Powszechną praktyką jest udostępnianie danych osobowych w chmurze. Administrator może udostępnić dane osobowe innemu ADO za pośrednictwem chmury. Konieczne jest w związku z tym określenie zasad udostępniania oraz zabezpieczania danych, co może wymagać zawarcia porozumienia lub regulacji wewnętrznych.
Pracodawca zawiera umowa z urzędem pracy o odbyciu stażu w ramach projektu aktywizacji osób bezrobotnych. Czy należy w związku z tym zawrzeć umowę powierzenia przetwarzania danych? Czy też pracodawca i urząd pracy mają status odrębnych administratorów danych osobowych? Wyjaśnienie w artykule.
Dyrektywa NIS2 ustanawia pewne obowiązki także dla tzw. podmiotów kluczowych i ważnych (PKW), do których mogą się zaliczać niektórzy administratorzy danych osobowych zarówno z sektora prywatnego, jak i publicznego, w tym także w samorządzie. Na co zatem uwagę powinny zwrócić osoby odpowiedzialne za cyberbezpieczeństwo jednostkach samorządowych w związku z dyrektywą NIS2?
Powszechną praktyką jest udostępnianie danych osobowych w chmurze. Administrator może udostępnić dane osobowe innemu ADO za pośrednictwem chmury. Konieczne jest w związku z tym określenie zasad udostępniania oraz zabezpieczania danych, co może wymagać zawarcia porozumienia lub regulacji wewnętrznych.
Dyrektywa NIS2 ustanawia pewne obowiązki także dla tzw. podmiotów kluczowych i ważnych (PKW), do których mogą się zaliczać niektórzy administratorzy danych osobowych. Podmioty zaliczone do kategorii PKW mogą być podmiotami zarówno z sektora prywatnego, jak i publicznego, a więc także w jednostkach samorządu terytorialnego. Sprawdź, czy jednostka samorządu terytorialnego i samorządowe jednostki organizacyjne podlegają nowym przepisom dyrektywy NIS2.
Pytanie: Czy umowa administratora z inspektorem ochrony danych może zawierać postanowienie, zgodnie z którym w razie poniesienia przez administratora szkody zleceniobiorca czyli IOD zobowiązuje sięzrekompensować Zleceniodawcy doznaną z tego tytułu szkodę w pełnej wysokości, jeżeli powstanie tego obowiązku jest wynikiem zawinionego działania Zleceniobiorcy?
Ogólne rozporządzenie o ochronie danych przypisuje inspektorowi ochrony danych funkcję punktu kontaktowego. Poza tym w kilku przypadkach wymaga od administratora podania danych kontaktowych IOD. Sprawdź, co to znaczy, że inspektor ochrony danych ma być punktem kontaktowym, jak zrealizować to zadanie i jakie obowiązki spoczywają w związku z tym na administratorze.
Czy administrator danych może żądać od inspektora ochrony danych jego prywatnego profilu zaufanego w celu podpięcia służbowej poczty ePUAP i obsługi korespondencji administratora? Sprawdzamy, czy takie rozwiązanie nie stoi w sprzeczności z zasadą niezależności IOD.
Każdy powinien mieć zapewniony dostęp do swoich danych przetwarzanych w organizacji. Dotyczy to m.in. klientów, kontrahentów, czy pracowników. Dostęp to nie tylko wgląd do danych, ale także możliwość żądania ich kopii oraz przedstawienia informacji dotyczących przetwarzania. Sprawdź, jak zrealizować prawo dostępu do danych.
Pytanie: Czy możliwe jest dalsze przetwarzanie danych osobowych byłego czytelnika biblioteki po wystąpieniu przez niego z żądaniem usunięcia danych (prawo do bycia zapomnianym)?
Pytanie: Jaki powinien być okres przechowywania danych osobowych przetwarzanych w związku z realizacją sprzeciwu lub innych praw podmiotów danych?
Okres wiosenny i letni to czas, w którym zwykle organizowane są konkursy na dyrektora szkoły i placówki oświatowej. W związku z przeprowadzeniem konkursu na stanowisko dyrektora szkoły wymagane jest spełnienie licznych wymogów w zakresie ochrony danych osobowych, m.in. obowiązku informacyjnego. Przy okazji rodzi się kilka wątpliwości, zważywszy na to, że przepisy krajowe, w tym rozporządzenie Ministra Edukacji Narodowej z dnia 11 sierpnia 2017 r. w sprawie regulaminu konkursu na stanowisko dyrektora publicznego przedszkola, publicznej szkoły podstawowej, publicznej szkoły ponadpodstawowej lub publicznej placówki oraz trybu pracy komisji konkursowej nie odnosi się w żaden sposób do danych osobowych. Rozpatrzenia wymaga choćby kwestia, czy członkom komisji konkursowej należy nadać upoważnienia do przetwarzania danych osobowych. Sprawdź, jakie są obowiązki RODO w związku z organizacją konkursu na dyrektora szkoły i przetwarzaniem danych osobowych kandydatów w dokumentacji konkursowej i nie tylko.
Pytanie: Czy umowa administratora z inspektorem ochrony danych może zawierać postanowienie, zgodnie z którym w razie poniesienia przez administratora szkody zleceniobiorca czyli IOD zobowiązuje sięzrekompensować Zleceniodawcy doznaną z tego tytułu szkodę w pełnej wysokości, jeżeli powstanie tego obowiązku jest wynikiem zawinionego działania Zleceniobiorcy?
Prezes Urzędu Ochrony Danych Osobowych może nałożyć na administratora danych osobowych administracyjną karę pieniężną w wysokości w wysokości do 20 mln euro lub 4% obrotu rocznego światowego. To jednak nie wszystko. Administrator danych osobowych i podmiot przetwarzający może być zmuszony do zapłaty odszkodowania za naruszenie RODO polegające na niezgodnym z prawem przetwarzaniu danych osobowych.
Okres wiosenny i letni to czas, w którym zwykle organizowane są konkursy na dyrektora szkoły i placówki oświatowej. W związku z przeprowadzeniem konkursu na stanowisko dyrektora szkoły wymagane jest spełnienie licznych wymogów w zakresie ochrony danych osobowych, m.in. obowiązku informacyjnego. Przy okazji rodzi się kilka wątpliwości, zważywszy na to, że przepisy krajowe, w tym rozporządzenie Ministra Edukacji Narodowej z dnia 11 sierpnia 2017 r. w sprawie regulaminu konkursu na stanowisko dyrektora publicznego przedszkola, publicznej szkoły podstawowej, publicznej szkoły ponadpodstawowej lub publicznej placówki oraz trybu pracy komisji konkursowej nie odnosi się w żaden sposób do danych osobowych. Rozpatrzenia wymaga choćby kwestia, czy członkom komisji konkursowej należy nadać upoważnienia do przetwarzania danych osobowych. Sprawdź, jakie są obowiązki RODO w związku z organizacją konkursu na dyrektora szkoły i przetwarzaniem danych osobowych kandydatów w dokumentacji konkursowej i nie tylko.
Informacja o stanie zdrowia pracownika wynikająca ze zwolnienia lekarskiego stanowi daną osobową szczególnej kategorii. Jako taka nie może być ujawniona przez pracodawcę pozostałym pracownikom zakładu pracy. Praktyka taka prowadzi bowiem do naruszenia ochrony danych osobowych i może skończyć się administracyjną karą pieniężnych wymierzoną przez Prezesa UODO.
Bardzo wiele naruszeń ochrony danych osobowych jest sprokurowanych przez pracowników lub pozostały personel administratora. Błąd pracownika nie zwalnia jednak z odpowiedzialności w tym kar za naruszenie RODO nakładanych przez organ nadzorczy. Dlatego w pierwszej kolejności pracodawca powinien podjąć odpowiednie działania, mające na celu przygotowanie swojej załogi na ewentualne naruszenia ochrony danych.
Umowa powierzenia przetwarzania danych powinna zawierać postanowienia, które zapewnią wsparcie podmiotu przetwarzającego dla administratora danych osobowych w dokonywaniu zgłoszenia naruszenia ochrony danych. Nie oznacza to jednak, że administrator może przerzucić na procesora odpowiedzialność za naruszenie ochrony danych.
Dyrektywa NIS2 ustanawia pewne obowiązki także dla tzw. podmiotów kluczowych i ważnych (PKW), do których mogą się zaliczać niektórzy administratorzy danych osobowych zarówno z sektora prywatnego, jak i publicznego, w tym także w samorządzie. Na co zatem uwagę powinny zwrócić osoby odpowiedzialne za cyberbezpieczeństwo jednostkach samorządowych w związku z dyrektywą NIS2?
04.03.2025
Otrzymuj raz w tygodniu aktualne informacje o zmianach w prawie oraz komentarze ekspertów
© Portal Poradyodo.pl
