Pytanie:  Jeżeli w ramach konsultacji przy przeprowadzaniu oceny skutków dla ochrony danych (DPIA) będą zbierane dane osobowe osób, które np. wypełnią ankietę, to należy wobec nich wypełnić obowiązek informacyjny, a co za tym idzie, poinformować, przez jaki czas ich dane będą przechowywane? Jak długo trzeba przechowywać te dane, które służą udokumentowaniu DPIA? Czy wystarczy jako udokumentowanie konsultacji przedstawić anonimowe ankiety?

Pytanie:  W bazie danych kandydatów dokonujemy zestawienia według profilu zawodowego. Na tej podstawie możemy następnie dokonać wyboru osoby na określoną rekrutację na potrzeby firmy lub zaoferować danego kandydata klientowi – w przypadku świadczenia usługi outsourcingu specjalistów. Czy w tym przypadku mamy do czynienia z profilowaniem w rozumieniu ogólnego rozporządzenia ochronie danych (RODO)?

Pytanie:  W sklepie jest zainstalowana kamera na wypadek ewentualnych kradzieży towarów z ekspozycji. Kilka kamer obserwuje także teren wokół sklepu i firmy. Nagrania są zapisywane w rejestratorach i przechowywane przez 30 dni, po czym są nadpisywane przez kolejne nagrania. Nie są one udostępniane i przekazywane dalej, np. policji. Czy zgodnie z RODO należy pozyskać od wszystkich klientów wchodzących do sklepu pisemną lub elektroniczną zgodę na utrwalanie wizerunku i zachować ją na potrzeby udokumentowania uzyskania takiej zgody? Czy należy spełnić obowiązek informacyjny wobec klientów zgodnie z RODO?

Europejski Trybunał Praw Człowieka w wyroku z 9 stycznia 2017 r. uznał, że monitorowanie sprzedawców w hiszpańskim supermarkecie bez ich wiedzy naruszało prawo do poszanowania życia prywatnego pracowników.

Pytanie:  Czy wizerunki osób (pracowników i interesantów) utrwalone przez monitoring wizyjny, np. w biurowcu, mogą być potraktowane jako dane biometryczne? Czy ich przetwarzanie będzie dopuszczalne w myśl ogólnego rozporządzenia o ochronie danych (RODO)? Jeżeli tak, to na podstawie jakiej przesłanki?

Grupa Robocza Art. 29 na początku października 2017 r. wydała wytyczne w sprawie profilowania. Sprawdź, jakie kwestie zostały w nich poruszone. Dowiedz się, jak Grupa Robocza Art. 29 odnosi się m.in. do profilowania dzieci czy praw osób, które podlegają profilowaniu.

W Stałym Przedstawicielstwie Polski w Brukseli odbyły się konsultacje dotyczące unijnego projektu rozporządzenia w sprawie poszanowania życia prywatnego oraz ochrony danych osobowych w łączności elektronicznej i uchylającego dyrektywę 2002/58/WE (ePrivacy).

Pytanie:  Starostwo powiatowe ma centralną bazę danych, z której korzystają także jednostki podległe. Aktualnie dostęp ten odbywa się poprzez nieszyfrowane połączenie RDP. Tym kanałem przesyłane są dane osobowe. Ogólne rozporządzenie o ochronie danych (RODO) wskazuje, że dane powinny być szyfrowane. Czy wystarczy w tym celu zastosowanie połączenia DRP w tunelu VPN?

Pytanie:  Czy zgodnie z ogólnym rozporządzeniem o ochronie danych (RODO) jednostki samorządu terytorialnego, jako administratorzy danych, od 25 maja 2018 r. będą zobligowane do zastosowania szczególnych sposobów zabezpieczania danych osobowych, np. szyfrowania danych osobowych?

Pytanie:  Czy zgodnie z ogólnym rozporządzeniem o ochronie danych w przypadku wniosku o usunięcie danych złożonego przez osobę, której dane są przetwarzane na podstawie umowy, trzeba będzie również usunąć dane z kopii zapasowych? Czy po wypowiedzeniu umowy, podstawą prawną przetwarzania danych w ramach kopii zapasowej może być prawnie uzasadniony interes, czyli zapewnienia bezpieczeństwa IT?

Pytanie:  Jeżeli w ramach konsultacji przy przeprowadzaniu oceny skutków dla ochrony danych (DPIA) będą zbierane dane osobowe osób, które np. wypełnią ankietę, to należy wobec nich wypełnić obowiązek informacyjny, a co za tym idzie, poinformować, przez jaki czas ich dane będą przechowywane? Jak długo trzeba przechowywać te dane, które służą udokumentowaniu DPIA? Czy wystarczy jako udokumentowanie konsultacji przedstawić anonimowe ankiety?

Pytanie:  W bazie danych kandydatów dokonujemy zestawienia według profilu zawodowego. Na tej podstawie możemy następnie dokonać wyboru osoby na określoną rekrutację na potrzeby firmy lub zaoferować danego kandydata klientowi – w przypadku świadczenia usługi outsourcingu specjalistów. Czy w tym przypadku mamy do czynienia z profilowaniem w rozumieniu ogólnego rozporządzenia ochronie danych (RODO)?

Pytanie:  W sklepie jest zainstalowana kamera na wypadek ewentualnych kradzieży towarów z ekspozycji. Kilka kamer obserwuje także teren wokół sklepu i firmy. Nagrania są zapisywane w rejestratorach i przechowywane przez 30 dni, po czym są nadpisywane przez kolejne nagrania. Nie są one udostępniane i przekazywane dalej, np. policji. Czy zgodnie z RODO należy pozyskać od wszystkich klientów wchodzących do sklepu pisemną lub elektroniczną zgodę na utrwalanie wizerunku i zachować ją na potrzeby udokumentowania uzyskania takiej zgody? Czy należy spełnić obowiązek informacyjny wobec klientów zgodnie z RODO?

Europejski Trybunał Praw Człowieka w wyroku z 9 stycznia 2017 r. uznał, że monitorowanie sprzedawców w hiszpańskim supermarkecie bez ich wiedzy naruszało prawo do poszanowania życia prywatnego pracowników.

Pytanie:  Czy wizerunki osób (pracowników i interesantów) utrwalone przez monitoring wizyjny, np. w biurowcu, mogą być potraktowane jako dane biometryczne? Czy ich przetwarzanie będzie dopuszczalne w myśl ogólnego rozporządzenia o ochronie danych (RODO)? Jeżeli tak, to na podstawie jakiej przesłanki?

Grupa Robocza Art. 29 na początku października 2017 r. wydała wytyczne w sprawie profilowania. Sprawdź, jakie kwestie zostały w nich poruszone. Dowiedz się, jak Grupa Robocza Art. 29 odnosi się m.in. do profilowania dzieci czy praw osób, które podlegają profilowaniu.

W Stałym Przedstawicielstwie Polski w Brukseli odbyły się konsultacje dotyczące unijnego projektu rozporządzenia w sprawie poszanowania życia prywatnego oraz ochrony danych osobowych w łączności elektronicznej i uchylającego dyrektywę 2002/58/WE (ePrivacy).

Pytanie:  Starostwo powiatowe ma centralną bazę danych, z której korzystają także jednostki podległe. Aktualnie dostęp ten odbywa się poprzez nieszyfrowane połączenie RDP. Tym kanałem przesyłane są dane osobowe. Ogólne rozporządzenie o ochronie danych (RODO) wskazuje, że dane powinny być szyfrowane. Czy wystarczy w tym celu zastosowanie połączenia DRP w tunelu VPN?

Pytanie:  Czy zgodnie z ogólnym rozporządzeniem o ochronie danych (RODO) jednostki samorządu terytorialnego, jako administratorzy danych, od 25 maja 2018 r. będą zobligowane do zastosowania szczególnych sposobów zabezpieczania danych osobowych, np. szyfrowania danych osobowych?

Pytanie:  Czy zgodnie z ogólnym rozporządzeniem o ochronie danych w przypadku wniosku o usunięcie danych złożonego przez osobę, której dane są przetwarzane na podstawie umowy, trzeba będzie również usunąć dane z kopii zapasowych? Czy po wypowiedzeniu umowy, podstawą prawną przetwarzania danych w ramach kopii zapasowej może być prawnie uzasadniony interes, czyli zapewnienia bezpieczeństwa IT?