Przetwarzanie danych osobowych w urzędzie obsługującym jednostkę samorządu terytorialnego lub w samorządowych jednostkach organizacyjnych z całą pewnością cechuje się pewną specyfiką. W dużej mierze jest ono bowiem oparte na konieczności realizacji obowiązku prawnego lub zadań publicznych. Przedstawiamy 9 rad naszych ekspertów dotyczących różnych aspektów przetwarzania danych w jednostkach samorządowych.
Przekazanie danych przez administratora kontrahentowi, który nie ma własnego celu i podstawy przetwarzania, wymaga zawarcia umowy powierzenia przetwarzania danych. Rodzi się pytanie, w jaki sposób zdefiniować w umowie powierzenia danych osobowych zakres czyli rodzaj przekazywanych danych. Zakres ten w przypadku ramowej umowy o współpracy może być bowiem bardzo szeroki. Wskazujemy, w jaki sposób można określić rodzaj (zakres) danych osobowych w związku z powierzeniem przetwarzania danych.
Wyobraźmy sobie sytuację, w której do urzędu wpłynęła skarga podpisana przez osobę skarżącego, wskutek czego możliwa stała się jego identyfikacja. Urząd ujawnił pismo ze skargą osobom, których ta skarga dotyczyła. Sprawdzamy, czy takie działanie stanowi naruszenie ochrony danych w świetle RODO i może skończyć się karą nałożoną przez Prezesa Urzędu Ochrony Danych Osobowych.
Podpisując umowę ubezpieczenia grupowego, pracodawca udostępnia firmie ubezpieczeniowej dane osobowe swoich pracowników. Dowiedz się, czy w związku z przetwarzaniem danych osobowych pracowników objętych ubezpieczeniem grupowym musisz zawrzeć umowę powierzenia przetwarzania danych.
Nakładając karę za naruszenie RODO, Prezes Urzędu Ochrony Danych Osobowych musi brać pod uwagę liczne kryteria związane m.in. z działaniami administratora danych osobowych po naruszeniu. Kryteria te przesądzają o tym, czy Prezes UODO wymierzy karę pieniężną, a jeśli tak, to w jakiej wysokości.
Privacy by design to obok reguły privacy by default jedna z podstawowych zasad RODO. Jest to inaczej zasada prywatności w fazie projektowania. Zgodnie z nią administrator danych musi zastosować odpowiednie środki bezpieczeństwa. Innymi słowy, musi on na etapie projektowania, a więc jeszcze przed rozpoczęciem przetwarzania uwzględnić w odpowiednim zakresie ochronę danych osobowych i wdrożyć stosowne środki bezpieczeństwa danych.
Dyrektywa NIS2 ustanawia pewne obowiązki także dla tzw. podmiotów kluczowych i ważnych (PKW), do których mogą się zaliczać niektórzy administratorzy danych osobowych zarówno z sektora prywatnego, jak i publicznego, w tym także w samorządzie. Na co zatem uwagę powinny zwrócić osoby odpowiedzialne za cyberbezpieczeństwo jednostkach samorządowych w związku z dyrektywą NIS2?
04.03.2025
Otrzymuj raz w tygodniu aktualne informacje o zmianach w prawie oraz komentarze ekspertów
© Portal Poradyodo.pl
