Pytanie:  Zawarliśmy umowę z kancelarią prawną o usługi prawne. Czy kancelaria w takich usługach prawnych może być podmiotem przetwarzającym, czy jest administratorem danych?

Pytanie:  Czy z biegłym w zakresie zmiany stanu wody lub rzeczoznawcą majątkowym wykonującym usługę/zlecenie dla gminy (na działkach/nieruchomościach prywatnych), gmina powinna zawrzeć umowę powierzenia przetwarzania danych osobowych? Warto dodać, iż gmina przekazuje biegłym nr działki, nr księgi wieczystej, imię i nazwisko właściciela, adres nieruchomości. Czy może biegli/rzeczoznawcy są odrębnymi administratorami, którym udostępnia się dane niezbędne do wykonania umowy?

Privacy by design (ochrona danych w fazie projektowania) to prawny obowiązek nałożony na administratorów danych, który wymaga implementacji odpowiednich środków technicznych i organizacyjnych już na etapie projektowania procesów przetwarzania, systemów informatycznych czy usług. Celem jest wbudowanie ochrony prywatności w fundamentalną architekturę danego rozwiązania, a nie dodawanie jej jako zewnętrznej warstwy. Zasada ta, wraz z komplementarną zasadą privacy by default (domyślnej ochrony danych), ma na celu proaktywne minimalizowanie ryzyka naruszeń praw i wolności osób fizycznych. Podstawę prawną tej zasady stanowi art. 25 RODO.

Pytanie:  W naszej organizacji każdy pracownik, który przetwarzał dane miał nadawane upoważnienie do procesów określonych w organizacji oraz do celu realizacji powierzonych zadań służbowych. Dokument ten nadawał przełożony pracownika lub wyznaczony HRBP, co się nie sprawdziło z uwagi na ich nieaktualizowanie bądź nienadawanie. W związku z tym rozważamy nadanie ogólnych upoważnień odwołujących się do to zakresu zadań opisanych w aktach. Niestety tu również pojawia się problem z ich aktualizacją. W związku z tym, czy jest jakieś rozwiązanie, które pozwoli z jednej strony uogólnić upoważnienie tak, aby nadać je wszystkim pracownikom bez dodawania poszczególnych procesów, jednocześnie powołując się na zakres obowiązków przydzielonych w ramach (nieaktualizowanych regularnie) zakresów obowiązków i na bieżąco zlecanych zadań? Nasza firma jest typowo produkcyjna. Nie wszyscy mają dostęp do komputera, ale mimo to moim zdaniem dane osobowe przetwarzają wszyscy pracownicy. Problem głównie dotyczy tego, aby wszyscy pracownicy mieli aktualne upoważnienia adekwatne do wykonywanych zadań.

Pytanie:  Jednym z obowiązków naszej jednostki jest kontrola projektów dofinansowanych z EFS+, w trakcie której przetwarzamy dane osobowe. Jaka jest ich retencja? Jak to wygląda w przypadku legitymacji służbowej, jaką wydajemy naszym pracownikom, kontrolującym te organizacje. Jaka retencja będzie takiej legitymacji?

Pytanie:  Na platformie Facebook udostępniono wizerunki przedszkolaków poprzez polubienie w social mediach zaprzyjaźnionej instytucji. Zalecono natychmiastowe usunięcie postów. Nie mieliśmy zgód na publikacje wizerunków dzieci. Polubienie spowodowało pojawienie się postów na naszym profilu. Czy takie postępowanie jest prawidłowe?

Pytanie:  Organ prowadzący (gmina) przeprowadza kontrole w szkołach m.in. pod kątem poprawności wpisów w systemie informacji oświatowej (SIO). Czy w związku z tym dyrektor szkoły ma prawo udostępnić kontrolującemu orzeczenia o potrzebie kształcenia specjalnego (dane szczególne)? Kontrolujący ma prawo wglądu do orzeczeń tylko na terenie szkoły. Natomiast poza szkołą - tylko w formie zanonimizowanej. Niemniej jednak nie widzę podstawy prawnej takiego przetwarzania (udostępniania na terenie szkoły). A poza tym anonimizacja ma uniemożliwić identyfikację dziecka. Ale w przypadku szkół w małych miejscowościach (gdzie np. wiadomo, że tylko jedno dziecko w szkole/klasie ma takie orzeczenie) taka anonimizacja nie gwarantuje braku możliwości identyfikacji. W związku z tym czy faktycznie dyrektor szkoły ma prawo udostępnić orzeczenia organowi prowadzącemu (na terenie szkoły) i jaka jest podstawa prawna takiego udostępnienia? Czy w przypadku „małych" jednostek udostępnianie nawet zanonimizowanych orzeczeń powinno być dopuszczalne?

Pytanie:  Pracodawca po dokonanej analizie ryzyka ocenił, że w związku z tym, że pracownicy wykonujący konkretne prace są narażeni na kontakt ze szkodliwymi czynnikami biologicznymi, powinni uzyskać możliwość dokonania szczepień ochronnych, zaleconych przez lekarza medycyny pracy. W związku z tym pracodawca planuje zebrać od pracowników oświadczenia, w których wyrażą one zgodę na poddanie się szczepieniu lub odmówią poddania się szczepieniu. Oświadczenie o poddaniu się szczepieniu, fakt poddania się szczepieniu, jak i oświadczenie o odmowie są danymi, które pracodawca zamierza przechowywać z uwagi na realizację obowiązków pracodawcy wynikających z przepisów prawa pracy i BHP, w tym zapewnienia profilaktyki zdrowotnej i bezpieczeństwa w miejscu pracy, dokumentowania decyzji pracownika w zakresie zalecanych szczepień ochronnych oraz ochrony praw i interesów pracodawcy, w szczególności w związku z ewentualnymi roszczeniami wynikającymi z chorób zawodowych lub zdarzeń w miejscu pracy. Do oświadczenia planujemy dodać klauzulę informacyjną dotyczącą przetwarzania tego rodzaju danych. Czy takie działanie jest wystarczające? Jeśli nie, proszę o wskazanie co powinien zrobić pracodawca, żeby móc legalnie takie dane przechowywać? Jakie są podstawy prawne ich przetwarzania? Czy pracodawca ma prawo żądać od pracownika przedstawienia zaświadczenia o zaszczepieniu, mając na uwadze powyższe cele przetwarzania tych danych? Jeśli tak, to jakie formalności powinien spełnić? Jeśli wymagane jest tylko spełnienie obowiązku informacyjnego, jaki okres przechowywanie tego rodzaju danych należy wskazać (art. 13 ust. 2 a) RODO +? Na pewno będzie to okres zatrudnienia. Z przepisów dotyczących chorób zawodowych wynika jednak, że okres przedawnienia roszczeń pracownika w takim przypadku wynosi w przypadku roszczeń od pracodawcy trzy lata od dnia, w którym rozpoznano chorobę i możliwe było stwierdzenie jej związku z pracą. Nie jest to zatem określony wprost i możliwy do przewidzenia.

Pytanie:  Czy na salach chorych może być montowany system kamer, czy nie narusza to poszanowania godności pacjenta? A jak wygląda sytuacja w przypadku monitoringu samej wizji bez nagrywania, tylko podgląd? Proszę o informację, czy na salach chorych można stosować monitoring?

Pytanie:  Spółka wodno-kanalizacyjna uchwałą rady miasta została upoważniona do prowadzenia kontroli w trybie art. 5a - 5c ustawy o utrzymaniu czystości i porządku w gminach, w tym do wydawania decyzji administracyjnych (przekazanie zadania własnego gminy). Spółka chcąc wykonywać kontrole żąda przekazywania danych z urzędu miasta o mieszkańcach z zakresu odpadów ciekłych. Czy w przypadku kontroli spółka występuje w roli podmiotu przetwarzającego czy samodzielnego administratora?