WYDANIE ONLINE
Numer PESEL to jeden z najważniejszych rodzajów danych osobowych, służący do identyfikacji osób i pozwalający na dokonywanie wielu czynności. Nowe przepisy pozwalają na nadawanie numerów PESEL obywatelom Ukrainy, którzy przybyli do Polski w związku z rosyjską agresją.
Pytanie: Czy inspektor ochrony danych będący IOD w starostwie powiatowym oraz w jednostkach podległych może wydać opinię na temat prawidłowości wdrożenia odpowiednich środków technicznych i organizacyjnych zapewniających przetwarzanie danych osobowych zgodnie z przepisami w jednostkach podległych organowi zwierzchniemu? Czy organ zwierzchni może żądać takiej opinii od IOD w celu oceny pracy i realizacji obowiązków dyrektora szkoły? Czy organ prowadzący może kontrolować w tym zakresie jednostkę podległą? Do zadań dyrektora szkoły należy wdrożenie odpowiednich środków technicznych i organizacyjnych zapewniających zgodne przetwarzanie danych osobowych przez szkołę lub placówkę z przepisami o ochronie danych osobowych. Czy wdrożenie odpowiednich środków ochrony danych to zakres spraw administracyjnych?
Pytanie: Wojewódzka stacja sanitarno-epidemiologiczna (dalej: WSSE) otrzymała wniosek o realizację prawa wynikającego z art. 15 RODO w zakresie uzyskania kopii wszystkich przetwarzanych danych. Wniosek został złożony za pośrednictwem e-PUAP stacji. Po dokonaniu przeglądu wszystkich zbiorów danych w formie papierowej i informatycznej okazało się, że osoba wnioskująca nie była objęta działaniem administracyjnym naszej stacji. Jednak jej dane zostały wykryte w systemie EWP i SEPIS. Dane do powyższych systemów były wprowadzone przez inne podmioty w związku z kilkoma badaniami w kierunku SARS-CoV-2 oraz uzyskaniem wyniku pozytywnego przez osobę wnioskującą w kierunku zakażenia SARS-Cov-2. Dodatkowo wywiad epidemiologiczny był przeprowadzany przez pracownika odrębnej powiatowej stacji sanitarno-epidemiologicznej. Istotne jest to, że do momentu otrzymania wniosku WSSE nie miała potrzeby i celu przetwarzania danych wskazanej osoby, gdy jej dane były wykorzystywane w procesach diagnostycznych i administracyjnych przez inne jednostki ochrony zdrowia oraz inne stacje sanitarno-epidemiologiczne. Czy WSSE ma obowiązek odpowiedzieć na to żądanie? Czy sam dostęp do aplikacji, w której dane są zamieszczone przez inny podmiot, obliguje do realizacji prawa z art. 15 RODO?
Pytanie: Do naszego powiatowego urzędu pracy wpłynęło pismo od agencji zatrudnienia. Agencja wnioskuje w nim o powierzenie przetwarzania danych osobowych osób bezrobotnych oraz o przekazanie danych wykraczających poza obowiązującą ustawę, tj. o aktualny profil pomocy bezrobotnemu. Czy możemy taki wniosek rozpatrzyć pozytywnie?
Nic tak nie podzieliło środowiska medycznego, jak tzw. dodatki covidowe, a od 1 marca, w związku z wprowadzeniem obowiązku szczepień przeciwko COVID-19, spór rozciągnie się na całe społeczeństwo. Nie każdy chce się szczepić, ale też nie na każdego został nałożony prawny obowiązek. Obowiązkowe szczepienia dla medyków wydają się jak najbardziej racjonalnym rozwiązaniem, ale ich wprowadzenie powinno być przeprowadzone w sposób rozważny, umożliwiający zarządzającym podmiotami medycznymi podjęcie właściwych kroków w oparciu o starannie przemyślane procedury.
Pytanie: W związku z reorganizacją pracy w spółce i zmianami personalnymi na poszczególnych stanowiskach osoba będąca obecnie specjalistą ds. ODO/asystent zarządu została skierowana na kurs kadrowo-płacowy w ramach wsparcia działu Kadry i Płace. Po zakończeniu kursu zajmie stanowisko specjalisty ds. kadr i płac. Czy w związku z tym, że w chwili obecnej jest odpowiedzialna za ochronę danych w spółce, występuje lub będzie występował konflikt interesów?
Pytanie: Czy w upoważnieniu do przetwarzania danych można zamieścić zapis: „Za naruszenie przepisów o ochronie danych osobowych, w tym RODO, grozi odpowiedzialność karna zgodnie z art. 107 i art. 108 ustawy o ochronie danych osobowych i art. 54 i art. 55 ustawy o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości”?
Naruszenie ochrony danych osobowych, które może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, wymaga od administratora danych osobowych dokonania – bez zbędnej zwłoki – zawiadomienia osób, których dane dotyczą, o incydencie. Zawiadomienie powinno nie tylko odpowiadać wymogom sformułowanym w art. 34 RODO, ale również musi zachować zgodność z zasadą przejrzystości.
Cyberbezpieczeństwo nabrało w ostatnim czasie szczególnego znaczenia. Bardzo istotne jest to, aby każdy administratora danych osobowych przygotował się na potencjalne cyberataki. Jednym ze sposobów jest opracowanie procedury ciągłości pracy systemów informatycznych. Poniżej przedstawiony jest przykładowy wzór dokumentu.
