Pytanie:  Na jakiej podstawie odbywa się obecnie przekazywanie danych osobowych z Unii Europejskiej do Stanów Zjednoczonych? Czy Stany Zjednoczone są uznane za państwo bezpieczne pod tym względem? Jak zmienią się zasady przekazywania danych po rozpoczęciu stosowania ogólnego rozporządzenia o ochronie danych (RODO)?

Pytanie:  Czy Szwajcarię należy traktować jako państwo trzecie? Nie należy ona do Europejskiego Obszaru Gospodarczego, nie jest też państwem członkowskim Unii Europejskiej. Komisja Europejska uznała, że Szwajcaria zapewnia takie same gwarancje ochrony danych jak państwa UE. Czy w związku z RODO decyzja ta będzie nadal obowiązująca?

Pytanie:  Czy pracodawca w celu realizacji określonego kontraktu (wykonania statutowych zadań spółki), kierując pracowników do pracy do państwa trzeciego, jest zobowiązany uzyskać od nich zgodę w przypadku przekazywania ich danych osobowych danemu kontrahentowi? Czy klauzulę zgody na przekazywanie danych osobowych pracownika do państwa trzeciego w związku z jego zatrudnieniem można zapisać w „Kwestionariuszu osobowym dla pracownika”? Czy jest to wystarczająca przesłanka do spełnienia wymogów prawa zgodnie z RODO?

Prezes Urzędu Ochrony Danych Osobowych może nałożyć na administratora danych osobowych administracyjną karę pieniężną w wysokości w wysokości do 20 mln euro lub 4% obrotu rocznego światowego. To jednak nie wszystko. Administrator danych osobowych i podmiot przetwarzający może być zmuszony do zapłaty odszkodowania za naruszenie RODO polegające na niezgodnym z prawem przetwarzaniu danych osobowych.

Zgodnie z ogólnym rozporządzeniem o ochronie danych w przypadku wniosku o usunięcie danych należy również usunąć dane osobowe z kopii zapasowych. Z drugiej strony należy rozważyć, czy podstawą dalszego przetwarzania danych w kopii zapasowej może być prawnie uzasadniony interes lub inna podstawa przetwarzania. Usuwanie danych z kopii zapasowych to jeden z istotnych obowiązków w zakresie ochrony danych osobowych. Nie ma on jednak bezwzględnego charakteru,

Ogólne rozporządzenie o ochronie danych nie precyzuje, w jakiej formie powinna zostać udzielona zgoda na przetwarzanie danych osobowych przez osobę fizyczną, której dane dotyczą.  Czy taką zgodę można pozyskać w formie ustnej? Sprawdź, czy zgodnie z RODO zgoda w takiej formie będzie ważna.

W ramach gminy, powiatu lub województwa może funkcjonować kilka lub kilkanaście samorządowych jednostek organizacyjnych. Przepisy RODO umożliwiają wyznaczenie dla nich jednego inspektora ochrony danych. Sprawdzamy, jak zgodnie z przepisami zorganizować powołanie wspólnego IOD w samorządzie.

Przed rozpoczęciem przetwarzania danych osobowych administrator ma w określonych okolicznościach obowiązek dokonać oceny skutków dla ochrony danych (DPIA). Prawidłowo przeprowadzona ocena skutków dla ochrony danych może być skutecznym narzędziem dla administratora danych usprawniającym zarządzanie ochroną danych. Dla wielu podmiotów konieczność realizacji takiej oceny będzie wiązała się z kosztami finansowymi m.in. związanymi z zastosowanymi środkami bezpieczeństwa. Z drugiej strony odpowiedzialność za błędy w ocenie skutków lub jej nieprzeprowadzenie ponosi niestety wyłącznie administrator, nawet jeżeli powierzył on dokonanie tej oceny innemu wyspecjalizowanemu podmiotowi. Sprawdź, jak wygląda procedura oceny skutków dla ochrony danych osobowych.

RODO nakłada dodatkowe obowiązki na administratorów, którzy dokonują operacji przetwarzania danych osobowych na dużą skalę. W tym miejscu rodzi się pytanie, co jest uznawane za przetwarzanie danych na dużą skalę. Wyjaśnienia wymaga także to, jakie obowiązki ma administrator przetwarzający dane wielkoskalowo.

Skanowanie odcisków palców, automatyczne rozpoznawanie twarzy – takie technologie są coraz częściej stosowane w celu usprawnienia różnych sfer działalności administratora. Wiążą się one z przetwarzaniem danych biometrycznych. Dane te mogą być przetwarzane jedynie w szczególnych przypadkach wynikających z RODO. W artykule znajdziesz wyjaśnienie, w jakich przypadkach możesz przetwarzać dane biometryczne.

Pytanie:  Zgodnie z art. 12 ust. 1 ustawy o zawodzie psychologa i samorządzie zawodowym psychologów podjęcie usług psychologicznych następuje za zgodą osoby (klienta). Artykuł 13 ust. 1 i 2 tej ustawy stanowi, że psycholog informuje klienta o celu postępowania, jego przebiegu, wynikach i sposobie ich udostępniania oraz powinien uzyskać akceptację planowanych czynności, a jeżeli wyniki badań mają służyć nie tylko do informacji klienta, stosuje się przepisy ustawy o ochronie danych osobowych. Czy to oznacza, że przepisy o ochronie danych osobowych (w tym RODO) w przypadku prywatnej praktyki psychologicznej mają zastosowanie tylko wówczas, gdy wyniki badań udostępnia się innym podmiotom, a w przypadku gdy są one przekazywane przez psychologa tylko klientowi (pacjentowi), psycholog nie musi uzyskiwać pisemnej zgody na przetwarzanie danych osobowych, wypełnić obowiązku informacyjnego, prowadzić rejestru czynności przetwarzania, udzielać odpowiedzi na żądania osób, których dane dotyczą, wypełnić wolę klienta dotyczącą przeniesienia danych na podstawie art. 20 RODO?

Pytanie:  Podmiot publiczny realizuje zadania związane z budową dróg. Do czasu ostatecznego oddania inwestycji drogowej za uszkodzenia pojazdów na tych drogach odpowiada wykonawca. W związku z uszkodzeniami pojazdów prywatnych na tych drogach do podmiotu publicznego wpływają o odszkodowania, czasem zawierające dane wrażliwe (dokumentacja medyczna). Podmiot publiczny przekazuje wnioski do wykonawcy, a on potem do firm ubezpieczających. Czy podmiot publiczny powinien mieć zgodę od poszkodowanego na przekazanie jego danych do wykonawcy? Czy potrzebna jest umowa powierzenia z wykonawcą?

Pytanie:  Zdaniem GIODO istnieje możliwość umieszczania zdjęć na identyfikatorach, gdy obowiązek noszenia identyfikatora ze zdjęciem wynika z wewnętrznych przepisów jednostki. W opinii GIODO wprowadzenie takiego wymogu w regulaminie pracy bądź układzie zbiorowym pracy nie narusza art. 23 ustawy o ochronie danych osobowych. Akty te należą do źródeł prawa pracy, a do ich zakresu przedmiotowego należy określenie m.in. zasad przebywania na terenie jednostki. Jak powinno to być uregulowane u pracodawcy na podstawie RODO? Czy można uregulować możliwość umieszczania zdjęć na identyfikatorach w zakładowym układzie zbiorowym pracy? Czy należy powoływać się na art. 6 ust. 1 lit. f RODO?

Europejski Trybunał Praw Człowieka w wyroku z 9 stycznia 2017 r. uznał, że monitorowanie sprzedawców w hiszpańskim supermarkecie bez ich wiedzy naruszało prawo do poszanowania życia prywatnego pracowników.

Generalny Inspektor Ochrony Danych Osobowych przygotował zestaw zasad, jakich bezwzględnie muszą przestrzegać podmioty, które chcą zatrudniać nowe osoby. Zdaniem GIODO w trakcie procesów rekrutacji dochodzi bowiem do różnych nieprawidłowości. Organ radzi zatem m.in., by nie tworzyć tzw. czarnych list rekrutacyjnych czy spełniać wobec kandydatów obowiązki informacyjne.

Zgodnie z ogólnym rozporządzeniem o ochronie danych w przypadku wniosku o usunięcie danych należy również usunąć dane osobowe z kopii zapasowych. Z drugiej strony należy rozważyć, czy podstawą dalszego przetwarzania danych w kopii zapasowej może być prawnie uzasadniony interes lub inna podstawa przetwarzania. Usuwanie danych z kopii zapasowych to jeden z istotnych obowiązków w zakresie ochrony danych osobowych. Nie ma on jednak bezwzględnego charakteru,

Pytanie:  W sklepie jest zainstalowana kamera na wypadek ewentualnych kradzieży towarów z ekspozycji. Kilka kamer obserwuje także teren wokół sklepu i firmy. Nagrania są zapisywane w rejestratorach i przechowywane przez 30 dni, po czym są nadpisywane przez kolejne nagrania. Nie są one udostępniane i przekazywane dalej, np. policji. Czy zgodnie z RODO należy pozyskać od wszystkich klientów wchodzących do sklepu pisemną lub elektroniczną zgodę na utrwalanie wizerunku i zachować ją na potrzeby udokumentowania uzyskania takiej zgody? Czy należy spełnić obowiązek informacyjny wobec klientów zgodnie z RODO?

Tworzenie kopii zapasowych danych osobowych to jeden ze środków bezpieczeństwa przetwarzania. Wprawdzie nie jest on obowiązkowy. Niemniej jednak w wielu przypadkach stosowanie takich kopii jest rekomendowane przez ekspertów. Sprawdź, na jakich zasadach wdrożyć i stosować kopie zapasowe danych w organizacji.

Prezes UOKiK wszczął postępowanie przeciwko Netii. Ma ono wykazać, czy Netia uzyskała wcześniej zgody konsumentów, którym proponowała zawarcie umowy podczas pierwszej rozmowy telefonicznej.

Pytanie:  Czy umożliwienie korzystania z usług tylko i wyłącznie osobom, które wyraziły zgody na przetwarzanie ich danych osobowych w celach kontaktu marketingowo-handlowego, jest dozwolone w ramach obecnych przepisów i w obliczu zmian, jakie niesie ogólne rozporządzenie o ochronie danych?

W Stałym Przedstawicielstwie Polski w Brukseli odbyły się konsultacje dotyczące unijnego projektu rozporządzenia w sprawie poszanowania życia prywatnego oraz ochrony danych osobowych w łączności elektronicznej i uchylającego dyrektywę 2002/58/WE (ePrivacy).

Dokumenty udostępniane jako informacja publicznych podlegają anonimizacji przede wszystkim ze względu na ochronę prywatności. Podmiot publiczny musi więc anonimizować dokumenty z danymi osobowymi, zanim udostępni je w charakterze informacji publicznej. Wymóg anonimizacji wynika zarówno z ustawy o dostępie do informacji publicznej, jak i z RODO. Sprawdź, jak może wyglądać anonimizacja danych z dokumentów.

Pytanie:  Do instytucji publicznej wpłyną wniosek o udostępnienie informacji dotyczących umów zawartych z firmami zewnętrznymi na usługi prawnicze, outsourcing funkcji ABI i obsługę bhp w trybie dostępu do informacji publicznej. Chodziło o takie informacje jak m.in. nazwa firmy, z którą zawarto umowę, imiona i nazwiska osób wykonujących obsługę, kwoty za obsługę miesięczną i roczną, co wchodzi w zakres takiej obsługi, czy zawarto z tą firmą umowę powierzenia danych osobowych do przetwarzania, skan lub ksero umowy, czy dokonywano sprawdzeń, ile razy, skany dokumentów. Czy informacje te można udostępnić?

Pytanie:  Komisja rewizyjna rady gminy założyła w swoim planie kontroli kontrolę umów zleceń w ośrodku kultury oraz szkole podstawowej. Czy członkowie komisji mogą fizycznie przeglądać umowy zleceń osób fizycznych, czy tylko ich zestawienia? W jakiej formie można ujawnić umowy zlecenia jako informację publiczną?