Administracja danymi osobowymi Flashcards
Administracja danymi osobowymi
Czy inspektorowi ochrony danych należy nadawać upoważnienie do przetwarzania danych?
P353
Inspektor Ochrony Danych (IOD), znany również jako Data Protection Officer (DPO), nie wymaga typowego upoważnienia do przetwarzania danych osobowych, jakie nadaje się pracownikom przy ich powoływaniu do przetwarzania danych w imieniu administratora danych. Jego rola jest z natury doradcza, kontrolna i organizacyjna. IOD monitoruje zgodność operacji przetwarzania danych z przepisami o ochronie danych, wspiera administratora w realizacji obowiązków, a także stanowi punkt kontaktowy na potrzeby współpracy z organem nadzorczym. W ramach swoich zadań może przeglądać i analizować dane osobowe, ale nie przetwarza ich w sposób, który wymagałby standardowego upoważnienia do przetwarzania danych osobowych.
Administracja danymi osobowymi
Przedsiębiorstwo X zawarło umowę z przedsiębiorcą Y. Przedmiotem umowy objęte było świadczenie przez przedsiębiorstwo X na rzecz przedsiębiorcy Y usług outsourcingu serwera. Umowa zawarta była pomiędzy umocowanymi w imieniu spółek do działania w ich imieniu prezesami spółek. W umowie jako osoby do kontaktu wskazani zostali jednak właściwi pracownicy obu spółek. Ich dane zostały jednak wprowadzone do umowy bez wiedzy i zgody pracowników. Czy na stronach umowy ciąży wymóg realizacji obowiązku informacyjnego o którym mowa w art. 13/14 RODO?
P354
Zgodnie z art. 13 i 14 RODO, administrator danych ma obowiązek poinformować osoby, których dane dotyczą, o różnych aspektach przetwarzania ich danych osobowych. Obowiązek ten dotyczy informacji takich jak tożsamość i dane kontaktowe administratora, cele i podstawy prawne przetwarzania danych, odbiorcy danych, okres przechowywania, a także prawa osób, których dane dotyczą.
W opisanym przypadku, jeśli dane pracowników zostaną wykorzystane w jakikolwiek sposób w procesie wykonywania umowy (np. kontakt w sprawach technicznych), pracownicy ci powinni zostać poinformowani o przetwarzaniu ich danych osobowych. Jeżeli jednak dane te zostały włączone do umowy bez ich wiedzy i zgody, może to stanowić naruszenie RODO.
Administrator danych (w tym przypadku spółki wprowadzające dane do umowy) powinien niezwłocznie przekazać wymagane informacje osobom, których dane dotyczą, zgodnie z art. 13 lub 14 RODO, w zależności od tego, jak dane zostały pozyskane.
Administracja danymi osobowymi
Przedsiębiorstwo X zawarło umowę z przedsiębiorcą Y. Przedmiotem umowy objęte było świadczenie przez przedsiębiorstwo X na rzecz przedsiębiorcy Y usług sprzątania powierzchni biurowej przedsiębiorstwa X. Przedmiotem umowy nie ma być bezpośredni dostęp do danych osobowych osób spółki przez osoby sprzątające. Czy spółki powinny zawrzeć pomiędzy sobą umowę powierzenia przetwarzania danych osobowych?
P355
Decyzja powinna być podjęta na podstawie oceny ryzyka związanego z możliwością dostępu do danych osobowych przez osoby świadczące usługi sprzątania.
Jeśli w wyniku świadczenia usług sprzątania istnieje możliwość, że osoby sprzątające będą miały dostęp do danych osobowych (nawet przypadkowy, np. przez dokumenty pozostawione na biurkach), przedsiębiorstwo X (jako administrator danych) powinno zawrzeć z przedsiębiorcą Y (przetwarzającym) umowę powierzenia przetwarzania danych. Celem takiej umowy jest zapewnienie, że przetwarzanie danych przez firmę sprzątającą będzie odbywało się zgodnie z wymogami RODO, w tym zapewnienie odpowiednich środków bezpieczeństwa i poufności.
Jeżeli jednak przedsiębiorstwo Y nie będzie w żaden sposób przetwarzać danych osobowych i zostały wdrożone odpowiednie środki zapobiegające dostępowi do danych (np. zamykanie dokumentów, czyszczenie komputerów przed sprzątaniem), umowa powierzenia może nie być konieczna.
Administracja danymi osobowymi
Do sekretariatu urzędu, w którym jest powołany Inspektor Ochrony Danych (IOD) wpłynął wniosek o przekazanie informacji o przetwarzaniu danych osoby, której dane dotyczą. Pani sekretarka postanowiła samodzielnie odpowiedzieć osobie, które dane dotyczą, że nie przetwarzają oni danych osobowych żadnych osób. W tym też zakresie nie było wprowadzonej w urzędzie procedury odpowiadania na tego typu wnioski. Czy sekretarka postąpiła prawidłowo? Jeżeli nie, jakie środki zapobiegawcze powinien podjąć ADO by unikać w przyszłości podobnych sytuacji?
P356
Sekretarka nie postąpiła prawidłowo, odpowiadając na wniosek bez konsultacji z IOD i bez zastosowania właściwej procedury. Odpowiedź na takie zapytania powinna być ze strony instytucji skoordynowana i zgodna z przepisami RODO. W szczególności, jeśli urząd przetwarza jakiekolwiek dane osobowe (a jest mało prawdopodobne, by w ogóle ich nie przetwarzał), osoba, której dane dotyczą, ma prawo do informacji o tym fakcie, w tym do otrzymania kopii swoich danych i informacji o celach przetwarzania.
ADO (Administrator Danych Osobowych) powinien podjąć następujące środki zapobiegawcze:
- Wdrożenie i szkolenie: Wdrożyć jasne procedury odpowiadania na wnioski dotyczące praw osób, których dane dotyczą, i przeszkolić pracowników z tych procedur.
- Rola IOD: Upewnić się, że wszyscy pracownicy rozumieją rolę IOD i wiedzą, że wszelkie wnioski o informacje o danych osobowych powinny być kierowane do IOD.
- Przegląd procedur: Regularnie przeglądać i aktualizować procedury związane z ochroną danych, aby zapewnić zgodność z RODO.
IOD powinien być zaangażowany w proces odpowiadania na wnioski dotyczące danych osobowych, a wszystkie odpowiedzi powinny być udzielane w sposób dokładny i zgodny z przepisami o ochronie danych.
