Numer 20 specjalny, grudzień 2023 r.

W jaki sposób zorganizować nabór na stanowisko samorządowe w zgodzie z RODO

Jednostka samorządu terytorialnego to nie tylko element szerszej architektury organów administracji publicznej, ale także pracodawca dla pracowników samorządowych zatrudnionych w urzędzie obsługującym dany organ gminy, powiatu bądź województwa. Pracodawca ten w pewnym zakresie musi stosować szczególną procedurę naboru w zatrudnianiu pracowników samorządowych. Charakteryzuje się pewnymi odrębnościami w zakresie przetwarzania danych osobowych.

Kto jest administratorem danych osobowych w jednostce samorządu terytorialnego

Tożsamość administratora w procesie przetwarzania danych osobowych jest istotna z uwagi na konieczność określenia podmiotu, na którym spoczywają liczne uprawnienia i obowiązki nałożone przez przepisy prawa. Sprawdźmy zatem, jak zidentyfikować administratora danych osobowych w jednostkach samorządu terytorialnego na przykładzie działalności gminy. Jest to niezwykle istotne w kontekście realizacji wymogów RODO, zwłaszcza obowiązku informacyjnego.

Numer 65, grudzień 2023 r.

Zastrzeżenie numeru PESEL jako nowe narzędzie ochrony danych

Pytanie: Czy nowy rejestr zastrzeżeń numeru PESEL rzeczywiście jest skutecznym rozwiązaniem przeciwko nadużyciom związanym z wykorzystywaniem danych?

Kto ponosi odpowiedzialność za wyciek danych w przypadku usług chmurowych

Pytanie: Czy za wyciek danych przechowywanych w chmurze odpowiada ADO?

Numer 64, listopad 2023 r.

Jawność zamówień publicznych a RODO

Pytanie: Dane osobowe z dokumentacji dotyczącej zamówienia publicznego mogą być ujawnione. W jakim zakresie?

Jak udzielać informacji mieszkańcom przez telefon zgodnie z RODO

Ogólne rozporządzenie o ochronie danych (RODO) nie zakazuje przetwarzania danych osobowych poprzez udzielanie informacji drogą telefoniczną. Niemniej jednak, aby wykorzystać ten sposób komunikacji, należy mieć pewność, że informację kierujemy do uprawnionej osoby.

Numer 63, październik 2023 r.

Praca zdalna a niepełnosprawność osoby trzeciej: prawidłowe udokumentowanie

Pytanie: Urząd – jako pracodawca – może żądać od pracownika podania m.in. danych jego dzieci i innych członków jego najbliższej rodziny, jeżeli ich podanie jest konieczne ze względu na korzystanie przez pracownika ze szczególnych uprawnień przewidzianych w prawie pracy. Czy w związku z powyższym można żądać od takiego pracownika przekazania orzeczenia o niepełnosprawności osoby, nad którą ma on sprawować opiekę, gdy taka opieka stanowi cel przejścia na pracę zdalną?

Podmiot publiczny ma obowiązek wykonać audyt Krajowych Ram Interoperacyjności

W sektorze publicznym obowiązują liczne wymogi w zakresie bezpieczeństwa informacji, w tym danych osobowych. Składają się one na Krajowe Ramy Interoperacyjności (KRI). To, czy podmiot publiczny spełnia te wymogi, musi być systematycznie sprawdzane. Temu właśnie służy audyt KRI. Dowiedz się, jak przeprowadzić taki audyt – skorzystaj także z listy kontrolnej.

Numer 19 specjalny, wrzesień 2023r.

Współpraca z Prezesem UODO – o czym należy pamiętać

Największym błędem, jaki może popełnić administrator danych w stosunku do PUODO jest milczenie. Przekonało się o tym już wielu administratorów, którzy w konsekwencji takich swoich postępowań musieli zmierzyć się z decyzją organu nadzorczego nakładającej go kary finansowe na ADO.

kontrola RODO w aplikacjach mobilnych – krok po kroku

Kontrola w zakresie aplikacji mobilnych koncentrować ma się na sposobie zabezpieczenia i udostępniania danych osobowych przetwarzanych w związku z użytkowaniem aplikacji. Niemniej jednak zarówno sama kontrola, jak i czynności przygotowawcze podmiotu potencjalnie nią objętego powinny wykraczać poza kwestie ściśle związane z zabezpieczeniem i udostępnianiem danych.

Numer 62, wrzesień 2023 r.

Zmiany w ustawie o służbie cywilnej – co należy wiedzieć

Pytanie: Ustawa z 14 kwietnia 2023 r. o zmianie ustawy o służbie cywilnej oraz niektórych innych ustaw wprowadza pewne zmiany dotyczące przetwarzania danych osobowych. Jak te zmiany wpływają na przetwarzanie danych osobowych w urzędzie?

Zgranie dokumentów służbowych na prywatnego pendrive’a to naruszenie RODO

W jednej z decyzji Prezes Urzędu Ochrony Danych Osobowych przeanalizował zgodność z prawem działań urzędu, w którym stwierdzono naruszenie przepisów o ochronie danych osobowych. Sprawa dotyczyła zgrania przez jednego z pracowników dokumentów zawierających dane osobowe ze służbowego komputera na prywatny pendrive. Dowiedz się, jakie były konsekwencje wskazanego działania.

System Zarządzania Bezpieczeństwem Informacji (SZBI) w Twojej organizacji

Pytanie: Kto musi wdrożyć SZBI? Jakie obowiązki spoczywają na administratorze w zakresie stosowanie systemu?

Numer 61, sierpień 2023 r.

Czy informatyk zewnętrzny może być administratorem systemu informatycznego

Pytanie: Chciałbym się dowiedzieć, czy informatyk zatrudniony z zewnątrz może zostać administratorem systemu informatycznego?

Jakie dokumenty są wymagane w przypadku naruszeń ochrony danych osobowych

Administrator danych osobowych musi zgłosić wystąpienie naruszenia ochrony danych Prezesowi UODO, a niekiedy także osobom, których te dane dotyczą. Ponadto ADO ma obowiązek dokumentować wszystkie incydenty bezpieczeństwa występujące w jego placówce. W tym celu musi zebrać odpowiednią dokumentację.

Numer 60, lipiec 2023 r.

Zestawienie zmian w przepisach o uprawnieniach związanych z rodzicielstwem

Nowe rozporządzenie w sprawie wniosków dotyczących uprawnień pracowników związanych z rodzicielstwem oraz dokumentów dołączanych do takich wniosków obowiązuje już od jakiegoś czasu. Jednak w związku z licznymi zmianami warto uporządkować wiedzę na ten temat.

Uprawnienia związane z rodzicielstwem – jak postępować w zgodzie z nowymi przepisami

Pytanie: Weszło w życie nowe rozporządzenie w sprawie wniosków dotyczących uprawnień pracowników związanych z rodzicielstwem. Jak ono wpływa na prowadzoną dokumentację w zakresie ochrony ich danych?

Numer 57,kwiecień 2023 r

Przykładowe zasady naboru na stanowisko inspektora ochrony danych i zasady oceny kandydatów

Każdy administrator danych osobowych może wyznaczyć własne zasady naboru na stanowisko inspektora ochrony danych, chociażby zez względu na specyfikę pracy danej jednostki. Jednak warto skorzystać ze wskazówek ekspertów. Poniższy wzór stanowi podpowiedź, jakie wybrane kryteria naboru przyjąć oraz jak je przykładowo posegregować pod względem ważności.

Numer specjalny 17, marzec 2023 r.

Realizacja prawa do informacji przez osoby uprawnione – instrukcja

Pacjent oraz upoważnione przez niego osoby mają prawo uzyskać informacje o jego stanie zdrowia. Proces ten może być realizowany w różny sposób. Nasi eksperci przygotowali zatem instrukcje postępowania, która będzie pomocna podczas codziennej praktyki w placówce.

Właściwe podejście do praw pacjenta – co zawierają postanowienia kodeksu dobrych praktyk

Kodeks postępowania dotyczący ochrony danych osobowych przetwarzanych w małych placówkach medycznych (Kodeks) zawiera m.in. zaakceptowane przez Prezesa Urzędu Ochrony Danych Osobowych (UODO) wskazówki dotyczące realizacji praw pacjenta. Prawa te należy rozpatrywać zarówno pod kątem przepisów RODO, jak i pod kątem przepisów prawa medycznego.

Numer 55,luty 2023 r.

Przetwarzanie danych w ramach tzw. obsługi wspólnej w sektorze publicznym

Pytanie: Nasza jednostka – gminny ośrodek pomocy społecznej – ma zapewnioną obsługę księgową i płacową w jednostce powołanej przez wójta – centrum usług wspólnych. Czy CUW powinien mieć zawartą z GOPS umowę powierzenia danych osobowych czy pracownicy CUW powinni mieć upoważnienia od jednostki GOPS? W regulaminie organizacyjnym GOPS jest wyszczególnione stanowisko pracy – księgowa centrum usług wspólnych.

Przetwarzanie danych w ośrodku pomocy społecznej – poznaj zasady

Pytanie: Jako gminny ośrodek pomocy społecznej rozliczamy program alkoholowy. W planie budżetu jest ujęcie środków dla GOPS. Rozliczanie należności z programu, faktur i innych wydatków następuje od GOPS. Członków komisji powołuje wójt. W zarządzeniu jest zapis, że wykonanie uchwały powierza się wójtowi gminy. Obecnie członkowie komisji mają upoważnienia nadane przez IOD od wójta. W chwili obecnej jest powołanych dwóch nowych członków komisji, którzy mają pełnić funkcje od 2023 roku. Czy prawidłowym działaniem jest, że upoważnienia są nadane przez wójta, czy powinny być przez kierownika GOPS? Jeśli upoważnienia powinny być nadane przez wójta, to czy między wójtem a kierownikiem GOPS nie powinna być zawarta umowa powierzenia danych osobowych? Stosownym zarządzeniem powołano zespół interdyscyplinarny, wykonanie Zarządzenia powierzono kierownikowi Gminnego Ośrodka Pomocy Społecznej. Osoby powołane do składu zespołu posiadają upoważnienia nadane przez kierownika. Czy takie działanie jest poprawne?

Sztuczna inteligencja – co na to przepisy o ochronie danych osobowych

Tak zwana sztuczna inteligencja (artificial intelligence, AI) to nowoczesna technologia i jako taka niesie za sobą nie tylko szanse, ale i pewne ryzyka. Wśród tych ostatnich wylicza się przede wszystkim możliwość naruszania praw przysługujących podmiotowi danych w związku z ochroną danych osobowych. Przedmiotem obaw jest tu w szczególności prawo do prywatności.

Numer 54,styczeń 2023

Wiążące reguły korporacyjne – co to jest i kiedy można z nich skorzystać?

Podczas przekazywania danych do państw trzecich niezbędne jest zapewnienie poziomu ochrony tożsamego z RODO. Realizacja tej reguły może nastąpić na kilka sposobów, a najprostszym z nich jest scenariusz, gdzie Komisja Europejska stwierdzi odpowiedni poziom ochrony w państwie trzecim, tym samym legalizując przekazywanie danych do podmiotów z takiego kraju. Kolejną często stosowaną opcją są tzw. Standardowe Klauzule Umowne, czyli zatwierdzone przez Komisję wzory umów, zmierzających do zagwarantowania odpowiedniego bezpieczeństwa danych przekazywanych pomiędzy dwoma podmiotami. Inną możliwością legalizującą transfery danych, na których to skupi się niniejszy artykuł, są tzw. wiążące reguły korporacyjne.

Procedura nadawania uprawnień w systemie informatycznym

Aby sprawnie i zgodnie z przepisami dokumentować, że inne osoby niż administrator danych osobowych przetwarzają dane osobowe w organizacji, na polecenie ADO i według ustalonych przez niego reguł, potrzebna jest procedura nadawania uprawnień w systemie informatycznym. Przedstawiamy przykładowy wzór dokumentu.