Pytanie:   Występują dwa podmioty medyczne - jeden zleca drugiemu świadczenia na badania mikrobiologiczne. Zleceniobiorca wykonuje badania jednak do identyfikacji używa nr PESEL (program wymaga tego w celu właściwego działania - dla jednoznacznego zidentyfikowania wykonawców). Obydwie strony upoważnią pracowników do obsługi systemu (w tym dostępu do np. PESEL pracowników drugiego podmiotu). Czy w takim przypadku rozwiązaniem może być odpowiednia umowa powierzenia wraz ze wskazaniem upoważnionych pracowników zleceniodawcy do dostępu do danych wraz z poinformowaniem pracowników zleceniobiorcy o udostępnianiu ich danych w postaci PESEL (dodatkowo jaka będzie podstawa przetwarzania - zgoda najmniej pożądana ze względu na możliwości cofnięcia)?

Pytanie:  Podmiot A jest hostingodawcą i udostępnia aplikację CRM. Korzystają z niej podmioty B, C, D, które zawarły z pomiotem umowy hostingu. Ze względu na zmianę systemu CRM, podmiot A powierzy dane do dostawcy nowego systemu CRM w celu wykonania konwersji (usługa jednorazowa). W jaki sposób uregulować to z podmiotami B, C, D? Czy wystarczy udzielenie pełnomocnictwa podmiotowi A w celu powierzenia do konwersji, czy może należy zawrzeć umowy powierzenia z A, a podmiot A podpowierzy dane do dostawcy nowego systemu CRM?

Pytanie:  Miasto jest właścicielem lokalu należącego do Wspólnoty Mieszkaniowej. Jeden z członków wspólnoty przesłał do jednostki zarządzającej mieszkaniami komunalnymi, wniosek o udostępnienie imion i nazwisk lokatorów mieszkających w lokalu należącym do Miasta (został wskazany adres). Jako cel uzyskania danych osobowych podał interes prawny wynikający z zamiaru złożenia pozwu o immisje. Czy jednostka zarządzający lokalami Miasta ma obowiązek udostępnienia danych osobowych lokatorów?

Trwa kampania phishingowa wymierzona w jednostki samorządu terytorialnego. Oszuści podszywają się pod Ministerstwo Cyfryzacji, próbując wyłudzić dane kontaktowe pracowników lub zainfekować urządzenia złośliwym oprogramowaniem. Pełnomocnik Rządu ds. Cyberbezpieczeństwa ostrzega i apeluje o zachowanie szczególnej ostrożności.

Nowy raport „Postawy Polaków wobec cyberbezpieczeństwa” pokazuje, że choć rośnie poczucie bezpieczeństwa w sieci, phishing i kradzież tożsamości pozostają najpoważniejszymi zagrożeniami. Ministerstwo Cyfryzacji zapowiada rekordowe inwestycje w system ochrony przed cyberatakami i nową Strategię Cyberbezpieczeństwa RP.

UODO wraz z DPC oraz platformami internetowymi, w tym Meta, wdraża skuteczne narzędzia walki z fałszywymi reklamami „celeb bait” i deepfake. Poznaj zasady działania systemu, nowe mechanizmy ochrony oraz sposoby zgłaszania naruszeń na platformach społecznościowych.

Pytanie:  W ostatnim czasie objęłam stanowisko IOD w organizacji. Po zweryfikowaniu dokumentacji, np. upoważnień pracowników do przetwarzania danych osobowych wygląda to różnie. Czy mogę nadać wszystkim pracownikom nowe upoważnienia według jednego wzoru? Uporządkować rejestr na nowo? Czy muszę odwoływać stare, czasem w części aktualne upoważnienia?

Pytanie:  Czy umowa administratora z inspektorem ochrony danych może zawierać postanowienie, zgodnie z którym w razie poniesienia przez administratora szkody zleceniobiorca czyli IOD zobowiązuje sięzrekompensować Zleceniodawcy doznaną z tego tytułu szkodę w pełnej wysokości, jeżeli powstanie tego obowiązku jest wynikiem zawinionego działania Zleceniobiorcy?

Ogólne rozporządzenie o ochronie danych przypisuje inspektorowi ochrony danych funkcję punktu kontaktowego. Poza tym w kilku przypadkach wymaga od administratora podania danych kontaktowych IOD. Sprawdź, co to znaczy, że inspektor ochrony danych ma być punktem kontaktowym, jak zrealizować to zadanie i jakie obowiązki spoczywają w związku z tym na administratorze.

Pytanie:  Rzecznik prasowy publicznego podmiotu leczniczego chce, aby przy zatrudnieniu nowych osób do pracy powszechnie znanych, w związku z pełnieniem przez nich funkcji publicznej – w szczególności, dyrektorzy, ordynatorzy, oddziałowe podpisywały zgodę na wykorzystanie wizerunku do celów promocyjnych i reklamowych. RODO wymaga, aby zgoda była dobrowolna, świadoma, konkretna i możliwa do wycofania w każdej chwili. Podczas zatrudnienia pracownik znajduje się w relacji podporządkowania wobec pracodawcy. W praktyce oznacza to, że podpisując dokumenty przy przyjęciu do pracy, pracownik nie ma realnej swobody odmowy, może obawiać się negatywnych konsekwencji odmowy podpisania, działa pod presją, chcąc otrzymać zatrudnienie. Czy można skutecznie udzielić zgody „na wszelkie przyszłe materiały promocyjne szpitala”? Zgoda udzielona podczas zatrudnienia byłaby zbyt ogólna, a więc nie spełnia wymogu „konkretności” z art. 4 pkt 11 RODO. Taka zgoda nie spełnia wymogu „dobrowolności” i jest nieważna.

Pytanie:  W jakich przypadkach szpital jest upoważniony do nagrywania rozmów telefonicznych pacjentów dzwoniących do placówki?

Każdy powinien mieć zapewniony dostęp do swoich danych przetwarzanych w organizacji. Dotyczy to m.in. klientów, kontrahentów, czy pracowników. Dostęp to nie tylko wgląd do danych, ale także możliwość żądania ich kopii oraz przedstawienia informacji dotyczących przetwarzania. Sprawdź, jak zrealizować prawo dostępu do danych.

Pytanie:  SPZOZ otrzymał wniosek od MGOPSU o przeprowadzenie wizyty środowiskowej. Wniosek zawiera dane osobowe wraz z adresem podopiecznej oraz informacją o złożonym wniosku o skierowanie na przymusowe leczenie w szpitalu psychiatrycznym. Po sprawdzeniu okazało się, że podopieczna nie jest pacjentem SPZOZ. MGOPS nie określił również, że stan zdrowia podopiecznej nagle się pogorszył i nie jest w stanie dotrzeć samodzielnie do przychodni. Czy MGOPS może zwrócić się do POZ o przeprowadzenie takiej wizyty? Jakie są podstawy prawne przetwarzania danych osobowych, w tym danych wrażliwych przez MGOPSU i jakie będzie miał podstawy SPZOZ, jeśli przyjmie wniosek do realizacji?

Pytanie:  Czy szkoła może wprowadzić dane dziedzinowe ucznia do SIO dotyczące mLegitymacji, jeżeli rodzic zgłosił sprzeciw? Dane dziedzinowe obejmują również dane zawarte w mLegitymacji szkolnej oraz dane jej dotyczące, obejmujące: numer mLegitymacji szkolnej, datę wydania mLegitymacji szkolnej, datę ważności mLegitymacji szkolnej, datę i przyczynę unieważnienia mLegitymacji szkolnej, kod QR służący do wydania mLegitymacji szkolnej, fotografię kolorową zawierającą wizerunek twarzy ucznia. Czy pola informacji SIO o mlegitymacji powinny zostać puste?

Pytanie:   Mam pytanie dotyczące retencji danych przetwarzanymi w związku z projektami unijnymi. Projekt finansowany jest ze środków Europejskiego Funduszu Społecznego Plus. Jak długo należy przetrzymywać dokumenty zawierające dane osobowe, gdy wniosek beneficjenta został odrzucony, bo np. beneficjent nie spełniał kryteriów?

Pytanie:  Organ prowadzący (gmina) przeprowadza kontrole w szkołach m.in. pod kątem poprawności wpisów w systemie informacji oświatowej (SIO). Czy w związku z tym dyrektor szkoły ma prawo udostępnić kontrolującemu orzeczenia o potrzebie kształcenia specjalnego (dane szczególne)? Kontrolujący ma prawo wglądu do orzeczeń tylko na terenie szkoły. Natomiast poza szkołą - tylko w formie zanonimizowanej. Niemniej jednak nie widzę podstawy prawnej takiego przetwarzania (udostępniania na terenie szkoły). A poza tym anonimizacja ma uniemożliwić identyfikację dziecka. Ale w przypadku szkół w małych miejscowościach (gdzie np. wiadomo, że tylko jedno dziecko w szkole/klasie ma takie orzeczenie) taka anonimizacja nie gwarantuje braku możliwości identyfikacji. W związku z tym czy faktycznie dyrektor szkoły ma prawo udostępnić orzeczenia organowi prowadzącemu (na terenie szkoły) i jaka jest podstawa prawna takiego udostępnienia? Czy w przypadku „małych" jednostek udostępnianie nawet zanonimizowanych orzeczeń powinno być dopuszczalne?

Pytanie:  Pracodawca po dokonanej analizie ryzyka ocenił, że w związku z tym, że pracownicy wykonujący konkretne prace są narażeni na kontakt ze szkodliwymi czynnikami biologicznymi, powinni uzyskać możliwość dokonania szczepień ochronnych, zaleconych przez lekarza medycyny pracy. W związku z tym pracodawca planuje zebrać od pracowników oświadczenia, w których wyrażą one zgodę na poddanie się szczepieniu lub odmówią poddania się szczepieniu. Oświadczenie o poddaniu się szczepieniu, fakt poddania się szczepieniu, jak i oświadczenie o odmowie są danymi, które pracodawca zamierza przechowywać z uwagi na realizację obowiązków pracodawcy wynikających z przepisów prawa pracy i BHP, w tym zapewnienia profilaktyki zdrowotnej i bezpieczeństwa w miejscu pracy, dokumentowania decyzji pracownika w zakresie zalecanych szczepień ochronnych oraz ochrony praw i interesów pracodawcy, w szczególności w związku z ewentualnymi roszczeniami wynikającymi z chorób zawodowych lub zdarzeń w miejscu pracy. Do oświadczenia planujemy dodać klauzulę informacyjną dotyczącą przetwarzania tego rodzaju danych. Czy takie działanie jest wystarczające? Jeśli nie, proszę o wskazanie co powinien zrobić pracodawca, żeby móc legalnie takie dane przechowywać? Jakie są podstawy prawne ich przetwarzania? Czy pracodawca ma prawo żądać od pracownika przedstawienia zaświadczenia o zaszczepieniu, mając na uwadze powyższe cele przetwarzania tych danych? Jeśli tak, to jakie formalności powinien spełnić? Jeśli wymagane jest tylko spełnienie obowiązku informacyjnego, jaki okres przechowywanie tego rodzaju danych należy wskazać (art. 13 ust. 2 a) RODO +? Na pewno będzie to okres zatrudnienia. Z przepisów dotyczących chorób zawodowych wynika jednak, że okres przedawnienia roszczeń pracownika w takim przypadku wynosi w przypadku roszczeń od pracodawcy trzy lata od dnia, w którym rozpoznano chorobę i możliwe było stwierdzenie jej związku z pracą. Nie jest to zatem określony wprost i możliwy do przewidzenia.

Pytanie:  Czy na salach chorych może być montowany system kamer, czy nie narusza to poszanowania godności pacjenta? A jak wygląda sytuacja w przypadku monitoringu samej wizji bez nagrywania, tylko podgląd? Proszę o informację, czy na salach chorych można stosować monitoring?

Pytanie:  Z dniem 1 lipca 2024 weszła w życie dyrektywa DAC7. Czy klauzuli informacyjnej jednostki budżetowej samorządu można uznać, iż wystarczające jest, gdy podano jako jedną z podstaw przetwarzania danych art. 6 ust. 1 lit. c RODO? W dostępnych materiałach są informacja, iż przepis nakazuje promotorowi oraz wspomagającemu przekazywać osobie fizycznej informacje o gromadzeniu, przetwarzaniu i przekazywaniu informacji dotyczących schematu podatkowego, jeśli informacje o schemacie podatkowym dotyczą tej osoby fizycznej. Dodatkowo ustawa wprowadziła nową definicję „naruszenia ochrony danych", która ma szerszy zakres przedmiotowy. Jak uwzględnić te zmiany w procedurze zarzadzania naruszeniami i w ocenie wagi naruszenia opartej na metodzie ENISY.

Pytanie:  Nasz szpital ma swoją stronę www, profil na Facebooku oraz na innych mediach społecznościowych. Czy trzeba zbierać zgody pracowników oraz innych osób z zewnątrz na wykorzystanie ich wizerunku poprzez umieszczenie zdjęcia tych osób we wspomnianych kanałach?

Pytanie:  Urzędy publiczne prowadzą między sobą korespondencję zawierającą dane osobowe pracowników urzędu (w tym zawierają umowy i porozumienia, na których podpisuje się merytoryczny pracownik). Pomiędzy stronami dochodzi do przetwarzania służbowych danych osobowych pracowników reprezentujących dany urząd. Czy wobec tego należy wobec nich spełniać obowiązek informacyjny z art. 14 RODO? Czy w tej sytuacji można zastosować konkretne wyłączenie z art. 14 RODO?

Pytanie:  Pracownik naszego działu kadr i płac pomyłkowo wysłał skan wypowiedzenia umowy o pracę na niewłaściwy adres e-mail (pracownik prosił o wysłanie go na swoją prywatną skrzynkę, po tym jak nie zabrał ze sobą dokumentu po jego osobistym wręczeniu), który nie był adresem pracownika. W adresie e-mail, na który wysłane zostało wypowiedzenie, było to samo imię i nazwisko, co w adresie pracownika, ale bez cyfr, które są w adresie wskazanym przez pracownika. Wypowiedzenie to zawierało imię i nazwisko oraz adres pracownika, a także wskazywało przyczyny rozwiązania umowy o pracę. Po wysłaniu skanu wypowiedzenia pracownik działu kadr nie otrzymał z tegoż adresu żadnej informacji zwrotnej, w tym informacji o tym, że adres nie istnieje, czy też ze jest nieprawidłowy). Po odkryciu pomyłki, w ślad za tym mailem na ten sam adres został wysłany kolejny, z prośbą o usunięcie poprzedniej wiadomości skierowanej pomyłkowo oraz o potwierdzenie takiego usunięcia. Na razie odpowiedzi nie mamy. Dodatkowo w stopkach maili wysyłanych przez naszych pracowników jest standardowo zamieszczona informacja o tym, że wiadomość może zawierać informacje poufne lub zastrzeżone i jeżeli osoba otrzymująca nie jest adresatem wiadomości, prosimy o niezwłoczne powiadomienie nadawcy w zwrotnej wiadomości oraz o usunięcie wiadomości wraz ze wszystkimi załącznikami, bez zachowywania jakiejkolwiek kopii. Tak też było i w tym przypadku. Dodatkowo okres wypowiedzenia umowy o pracę w stosunku do tego pracownika upłynie na koniec października, pracownik jest zwolniony z obowiązku świadczenia pracy w okresie wypowiedzenia. Czy w takim przypadku administrator powinien powiadomić Prezesa UODO o naruszeniu oraz czy równolegle powinniśmy powiadomić pracownika o tej sytuacji?

Pytanie:  Centrum kultury na terenie województwa dolnośląskiego świadczy usługi wynajmu pomieszczeń świetlic osobom i instytucjom zainteresowanym, na terenie których jest zainstalowany jest system monitoringu wizyjnego. Osoby zainteresowane wynajmem wyraziły sprzeciw dotyczący wykorzystania systemu monitoringu w tych pomieszczeniach. Uprzejmie proszę o analizę obowiązujących regulacji prawnych – zarówno ogólnych (w szczególności art. 6 ust. 1 lit. f oraz art. 5 RODO), jak i lokalnych (regulaminów i uchwał gminy) – pod kątem prawidłowości przyjętych przez Administratora praktyk. Informuję, że: klauzula informacyjna o stosowaniu monitoringu wizyjnego znajduje się w widocznym miejscu wewnątrz każdego obiektu, jej kopia jest również stale dostępna w siedzibie Administratora, przy wejściach do świetlic wiejskich umieszczone są duże, czytelne tablice informacyjne zawierające oznaczenie monitoringu, dane Administratora, podstawę prawną przetwarzania, okres przechowywania danych, a także inne wymagane elementy informacyjne. W zakresie technicznym i organizacyjnym system funkcjonuje następująco. Monitoring realizowany jest w trybie ciągłym (24/7) wyłącznie w celu zapewnienia bezpieczeństwa osób i mienia, ochrony infrastruktury publicznej oraz przeciwdziałania aktom wandalizmu, włamaniom i naruszeniom porządku publicznego. Kamery rejestrujące obraz rozmieszczone są wyłącznie w przestrzeniach ogólnodostępnych (wejścia, ciągi komunikacyjne, sala główna, przyległy teren zewnętrzny). Monitoring nie obejmuje pomieszczeń, w których mogłoby dojść do naruszenia intymności (np. toalet). System monitoringu wizyjnego zainstalowany w obiektach zarządzanych przez Administratora rejestruje obraz oraz dźwięk w sposób ciągły. Kamery wyposażone są w zintegrowane mikrofony, a funkcja nagrywania dźwięku pozostaje aktywna przez cały czas działania systemu. Rejestracja dźwięku ma na celu zwiększenie skuteczności nadzoru nad bezpieczeństwem obiektu oraz umożliwienie odtworzenia rzeczywistego przebiegu zdarzeń w przypadku incydentów wymagających podjęcia działań przez organy ścigania lub służby porządkowe (np. włamania, dewastacje, agresja słowna, zakłócenia porządku). Przetwarzanie danych w postaci dźwięku odbywa się na podstawie art. 6 ust. 1 lit. f RODO – jako realizacja prawnie uzasadnionego interesu Administratora, przy zachowaniu zasady minimalizacji oraz proporcjonalności. Nagrania są wykorzystywane wyłącznie w przypadku zaistnienia zdarzenia wymagającego ich analizy lub przekazania właściwym organom. System działa w trybie rejestracyjnym – Administrator nie prowadzi stałego, bieżącego nadzoru obrazu przez personel. Jednocześnie, system wyposażony jest w funkcję inteligentnego detekcji ruchu oraz alertów bezpieczeństwa, umożliwiających automatyczne przesyłanie komunikatów (wraz z podglądem obrazu) na urządzenia mobilne uprawnionych osób w przypadku wykrycia aktywności w określonych strefach (np. podejście do drzwi wejściowych, okien lub ogrodzenia). Funkcja ta pełni rolę prewencyjną i alarmową – umożliwia natychmiastową reakcję w sytuacjach potencjalnego zagrożenia bezpieczeństwa osób i mienia, zgodnie z art. 6 ust. 1 lit. f RODO (prawnie uzasadniony interes Administratora). Alerty są generowane automatycznie przez system, bez bieżącej ingerencji użytkownika. Chciałbym podkreślić, że: zakres monitoringu jest ściśle ograniczony do minimum niezbędnego do osiągnięcia celu przetwarzania, przetwarzanie danych odbywa się zgodnie z zasadą minimalizacji oraz proporcjonalności, stosowane rozwiązania organizacyjne i techniczne odpowiadają wymogom wynikającym z art. 5 ust. 1 lit. c i f RODO. Czy w świetlicach wiejskich można stosować system monitoringu wizyjnego wraz z rejestracją dźwięku zgodnie z zasadami przedstawionymi powyżej? Zapytanie czy przedstawione założenia są zgodne z przepisami RODO?  

Pytanie:  Pacjentka leżąca w szpitalu, będąca świadoma i chodząca, stwierdziła brak dowodu osobistego w swojej szafce. Dowód osobisty został jednak znaleziony w szafce innej pacjentki. Pacjentka, której dowód się zagubił, była świadoma regulaminu szpitala dotyczącego depozytu i nie oddała dowodu do depozytu. Personel szpitala nie wiedział, że ta pacjentka ma dowód osobisty. Córka pacjentki zwróciła się do szpitala z zapytaniem o monitoring oraz incydent ochrony danych osobowych, twierdząc, że dowód został użyty, ponieważ znalazł się w innej szafce, ale nie jest tego pewna. Czy jest to incydent, który Inspektor Ochrony Danych (IOD) powinien zgłosić do Urzędu Ochrony Danych Osobowych (UODO)? Nie ma pewności, że inna osoba użyła tego dowodu, a pacjentka nie chciała oddać go do depozytu. Czy to jest poważny incydent dotyczący danych, biorąc pod uwagę, że personel nie wiedział o dowodzie? Szpital posiada procedury dotyczące oddawania rzeczy wartościowych i dokumentów do depozytu.