Prezes Urzędu Ochrony Danych Osobowych upomniał jednego z administratorów danych osobowych (ADO) z sektora publicznego. Upomnienie dotyczyło nieprawidłowości w przetwarzaniu danych osobowych. Otóż w elektronicznej korespondencji seryjnej ADO udostępniał nieupoważnionym osobom trzecim dane innych odbiorców dotyczące adresu e-mail. Jeden z odbiorców wystosował skargę na nieuprawnione przetwarzanie jego danych.

Pytanie:  Biblioteka wojewódzka organizuje szkolenia dla bibliotekarzy powiatowych/gminnych bibliotek publicznych w województwie. Czy w sytuacji, gdy uczestników szkolenia zgłasza ich przełożony/dyrektor i przekazuje bibliotece (organizatorowi szkolenia) dane osobowe delegowanych pracowników (biblioteka nie otrzymuje danych bezpośrednio od uczestników), to należy zobowiązać go do przekazania swoim pracownikom informacji o przetwarzaniu przez organizatora szkolenia ich danych osobowych? Czy należy to zrobić w piśmie informującym o szkolenie/zaproszeniu do udziału w szkoleniu przesyłanym e-mailem? 

Administrator ma obowiązek zgłaszania naruszeń ochrony danych osobowych Prezesowi Urzędu Ochrony Danych Osobowych, a w niektórych przypadkach także osobom, których te dane dotyczą. To jednak nie wszystko. Rolą administratora jest także dokumentowanie naruszeń danych osobowych. Co istotne, dotyczy to także takich naruszeń, których nie trzeba zgłaszać. Sprawdź, jakie naruszenia ochrony danych należy dokumentować i jak to robić.

Pytanie:  Czy po przekazaniu sprawy według właściwości możemy gromadzić kopie pism, zawiadomień o przekazaniu sprawy właściwemu organowi i w ten sposób nadal przetwarza dane osobowe osób, które błędnie przesłały do nas wnioski? Często pisma przychodzą przez ePUAP i muszą by rejestrowane, poza tym obowiązują nas przepisy o archiwizacji.

W przypadku powierzenia przetwarzania danych na administratorze spoczywa duża odpowiedzialność. Dlatego powinien on korzystać wyłącznie z usług takich procesorów, które zapewniają wystarczające gwarancje wdrożenia odpowiednich środków bezpieczeństwa. Nie jest jednak tak, że na procesorze nie ciążą żadne obowiązki.

Z jednej strony założeniem RODO jest rozliczanie za skuteczność ochrony danych osobowych. Ogólnie rzecz ujmując, RODO nie obliguje do prowadzenia konkretnej dokumentacji. Niemniej jednak braki w dokumentacji ODO mogą skutkować wymierzeniem administracyjnej kary pieniężnej.

Tworzenie kopii zapasowych danych osobowych to jeden ze środków bezpieczeństwa przetwarzania. Wprawdzie nie jest on obowiązkowy. Niemniej jednak w wielu przypadkach stosowanie takich kopii jest rekomendowane przez ekspertów. Sprawdź, na jakich zasadach wdrożyć i stosować kopie zapasowe danych w organizacji.

Pytanie:  Kto jest administratorem danych osobowych danych osób przystępujących do naboru na rachmistrzów spisowych oraz rachmistrzów?

Niejednokrotnie jednostki samorządowe otrzymują żądania o udostępnienie informacji publicznej w zakresie danych finansowych. Pytania dotyczą m.in. numerów rachunków bankowych ale też wydruków operacji finansowych. W informacjach tych niejednokrotnie znajdują się dane osobowe kontrahentów. Sprawdź, czy udostępnienie takich informacji jest konieczne.

Pytanie:  Rada nadzorcza spółdzielni mieszkaniowej przed posiedzeniem otrzymuje e-mailowe zawiadomienie o terminie posiedzeniu wraz z załącznikami (dokumentami Spółdzielni mieszkaniowej). Czy e-mail służbowy członka rady nadzorczej musi być szyfrowany? Czy w e-mailu powinna być informacja, że po podpisaniu protokołu z posiedzenia należy trwale usunąć emalia z wysłanymi dokumentami?