Pytanie:  Na mocy decyzji urzędu dotyczącej środków europejskich jesteśmy podmiotem przetwarzającym. Administrator powołał inny urząd na rolę powierzającego. Do decyzji wprowadził zapis, iż możemy przetwarzać dane wyłącznie zgodnie z zapisami decyzji lub udokumentowanym poleceniem powierzającego przekazanym pisemnie lub elektronicznie. Czy jest taki zapis dopuszczalny, bo obecnie powierzający, który nas kontroluje, wymaga inne czynności, które nie są zapisane w decyzji?

Pytanie:  Szkoła współpracuje z firmami patronackimi w zakresie realizacji praktycznej nauki zawodu. Czy w ramach tej współpracy szkoła może udostępnić (firmom patronackim - instruktorom zawodu) na podstawie art. 6 ust 1 lit e lub c RODO następujące dane: dane osobowe uczniów w zakresie imienia nazwiska (ucznia i rodzica), daty urodzenia, numery telefonów uczniów i ich rodziców, adres zamieszkania, dostęp do elektronicznego dziennika lekcyjnego instruktorowi z firmy patronackiej?

Pytanie:  Do centrum opieki paliatywnej finansowanej gminę zwraca się zakład komunalny tej gminy z prośbą o udostępnienie danych podopiecznego (imię i nazwisko, okres przebywania w placówce). Jaką podstawę prawną należy wskazać: art. 14 pkt 1 , pkt. 5 ustawy z 27 sierpnia 2009 r. o finansach publicznych? Czy są to podstawy prawne do udostępniania danych?

Obowiązek zapewnienia cyberbezpieczeństwa placówce medycznej dotyczy obecnie już niemal każdego podmiotu prowadzącego działalność leczniczą. Aby konfrontować się z cyberzagrożeniami wystarczy bowiem obecnie posiadanie choćby jednego komputera z dostępem do internetu, jednego przenośnego smartfona, czy też innego przenośnego urządzenia typu dysk USB.

Stosowanie zasady privacy by design jest nieodzowne dla skutecznej ochrony danych osobowych w aplikacjach internetowych. Wytyczne UODO jednoznacznie wskazują, że wdrożenie odpowiednich zabezpieczeń już na etapie projektowania pozwala ograniczyć ryzyka oraz zapewnić pełną zgodność z RODO. Dowiedz się, jak właściwie chronić dane użytkowników, korzystając z rekomendacji oraz najlepszych praktyk bezpieczeństwa.

Sektor oświaty, w tym szkoły i przedszkola muszą stosować szereg przepisów, aby zapewnić cyberbezpieczeństwo informacjom przez siebie przetwarzanym. Chodzi w tym przypadku nie tylko o dane osobowe, ale także o inne informacje, takie jak np. instrukcje zarządzania incydentami,  bezpiecznego korzystania z internetu,  czy też  karty  dostępowe ,  a nawet reagować na cyberprzemoc.

Pytanie:  W ostatnim czasie objęłam stanowisko IOD w organizacji. Po zweryfikowaniu dokumentacji, np. upoważnień pracowników do przetwarzania danych osobowych wygląda to różnie. Czy mogę nadać wszystkim pracownikom nowe upoważnienia według jednego wzoru? Uporządkować rejestr na nowo? Czy muszę odwoływać stare, czasem w części aktualne upoważnienia?

Pytanie:  Czy umowa administratora z inspektorem ochrony danych może zawierać postanowienie, zgodnie z którym w razie poniesienia przez administratora szkody zleceniobiorca czyli IOD zobowiązuje sięzrekompensować Zleceniodawcy doznaną z tego tytułu szkodę w pełnej wysokości, jeżeli powstanie tego obowiązku jest wynikiem zawinionego działania Zleceniobiorcy?

Ogólne rozporządzenie o ochronie danych przypisuje inspektorowi ochrony danych funkcję punktu kontaktowego. Poza tym w kilku przypadkach wymaga od administratora podania danych kontaktowych IOD. Sprawdź, co to znaczy, że inspektor ochrony danych ma być punktem kontaktowym, jak zrealizować to zadanie i jakie obowiązki spoczywają w związku z tym na administratorze.

Pytanie:  W jakich przypadkach szpital jest upoważniony do nagrywania rozmów telefonicznych pacjentów dzwoniących do placówki?

Każdy powinien mieć zapewniony dostęp do swoich danych przetwarzanych w organizacji. Dotyczy to m.in. klientów, kontrahentów, czy pracowników. Dostęp to nie tylko wgląd do danych, ale także możliwość żądania ich kopii oraz przedstawienia informacji dotyczących przetwarzania. Sprawdź, jak zrealizować prawo dostępu do danych.

Pytanie:  Czy możliwe jest dalsze przetwarzanie danych osobowych byłego czytelnika biblioteki po wystąpieniu przez niego z żądaniem usunięcia danych (prawo do bycia zapomnianym)?

Pytanie:  Na budynku komunalnym zostały zamontowane kamery monitoringu wizyjnego przez wspólnotę mieszkaniową, która zajmuje budynek obok. Montaż nastąpił za zgodą urzędu, ale zgoda ta wygasła przed wejściem przepisów RODO. Obecne wspólnota wystąpiła o udzielenie zgody na dalsze bezterminowe działanie kamer monitoringu. Miejski Administrator Mieszkań zbiera obecnie zgody lokatorów zamieszkujących w budynku komunalnym, na przetwarzanie ich wizerunku przez monitoring wspólnoty. Jeżeli zgodę wyrażą wszyscy lokatorzy, to czy można zażądać od wspólnoty mieszkaniowej umieszczenie informacji przy kamerach, że to wspólnota jest Administratorem danych osobowych i musi dopełnić wszelkich obowiązków z tym związanych? Monitoring obejmuje parking i część gospodarczą współdzieloną między wspólnotą mieszkaniową a lokatorami z budynku komunalnego. W przeszłości gdy dochodziło do aktów wandalizmu wspólnota mieszkaniowa udostępniała nagrania lokatorom mieszkań komunalnych. Czy istnieje inna możliwość uregulowania tej sytuacji? Czy w przypadku braku zgody wszystkich lokatorów budynku komunalnego należy zażądać zdjęcia kamer monitoringu z budynku komunalnego?

Pytanie:  W związku z ostatnimi medialnymi doniesieniami, że podczas jednego z koncertów na jaw wyszedł romans dyrektora firmy z pracownicą (tłum zobaczył na telebimie, jak para się przytula, a nagranie wyciekło do sieci). Jak to jest z tego typu sytuacjami na wydarzeniach publicznych? Moi pracownicy pytają za każdym razem, gdy proszę ich, by na otwartych wydarzeniach robili zdjęcia ludzi wyłącznie grupowe (jako „szczegółu krajobrazu"), że przecież na wydarzeniach sportowych, czy koncertach też są pokazywani ludzie z bliska, wybrane pojedyńcze osoby itd. Czy prasa ma inne prawa niż reszta firm/przedsiębiorców? Czy można pozwać organizatorów o odszkodowanie?

Pytanie:  Wnioskodawca - Komisariat Policji wnosi o udostępnienie danych osobowych członków zarządu wspólnoty mieszkaniowej, przez zarząd lokali komunalnych, który zarządzą częścią nieruchomości należącej do miasta. Zakres danych do udostępnienia: imię i nazwisko, adres. Podstawy prawne podane we wniosku to: art. 14 ust. 1 ustawy o Policji, art. 15 par. 2 Kodeks Postepowania Karnego w zw. z art. 1 oraz 14 ust 2 ustawy z 14 grudnia 2018 r o ochronie danych osobowych, art. 14 ust. 1 oraz art. 15 ust. 1 ustawy o Policji z 6 kwietnia 1990 r., par. 20 ust. 1 rozporządzenia rady ministrów z 8 listopada 2023 r. w sprawie postępowania przy wykonywaniu uprawnień policjantów, art. 15 par. 2 i par. 3 Kodeksu Postępowania Karnego. Numer KW od stycznia 2025 jest daną osobową. Czy należy udostępnić dane z wniosku?

Pytanie:  Spółka wodno-kanalizacyjna uchwałą rady miasta została upoważniona do prowadzenia kontroli w trybie art. 5a - 5c ustawy o utrzymaniu czystości i porządku w gminach, w tym do wydawania decyzji administracyjnych (przekazanie zadania własnego gminy). Spółka chcąc wykonywać kontrole żąda przekazywania danych z urzędu miasta o mieszkańcach z zakresu odpadów ciekłych. Czy w przypadku kontroli spółka występuje w roli podmiotu przetwarzającego czy samodzielnego administratora?

Pytanie:  Czy szkoła podstawowa (jednostka organizacyjna) powinna udzielić odpowiedzi wnioskodawcy w ramach dostępu do informacji publicznej, że posiadamy certyfikat tzw. kwalifikowanego podpisu elektronicznego (szkoła posiada jeden podpis kwalifikowany Szafir), czy jest to objęte tajemnicą i nie podlega udostępnianiu jako informacja publiczna w rozumieniu ustawy o dostępie do informacji publicznej?

Pytanie:  Jaką przyjąć retencję korespondencji przychodzącej przez skrzynkę eDoręczenia?

Pytanie:  Nasz szpital ma swoją stronę www, profil na Facebooku oraz na innych mediach społecznościowych. Czy trzeba zbierać zgody pracowników oraz innych osób z zewnątrz na wykorzystanie ich wizerunku poprzez umieszczenie zdjęcia tych osób we wspomnianych kanałach?

Pytanie:  Urzędy publiczne prowadzą między sobą korespondencję zawierającą dane osobowe pracowników urzędu (w tym zawierają umowy i porozumienia, na których podpisuje się merytoryczny pracownik). Pomiędzy stronami dochodzi do przetwarzania służbowych danych osobowych pracowników reprezentujących dany urząd. Czy wobec tego należy wobec nich spełniać obowiązek informacyjny z art. 14 RODO? Czy w tej sytuacji można zastosować konkretne wyłączenie z art. 14 RODO?

Pytanie:  Chodzi o postępowanie z zakresu Prawa zamówień publicznych oraz np. zapytań ofertowych i późniejszych umów (poniżej wartości progów Pzp) i obowiązek informacyjny (klauzula). Instytucja przekazuje beneficjentowi (administratorowi - jednostce publicznej) w ramach umowy środki. Beneficjent ma za zadanie na podstawie umów z instytucją finansującą przekazywania sprawozdań, rozliczeń, w tym danych osobowych wykonawcy. Jaki powinien być jak najbardziej ogólny i prawidłowy zapis dla tego typu postępowań (umów z wykonawcami z Pzp i zapytań) w sprawie przekazywania ich danych osobowych wynikających z przepisów ogólnych do instytucji państwowych jak np. sądy, ale przede wszystkim instytucji finansującej? Czy np. poniższy zapis jest prawidłowy ? : "Odbiorcami Państwa danych osobowych będą na podst. art. 6 ust. 1 lit B, C RODO podmioty upoważnione na podstawie przepisów prawa lub wykonujące zadania realizowane w interesie publicznym, osoby lub podmioty, którym udostępniona zostanie dokumentacja postępowania w oparciu przepisów prawa, w tym o ustawy o dostępie do informacji publicznej, o finansach publicznych oraz inne podmioty z którymi Administrator zawarł umowy powierzenia danych (w tym W ZWIĄZKU Z UMOWĄ KTÓRĄ ADMINISTRATOR (beneficjent) ZAWARŁ Z INSTYTUCJAMI PUBLICZNYMI FINANSUJACYMI PROJEKT, oraz świadczącym usługi prawnicze, audytowe, informatyczne, niszczenia dokumentów) oraz samodzielni administratorzy danych na podstawie zawartych umów". Proszę także o przykładową całą klauzulę dla tego typu postępowań (PzpZP i poniżej 130 tys. zł - zapytania ofertowe).

Pytanie:  Centrum kultury na terenie województwa dolnośląskiego świadczy usługi wynajmu pomieszczeń świetlic osobom i instytucjom zainteresowanym, na terenie których jest zainstalowany jest system monitoringu wizyjnego. Osoby zainteresowane wynajmem wyraziły sprzeciw dotyczący wykorzystania systemu monitoringu w tych pomieszczeniach. Uprzejmie proszę o analizę obowiązujących regulacji prawnych – zarówno ogólnych (w szczególności art. 6 ust. 1 lit. f oraz art. 5 RODO), jak i lokalnych (regulaminów i uchwał gminy) – pod kątem prawidłowości przyjętych przez Administratora praktyk. Informuję, że: klauzula informacyjna o stosowaniu monitoringu wizyjnego znajduje się w widocznym miejscu wewnątrz każdego obiektu, jej kopia jest również stale dostępna w siedzibie Administratora, przy wejściach do świetlic wiejskich umieszczone są duże, czytelne tablice informacyjne zawierające oznaczenie monitoringu, dane Administratora, podstawę prawną przetwarzania, okres przechowywania danych, a także inne wymagane elementy informacyjne. W zakresie technicznym i organizacyjnym system funkcjonuje następująco. Monitoring realizowany jest w trybie ciągłym (24/7) wyłącznie w celu zapewnienia bezpieczeństwa osób i mienia, ochrony infrastruktury publicznej oraz przeciwdziałania aktom wandalizmu, włamaniom i naruszeniom porządku publicznego. Kamery rejestrujące obraz rozmieszczone są wyłącznie w przestrzeniach ogólnodostępnych (wejścia, ciągi komunikacyjne, sala główna, przyległy teren zewnętrzny). Monitoring nie obejmuje pomieszczeń, w których mogłoby dojść do naruszenia intymności (np. toalet). System monitoringu wizyjnego zainstalowany w obiektach zarządzanych przez Administratora rejestruje obraz oraz dźwięk w sposób ciągły. Kamery wyposażone są w zintegrowane mikrofony, a funkcja nagrywania dźwięku pozostaje aktywna przez cały czas działania systemu. Rejestracja dźwięku ma na celu zwiększenie skuteczności nadzoru nad bezpieczeństwem obiektu oraz umożliwienie odtworzenia rzeczywistego przebiegu zdarzeń w przypadku incydentów wymagających podjęcia działań przez organy ścigania lub służby porządkowe (np. włamania, dewastacje, agresja słowna, zakłócenia porządku). Przetwarzanie danych w postaci dźwięku odbywa się na podstawie art. 6 ust. 1 lit. f RODO – jako realizacja prawnie uzasadnionego interesu Administratora, przy zachowaniu zasady minimalizacji oraz proporcjonalności. Nagrania są wykorzystywane wyłącznie w przypadku zaistnienia zdarzenia wymagającego ich analizy lub przekazania właściwym organom. System działa w trybie rejestracyjnym – Administrator nie prowadzi stałego, bieżącego nadzoru obrazu przez personel. Jednocześnie, system wyposażony jest w funkcję inteligentnego detekcji ruchu oraz alertów bezpieczeństwa, umożliwiających automatyczne przesyłanie komunikatów (wraz z podglądem obrazu) na urządzenia mobilne uprawnionych osób w przypadku wykrycia aktywności w określonych strefach (np. podejście do drzwi wejściowych, okien lub ogrodzenia). Funkcja ta pełni rolę prewencyjną i alarmową – umożliwia natychmiastową reakcję w sytuacjach potencjalnego zagrożenia bezpieczeństwa osób i mienia, zgodnie z art. 6 ust. 1 lit. f RODO (prawnie uzasadniony interes Administratora). Alerty są generowane automatycznie przez system, bez bieżącej ingerencji użytkownika. Chciałbym podkreślić, że: zakres monitoringu jest ściśle ograniczony do minimum niezbędnego do osiągnięcia celu przetwarzania, przetwarzanie danych odbywa się zgodnie z zasadą minimalizacji oraz proporcjonalności, stosowane rozwiązania organizacyjne i techniczne odpowiadają wymogom wynikającym z art. 5 ust. 1 lit. c i f RODO. Czy w świetlicach wiejskich można stosować system monitoringu wizyjnego wraz z rejestracją dźwięku zgodnie z zasadami przedstawionymi powyżej? Zapytanie czy przedstawione założenia są zgodne z przepisami RODO?  

Pytanie:  Pacjentka leżąca w szpitalu, będąca świadoma i chodząca, stwierdziła brak dowodu osobistego w swojej szafce. Dowód osobisty został jednak znaleziony w szafce innej pacjentki. Pacjentka, której dowód się zagubił, była świadoma regulaminu szpitala dotyczącego depozytu i nie oddała dowodu do depozytu. Personel szpitala nie wiedział, że ta pacjentka ma dowód osobisty. Córka pacjentki zwróciła się do szpitala z zapytaniem o monitoring oraz incydent ochrony danych osobowych, twierdząc, że dowód został użyty, ponieważ znalazł się w innej szafce, ale nie jest tego pewna. Czy jest to incydent, który Inspektor Ochrony Danych (IOD) powinien zgłosić do Urzędu Ochrony Danych Osobowych (UODO)? Nie ma pewności, że inna osoba użyła tego dowodu, a pacjentka nie chciała oddać go do depozytu. Czy to jest poważny incydent dotyczący danych, biorąc pod uwagę, że personel nie wiedział o dowodzie? Szpital posiada procedury dotyczące oddawania rzeczy wartościowych i dokumentów do depozytu. 

Pytanie:  Zwracamy się z uprzejmą prośbą o opinię w sprawie incydentu, kiedy to decyzja administracyjna w sprawie podatku od nieruchomości, adresowana do Pani Jagody X, została omyłkowo doręczona syndykowi Pani Ilony X. Obie osoby mają to samo nazwisko, co najprawdopodobniej wpłynęło na błędne przekierowanie przesyłki przez operatora pocztowego. Pismo zawierało dane osobowe oraz informacje objęte tajemnicą skarbową. Dokument przez dwa miesiące znajdował się w placówce pocztowej, a ostatecznie trafił do syndyka. Zdarzenie to można uznać za naruszenie ochrony danych osobowych, a także ujawnienie tajemnicy skarbowej. Czy zgłoszenie tego naruszenia do PUODO było zasadne? Czy należy dodatkowo powiadomić inne instytucje (np. KAS)? Jakie dodatkowe środki organizacyjne należy wdrożyć w przyszłości? Czy należy pociągnąć operatora pocztowego do odpowiedzialności cywilnoprawnej?