WYDANIE ONLINE
Niedługo wchodzi w życie rozporządzenie Rady Ministrów z 21 listopada 2022 r. w sprawie portalu danych (Dz.U. z 2022 r. poz. 415). Sprawdź, czym jest ten portal i jak będzie wyglądało udostępnianie danych w tym portalu. Jest to szczególnie istotne dla jednostek sektora finansów publicznych.
Pytanie: Czy i jakie dokumenty dotyczące ochrony danych można udostępnić nowo zatrudnionemu informatykowi?
Pytanie: Czy administrator danych osobowych będący jednostką samorządu terytorialnego może się uchronić, np. poprzez podpisanie określonego dokumentu, przed odpowiedzialnością za zgubienie lub kradzież sprzętu powierzonego pracownikowi przez tego pracownika? Chodzi o sprzęt, który może być nośnikiem danych osobowych, a zatem nie tylko o laptop, ale też o sprzęt dający się łatwo zgubić, tj. np. dysk USB.
Pytanie: Wyciek danych osobowych w postaci numerów PESEL zwykle generuje wysokie ryzyko dla praw i wolności podmiotów danych. Wiąże się ono przede wszystkim z kradzieżą tożsamości czy zaciągnięciem zobowiązania na osobę poszkodowaną. Czy jednak zawsze jest to wysokie ryzyko?
Podczas przekazywania danych do państw trzecich niezbędne jest zapewnienie poziomu ochrony tożsamego z RODO. Realizacja tej reguły może nastąpić na kilka sposobów, a najprostszym z nich jest scenariusz, gdzie Komisja Europejska stwierdzi odpowiedni poziom ochrony w państwie trzecim, tym samym legalizując przekazywanie danych do podmiotów z takiego kraju. Kolejną często stosowaną opcją są tzw. Standardowe Klauzule Umowne, czyli zatwierdzone przez Komisję wzory umów, zmierzających do zagwarantowania odpowiedniego bezpieczeństwa danych przekazywanych pomiędzy dwoma podmiotami. Inną możliwością legalizującą transfery danych, na których to skupi się niniejszy artykuł, są tzw. wiążące reguły korporacyjne.
Pytanie: W jednostce organizowane są szkolenia podnoszące kwalifikacje pracowników. Szkolenia te mają charakter szkoleń wewnętrznych i koszty za nie ponosi nasz podmiot. Szkolenia są prowadzone w naszej siedzibie, przez profesjonalne firmy zewnętrzne zajmujące się szkoleniami z danego zakresu tematycznego. Firmy szkoleniowe przekazują nam dokumenty do podpisu w związku ze szkoleniem, wśród których bardzo często załączane są umowy powierzenia danych. W innych przypadkach firmy szkoleniowe takich umów nie przekazują. Jak w takim razie być powinno? Czy powinniśmy zawierać umowę powierzenia danych, czy też nie powinniśmy? Jak inaczej zabezpieczyć naszą firmę na tzw. wszelki wypadek?
Pytanie: Jakie podmioty oraz w jaki sposób muszą zgłosić incydent do CSIRT?
Administrator danych osobowych powinien pamiętać o tym, że nie wystarczy jednorazowe przygotowanie dokumentacji z zakresu ochrony danych osobowych. Konieczna jest również aktualizacja gromadzonych danych. Poniższa lista kontrolna, wraz z przykładowym wypełnieniem niektórych rubryk, pozwala zweryfikować, które dokumenty wymagają aktualizacji.
Aby sprawnie i zgodnie z przepisami dokumentować, że inne osoby niż administrator danych osobowych przetwarzają dane osobowe w organizacji, na polecenie ADO i według ustalonych przez niego reguł, potrzebna jest procedura nadawania uprawnień w systemie informatycznym. Przedstawiamy przykładowy wzór dokumentu.
