Pytanie:  Grupę spółek prowadzących działalność na terenie Polski łączy umowa o współadministrowaniu danymi osobowymi. Każda ze spółek, wypełniając obowiązek informacyjny z art. 13 i 14 RODO, kieruje do osób fizycznych - w przypadkach przewidzianych przepisami prawa - klauzule informacyjne (ich treść różni się w zależności od celów I podstaw przetwarzania), w których wskazuje siebie jako administratora danych, a pozostałe spółki jako współadministratorów. W związku z tym obecnie posiadamy tyle klauzul, ile spółek realizuje dany cel przetwarzania. Zależy nam jednak na uszczupleniu dokumentacji. Zastanawiamy się, czy w świetle RODO konieczne jest, aby każda spółka posiadała własną, odrębną klauzulę informacyjną, w której wskazuje siebie jako administratora i pozostałe podmioty jako współadministratorów, czy też dopuszczalne jest stosowanie jednej, wspólnej i uniwersalnej klauzuli informacyjnej dla wszystkich spółek objętych porozumieniem o współadministrowaniu, w której wskazuje się, że: 1)     współadministratorami danych osoby, której dane dotyczą, są: [lista spółek], zamiast przygotowywania odrębnej klauzuli dla każdej spółki, lub 2)     ADO są wszyscy współadministratorzy i jednocześnie opisuje się zasadę przypisania roli administratora w zależności od celu przetwarzania, np.: „Administratorem danych w procesie rekrutacji jest spółka prowadząca konkretny proces rekrutacyjny w danym momencie, a pozostałe spółki pełnią funkcję współadministratorów” (opisowo, bez podawania danych konkretnej spółki), zamiast wymieniać konkretne spółki w każdym przypadku. Zakładamy przy tym, że punkt kontaktowy do realizacji praw osób, których dane dotyczą, będzie wspólny dla wszystkich spółek. Czy takie rozwiązanie byłoby prawidłowe lub o wskazanie innego alternatywnego rozwiązania, które uprościłoby dokumentację spółek w zakresie obowiązku informacyjnego. Chodzi zwłaszcza o klauzule kierowane do osób zatrudnianych, przyszłych pracowników.  

Pytanie:  Jednym z obowiązków naszej jednostki jest kontrola projektów dofinansowanych z EFS+, w trakcie której przetwarzamy dane osobowe. Jaka jest ich retencja? Jak to wygląda w przypadku legitymacji służbowej, jaką wydajemy naszym pracownikom, kontrolującym te organizacje. Jaka retencja będzie takiej legitymacji?

Pytanie:  Na platformie Facebook udostępniono wizerunki przedszkolaków poprzez polubienie w social mediach zaprzyjaźnionej instytucji. Zalecono natychmiastowe usunięcie postów. Nie mieliśmy zgód na publikacje wizerunków dzieci. Polubienie spowodowało pojawienie się postów na naszym profilu. Czy takie postępowanie jest prawidłowe?

Pytanie:  Do wydziału komunikacji wpłynął wniosek o udostępnienie akt sprawy oraz możliwość wykonania fotokopii. Pismo wniósł pełnomocnik osoby zainteresowanej. Organ dokonał rejestracji pojazdu na podstawie m.in. dowodu własności t.j. faktury sprzedaży. Na fakturze widnieje jako sprzedający nazwa firmy, jako kupujący Pan / Pani. Pełnomocnik osoby, złożyła wniosek o udostępnienie akt sprawy oraz możliwość wykonania fotokopii. Organ udostępni kopię faktury sprzedaży pojazdu niemniej jednak ma wątpliwości co do udostępnienia danych kupującego będących na tej fakturze sprzedaży. Czy organ powinien udostępnić fakturę z wszelkimi danymi czy powinien zanonimizować dane kupującego?

Pytanie:  Chciałabym zapytać o konieczność przeprowadzania testów równowagi. Są one wymagane w przypadku przetwarzania danych na podstawie art. 6 ust. 1 lit. f RODO. Jednak w bibliotece mamy także monitoring wizyjny, który wprowadziliśmy na podstawie art. 6 ust. 1 lit. e RODO. Czy do tej kategorii przetwarzania mimo wszystko mogę przeprowadzić test równowagi, by zbadać zależność między interesem publicznym a interesem jednostki? Czy będzie to błąd, jeśli taki test w dokumentacji się pojawi?

Pytanie:  W urzędzie jest monitoring na parkingu, w samochodach służbowych oraz komputerów. Jest zarządzenie do tego i każdy pracownik podpisał odpowiednie oświadczenie. W tym roku został wybudowany nowy budynek, do którego przeniosły się dwa wydziały. W tym budynku monitoring jest na korytarzu i holu. Czy w związku z tym pracownicy tych dwóch wydziałów muszą podpisać nowe oświadczenia dotyczące monitoringu?

Pytanie:   Biblioteka podpisuje umowę z osobą prowadzącą jednoosobową działalność gospodarczą na przeprowadzenie spotkania dla młodzieży w ramach profilaktyki antyalkoholowej. Jednak wykład będzie prowadzony przez wynajętego przez ta osobę autora. W kwestii danych osobowych: wprowadzę klauzule dla osoby prowadzącej działalność. Wpiszemy w jednym z paragrafów kto będzie prowadził spotkanie. Osobno do umowy dołączę klauzulę dla autora o przetwarzaniu danych wynikających z umowy oraz konieczności ich okazania w związku ze sprawdzeniem w KRK (ochrona małoletnich). Będę wdzięczna z ukierunkowanie. 

Pytanie:   Występują dwa podmioty medyczne - jeden zleca drugiemu świadczenia na badania mikrobiologiczne. Zleceniobiorca wykonuje badania jednak do identyfikacji używa nr PESEL (program wymaga tego w celu właściwego działania - dla jednoznacznego zidentyfikowania wykonawców). Obydwie strony upoważnią pracowników do obsługi systemu (w tym dostępu do np. PESEL pracowników drugiego podmiotu). Czy w takim przypadku rozwiązaniem może być odpowiednia umowa powierzenia wraz ze wskazaniem upoważnionych pracowników zleceniodawcy do dostępu do danych wraz z poinformowaniem pracowników zleceniobiorcy o udostępnianiu ich danych w postaci PESEL (dodatkowo jaka będzie podstawa przetwarzania - zgoda najmniej pożądana ze względu na możliwości cofnięcia)?

Pytanie:  Organ prowadzący (gmina) przeprowadza kontrole w szkołach m.in. pod kątem poprawności wpisów w systemie informacji oświatowej (SIO). Czy w związku z tym dyrektor szkoły ma prawo udostępnić kontrolującemu orzeczenia o potrzebie kształcenia specjalnego (dane szczególne)? Kontrolujący ma prawo wglądu do orzeczeń tylko na terenie szkoły. Natomiast poza szkołą - tylko w formie zanonimizowanej. Niemniej jednak nie widzę podstawy prawnej takiego przetwarzania (udostępniania na terenie szkoły). A poza tym anonimizacja ma uniemożliwić identyfikację dziecka. Ale w przypadku szkół w małych miejscowościach (gdzie np. wiadomo, że tylko jedno dziecko w szkole/klasie ma takie orzeczenie) taka anonimizacja nie gwarantuje braku możliwości identyfikacji. W związku z tym czy faktycznie dyrektor szkoły ma prawo udostępnić orzeczenia organowi prowadzącemu (na terenie szkoły) i jaka jest podstawa prawna takiego udostępnienia? Czy w przypadku „małych" jednostek udostępnianie nawet zanonimizowanych orzeczeń powinno być dopuszczalne?