WYDANIE ONLINE
W niektórych przypadkach, po stwierdzeniu że nastąpiło naruszenie ochrony danych osobowych, jednostka publiczna będąca ich administratorem jest zobowiązana do zgłoszenia określonego incydentu Prezesowi Urzędu Ochrony Danych Osobowych, a niekiedy również do powiadomienia o naruszeniu osób, których te dane dotyczą. Kluczową kwestią przy ocenie, czy w danym przypadku należy dokonać powiadomienia, jest analiza incydentu pod kątem ryzyka dla praw i wolności osób fizycznych. Sprawdź, jak dokonać takiej analizy.
Organy nadzorcze przywiązują dużą wagę do właściwego zabezpieczania danych osobowych. Świadczą o tym sprawy rozpatrywane w ostatnim czasie przez polski, francuski i brytyjski organ nadzorczy. Dla przykładu we Francji nałożono na portal świadczący usługi ubezpieczeniowe karę w wysokości 180 000 euro za niewłaściwe zabezpieczenie danych osobowych (za słabe hasła, silniejszych haseł i przekazywanie ich przez spółkę niezabezpieczonym odpowiednio e-mailem). W Wielkiej Brytanii ukarano agencję nieruchomości w wysokości 80 000 GBP za błędną konfigurację systemu – nie wyłączono funkcji „uwierzytelniania anonimowego” – przy przekazywaniu danych klientów między agencją a innym podmiotem.
Do 26 września pracodawcy zatrudniający co najmniej 250 osób musieli zawrzeć umowy o zarządzanie PPK. W tym celu należało podać dane identyfikujące uczestnika pracowniczych planów kapitałowych takie jak np. imię̨ (imiona), nazwisko, adres zamieszkania, adres do korespondencji, numer telefonu, adres poczty elektronicznej, numer PESEL. A zatem dochodzi do przetwarzania danych osobowych, a następnie ich przechowywania. Niestety sama ustawa o PPK milczy na ten temat. Zdaniem natomiast Prezesa Urzędu Ochrony Danych Osobowych okres przechowywania takiej dokumentacji, ponieważ jest ona ściśle powiązana z dokumentacją pracowniczą to 10 lat.
PROBLEM Do czyich kompetencji należy wykonanie oceny skutków przetwarzania dla ochrony danych (DPIA)? Co do zasady proces ten powinien być zrealizowany przy wsparciu pracowników administratora danych osobowych danego podmiotu. Czy podczas tej procedury można liczyć na wsparcie inspektora ochrony danych jednostki?
PROBLEM Podobno Prezes Urzędu Ochrony Danych Osobowych chce uregulować status inspektora ochrony danych zatrudnionego w strukturach służby cywilnej. Czy są już plany zmian w prawie w tym zakresie? Jak w strukturze urzędu powinniśmy umocować inspektora ochrony danych, aby zajął on w nim miejsce niebudzące wątpliwości PUODO.
PROBLEM Właśnie zakończony został w naszym urzędzie proces rekrutacji. Czy w związku z tym, że otrzymaliśmy od kandydata np. dyplom ukończenia studiów, świadectwa szkolne, które zawierają dodatkowe dane, to powinniśmy je usunąć?
PROBLEM Pracownicy, a w szczególności urzędnicy, posługują się zwykle legitymacjami służbowymi. Na legitymacjach tych znajduje się wizerunek pracownika. Czy jako urząd postępujemy zgodnie z przepisami RODO? Na jakiej podstawie powinny być przetwarzane dane osobowe w postaci tego wizerunku?
PROBLEM Zauważyłam praktykę zawierania we wzorcach umów o zamówienia publiczne, stanowiących załącznik do specyfikacji istotnych warunków zamówienia (SIWZ) uregulowań stanowiących swoiste umowy powierzenia danych. Jednakże zapisy te dotyczą przetwarzania danych osobowych wyłącznie pracowników zamawiającego (np. osób do kontaktu z wykonawcą budującym w gminie drogę), obejmujących imię i nazwisko pracownika oraz jego służbowy telefon i e-mail. Czy taka praktyka jest właściwa? Zamawiający wprawdzie przekazuje wykonawcy dane swoich pracowników i ten je przetwarza, ale odbywa się to w celu wykonania umowy w sprawie zamówienia publicznego, a przekazywane dane nie obejmują prywatnych danych pracowników.
PROBLEM Przegotowuję się do przeprowadzenia szkolenia dla pracowników urzędu z zakresu ochrony danych osobowych. Część materiałów szkoleniowych będzie dotyczyła naruszeń ochrony danych. Czy na podstawie dotychczasowej praktyki wyłoniły się najbardziej powszechne przypadki incydentów bezpieczeństwa, aby uczulić na nie pracowników?
PROBLEM Czy dla pracownika Kierownika Oświaty oprócz umowy jest potrzebne upoważnienie od pracodawcy w którym będzie zapisana zgoda na przetwarzanie danych wrażliwych, bo nasza kierownik oświaty podejmuje decyzje o przyznanie środków dla dzieci z niepełnosprawnością. Dane otrzymuje od dyrektorów podległych gminie placówek czyli szkół podstawowych. Dane również z orzeczeniem i teraz pytanie, istnieje jakiś wzór takiego upoważnienia? Czy inspektor ochorny danych ze szkół podstawowych powinien dopisać do klauzuli, że:„Administratorem danych osobowych jest Dyrektor placówki, ale również dane są przekazywane do Wydziału oświaty w Urzędzie Miejskim w Warcie”? W jaki najlepszy sposób sformułować taki zapis?
Powodem ostatnio nakładanych kar przez organy nadzorcze, zarówno polskie, jak i europejskie, jest najczęściej brak odpowiednich środków bezpieczeństwa dla przetwarzania danych osobowych. Dotyczy to m.in. informatycznych zabezpieczeń. Dlatego tak ważne jest, aby zweryfikować, czy systemy IT funkcjonujące w jednostce funkcjonują w zgodzie z zasadami przetwarzania danych.
Jeżeli w trakcie postępowania kontrolnego okaże się, że mogło dojść do naruszenia prawa, to prezes Urzędu Ochrony Danych Osobowych wszczyna postępowanie w sprawie naruszenia przepisów o ochronie danych osobowych. Dzięki poniższej instrukcji dowiesz się, jak dokładnie wygląda ta procedura.
