WYDANIE ONLINE
Każdy administrator powinien wybrać odpowiednie rozwiązania techniczne i organizacyjne, z uwzględnieniem stanu wiedzy technicznej, kosztu wdrażania oraz charakteru, zakresu, kontekstu i celów przetwarzania oraz ryzyka naruszenia praw lub wolności osób fizycznych. Swoboda pozostawiona administratorom powoduje, że nie wszystkie wybrane przez nich rozwiązania są prawidłowe. Niektóre, zamiast zwiększać bezpieczeństwo danych, tylko generują ryzyko ich naruszenia, z kolei inne są tylko niepotrzebnym obciążeniem dla organizacji.
Podczas tworzenia systemu informatycznego, w którym przetwarzane będą dane osób, u których przeprowadzono badania na obecność koronawirusa, środki ochrony przetwarzania danych osobowych muszą być dostosowane do skali ryzyka. Przy czym systemy takie mogą być tworzone i wykorzystywane jedynie przez podmioty, które mogą przeprowadzać takie badania lub poznawać ich wyniki, tj. laboratoria, szpitale czy stacje sanitarno-epidemiologiczne. Dostęp poszczególnych podmiotów do danych powinien być ograniczonydo tych, które są im niezbędne do realizacji ich określonych przepisami zadań i kompetencji.
W wyjątkowych sytuacjach pracownik może podczas pracy zdalnej korzystać z dokumentacji papierowej zawierającej dane osobowe. Ponieważ jednak powoduje to większe ryzyko naruszenia bezpieczeństwa danych osobowych, należy bardzo zwracać uwagę na odpowiednie zabezpieczenie dokumentacji. To z kolei należy do pracodawców, którzy są administratorami danych. Odnosi się to zarówno do przetwarzania danych przy wykorzystaniu środków komunikacji elektronicznej, jak i danych zawartych w dokumentach papierowych.
Europejska Rada Ochrony Danych zwraca uwagę na najważniejsze wytyczne dotyczące ochrony danych w kontekście zwalczania pandemii COVID-19. Jak podaje UODO, Misja Stanów Zjednoczonych zapytała o możliwość powołania się na wyjątek od przepisów art. 49 RODO, aby umożliwić międzynarodowe przepływy danych. Zdaniem EROD przepisy unijnego rozporządzenia umożliwiają współpracę między naukowcami z EOG i spoza EOG w zakresie poszukiwania szczepionki przeciwko COVID-19 i metod leczenia, przy jednoczesnej ochronie podstawowych praw ochrony danych w EOG. Przy czym należy preferować rozwiązania, które gwarantują stałą ochronę podstawowych praw osób, których dane dotyczą, takie jak decyzje stwierdzające odpowiedni stopień ochrony danych lub odpowiednie zabezpieczenia (zawarte w art. 46 RODO).
PYTANIE Czy w związku z art. 22[1b] Kodeksu pracy mówiącym o przetwarzaniu danych o stanie zdrowia pracowników na podstawie art. 9 ust. 1 RODO pracodawca powinien upoważnić pracowników kadr, a może też BHP (wypadki przy pracy) do przetwarzania danych o stanie zdrowia pracowników, kandydatów do pracy? Natomiast, jeżeli pracodawca przetwarza dane na podstawie art. 9 ust. 2 lit. b i h, to upoważnienie do przetwarzania danych osobowych o stanie zdrowia jest konieczne czy nie?
PROBLEM Urząd prowadził postępowanie administracyjne w sprawie budowy przez inwestora. Sąsiad inwestora chciał zostać stroną postępowania, otrzymał odmowę, więc wystąpił do wojewody z zażaleniem. Czy należy udostępnić inwestorowi kopię pisma przewodniego do wojewody z danymi osobowymi składającego zażalenie? Czy w pismach do inwestora można umieścić informację z danymi "imię i nazwisko" w rozdzielniku do pisma?
PROBLEM Pracownik ma kilka miejsc pracy. W związku z COVOD-19 jedno z jego miejsc pracy zostało poddane kwarantannie. On również. Po zakończeniu kwarantanny wrócił do pracy. Czy pracodawca może zapytać pracownika, czy świadczy dalej pracę u pracodawcy, u którego był objęty kwarantanną? Czy pracownik może odmówić podania takiej informacji, powołując się na RODO?
PROBLEM Wójt gminy otrzymał petycje w sprawie rozważenia przez wójta możliwości wprowadzenia screeningu wszystkich osób wchodzących do urzędu, pozwalającego wskazać osoby z podwyższoną temperaturą ciała. Czy wobec powyższego jest podstawa prawna, aby wójt monitorował w ten sposób osoby wchodzące do urzędu?
PROBLEM Obowiązujący na terenie Polski stan epidemii oraz ciągłe działania prowadzone przez jednostki Państwowej Inspekcji Sanitarnej oraz placówki służby zdrowia związane są z przetwarzaniem ogromnej ilości danych osobowych, w tym danych o stanie zdrowia obywateli. Informacje te mogą dotyczyć w szczególności osób, u których zdiagnozowano chorobę COVID-19, jak również tych, które oczekują na wynik badania, gdyż podejrzewa się u nich zachorowanie. Służby sanitarne przetwarzają ponadto dane osób na kwarantannie. Jak należy to przeprowadzić zgodnie z zasadami RODO?
PROBLEM Jednym z podstawowych zaleceń związanych z prewencją rozprzestrzeniania się koronawirusa SARS-CoV-2 jest pozostanie w domu. W tym szczególnym okresie osoby korzystające na co dzień z usług instytucji kultury nie mają możliwości fizycznej obecności w siedzibach takich instytucji i podejmowania dotychczasowych działań. Wiele aktywności, w tym także korzystanie z różnego rodzaju usług kulturalnych, przeniosło się do Internetu. Jak należy zadbać o prawidłową organizację pracy jednostki w dobie pandemii?
PROBLEM Jak należycie chronić interesy pracowników i uczniów, w szczególności respektować przysługujące im prawo do ochrony wizerunku? Tym bardziej że okres wakacji może okazać się bardzo dogodnym momentem do wprowadzenia monitoringu w szkole.
PROBLEM Czy wójt może wystąpić do ośrodka pomocy społecznej o podanie danych osób przebywających na kwarantannie
W czasach pandemii praca zdalna jest preferowaną formą pracy wielu podmiotów. Jednak nie można zapominać w tym przypadku o przestrzeganiu zasad wynikających z przepisów RODO. Dotyczy to również samych pracowników, którzy przecież nadal przetwarzają dane osobowe, mimo iż niekiedy w nieco innej formie, bo elektronicznej. Poniższa lista kontrolna pozwoli zweryfikować, czy zachowane są najważniejsze reguły dotyczące bezpieczeństwa danych osobowych. Odnosi się to także do sprzętu, z jakiego pracownik korzysta.
Szkolenia w formie tradycyjne w obecnej sytuacji są raczej niewykonalne. Popularność zdobywają natomiast kursy prowadzone w formie elektronicznej. Szczególnie istotne, jeśli musimy przeszkolić pracowników przez ekspertów zewnętrznych. Nie zapominajmy o spełnieniu obowiązku informacyjnego w stosunku do kursantów. Poniżej proponujemy przykładowy wzór takiego dokumentu.
