Pytanie:  Powiat wynajmował pomieszczenie lekarzowi w celu świadczenia usług lekarskich. W 2019 r lekarz zaprzestał płacenia za wynajmowane pomieszczenia i została wypowiedziana umowa najmu. Aktualnie lekarz zajmuje bezumownie pomieszczenia i nadal świadczy swoje usługi. Lekarz przetwarza dane osobowe pacjentów i zgromadził bardzo pokaźny zbiór danych osobowych w postaci papierowej (akta z okresu około 20 lat). Po zakończeniu procedury sądowej planowana jest egzekucja komornicza - usunięcia lekarza z gabinetu. Lekarz nie wykazuje żadnych chęci zabrania dokumentacji medycznej. Jak powinniśmy postępować z aktami biorąc pod uwagę że czynności komornicze często ograniczają się do fizycznego wejścia do pomieszczenia i wymiany zamków.

Jednym z obowiązków administratora określonych w RODO jest, zgodnie z brzmieniem art. 25 RODO, uwzględnienie ochrony danych w fazie projektowania (privacy by design) oraz domyślna ochrona danych (privacy by default). Sprawdzamy, jak wykonać te czynności z wykorzystaniem metodyki PMIBoK®.

Kluczem dla zrozumienia przepisów i celów rozporządzenia 2016/679 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (dalej: RODO), jest tzw. podejście oparte na ryzyku. Wyraża się ono w nałożonym na administratora obowiązku przeprowadzania analizy ryzyka związanego z przetwarzaniem danych, jakie jest realizowane w organizacji.

Pytanie:  Czy prowadzenie wykazu zgód na dostęp do systemu informatycznego jest obowiązkowe?

Coraz ciężej wyobrazić sobie administratora, który od początku do końca jest osobiście zaangażowany we wszelkie operacje przetwarzania danych wewnątrz swojej organizacji. Przeciwnie, rozwój technologii, postępująca specjalizacja czy koszty obsługi powodują, że na wielu płaszczyznach swojej działalności administratorzy decydują się na skorzystanie z pomocy podmiotów trzecich – procesorów. Wybór procesora, podobnie jak inne czynności związane z ochroną danych osobowych w organizacji, musi być traktowany jako jeden z elementów podejścia opartego na ryzyku.

Pytanie:  Czy konieczne jest szyfrowanie dokumentów przesyłanych pomiędzy urzędami?

Pytanie:  Czy rozpoczynając audyt w organizacji, inspektor ochrony danych musi o tym informować administratora i jego personel. Czy powinien informować o tym Prezesa UODO?

Pytanie:  Pracodawca przebadał wszystkich pracowników na obecność koronawirusa. Jak długi powinien być okres przechowywania wyników badań laboratoryjnych w zakładzie pracy?

Pytanie:  Poprzez platformę ZUS wpłynęła do zakładu pracy informacja o osobie (zawierająca m.in. imię i nazwisko, pesel, termin zwolnienia lekarskiego), która nie jest pracownikiem firmy. Jak postąpić z tymi danymi?

W ostatnim czasie coraz większą popularność zdobywają szkolenia prowadzone przez Internet. Sprawdź, jakie wymogi w związku z RODO musi spełnić organizator szkolenia.