wyroku z 30 listopada 2021 r. (sygn. akt III OSK 4558/21) Naczelny Sąd Administracyjny odniósł się do kwestii pozyskiwania i przetwarzania danych pochodzących z publicznie dostępnych źródeł. Wyrok dotyczył danych osobowych obejmujących historyczne i obecne informacje o funkcjach w podmiotach wpisanych do Krajowego Rejestru Sądowego. Jakie dokładnie jest stanowisko sądu?