WYDANIE ONLINE
W dniu 4 maja 2019 r. weszła w życie tzw. ustawa sektorowa. Jej celem jest dokonanie nowelizacji ok 160 ustaw celem dostosowania polskich przepisów prawa do RODO.Zmiany są zarówno „kosmetyczne” jak i „strategiczne”. Natomiast każdy pracujący w branży administracji publicznej musi się ze zmianami zapoznać, po to aby wykonywanie jego obowiązków – a w ślad za tym – działanie organu realizowało się w granicach prawa.
Prezes Urzędu Ochrony Danych Osobowych zwrócił się do Szefa Służby Cywilnej z prośbą o zainicjowanie prac legislacyjnych zmierzających do umożliwienia zatrudniania w służbie cywilnej inspektorów ochrony danych na wyodrębnionym stanowisku pracy.
Pracownik mający dostęp do danych osobowych klientów pracodawcy (mieszkańców miasta) nie otrzymuje statusu administratora danych, lecz pozostaje osobą dopuszczoną do przetwarzania danych osobowych na podstawie imiennego upoważnienia nadanego przez pracodawcę (administratora danych). Tak stwierdził Sąd Najwyższy w wyroku z 15 listopada 2018 r., I PK 221/17.
PROBLEM Czy celem realizacji obowiązku informacyjnego w zakresie art. 13 ust. 2 a) RODO, czyli okresu przechowywania danych, wystarczające byłoby powołanie się na Jednolity rzeczowy wykaz akt? Nie jest on prawem powszechnie obowiązującym, ale zarządzeniem wewnętrznym i jest publikowany w Biuletynie Informacji Publicznej. Czy też za każdym razem należy ten okres przechowywania danych wskazać precyzyjnie na podstawie przytoczonego Jednolitego Rzeczowego Wykazu Akt?
PROBLEM Czy obowiązek wersyfikacji prawidłowego stosowania przepisów o ochronie danych w jednostce należy do inspektora, czy administratora danych?
PROBLEM Jako sąd wyznaczyliśmy niedawno drugiego inspektora ochrony danych, który swą funkcję pełni w oparciu o ustawę o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości. Ponieważ nie jesteśmy zadowoleni z jego pracy, chcemy aby jego funkcję pełnił nasz pierwszy inspektor ochrony danych. Czy możemy znów powołać tego samego inspektora i czy pełnienie funkcji na podstawie ww. ustawy oraz RODO przez tą samą osobę będzie obecnie dopuszczalne?
PROBLEM Czy po zakończonej kontrolipodmiot powinien otrzymać protokół, że kontrola się odbyła. Co powinno znaleźć się w takim dokumencie?
PROBLEM Budynek jest objęty monitoringiem wizyjnym w formie kamer przemysłowych. Nagranie kasuje się po 30 dniach poprzez nadpisywanie. Czy nagrywanie w tej formie powinno być traktowane jako nie sporadyczne, a więc wymaga ujęcia w rejestrze czynności przetwarzania, a także zawarcia umowy powierzenia z firmą ochroniarską lub wydania upoważnień do przetwarzania dla pracowników mających podgląd? Większość nagrywanych osób to pracownicy, ale zdarzają się także klienci i osoby przypadkowe, których nie jest łatwo lub wręcz nie można zidentyfikować.
PROBLEM Jednym z zadań gminy jest prowadzenie ewidencji obiektów świadczących usługi hotelarskie, nie będących obiektami hotelarskimi oraz pól biwakowych. Zgodnie z rozporządzeniem Ministra Gospodarki i Pracy z 19 sierpnia 2004 r. w sprawie obiektów hotelarskich i innych obiektów, w których są świadczone usługi hotelarskie ewidencja jest jawna w części objętej wpisem do kart ewidencyjnych obiektów. Czy taki rejestr może być udostępniony na przykład na stronie gminy czy też Gminnego Ośrodka Kultury, w celu np. promocji kwater itp? Czy musimy mieć zgody na ich publikację?
Każda, z której wynika dalsze powierzenie przetwarzania danych osobowych jest umową podpowierzenia. Poniższy przykładowy wzór pokazuje miedzy innymi, jak prawidłowo wskazać wszystkie podmioty przetwarzające. Sprawdź, czy konieczne jest wskazanie w zapisach umownych administratora danych.
Jeżeli rodzaj przetwarzania danych z dużym prawdopodobieństwem może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, wówczas administrator jeszcze zanim rozpocznie przetwarzanie danych, dokonuje oceny skutków planowanych operacji. Poniższa lista kontrolna pozwala usystematyzować informacje, jakie są niezbędne podczas tego procesu.
Jeżeli ze względu na ryzyko naruszenia dla praw i wolności osób fizycznych administrator zdecydował powiadomić o incydencie Prezesa Urzędu Ochrony Danych Osobowych, wówczas musi to zrobić bez zbędnej zwłoki.Aby ocenić to ryzyko pomocne będą wytyczne wytyczne dotyczące klasyfikacji naruszeń i procedura zgłaszanie naruszenie ochrony danych do organu nadzorczego.
Sprawdź, jakie zmiany wprowadza ustawa z 21 lutego 2019 r. o zmianie niektórych ustaw w związku z zapewnieniem stosowania rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE. Poniżej przedstawimy pierwszą część zestawienia.
