Baza wiedzy

Abc RODO

1. Co to są dane osobowe?

2. Co to są dane szczególnej kategorii?

3. Kim jest administrator danych osobowych (ADO)?

4. Kim jest współadministrator danych osobowych?

5. Kim jest inspektor ochrony danych (IOD)?

6. W jaki sposób zgłosić powołanie inspektora ochrony danych (IOD)?

7. Czym są polityki i procedury ochrony danych osobowych?

8. Czym jest rejestr czynności przetwarzania?

9. Jakie są zasady przetwarzania danych osobowych?

10. Jak długo możemy przetwarzać czyjeś dane osobowe?

11. Jak trwale i ostatecznie usunąć dane osobowe?

12. Na czym polega obowiązek analizy ryzyka i DPIA?

13. Na czym polegają zasady privacy by default i privacy by design?

14. Co to jest naruszenie ochrony danych osobowych?

15. Kiedy i komu należy zgłaszać naruszenie ochrony danych osobowych?

16. Czym zajmuje się Prezes Urzędu Ochrony Danych Osobowych?

17. Jak wygląda kontrola inspektora Urzędu Ochrony Danych Osobowych?

18. Co to jest polityka kluczy?

19. Co to jest zasada czystego biurka?

20. Co to jest obowiązek informacyjny?

21. Jakie mają prawa osoby, których dane osobowe przetwarzamy?

22. Co powinno zawierać szkolenie z ochrony danych osobowych?

23. Kto musi przejść szkolenie z zakresu ochrony danych osobowych?

24. Co to jest upoważnienie do przetwarzania danych osobowych?

25. Co to jest oświadczenie o zachowaniu poufności danych osobowych?

26. Co to jest obszar przetwarzania danych osobowych?

27. Co to jest umowa powierzenia przetwarzania danych osobowych?

28. Co to jest zewnętrzny nośnik danych osobowych?

29. Na czym polega anonimizacja dokumentów?

30. Co to są zabezpieczenia fizyczne danych osobowych?

31. Jakie są kary za naruszenie RODO?

RODO odpowiedzi zapraszamy też na

1. Czy pomiędzy uczelnią/szkołą a zakładem pracy powinna zostać zawarta umowa powierzenia danych osobowych?

2. Czy lista obecności na szkoleniu BHP może obejmować inne dane osobowe niż imię i nazwisko?

3. Czy wobec pracowników klientów/kontrahentów należy spełni obowiązek informacyjny oraz zawrzeć umowę powierzenia?

4. Czy monitoring w zakładzie pracy może obejmować pomieszczenie palarni dla pracowników i gości?

5. Czy pracownicy ochrony mogą żądać okazania dokumentu tożsamości w celu weryfikacji gościa?

6. Czy członek zarządu lub prokurent samoistny powinien posiadać upoważnienie do przetwarzania danych osobowych w imieniu administratora?

7. Czy lekarz może skonsultować przypadek medyczny pacjenta z innym lekarzem?

8. Czy pracodawca może udostępnić służbowy adres mailowy pracownika innemu pracownikowi po rozwiązaniu stosunku pracy?

9. Czy personel sprzątający może wykonywać swoje obowiązki po zakończeniu pracy przez pozostałych pracowników administratora?

10. Jakie dane osobowe pracodawca może pozyskiwać od świadków wypadku przy pracy?

11. Czy agencja pracy tymczasowej jest administratorem danych pracowników i czy należy zawrzeć z nią umowę powierzenia danych osobowych?

12. Czy upoważnienie do przetwarzania danych osobowych może mieć wersję elektroniczną?

13. Czy pracodawca musi posiadać zgody na przetwarzanie danych osobowych swoich pracowników oraz członków rodziny w celu organizacji wycieczki zakładowej?

14. Czy imię i nazwisko lub adres e-mail bez żadnej dodatkowej informacji są daną osobową?

15. Czy korespondencja mailowa pracowników wewnątrz firmy wymaga dodatkowego upoważnienia do przetwarzania danych osobowych?

16. Czy po wejściu w życie ustawy o dokumentach publicznych można kserować dowody osobiste?

17. Czy pracodawca powinien podpisać umowę powierzenia z podmiotem wykonującym świadczenia zdrowotne z zakresu medycyny pracy?

18. Czy dyrektorzy poszczególnych działów w firmie mogą mieć dostęp do planów urlopowych wszystkich pracowników czy jedynie swojego działu?

19. Czy przekazywanie informacji o ciąży pracownicy pomiędzy pozostałymi pracownikami administratora stanowi naruszenie ochrony danych osobowych?

20. Czy ubezpieczycielowi można udostępnić nagranie z monitoringu osiedlowego?

21. Czy jednostka administracji publicznej może na podstawie art. 35 ust. 10 RODO nie przeprowadzać oceny skutków dla ochrony danych osobowych dla procesów przetwarzania z art. 6 ust. 1 lit. c RODO?

22. W jakim terminie administrator danych jest zobowiązany udzielić odpowiedzi na wniosek w trybie art. 15 ust. 3 RODO?

23. Czy w treści umowy współpracy powinna być umieszczona klauzula informacyjna odnośnie przetwarzania danych osobowych?

24. Czy osoba, której dane dotyczą może żądać odszkodowania od administratora, jeśli ten ujawni jej dane osobie nieuprawnionej w wyniku pomyłki zamówienia?

25. Czy przetwarzanie danych osobowych w ramach kart meldunkowych musi być oparte na zgodzie osoby, której dane dotyczą z art. 6 ust. 1 lit. a RODO?

26. Czy przetwarzanie danych osobowych w ramach bezprzewodowych punktów dostępowych odbywa się na podstawie zgody osoby, której dane dotyczą?

27. Przez jaki okres, po zakończeniu umowy można przetwarzać dane osobowe pracownika zatrudnionego w oparciu o umowę agencyjną?

28. Czy pracodawca może w zamian za sfinansowanie szkolenia dla IOD, żądać umowy lojalnościowej?

29. Czy można ubiegać się o odszkodowanie na skutek ujawnienia adresów mailowych osób fizycznych na skutek wysłania przez administratora danych zbiorczej korespondencji bez zastosowania kopii ukrytej?

30. Czy informacja podana na forum na portalu społecznościowego na temat wyników egzaminu jest naruszeniem RODO?

31. Czy w danej jednostce organizacyjnej może być zatrudnionych dwóch IOD oraz czy IOD może mieć zastępcę?

32. Czy przy przekazywaniu danych osobowych klientów zewnętrznej firmie serwisowej należy podpisać umowę powierzenia?

33. Czy z osobą zatrudnioną na podstawie umowy cywilnoprawnej należy zawrzeć umowę powierzenia?

34. Czy należy nadać nowe upoważnienie do przetwarzania danych osobowych pracownikowi w sytuacji, gdy zmienia się tylko stanowisko pracy?

35. Czy należy podpisać politykę ochrony danych osobowych oraz w jakiej formie ją przyjąć?

36. Czy podmiot wynajmujący lokal osobie fizycznej może żądać podania numeru PESEL do umowy?

37. Czy przetwarzając dane osobowe osób fizycznych, które nie są obywatelami Unii Europejskiej, należy stosować przepisy RODO?

38. Czy należy informować osobę fizyczną o udostępnieniu jej danych innemu podmiotowi?

39. Czy zamieszczając dane służbowe pracowników na stronie internetowej, pracodawca przekazuje dane do państw trzecich?

40. Czy w obowiązku informacyjnym należy wskazać wszystkie prawa przysługujące osobie fizycznej, czy tylko te, które rzeczywiście osobie przysługują?

41. Czy procesor powinien ujawniać podmiotowi, z którym łączy go umowa powierzenia, treść polityki ochrony danych osobowych obowiązującej w jego organizacji?

42. Czy należy zawrzeć umowę powierzenia z firmą szkoleniową w sytuacji udostępnienia osobie szkolącej rzeczywistych danych osobowych przetwarzanych przez administratora na potrzeby przeprowadzenia szkolenia dla pracowników?

43. Kto jest administratorem danych osobowych członków stowarzyszenia oraz jaka jest podstawa prawna przetwarzania danych osobowych członków stowarzyszenia?

44. Czy z administratorem strony Biuletynu Informacji Publicznej należy zawrzeć umowę powierzenia?

45. Czy pracodawca może ujawnić i rozpowszechnić treść upomnienia nałożonego na pracownika?

46. Czy szkoła może być administratorem danych osobowych klientów, którzy korzystają z zarejestrowanej na jej terenie stacji diagnostyki pojazdów?

47. Po upływie jakiego maksymalnego czasu należy usunąć dokumentację medyczną pacjenta?

48. Czy po ustaniu celu przetwarzania danych osobowych można je w dalszym ciągu przechowywać do celów statystycznych?

49. Czy administrator danych osobowych może upoważnić pracownika do nadawania uprawnień do przetwarzania danych osobowych?

50. Jaka jest podstawa prawna przetwarzania danych osobowych przez placówkę medyczną oraz w jaki sposób spełnić obowiązek informacyjny względem pacjentów?

51. Jak zgodnie z prawem przesłać mailing do klientów, jeżeli nie posiadam podstawy prawnej przetwarzania ich danych osobowych w tym celu?

52. Czy administrator może odmówić udostępnienia nagrania z monitoringu wizyjnego w sytuacji utrwalenia na nagraniu przestępstwa lub wykroczenia?

53. Jaki status posiada Społeczna Komisja Mieszkaniowa?

54. Czy w Zarządzeniach Burmistrza miasta i gminy oraz Uchwałach Rady Miejskiej - mogą znajdować się dane osobowe osób nie pełniących funkcji publicznych?

55. Czy przesłanie pasków z wynagrodzeniem pracowniczym do osoby nieuprawnionej jest naruszeniem ochrony danych osobowych?

56. Czy można udostępnić informację o obniżeniu wynagrodzenia jednego pracownika innym pracownikom w firmie?

57. Czy pracownik jest zobowiązany podać swoje imię i nazwisko w relacji z klientem pracodawcy?

58. Czy pracodawca ma prawo żądać od pracownika podania prywatnego numeru telefonu?

59. Czy pracodawca może korzystać z rejestratora czasu pracy na linie papilarne za zgodą pracowników?

60. Jakie dane osobowe powinna zawierać umowa zlecenia? A jakich nie może zawierać?

61. Jaki status posiadają Pracownicze Kasy Zapomogowo – Pożyczkowe? Czy należy zawierać umowę o współadministrowanie danymi osobowymi?

62. Kto to jest właściciel procesu przetwarzania danych osobowych?

63. Czy zespół powypadkowy ustalający przyczyny wypadku w pracy może zwrócić się do lekarza w celu określenia ciężkości urazu osoby poszkodowanej? Czy niezbędna jest zgoda osoby poszkodowanej na uzyskanie jej danych osobowych dot. zdrowia?

64. Czy udostępnienie zdjęć osoby trzeciej na portalu społecznościowym jest naruszeniem RODO?

65. Czy pod nieobecność pracownika w pracy jego konto oraz skrzynka mailowa może być obsługiwana przez innych pracowników?

66. Czy znając datę urodzenia klienta można mu przesłać życzenia urodzinowe? Jaka będzie właściwa podstawa prawna przetwarzania w tym zakresie?

67. Czy przy pracy zdalnej pracowników administrator danych ma obowiązek aktualizować rejestr czynności przetwarzania?

68. Czy osoba pełniąca funkcję IOD może również być zatrudniona na innym stanowisku u danego administratora? Kiedy dochodzi do konfliktu interesów?

69. Jak długo należy przechowywać upoważnienia do przetwarzania danych osobowych?

70. Czy zaznaczenie przez pracownika w systemie CRM informacji, że osoba wyraziła zgodę na przesłanie oferty handlowej jest wystarczające?

71. Czy pracownik firmy windykacyjnej dzwoniąc do dłużnika musi poinformować go o nagrywaniu rozmowy telefonicznej?

72. Czy kancelaria prawna prowadzona przez adwokata lub radcę prawnego powinna podpisywać umowę powierzenia danych osobowych z klientami?

73. Czy policja powołując się na prowadzone postępowanie oraz na art. 15§2 kpk i art. 15 ust.6 Ustawy o Policji może żądać od pracodawcy przesłania uwierzytelnionej kserokopii dokumentacji pracowniczej w związku z wypadkiem przy pracy?

74. Czy stosowanie przez placówkę medyczną niekomercyjnego programu antywirusowego jest zgodne z RODO?

75. Czy pracodawca może stosować monitoring obrazu i dźwięku w zakładzie pracy?

76. Jakie podjąć działania w sytuacji przesłania mailingu do wielu odbiorców bez zachowania ukrytej kopii wiadomości?

77. Czy podmiot przetwarzający dane osobowe na zlecenie Administratora spoza EOG obowiązują przepisy RODO?

78. Czy z firmą ubezpieczeniową w zakresie umowy ubezpieczenia grupowego pracowników pracodawca powinien zawrzeć umowę powierzenia danych osobowych?

79. Jaka jest podstawa prawna, z której wynika, że informacja o funkcjonującym monitoringu wizyjnym musi znajdować się za ostatnimi drzwiami prowadzącymi do strefy objętej monitoringiem?

80. Czy wymagana jest zgoda osoby, której dane dotyczą na udostępnienie jej danych osobowych innemu administratorowi danych?

81. Jak i gdzie powinno się przechowywać CV osoby zatrudnionej na stanowisku administratora?

82. Czy pisemne oświadczenie pracownika, że nie był prawomocnie skazany za przestępstwo, stanowi przetwarzanie danych osobowych przez pracodawcę w rozumieniu art. 10 RODO?

83. Czy administrator może wyłączyć realizację praw osób, których dane dotyczą z art. 15-22 RODO w formie elektronicznej?

84. Czy w ramach realizacji obowiązku informacyjnego trzeba podawać Inspektora Danych Osobowych z imienia i nazwiska ?

85. Czy w kwestionariuszu osobowym pracodawca może przetwarzać dane osobowe dotyczące obywatelstwa?

86. W jakiej sytuacji administrator może odmówić wydania kopii przetwarzanych danych osobowych?

87. Czy rysunki techniczne, na których znajduje się ramka techniczna z wymienionymi projektantami i kierownikiem projektu są danymi osobowymi?

88. Czy sam numer prawa wykonywania zawodu lekarza bez podawania innych danych podlega przepisom o ochronie danych osobowych ?

89. Czy rejestr kategorii czynności przetwarzania powinien być prowadzony odrębnie dla każdego administratora danych czy można prowadzić jeden rejestr zbiorczy?

90. Czy zdalny odczyt liczników ciepła wymaga dokonania oceny skutków przetwarzania danych osobowych (DPiA)?

91. Czy po zapoznaniu pracownika z treścią Polityki Ochrony Danych Osobowych można uznać, że odbył on niezbędne szkolenie w zakresie ochrony danych?

92. Czy podczas przedłużania umowy o pracę z pracownikiem konieczne jest udzielenie nowego upoważnienia do przetwarzania danych osobowych?

93. Audyt wewnętrzny i zewnętrzny: kiedy zasadne jest nadanie upoważnienia audytorom, a kiedy zawarcie umowy powierzenia?

94. Czy w ramach organizacji stażu pracodawca jest administratorem danych osobowych, czy podmiotem, któremu dane osobowe powierzono do przetwarzania?

95. Czy przy stosowaniu fotopułapki niezbędne jest umieszczenie w obszarze jej zasięgu klauzuli informacyjnej?

96. Czy zasadne jest zawarcie umowy powierzenia z podmiotem świadczącym usługi migracji danych?

97. Czy przekazując umowy o pracę zamawiającemu wykonawca może je zanonimizować?

98. Czy umieszczając kamery do obserwacji bez nagrywania mamy do czynienia z przetwarzaniem danych osobowych?

99. Jaką formę powinno mieć upoważnienie dla przedstawiciela wyznaczonego na mocy art. 27 RODO?

100. Jakie obowiązki ciążą na podmiocie pełniącym rolę przedstawiciela? Który z podmiotów ponosi odpowiedzialność w przypadku naruszeń przepisów RODO?

 

Najważniejsze akty prawne w zakresie ochrony danych osobowych (stan na dzień 25.09.2019 r.)

Poniższe akty prawne można znaleźć na stronie Urzędu Ochrony Danych Osobowych.

• Konstytucja Rzeczypospolitej Polskiej z dnia 2 kwietnia 1997 r.
• Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych, RODO)
• Ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych
• Ustawa z dnia 21 lutego 2019 r. o zmianie niektórych ustaw w związku z zapewnieniem stosowania RODO
• Dyrektywa Parlamentu Europejskiego i Rady (UE) 2016/680 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych przez właściwe organy do celów zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykrywania i ścigania czynów zabronionych i wykonywania kar, w sprawie swobodnego przepływu takich danych oraz uchylająca decyzję ramową Rady 2008/977/WSiSW (DODO)
• Ustawa o ochronie danych osobowych przetwarzanych w zw. z zapobieganiem i zwalczaniem przestępczości (ustawa DODO)
• Ustawa z dnia 9 maja 2018 r. o przetwarzaniu danych dotyczących przelotu pasażera
• Rozporządzenie Rady Ministrów z 20.03.2019 r. w sprawie wzoru legitymacji służbowej pracownika UODO
• Rozporządzenie Prezesa Rady Ministrów z dnia 31 maja 2019 r. w sprawie trybu i sposobu realizacji zadań przez inspektora ochrony danych.
• Konwencja Rady Europy Nr 108+ z dnia 18 maja 2019 r. (j. angielski)
• Konwencja Rady Europy Nr 108 z dnia 28 stycznia 1981 roku
• Protokół dodatkowy do Konwencji Rady Europy Nr 108 z dnia 28 stycznia 1981 roku
• Rekomendacja Rady Europy z dnia 1 kwietnia 2015 dotycząca ochrony danych osobowych w sektorze zatrudnienia
• Rekomendacja R(10) z dnia 23 listopada 2010 r. dotycząca ochrony osób w związku z automatycznym przetwarzaniem danych osobowych podczas tworzenia profili
• Rekomendacja R(02) 9 z dnia 18 września 2002 r. dotycząca ochrony danych osobowych zbieranych i przetwarzanych dla celów ubezpieczeniowych
• Rekomendacja R(99) 5 Komitetu Ministrów dla Państw Członkowskich dotycząca ochrony prywatności w Internecie, wytyczne w sprawie ochrony osób w zakresie gromadzenia i przetwarzania danych osobowych na "infostradach"
• Rekomendacja R(97) 18 Komitetu Ministrów dla Państw Członkowskich dotycząca ochrony danych osobowych gromadzonych i przetwarzanych dla celów statystycznych
• Rekomendacja R(97) 5 Komitetu Ministrów do Państw Członkowskich dotycząca ochrony danych osobowych
• Rekomendacja R(91) 10 I Nota wyjaśniająca Komitetu Ministrów dla Państw Członkowskich dotycząca udostępniania osobom trzecim danych osobowych będących w posiadaniu instytucji publicznych
• Rekomendacja R(91) 10 z dnia 9 września 1991 r. dotycząca ochrony danych osobowych przekazywanych osobom trzecim przez instytucje publiczne.
• Rekomendacja R(87) 15 z dnia 17 września 1987 r. dotycząca ochrony danych osobowych wykorzystywanych w sektorze policji
• Rekomendacja R(86) 1 z dnia 23 stycznia 1986 r. dotycząca ochrony danych osobowych dla potrzeb ubezpieczenia społecznego
• Rekomendacja R(85) 20 z dnia 25 października 1985 r. dotycząca ochrony danych osobowych wykorzystywanych dla potrzeb marketingu bezpośredniego
• Rekomendacja R(83) 10 Komitetu Ministrów dla Państw Członkowskich dotycząca ochrony danych osobowych gromadzonych i przetwarzanych dla celów badań naukowych i statystycznych
• Rekomendacja R(81) 1 Komitetu Ministra dla Państw Członkowskich dotycząca regulacji mających zastosowanie do zautomatyzowanych banków danych medycznych

 

Oficjalne wytyczne (stan na dzień 25.09.2019r.)

• Wytyczne dotyczące zgody na mocy Rozporządzenia 2016/679, WP259 rev.01
• Wytyczne dotyczące przejrzystości na mocy Rozporządzenia 2016/679, WP260 rev.01
• Wytyczne Grupy Roboczej Art. 29 w sprawie zautomatyzowanego podejmowania decyzji i profilowania do celów rozporządzenia 2016/679, WP251rev.01
• Wytyczne Grupy Roboczej Art. 29 w sprawie powiadomień o naruszeniu ochrony danych osobowych na mocy rozporządzenia 2016/679, WP250 rev.01
• Wytyczne dotyczące prawa do przenoszenia danych NA MOCY ROZPORZĄDZENIA 2016/679, WP242 rev.01
• Wytyczne dotyczące oceny skutków dla ochrony danych oraz pomagające ustalić, czy przetwarzanie „może powodować wysokie ryzyko” do celów rozporządzenia 2016/679, WP248 rev.01
• Wytyczne Grupy Roboczej Art. 29 dotyczące inspektorów ochrony danych (IOD), WP243 rev.01
• Wytyczne dotyczące ustalenia wiodącego organu nadzorczego właściwego dla administratora lub podmiotu przetwarzającego, WP244 rev.01
• Stanowisko grupy roboczej art. 29 ds. ochrony danych w sprawie wyjątków od obowiązku prowadzenia rejestru czynności przetwarzania zgodnie z artykułem 30 ust. 5 RODO
• Dokument Roboczy Dotyczący Wiążących Reguł Korporacyjnych dla Administratorów, WP 256 rev.01
• Dokument Roboczy Dotyczący Wiążących Reguł Korporacyjnych dla Podmiotów Przetwarzających, WP 257 rev.01
• Dokument dotyczący adekwatności (język angielski), WP 254 rev. 01
• Wytyczne w sprawie stosowania i ustalania administracyjnych kar pieniężnych do celów rozporządzenia nr 2016/679, WP 253
• Wytyczne 4/2018 dotyczące akredytacji podmiotów certyfikujących na podstawie Artykułu 43 RODO (język angielski)
• Wytyczne nr 1/2018 dotyczące certyfikacji oraz identyfikacji kryteriów certyfikacji zgodnie z art. 42 i 43 rozporządzenia 2016/679
• Wytyczne nr 2/2018 w sprawie wyjątków ustanowionych w artykule 49 rozporządzenia 2016/679.
• Wytyczne 3/2018 w sprawie terytorialnego zakresu stosowania RODO (Artykuł 3) (język angielski)
• Wytyczne 1/2019 dotyczące kodeksów postępowania i podmiotów monitorujących na mocy rozporządzenia 2016/679 (j. angielski)
• Wytyczne 2/2019 dotyczące przetwarzania danych osobowych zgodnie z art. 6 ust. 1 lit. b RODO w kontekście świadczenia usług online osobom, których dane dotyczą (język angielski)
• Wytyczne 3/2019 w sprawie przetwarzania danych osobowych przez urządzenia wideo (język angielski)
• Opinia dotycząca kluczowych elementów Dyrektywy 2016-680 (język angielski)
• Opinia 1/2017 na temat proponowanego rozporządzenia w sprawie prywatności
• Opinia nr 2/2017 na temat przetwarzania danych w miejscu pracy
• Opinia nr 03/2017 dotycząca przetwarzania danych osobowych w ramach współpracujących inteligentnych systemów transportowych (C-ITS)
• Stanowisko w sprawie podejścia opartego na ryzyku w ramach prawnych ochrony danych, WP 218