U każdego pracodawcy może powstać kasa zapomogowo-pożyczkowa (KZP), z której mogą korzystać nie tylko pracownicy, ale także emeryci i renciści. W związku z udzielaniem pożyczek dochodzi do przetwarzania przez KZP danych osobowych - zarówno w dokumentach papierowych jak i elektronicznie. Przybliżamy zasady ochrony danych osobowych w kasie zapomogowo-pożyczkowej według RODO.

Dokumenty udostępniane jako informacja publicznych podlegają anonimizacji przede wszystkim ze względu na ochronę prywatności. Podmiot publiczny musi więc anonimizować dokumenty z danymi osobowymi, zanim udostępni je w charakterze informacji publicznej. Wymóg anonimizacji wynika zarówno z ustawy o dostępie do informacji publicznej, jak i z RODO. Sprawdź, jak może wyglądać anonimizacja danych z dokumentów.

Privacy by design to obok reguły privacy by default jedna z podstawowych zasad RODO. Jest to inaczej zasada prywatności w fazie projektowania. Zgodnie z nią administrator danych musi zastosować odpowiednie środki bezpieczeństwa. Innymi słowy, musi on na etapie projektowania, a więc jeszcze przed rozpoczęciem przetwarzania uwzględnić w odpowiednim zakresie ochronę danych osobowych i wdrożyć stosowne środki bezpieczeństwa danych.

Gmina jest odpowiedzialna za ochronę środowiska. W miejscach publicznych lecz odosobnionych dochodzi do notorycznego wyrzucania śmieci i odpadów. W związku z tym gmina może rozważać zakup tzw. fotopułapki - specjalne kamery do rejestrowania obrazu i dźwięku -  m.in. w celu ustalenia odpowiedzialnego i zobowiązania go do usunięcia śmieci. Sprawdź, czy instalacja fotopułapek przez gminę walce z dzikimi wysypiskami śmieci jest zgodna z RODO.

Prezes Urzędu Ochrony Danych Osobowych upomniał jednego z administratorów danych osobowych (ADO) z sektora publicznego. Upomnienie dotyczyło nieprawidłowości w przetwarzaniu danych osobowych. Otóż w elektronicznej korespondencji seryjnej ADO udostępniał nieupoważnionym osobom trzecim dane innych odbiorców dotyczące adresu e-mail. Jeden z odbiorców wystosował skargę na nieuprawnione przetwarzanie jego danych.

Pytanie:  Biblioteka wojewódzka organizuje szkolenia dla bibliotekarzy powiatowych/gminnych bibliotek publicznych w województwie. Czy w sytuacji, gdy uczestników szkolenia zgłasza ich przełożony/dyrektor i przekazuje bibliotece (organizatorowi szkolenia) dane osobowe delegowanych pracowników (biblioteka nie otrzymuje danych bezpośrednio od uczestników), to należy zobowiązać go do przekazania swoim pracownikom informacji o przetwarzaniu przez organizatora szkolenia ich danych osobowych? Czy należy to zrobić w piśmie informującym o szkolenie/zaproszeniu do udziału w szkoleniu przesyłanym e-mailem? 

Administrator ma obowiązek zgłaszania naruszeń ochrony danych osobowych Prezesowi Urzędu Ochrony Danych Osobowych, a w niektórych przypadkach także osobom, których te dane dotyczą. To jednak nie wszystko. Rolą administratora jest także dokumentowanie naruszeń danych osobowych. Co istotne, dotyczy to także takich naruszeń, których nie trzeba zgłaszać. Sprawdź, jakie naruszenia ochrony danych należy dokumentować i jak to robić.

Pytanie:  Czy po przekazaniu sprawy według właściwości możemy gromadzić kopie pism, zawiadomień o przekazaniu sprawy właściwemu organowi i w ten sposób nadal przetwarza dane osobowe osób, które błędnie przesłały do nas wnioski? Często pisma przychodzą przez ePUAP i muszą by rejestrowane, poza tym obowiązują nas przepisy o archiwizacji.

W przypadku powierzenia przetwarzania danych na administratorze spoczywa duża odpowiedzialność. Dlatego powinien on korzystać wyłącznie z usług takich procesorów, które zapewniają wystarczające gwarancje wdrożenia odpowiednich środków bezpieczeństwa. Nie jest jednak tak, że na procesorze nie ciążą żadne obowiązki.

Z jednej strony założeniem RODO jest rozliczanie za skuteczność ochrony danych osobowych. Ogólnie rzecz ujmując, RODO nie obliguje do prowadzenia konkretnej dokumentacji. Niemniej jednak braki w dokumentacji ODO mogą skutkować wymierzeniem administracyjnej kary pieniężnej.