Pytanie:  Zawarliśmy umowę z kancelarią prawną o usługi prawne. Czy kancelaria w takich usługach prawnych może być podmiotem przetwarzającym, czy jest administratorem danych?

Pytanie:  Czym jest Ocena Skutków ochrony danych osobowych i jakie są cele RODO?

Pytanie:  Jaki zakres danych może pozyskiwać przedszkole prywatne w ramach przyjmowania dziecka do przedszkola. Czy identyczny jak publiczne?

Pytanie:  Kronikarz miejski realizując swoje zadania przygotowuje listę osób, które są pionierami miasta – były pierwszymi mieszkańcami. Dane, którymi kronikarz dysponuje pochodzą z różnych źródeł, np. archiwum państwowe, rozmowy ze seniorami, publikacje muzeum. Dane te, zanim zostaną opublikowane, wymagają weryfikacji, czy w tych pierwszych latach powojennych wskazane osoby przebywały rzeczywiście w mieście. Czy możemy przekazać kronikarzowi informację, że np. państwo Kowalscy rzeczywiście przebywali w danym mieście, bo w tym czasie brali ślub?

Pytanie:  Czy należy uzyskać zgodę osoby zgłaszającej projekt do budżetu obywatelskiego oraz osób popierających ten projekt, na publikację jego/ich danych na BIP gminy?

Pytanie:  W umowach, które zawiera biblioteka są negocjowane wynagrodzenia np. dla artystów. Czy w Centralnym Rejestrze Umów będzie obowiązek ich ujawnienia? W jakich przypadkach wynagrodzenia będzie niejawne?  Czy należy przygotować upoważnienia dla osób obsługujących CRU (osoby wprowadzające i osoby techniczne jak w przypadku KSEF)? Czy w umowach dla osób fizycznych należy wpisać informacje o ustawowej konieczności ujawnienia ich danych w ogólnodostępnym rejestrze (w klauzuli informacyjnej)?

Pytanie:  Firma fotograficzna A realizuje sesje zdjęciowe w szkołach. Szkoły powierzają dane uczniów firmie A na podstawie umowy powierzenia danych osobowych (umowa zawiera ogólną zgodę administratora na podpowierzenie danych). Ponieważ firma A usługę sesji zdjęciowej realizuje przy udziale swoich przedstawicieli -B2B (podmiot B), a ci współpracują B2B z fotografami (podmiot C). Firma A (procesor) chce podpowierzyć dane powierzone od szkoły przedstawicielowi B, a ten fotografowi C. Jak procesor A może podpowierzyć dane ze szkoły podprocesorowi B, żeby nie stosować dla każdej szkoły osobnej umowy podpowierzenia? Z uwagi na dużą ilość szkół nie jest to możliwe. Czy można zastosować jakąś ogólną zasadę „ogólne podpowierzenie”, jedną umową, które sankcjonowałoby podpowiedzenie danych danemu przedstawicielowi, który obsługuje pewną ilość szkół?

Privacy by design (ochrona danych w fazie projektowania) to prawny obowiązek nałożony na administratorów danych, który wymaga implementacji odpowiednich środków technicznych i organizacyjnych już na etapie projektowania procesów przetwarzania, systemów informatycznych czy usług. Celem jest wbudowanie ochrony prywatności w fundamentalną architekturę danego rozwiązania, a nie dodawanie jej jako zewnętrznej warstwy. Zasada ta, wraz z komplementarną zasadą privacy by default (domyślnej ochrony danych), ma na celu proaktywne minimalizowanie ryzyka naruszeń praw i wolności osób fizycznych. Podstawę prawną tej zasady stanowi art. 25 RODO.

Pytanie:  Jako IOD sprawdzam każdego roku wszystkie komórki organizacyjne w bibliotece w różnych aspektach przetwarzania danych osobowych. Czy poprawnym będzie wybór poszczególnych działów i zakresu kontroli w opracowanym planie kontroli na dany rok. Myślę, że dzięki temu audyt będzie bardziej szczegółowy i obejmie szerszy obszar sprawdzenia (poszczególnych komórek). Czy są jakieś zalecenia w tym zakresie, że kontroluje wszystkie obszary przetwarzania danych każdego roku?

Pytanie:  Biblioteka wprowadza możliwość regulowania przez interesantów opłat stanowiących dochody budżetu instytucji w formie transakcji bezgotówkowych, dokonywanych za pośrednictwem terminala płatniczego w swoich placówkach. Podpisaliśmy umowę z w sprawie najmu terminali oraz umowę o obsługę i rozliczenie transakcji przystępując do Programu Wsparcia Obrotu Bezgotówkowego. Opłaty pobierane będą z tytułu: opłata za przetrzymanie za zagubienie/zniszczenie zbiorów, za zagubienie karty itp. Podczas dokonywania transakcji na terminalu będą wpisywane tylko następujące dane: kwota, numer karty czytelnika i rodzaj wpłaty. Operator terminala jako instytucja przetwarzająca płatności ma dostęp do danych osobowych wpłacającego w niezbędnym zakresie do realizacji i obsługi transakcji, czyli przetwarza dane osobowe (dane transakcyjne, numer karty) osoby dokonującej wpłaty na naszą rzecz za jego pośrednictwem, tym samym jest przetwórcą tych danych (ma do nich dostęp). Administratorem danych tych osób jest biblioteka, która odpowiada za ich bezpieczeństwo. Czy konieczne jest podpisanie umowy powierzenia w związku z tą usługą. Na nasze pytanie w tej sprawie skierowane do operatora terminala uzyskaliśmy odpowiedź, cytuję: „Na terminalach płatniczych nie przetwarzamy danych osobowych płatników. Nie mamy dostępu do Państwa bazy czytelników i nie jest to w żaden sposób połączone. Podczas transakcji wymagane jest wpisanie kwoty transakcji. Dodatkowo mogą Państwo wpisać za jaką usługę była płatność – „tytuł płatności” – np. ksero, za nieterminowy zwrot, zagubioną książkę itp. W trakcie takiej transakcji żadne dane osobowe Państwa czytelników nie są przetwarzane.”. Wyjaśnienia powyższe nie rozwiały naszych wątpliwości.