Pytanie:  Grupę spółek prowadzących działalność na terenie Polski łączy umowa o współadministrowaniu danymi osobowymi. Każda ze spółek, wypełniając obowiązek informacyjny z art. 13 i 14 RODO, kieruje do osób fizycznych - w przypadkach przewidzianych przepisami prawa - klauzule informacyjne (ich treść różni się w zależności od celów I podstaw przetwarzania), w których wskazuje siebie jako administratora danych, a pozostałe spółki jako współadministratorów. W związku z tym obecnie posiadamy tyle klauzul, ile spółek realizuje dany cel przetwarzania. Zależy nam jednak na uszczupleniu dokumentacji. Zastanawiamy się, czy w świetle RODO konieczne jest, aby każda spółka posiadała własną, odrębną klauzulę informacyjną, w której wskazuje siebie jako administratora i pozostałe podmioty jako współadministratorów, czy też dopuszczalne jest stosowanie jednej, wspólnej i uniwersalnej klauzuli informacyjnej dla wszystkich spółek objętych porozumieniem o współadministrowaniu, w której wskazuje się, że: 1)     współadministratorami danych osoby, której dane dotyczą, są: [lista spółek], zamiast przygotowywania odrębnej klauzuli dla każdej spółki, lub 2)     ADO są wszyscy współadministratorzy i jednocześnie opisuje się zasadę przypisania roli administratora w zależności od celu przetwarzania, np.: „Administratorem danych w procesie rekrutacji jest spółka prowadząca konkretny proces rekrutacyjny w danym momencie, a pozostałe spółki pełnią funkcję współadministratorów” (opisowo, bez podawania danych konkretnej spółki), zamiast wymieniać konkretne spółki w każdym przypadku. Zakładamy przy tym, że punkt kontaktowy do realizacji praw osób, których dane dotyczą, będzie wspólny dla wszystkich spółek. Czy takie rozwiązanie byłoby prawidłowe lub o wskazanie innego alternatywnego rozwiązania, które uprościłoby dokumentację spółek w zakresie obowiązku informacyjnego. Chodzi zwłaszcza o klauzule kierowane do osób zatrudnianych, przyszłych pracowników.  

Pytanie:  W urzędzie jest monitoring na parkingu, w samochodach służbowych oraz komputerów. Jest zarządzenie do tego i każdy pracownik podpisał odpowiednie oświadczenie. W tym roku został wybudowany nowy budynek, do którego przeniosły się dwa wydziały. W tym budynku monitoring jest na korytarzu i holu. Czy w związku z tym pracownicy tych dwóch wydziałów muszą podpisać nowe oświadczenia dotyczące monitoringu?

Pytanie:  Z dniem 1 lipca 2024 weszła w życie dyrektywa DAC7. Czy klauzuli informacyjnej jednostki budżetowej samorządu można uznać, iż wystarczające jest, gdy podano jako jedną z podstaw przetwarzania danych art. 6 ust. 1 lit. c RODO? W dostępnych materiałach są informacja, iż przepis nakazuje promotorowi oraz wspomagającemu przekazywać osobie fizycznej informacje o gromadzeniu, przetwarzaniu i przekazywaniu informacji dotyczących schematu podatkowego, jeśli informacje o schemacie podatkowym dotyczą tej osoby fizycznej. Dodatkowo ustawa wprowadziła nową definicję „naruszenia ochrony danych", która ma szerszy zakres przedmiotowy. Jak uwzględnić te zmiany w procedurze zarzadzania naruszeniami i w ocenie wagi naruszenia opartej na metodzie ENISY.

Pytanie:  Nasz szpital ma swoją stronę www, profil na Facebooku oraz na innych mediach społecznościowych. Czy trzeba zbierać zgody pracowników oraz innych osób z zewnątrz na wykorzystanie ich wizerunku poprzez umieszczenie zdjęcia tych osób we wspomnianych kanałach?

Pytanie:  Urzędy publiczne prowadzą między sobą korespondencję zawierającą dane osobowe pracowników urzędu (w tym zawierają umowy i porozumienia, na których podpisuje się merytoryczny pracownik). Pomiędzy stronami dochodzi do przetwarzania służbowych danych osobowych pracowników reprezentujących dany urząd. Czy wobec tego należy wobec nich spełniać obowiązek informacyjny z art. 14 RODO? Czy w tej sytuacji można zastosować konkretne wyłączenie z art. 14 RODO?

Pytanie:  Chodzi o postępowanie z zakresu Prawa zamówień publicznych oraz np. zapytań ofertowych i późniejszych umów (poniżej wartości progów Pzp) i obowiązek informacyjny (klauzula). Instytucja przekazuje beneficjentowi (administratorowi - jednostce publicznej) w ramach umowy środki. Beneficjent ma za zadanie na podstawie umów z instytucją finansującą przekazywania sprawozdań, rozliczeń, w tym danych osobowych wykonawcy. Jaki powinien być jak najbardziej ogólny i prawidłowy zapis dla tego typu postępowań (umów z wykonawcami z Pzp i zapytań) w sprawie przekazywania ich danych osobowych wynikających z przepisów ogólnych do instytucji państwowych jak np. sądy, ale przede wszystkim instytucji finansującej? Czy np. poniższy zapis jest prawidłowy ? : "Odbiorcami Państwa danych osobowych będą na podst. art. 6 ust. 1 lit B, C RODO podmioty upoważnione na podstawie przepisów prawa lub wykonujące zadania realizowane w interesie publicznym, osoby lub podmioty, którym udostępniona zostanie dokumentacja postępowania w oparciu przepisów prawa, w tym o ustawy o dostępie do informacji publicznej, o finansach publicznych oraz inne podmioty z którymi Administrator zawarł umowy powierzenia danych (w tym W ZWIĄZKU Z UMOWĄ KTÓRĄ ADMINISTRATOR (beneficjent) ZAWARŁ Z INSTYTUCJAMI PUBLICZNYMI FINANSUJACYMI PROJEKT, oraz świadczącym usługi prawnicze, audytowe, informatyczne, niszczenia dokumentów) oraz samodzielni administratorzy danych na podstawie zawartych umów". Proszę także o przykładową całą klauzulę dla tego typu postępowań (PzpZP i poniżej 130 tys. zł - zapytania ofertowe).

Pytanie:  Nasza biblioteka razem ze stowarzyszeniem współorganizuje konkurs plastyczny w zakresie zbierania prac oraz ich prezentacji w Galerii Biblioteki. Jakie zapisy powinny znaleźć się w karcie zgłoszenia, aby zabezpieczała ona interesy biblioteki w kwestii udostępnienia danych?

Pytanie:  Członek spółdzielni mieszkaniowej (osoba fizyczna) chce prywatnie nagrywać walne zgromadzenie. Czy jest wymagana zgoda uczestników zgromadzenia?

Pytanie:  Jakie obowiązki na gruncie przepisów RODO należy spełnić wysyłając zapytania do przedsiębiorców o wyrażenie zgody na przesyłanie informacji handlowych drogą mailową? Rozsyłanie zapytań będzie kierowane do przedsiębiorców - byłych, obecnych i potencjalnych klientów. Zapytanie będzie wysyłane mailowo przez spółki działające w ramach jednej grupy (pomiędzy którymi zachodzi współadministrowanie). Zgoda ma dotyczyć przesyłania informacji handlowych drogą mailową lub telefoniczną (z prawem wyboru kanału komunikacji przesyłania informacji handlowych). Zapytania o wyrażenie zgody będą przesyłane zarówno na ogólne adresy przedsiębiorców tj. adresy mailowe, które nie zawierają imion i nazwisk jak i adresy służbowe zawierające imiona i nazwiska. Czy w takim przypadku wymagane jest pozyskanie dodatkowej zgody na przetwarzanie danych? Kiedy należy pozyskać taką zgodę? Czy zgoda na przetwarzanie danych może zostać wyrażona w jednym oświadczeniu, czy potrzebne są dwie odrębne zgody (na przesyłanie informacji i na przetwarzanie danych)? Czy i na jakim etapie należy przekazać obowiązek informacyjny RODO?

Okres wiosenny i letni to czas, w którym zwykle organizowane są konkursy na dyrektora szkoły i placówki oświatowej. W związku z przeprowadzeniem konkursu na stanowisko dyrektora szkoły wymagane jest spełnienie licznych wymogów w zakresie ochrony danych osobowych, m.in. obowiązku informacyjnego. Przy okazji rodzi się kilka wątpliwości, zważywszy na to, że przepisy krajowe, w tym rozporządzenie Ministra Edukacji Narodowej z dnia 11 sierpnia 2017 r. w sprawie regulaminu konkursu na stanowisko dyrektora publicznego przedszkola, publicznej szkoły podstawowej, publicznej szkoły ponadpodstawowej lub publicznej placówki oraz trybu pracy komisji konkursowej nie odnosi się w żaden sposób do danych osobowych. Rozpatrzenia wymaga choćby kwestia, czy członkom komisji konkursowej należy nadać upoważnienia do przetwarzania danych osobowych. Sprawdź, jakie są obowiązki RODO w związku z organizacją konkursu na dyrektora szkoły i przetwarzaniem danych osobowych kandydatów w dokumentacji konkursowej i nie tylko.