Pytanie:  O realizację praw występuje podmiot dany lub adwokat czy radca prawny przedstawiając stosowne pełnomocnictwo. Czy może wystąpić inna osoba? Jeżeli tak, to jakie powinna mieć pełnomocnictwo? Gdy zdarza się naruszenie, a osoba będąca reprezentantem ADO nie może podpisać stosownego zgłoszenia do PUODO, czy Prezes może upoważnić inną osobę, a jeżeli tak to jaki rodzaj pełnomocnictw to ma być?

Pytanie:  Pracownik w szpitalu ma swój pokój, gdzie naprawia sprzęty szpitalne to jest pracownik szpitala i jego pomieszczenie jest służbowe. Ten pracownik zamontował sobie w pokoju ukrytą kamerkę, bo przypuszcza, że ktoś włamuje się mu do pokoju i rozwala sprzęt. Czy ten pracownik bez zgody pracodawcy może ukryć kamerkę i filmować swój pokój - kamerka też nagrywała dźwięk i czy też może ukryć kamerkę na korytarzu bez wiedzy dyrekcji i osób przebywających na korytarzu? Nie ma informacji, że teren podlega monitorowaniu. Czy taki obraz można wykorzystać np. na potrzeby Policji?

Pytanie:  Grupę spółek prowadzących działalność na terenie Polski łączy umowa o współadministrowaniu danymi osobowymi. Każda ze spółek, wypełniając obowiązek informacyjny z art. 13 i 14 RODO, kieruje do osób fizycznych - w przypadkach przewidzianych przepisami prawa - klauzule informacyjne (ich treść różni się w zależności od celów I podstaw przetwarzania), w których wskazuje siebie jako administratora danych, a pozostałe spółki jako współadministratorów. W związku z tym obecnie posiadamy tyle klauzul, ile spółek realizuje dany cel przetwarzania. Zależy nam jednak na uszczupleniu dokumentacji. Zastanawiamy się, czy w świetle RODO konieczne jest, aby każda spółka posiadała własną, odrębną klauzulę informacyjną, w której wskazuje siebie jako administratora i pozostałe podmioty jako współadministratorów, czy też dopuszczalne jest stosowanie jednej, wspólnej i uniwersalnej klauzuli informacyjnej dla wszystkich spółek objętych porozumieniem o współadministrowaniu, w której wskazuje się, że: 1)     współadministratorami danych osoby, której dane dotyczą, są: [lista spółek], zamiast przygotowywania odrębnej klauzuli dla każdej spółki, lub 2)     ADO są wszyscy współadministratorzy i jednocześnie opisuje się zasadę przypisania roli administratora w zależności od celu przetwarzania, np.: „Administratorem danych w procesie rekrutacji jest spółka prowadząca konkretny proces rekrutacyjny w danym momencie, a pozostałe spółki pełnią funkcję współadministratorów” (opisowo, bez podawania danych konkretnej spółki), zamiast wymieniać konkretne spółki w każdym przypadku. Zakładamy przy tym, że punkt kontaktowy do realizacji praw osób, których dane dotyczą, będzie wspólny dla wszystkich spółek. Czy takie rozwiązanie byłoby prawidłowe lub o wskazanie innego alternatywnego rozwiązania, które uprościłoby dokumentację spółek w zakresie obowiązku informacyjnego. Chodzi zwłaszcza o klauzule kierowane do osób zatrudnianych, przyszłych pracowników.  

Pytanie:  Na platformie Facebook udostępniono wizerunki przedszkolaków poprzez polubienie w social mediach zaprzyjaźnionej instytucji. Zalecono natychmiastowe usunięcie postów. Nie mieliśmy zgód na publikacje wizerunków dzieci. Polubienie spowodowało pojawienie się postów na naszym profilu. Czy takie postępowanie jest prawidłowe?

Pytanie:  Dwóch administratorów przygotowuje umowę biznesową w ramach, której dochodzi do udostępnienia danych osobowych. Czy można uzależnić udostępnienie danych osobowych od spełnienia przez drugiego administratora środków technicznych i organizacyjnych gwarantujących odpowiedni stopień bezpieczeństwa danym osobowych?

Pytanie:  Najemca lokalu mieszkalnego zainstalował prywatny system monitoringu wizyjnego na oknie mieszkania usytuowanego na parterze budynku wielorodzinnego. System składa się z dwóch kamer, z których jedna skierowana jest na okoliczny chodnik i drogę, natomiast druga obejmuje fragment parkingu i ulicy. Kamery nie rejestrują dźwięku. W przesłanym do zarządcy budynku piśmie najemca wskazuje, że instalacja kamer była reakcją na incydenty dewastacji i kradzieży, m.in. uszkodzenie pojazdu jego żony. Monitoring pełni funkcję prewencyjną i ma na celu ochronę osób i mienia. W piśmie deklaruje również wdrożenie podstawowych elementów polityki bezpieczeństwa danych osobowych zgodnie z RODO. W załączeniu do pisma znalazła się deklaracja „Polityki bezpieczeństwa” monitoringu. Uprzejmie proszę o przeanalizowanie polityki w zakresie: zgodności z art. 5, 6, 13 oraz 32 RODO, ewentualnej konieczności przeprowadzenia oceny skutków dla ochrony danych (DPIA) zgodnie z art. 35 RODO, adekwatności zastosowanych środków technicznych i organizacyjnych, zasadności powoływania się na uzasadniony interes (art. 6 ust. 1 lit. f RODO), ryzyka naruszenia dóbr osobistych (art. 23 Kodeksu cywilnego).

Pytanie:  Prowadzę Biuro Usług Płatniczych jako jednoosobową działalność i do tej pory robiłam analizę ryzyka w RODO w sposób opisowy. Chciałabym ten proces ujednolicić, ale nie mam odpowiedniego wzoru i nie wiem jak prawidłowo to wykonać. Jak to zrobić?

Pytanie:  W związku z koniecznością kontroli trzeźwości pracowników w szczególności kierowców planuje się dokonać zmian w tym zakresie. Czy osoby przeprowadzające badania powinny posiadać odrębne upoważnienie od pracodawcy do prowadzenia tego typu czynności oraz tym samym przetwarzania danych osobowych takich jak: imię, nazwisko, data, godzina, minuta oraz wynik badania?

Administrator może zapewnić pracownikom możliwość korzystania z ChatGPT na komputerach służbowych. Czy należy w związku z tym uwzględnić obowiązki wynikające z zasady privacy by design. Jakie obowiązki związane z wdrożeniem ChatGPT na komputerach służbowych musi wykonać administrator danych osobowych?

Przed rozpoczęciem przetwarzania danych osobowych administrator ma w określonych okolicznościach obowiązek dokonać oceny skutków dla ochrony danych (DPIA). Prawidłowo przeprowadzona ocena skutków dla ochrony danych może być skutecznym narzędziem dla administratora danych usprawniającym zarządzanie ochroną danych. Dla wielu podmiotów konieczność realizacji takiej oceny będzie wiązała się z kosztami finansowymi m.in. związanymi z zastosowanymi środkami bezpieczeństwa. Z drugiej strony odpowiedzialność za błędy w ocenie skutków lub jej nieprzeprowadzenie ponosi niestety wyłącznie administrator, nawet jeżeli powierzył on dokonanie tej oceny innemu wyspecjalizowanemu podmiotowi. Sprawdź, jak wygląda procedura oceny skutków dla ochrony danych osobowych.