Numer 113
Zakup preferencyjny paliwa stałego dla gospodarstw domowych z pominięciem przepisów o ochronie danych osobowych
Ze względu na silną potrzebę zabezpieczenia najbardziej potrzebujących gospodarstw domowych na okres grzewczy 2022/2023 r. opracowany został wariant preferencyjnego zakupu paliwa stałego w postaci węgla kamiennego przez gospodarstwa domowe, którego sprzedażą mogą zajmować się gminy. Niezbędne jest złożenie stosownego wniosku z podaniem licznych danych osobowych. Ustawa nie uwzględnia żadnych przepisów szczególnych z zakresu ochrony danych osobowych, co w praktyce już powoduje rozbieżności i problemy. Jak zatem postępować?
Współadministratorzy a procesorzy i odbiorcy – poznaj definicje RODO
W artykule porównamy współadministratorów z samodzielnymi administratorami, a także podmiotami przetwarzającymi i odbiorcami. Poza tym konieczne jest nawiązanie do pojęcia „strona trzecia”. Punktem wyjścia są tu definicje zawarte w RODO.
Sztuczna inteligencja a ochrona danych
Już w filmie WarGames z 1983 roku komputer był w stanie samodzielnie rozpętać globalną wojnę termonuklearną. Czterdzieści lat później urządzenia o większej mocy obliczeniowej nosimy w kieszeni naszych spodni. Czy powierzając maszynom nasze dane osobowe, nie ryzykujemy, że kiedyś zaczną one być przetwarzane w sposób wymykający się spod kontroli człowieka?
Numer 112
Akt o usługach cyfrowych – co musi wiedzieć polski przedsiębiorca (cz. IV)
W cyklu artykułów poświęconych zmianom wprowadzonym przez akt o usługach cyfrowych teraz skupimy się na omówieniu obowiązków dostawców usług hostingu, w tym platform internetowych i dużych platform internetowych. Należy pamiętać, że te dodatkowe wymogi nie zwalniają dostawców usług hostingu – niezależnie od ich rodzaju – z realizacji dotychczas omawianych obowiązków.
Wytyczne EROD na temat postępowania w sytuacjach naruszeń ochrony danych osobowych
Wdrożenie prawidłowych, adekwatnych do zagrożeń zabezpieczeń oraz przyjęcie wewnętrznych procedur działania pomaga zminimalizować ryzyko wystąpienia niepożądanych zdarzeń, takich jak naruszenie dostępności, poufności lub integralności danych. Mimo to, ryzyko w sferze ochrony danych osobowych zawsze będzie istniało. W związku z tym administrator musi być świadomy, jak postępować w sytuacji naruszenia ochrony danych osobowych. Pomocne w tym zakresie mogą być nowe wytyczne Europejskiej Rady Ochrony Danych (dalej: EROD), które niedawno trafiły do publicznych konsultacji. Czego możemy dowiedzieć się z tego dokumentu?
Numer specjalny 34
Zabezpieczenie danych przetwarzanych w systemach teleinformatycznych: bezpieczne oprogramowanie oraz poczta
Sprawdźmy, jak Urząd Ochrony Danych Osobowych podchodzi do kwestii bezpiecznego pobierania oprogramowania oraz bezpiecznego korzystania z poczty elektronicznej.
Zabezpieczenie danych przetwarzanych w systemach teleinformatycznych od strony technicznej: zagadnienia ogólne
Urząd Ochrony Danych Osobowych zorganizował webinarium poświęcone zabezpieczeniu danych osobowych przetwarzanych w systemach informatycznych. Część webinarium polegała na omówieniu technicznych aspektów zabezpieczenia danych osobowych przetwarzanych w systemach teleinformatycznych. Warto sprawdzić, jak do tego typu kwestii podchodzą pracownicy urzędu.
Wyciek danych po stronie procesora – kto za to odpowiada
Spełnienia wymogów bezpieczeństwa przetwarzania danych należy oczekiwać także od procesora, zwłaszcza gdy specjalizuje się on w usługach, w związku z którymi następuje powierzenie przetwarzania.
Numer 111
Jakie dane można uwzględnić w pełnomocnictwie
Ilość danych osobowych zamieszczanych w pełnomocnictwie a dotyczących pełnomocnika nie jest niczym nieograniczona. Pełnomocnik nie musi w szczególności wskazywać swojego adresu zamieszkania. Jak więc wygląda prawidłowy sposób opisania pełnomocnika w pełnomocnictwie?
Co z tymi kluczami, czyli jakie środki kontroli pomieszczeń stosować
Administrowanie danymi osobowymi generuje obowiązek właściwego ich zabezpieczania, także pod kątem fizycznym. W ramach zabezpieczeń fizycznych jednym z problemów jest zapewnienie właściwego dostępu za pomocą kluczy i ich przechowywanie.
Numer 110
Akt o usługach cyfrowych – jakie nowe obowiązki będzie miał polski przedsiębiorca (cz. II)
Dostawcy usług pośrednich będą zobowiązani do wyznaczenia przedstawiciela prawnego, jeżeli będą zlokalizowani poza terytorium Unii Europejskiej. Oprócz tego przede wszystkim będą mieli obowiązek prawidłowo komunikować się z odbiorcami usług. O nowych obowiązkach dostawców, które wejdą w życie wraz z aktem usług cyfrowych, przeczytasz w artykule.
Sprawa zatrucia Odry – wyciek danych osobowych z GIOŚ
Rzecznik Praw Obywatelskich poinformował o podejrzeniu nieuprawnionego udostępnienia danych osób zgłaszających zatrucie Odry do Głównego Inspektoratu Ochrony Środowiska. Sprawdź, w jakich okolicznościach doszło do wycieku.
Numer specjalny 33
Wskazówki dla administratora, jak wdrożyć politykę w organizacji
Samo przygotowanie treści polityki bezpieczeństwa, procedury lub innej instrukcji dotyczącej ochrony danych osobowych zwykle nie wystarczy. Konieczne jest przyjęcie danego dokumentu, jego publikacja i wprowadzenie w życie. W przypadku organizacji, w których w przetwarzaniu danych osobowych uczestniczą inne osoby, nie obędzie się także bez szkolenia personelu. Sprawdź, jak zapewnić, aby polityka, procedura lub instrukcja były w organizacji wdrożone i przestrzegane.
Jak prawidłowo zredagować politykę, procedurę lub instrukcję
Polityki bezpieczeństwa i inne, a także procedury oraz instrukcje są aktami wewnętrznymi. W procesie ich tworzenia nie ma więc konieczności przestrzegania zasad techniki prawodawczej. Nie oznacza to jednak, że nie warto. Wręcz przeciwnie. Poznaj zatem zasady techniki tworzenia polityk bezpieczeństwa i innych wewnętrznych aktów regulujących zasady ochrony danych osobowych.
Numer 109
Reguły rejestrowania i transmitowania posiedzeń komisji samorządowych organów kolegialnych
Zasada jawności działania organów władzy publicznej, zwłaszcza kolegialnych organów pochodzących z wyborów bezpośrednich, jest realizowana na wiele ustawowo przewidzianych sposobów. Wśród nich jest możliwość wejścia na sesje np. rady gminy i posiedzenia ich komisji. Warto zatem dowiedzieć się, czy w dobie cyfryzacji można nagrywać przebieg takich spotkań oraz publikować w przestrzeni publicznej.
Polityka porządkowania, kopiowania i niszczenia dokumentacji papierowej
Niniejsza procedura może stanowić osobny dokument lub wejść w skład większego dokumentu stanowiącego instrukcję postępowania z danymi osobowymi.
Numer 108
Jak przetwarzać dane osobowe w ramach grupy kapitałowej
W organizacji obsługa procesów kadrowych obejmuje dwie spółki powiązane kapitałowo. Spółka matka to administrator swoich danych kadrowych oraz jednocześnie podmiot przetwarzający dane kadrowe pracowników spółki córki. Spółka córka to administrator, który powierzył do przetwarzania dane kadrowe swoich pracowników spółce matce. Spółka matka jest spółką wiodącą i sprawującą kontrolę (struktura właścicielska). Jak w takiej sytuacji poprawnie spółka córka ma zrobić analizę ryzyka, jak określić zagrożenia, zabezpieczenia?
Czy można przechowywać akt urodzenia dziecka w aktach osobowych pracownika
Akta osobowe pracownika to cała dokumentacja pracownicza związana ze stosunkiem pracy. Przepisy prawa określają zarówno, w jaki sposób należy prowadzić taką dokumentację, jak i przez jaki okres powinna ona być przechowywana. Pracownik, który korzysta z przysługującego mu urlopu związanego z rodzicielstwem, jak np. urlopu macierzyńskiego czy rodzicielskiego, powinien zgłosić swój zamiar pracodawcy i przedłożyć stosowne dokumenty. Sprawdź, jakie dokumenty należy przedłożyć oraz w jakiej formie.
Numer 107
Wzorcowy test równowagi
Aby przetwarzać dane osobowe w oparciu o przesłankę realizacji uzasadnionego interesu administratora lub osoby trzeciej, należy oszacować wpływ przetwarzania danych na interesy lub podstawowe prawa i wolności podmiotu danych. Od tej oceny zależy możliwość przetwarzania danych na tej podstawie.
Wzór klauzuli informacyjnej dla darczyńcy
Poznaj przykładową treść klauzuli informacyjnej przegotowanej dla darczyńcy. Dokument ten można w zależności od potrzeb organizacji modyfikować i dopasowywać do określonych okoliczności.
Numer specjalny 32
Polityka zarządzania konfliktem interesów w kontekście pełnienia funkcji IOD w jednostce
Czy administrator opracował politykę zarządzania konfliktem interesów lub wprowadził inny mechanizm zapewniający niewystępowanie konfliktu interesów? To jedno z pytań, jakie znalazło się na liście zagadnień UODO, do których będą musieli odnieść się losowo wezwani administratorzy danych osobowych i podmioty przetwarzające. Jak zatem mogłaby wyglądać taka polityka?
Kontrola RODO – jakie obowiązki i przywileje ma kontrolowany
Poniższe zestawienie obrazuje krok po kroku przebieg kontroli Urzędu Ochrony Danych Osobowych, a także związane z nią obowiązki i uprawnienia kontrolowanego. Sprawdź, jak wygląda cały proces i przygotuj na niego swój personel.
Numer 106
Upoważnienie do przetwarzania danych osobowych dla pracowników
To, że dany podmiot (np. urząd) występuje w roli administratora danych osobowych lub procesora i może przetwarzać dane osobowe, nie oznacza jeszcze, że dostęp do tych danych ma mieć każdy z pracowników takiego podmiotu. Trzeba upoważnić konkretnego pracownika do przetwarzania danych osobowych.
Resort cyfryzacji przestrzega przed oszustwem nigeryjskim
Oszustwo nigeryjskie to bardzo niebezpieczny rodzaj cyberataku. Zwykle ma ono międzynarodowy charakter, dlatego wykrycie sprawcy i rekompensata doznanych szkód są niezwykle trudne. Sprawdź, jak chronić się przed takim atakiem.
Rekrutacja w podmiotach publicznych – o czym pamiętać, przetwarzając dane kandydata
Pozyskanie danych osobowych od kandydata do pracy stanowi dość złożony proces. Dlatego w niniejszym artykule omówione zostaną najważniejsze zagadnienia, takie jak zapisy Kodeksu pracy, zasada minimalizacji danych oraz najczęściej popełniane błędy w ogłoszeniach o pracy.
Numer 105
Monitoring we wspólnocie mieszkaniowej – pod ścisłym rygorem RODO
Obowiązujące przepisy prawa polskiego nie odnoszą się wprost do samego monitoringu wizyjnego (pomijając stosunek pracy i Kodeks pracy), co nie oznacza jednak, że obowiązuje w tym przypadku zasada: „co nie jest zakazane, jest dozwolone”. Monitorowanie osób dotyka bowiem zagadnień związanych z zagwarantowanym konstytucyjnie prawem do prywatności (art. 47 Konstytucji), których emanacją jest ochrona godności i innych dóbr osobistych człowieka.
Jak sprawdzić niekaralność osoby ubiegającej się o zatrudnienie w banku
Podmiot sektora finansowego, chcąc sprawdzić niekaralność osoby, którą zamierza przyjąć do pracy lub już zatrudnia, ma prawo żądać jedynie złożenia przez nią stosownego oświadczenia. Ma też prawo żądać udokumentowania przedstawionych informacji, ale może ono nastąpić wyłącznie przez przedłożenie stosownej informacji z Krajowego Rejestru Karnego, wydawanej osobie, której dane dotyczą.
Numer 104
Problematyka zgody na pliki cookies w świetle decyzji UODO w praktyce
Pliki cookies powstają po odwiedzeniu przez danego użytkownika określonej strony internetowej. Na stosowanie plików cookies użytkownik powinien wyrazić zgodę. W praktyce jednak powstaje problem, jak odnośnie do takiej zgody pogodzić przepisy prawa o ochronie danych osobowych z prawem telekomunikacyjnym.
O czym należy pamiętać podczas rejestracji pracownika z Ukrainy
Wiele spośród osób, które uciekły przed wojną w Ukrainie do Polski, chce się uniezależnić i podjąć zatrudnienie. Po stronie polskich przedsiębiorców widać ogromną chęć pomocy w tym zakresie poprzez zapewnienie zainteresowanym pracy. Chociaż dzięki nowym przepisom tego rodzaju działania są mocno odformalizowane, to jednak nadal niezbędne jest zrealizowanie pewnych obowiązków. O jakie czynności chodzi i jak mają się one do przepisów dotyczących ochrony danych osobowych?
Numer 103
Sprzątanie pomieszczeń biurowych i przeprowadzki – jak zachować bezpieczeństwo danych obywateli
Zasadniczo firmy sprzątające i przeprowadzkowe nie mają do czynienia z przetwarzaniem danych osobowych. Dlatego nie ma obowiązku zawierania z nimi umowy powierzenia. Wyjątek od tej zasady istnieje, gdy firmy te dodatkowo świadczą jakiekolwiek usługi związane z pracą na dokumentach.
Przetwarzanie danych a świadczenie usług online – o czym należy pamiętać
Świadczenie usług w Internecie nieodzownie wiąże się z przetwarzaniem danych osobowych użytkowników. Mogą to być bardzo różne informacje – od danych potrzebnych do skompletowania jakiegoś zamówienia (adres, imię i nazwisko) do danych, które są „mniej oczywiste”, chociażby adres IP lub informacje zapisywane w ramach plików cookies. Na co powinniśmy zwrócić uwagę, świadcząc usługi online, tak aby były one zgodne z RODO?
Numer specjalny 31
Udostępnianie danych o pracownikach i współpracownikach – służbowe dane identyfikujące
Oprócz danych kontaktowych dotyczących numeru telefonu administrator danych osobowych może być zainteresowany upublicznieniem innych informacji o pracownikach, takich jak stanowisko służbowe, doświadczenie oraz utrwalony w postaci zdjęcia wizerunek. W jakim zakresie administrator może takie dane wykorzystać?
Poznaj szczególne reguły udostępniania dokumentacji medycznej w czasie pandemii
Obostrzenia, które wprowadziły podmioty medyczne w obawie przed zagrożeniem rozprzestrzeniania się koronawirusa SARS-CoV-2, nie mogą wyłączać ani ograniczać podstawowych praw pacjenta, do których niewątpliwie zaliczyć można dostęp do dokumentacji medycznej.
102
UODO nie może nakazać udostępnienia danych osobowych podmiotowi trzeciemu
Organizacja zakładowa wystąpiła do jednego z pracodawców o udostępnienie danych osobowych jego pracowników. Jako cel organizacja wskazała przeprowadzenie referendum strajkowego. Prezes Urzędu Ochrony Danych Osobowych początkowo wydał decyzję nakazującą udostępnienie danych, a następnie – już na etapie postępowania przed sądem administracyjnym – sam stwierdził, że nie miał kompetencji do wydania stosownego nakazu. Dowiedz się dlaczego.
Przepisy o kasach zapomogowo--pożyczkowych wymagają zmiany
UODO, podzielając sygnalizowane mu problemy ze stosowaniem przepisów ustawy z 11 sierpnia 2021 r. o kasach zapomogowo-pożyczkowych, zwrócił się do ministra rodziny i polityki społecznej o ich analizę i dokonanie zmian, tak aby przesłanki przetwarzania danych osobowych członków kas zapomogowo-pożyczkowych były jasne i wyczerpujące, a jednocześnie nie nadmiarowe i zgodne z przepisami RODO.
101
Za brak odpowiednich zabezpieczeń danych Politechnika Warszawska ukarana
Niezastosowanie adekwatnych środków bezpieczeństwa było główną przyczyną ukarania Politechniki Warszawskiej. Uczelnia musi zapłacić karę w wysokości 45 tys. zł.
Numer specjalny 30
Ochrona dobrego imienia firmy i wizerunku, udzielanie informacji na żądanie prasy – przydatne dokumenty
Prezentujemy wzory dokumentów przydatne m.in. w związku z ochroną dobrego imienia firmy. Takim dokumentem jest pozew w związku z naruszeniem dobrego imienia. Wskazujemy również, jak powinno wyglądać zezwolenie na rozpowszechnianie wizerunku. Poza tym przedstawiamy wzór odmowy udzielenia informacji na żądanie prasy.
Nr 100
Poufna dokumentacja firmowa, czyli jaka
10 wskazówek – jak zapewnić poufność dokumentacji firmowej.
Naruszenia ochrony danych – jak walczyć z błędami pracowników
Prezentujemy 6 rad dla administratora będącego pracodawcą.
Nr 99
RODO a rejestracja pacjentów
Rejestracja pacjenta w placówce medycznej – jakie dane osobowe można przetwarzać w tym celu.
Kiedy ujawnienie adresu IP jest obowiązkowe (komentarz eksperta)
Adres IP w niektórych przypadkach musi zostać udostępniony – sprawdź, w jakich.
