Pytanie:  Wynajmujący powierzanie biurowe (na terenie parku biznesowego) zapewnia też obsługę techniczną dla wynajmowanych powierzchni. Wynajmujący ma podpisane umowy o świadczenie usług z firmami obsługującymi pod względem technicznym pomieszczenia w parku (podwykonawcami). Podwykonawcy wykonują usługi poprzez zatrudnianych przez siebie pracowników. W celu identyfikacji osób wykonujących naprawy firma udostępnia listę osób z danymi kontaktowymi (służbowymi) w ramach prawidłowej realizacji umowy (bez umowy powierzenia przetwarzania). Jeden z najemców zwrócił się do wynajmującego o przekazanie listy osób, które muszą mieć dostęp do wynajmowanych budynków z pomieszczeniami. Na jakiej podstawie Wynajmujący może udostępnić dane tych pracowników Najemcy?

Świadczenie usług online wiąże się z przetwarzaniem danych osobowych. Ci za tym idzie, administrator świadczący takie usługi musi spełnić wszystkie obowiązki wynikające z RODO. Jednym z nim jest legitymowanie się określoną podstawą przetwarzania danych. Którą podstawę przetwarzania wybrać? W wyjaśnieniu pomoże stanowisko Europejskiej Rady Ochrony Danych.

Niejednokrotnie administratorzy danych osobowych otrzymują żądania z prokuratury i sądów, których realizacja wymaga udostępnienia danych osobowych. Żądania te muszą być oparte na konkretnej podstawie prawnej, podobnie zresztą jak udostępnienie danych osobowych. W artykule przedstawiamy te podstawy.

Pytanie:  Podmioty lecznicze nie muszą pobierać zgód na przetwarzanie danych osobowych od pacjentów celem wykonania zabiegu. Czy dotyczy to również zabiegów estetycznych?

Wyobraźmy sobie następującą sytuację. Otóż do firmy wpływa wniosek PZU o udostępnienie danych domniemanego sprawcy szkody w mieszkaniu w celu ustalenia odpowiedzialności cywilnej i ewentualnego wystąpienia do sprawcy szkody z roszczeniem regresywnym. W takim przypadku ubezpieczyciele proszą o przekazanie danych osobowych takich jak imię, nazwisko i PESEL domniemanego sprawcy, powołując się zwykle na art. 42 ust. 1 w zw. z art. 4 ust. 8 pkt 5 ustawy o działalności ubezpieczeniowej i reasekuracyjnej. Sprawdzamy, czy dane te powinny być przekazane, a jeżeli tak, to na jakiej podstawie.

Pytanie:  Organizacja pozarządowa NGO realizuje projekt w ramach RPO WP 2014-2020 finansowany ze środków UE w zakresie poradnictwa prawnego dla uczestników projektu i zawiera w związku z tym umowę z kancelarią adwokacką lub radcy prawnego.  Czy w takiej sytuacji organizacja powinna zawrzeć także umowę powierzenia przetwarzania z kancelarią, czy dojdzie jedynie do udostępnienie danych osobowych?

Pytanie:  Ośrodek pomocy społecznej zwrócił się do Powiatowego Centrum Pomocy Rodzinie z wnioskiem o udostępnienie danych klienta w postaci nr PESEL. W PCPR dane klienta przetwarzane są już w celach archiwalnych, a były zbierane w celu objęcia pomocą zgodnie z art. 93 ustawy o pomocy społecznej. OPS jako cel przetwarzania wskazuje koniecznością wydania decyzji w sprawie przyznania prawa do świadczeń opieki zdrowotnej. Czy PCPR powinien udostępnić dane osobowe klienta?

Pytanie:  Ośrodek pomocy społecznej realizuje program „Wspieraj Seniora”. Zgodnie z tym programem ośrodek otrzymuje z MRiPS dane klientów - seniorów i wolontariuszy z którymi się kontaktujemy w celu udzielenia pomocy. Klauzule informacyjne dla seniora i wolontariusza realizuje MRiPS (poprzez infolinie i formularz kontaktowy). Czy ośrodek pomocy społecznej również musi spełnić obowiązek informacyjny?

Pytanie:  Dyrektor szkoły występuje do pracodawców z prośbą o organizację szkolenia branżowego dla nauczycieli. Następnie wydaje skierowanie zawierające imię i nazwisko nauczyciela. Z kolei po zakończeniu szkolenia pracodawca wydaje zaświadczenie o odbytym przez nauczyciela szkoleniu branżowym. Jaka jest podstawa przetwarzania danych osobowych nauczyciela odbywającego szkolenie? Czy potrzebna jest jego zgoda?

Wiemy już, że w wyniku orzeczenia Trybunału Sprawiedliwości UE nie można już powoływać się na Tarczę Prywatności w związku z transferem danych osobowych do USA. Taki transfer miał najczęściej miejsce w związku z korzystaniem z aplikacji chmurowych i pocztowych dostawców ze Stanów Zjednoczonych. Pozostaje więc zmiana regionu przechowywania danych osobowych na europejskich (nie każda aplikacja zapewnia taką możliwość). A co ze standardowymi klauzulami umownymi? W jakich sytuacjach można z ich skorzystać? W artykule rozwiewamy te wątpliwości.

Pytanie:  Administrator rozpoczyna sprzedaż towarów poprzez platformę Allegro, od której będzie otrzymywać dane dot. transakcji zakupu dokonanego przez klienta, w tym dane osobowe niezbędne do wystawienia faktury sprzedaży oraz do wysyłki towaru. Jak spełnić obowiązek informacyjny wobec klientów kupujących towary za pośrednictwem tej platformy. Czy wystarczy informacja na stronie internetowej sprzedawcy (nie producenta)?

Prawo do bycia zapomnianym to inaczej uprawnienie do żądania usunięcia danych osobowych. Administrator danych musi wiedzieć, jak na takie żądanie zareagować i w jakich przypadkach je zrealizować. Błąd w tym zakresie może nieść za sobą roszczenia odszkodowawcze podmiotów danych bądź kary UODO.

Pytanie:  Powiat wynajmował pomieszczenie lekarzowi w celu świadczenia usług lekarskich. W 2019 r lekarz zaprzestał płacenia za wynajmowane pomieszczenia i została wypowiedziana umowa najmu. Aktualnie lekarz zajmuje bezumownie pomieszczenia i nadal świadczy swoje usługi. Lekarz przetwarza dane osobowe pacjentów i zgromadził bardzo pokaźny zbiór danych osobowych w postaci papierowej (akta z okresu około 20 lat). Po zakończeniu procedury sądowej planowana jest egzekucja komornicza - usunięcia lekarza z gabinetu. Lekarz nie wykazuje żadnych chęci zabrania dokumentacji medycznej. Jak powinniśmy postępować z aktami biorąc pod uwagę że czynności komornicze często ograniczają się do fizycznego wejścia do pomieszczenia i wymiany zamków.

Pytanie:  Czy starosta powiatu jako przewodniczący rady społecznej w szpitalu (powiat jest jego organem założycielskim), mógłby dostać upoważnienie do przetwarzania danych osobowych w szpitalu od administratora danych osobowych szpitala?

Pytanie:  Podmiot komercyjny, producent programów telewizyjnych i filmowych wprowadził na czas epidemii covid-19 procedurę bezpieczeństwa sanitarnego na planie produkcji filmów/programów. Producent chce mierzyć temperaturę przed wejściem na plan, dodatkowo ją ewidencjonować i sporządzać protokół z codziennych działań. Jaka powinna być podstawa prawna takich działań?