Pytanie:  Firma korzysta z możliwości odliczenia ulg z PFRON. Prowadzi również zakładowy fundusz dla pracowników korzystających z PFRON, którzy mogą złożyć wniosek o opłacenie wizyty lekarza, leków bądź rehabilitacji. Pisząc taki wniosek, pracownik załącza fakturę za wizytę czy leki. Na podstawie tych informacji jest podejmowana decyzja o pełnym lub częściowym pokryciu kosztów. Tym samym pracodawca otrzymuje dodatkowe dane osobowe pracownika dotyczące jego zdrowia. Jak jaka jest podstawa prawna przetwarzania takich danych według RODO?

Pytanie:  Firma jest zobowiązana do wyznaczenia inspektora ochrony danych na mocy przepisów ogólnego rozporządzenia o ochronie danych (RODO). Czy funkcję tę dodatkowo może wykonywać kierownik działu IT, który obecnie jest również administratorem systemów informatycznych? Czy inspektorem ochrony danych może być też informatyk?

Pytanie:  Pracownik firmy ustala z pracodawcą, że będzie realizował zadania zlecone przez pracodawcę na własnym, prywatnym komputerze zarówno w siedzibie pracodawcy, jak i zdalnie poza siedzibą pracodawcy. W związku z realizowanymi zadaniami pracownik przetwarza dane innych pracowników, klientów, kursantów, uczniów. Czy takie rozwiązanie jest dopuszczalne?

Pytanie:  W umowach biznesowych strony umowy podają osoby do kontaktu (imię nazwisko, adres e-mail zazwyczaj zawierający nazwisko i firmę, numer telefonu). Na jakiej podstawie będzie można przetwarzać dane osobowe tych osób (pracowników kontrahenta) po 25 maja 2018 r., czyli zgodnie z ogólnym rozporządzeniem o ochronie danych (RODO)?

Jednym z obowiązków administratora danych wynikającym z RODO będzie zgłaszanie naruszeń ochrony danych do organu nadzorczego. Należy przygotować się do realizacji tego obowiązku. Dowiedz się, jakie elementy należy zamieścić w instrukcji postępowania w przypadku naruszenia ochrony danych osobowych.

Pytanie:  Zgodnie z art. 12 ust. 1 ustawy o zawodzie psychologa i samorządzie zawodowym psychologów podjęcie usług psychologicznych następuje za zgodą osoby (klienta). Artykuł 13 ust. 1 i 2 tej ustawy stanowi, że psycholog informuje klienta o celu postępowania, jego przebiegu, wynikach i sposobie ich udostępniania oraz powinien uzyskać akceptację planowanych czynności, a jeżeli wyniki badań mają służyć nie tylko do informacji klienta, stosuje się przepisy ustawy o ochronie danych osobowych. Czy to oznacza, że przepisy o ochronie danych osobowych (w tym RODO) w przypadku prywatnej praktyki psychologicznej mają zastosowanie tylko wówczas, gdy wyniki badań udostępnia się innym podmiotom, a w przypadku gdy są one przekazywane przez psychologa tylko klientowi (pacjentowi), psycholog nie musi uzyskiwać pisemnej zgody na przetwarzanie danych osobowych, wypełnić obowiązku informacyjnego, prowadzić rejestru czynności przetwarzania, udzielać odpowiedzi na żądania osób, których dane dotyczą, wypełnić wolę klienta dotyczącą przeniesienia danych na podstawie art. 20 RODO?

Pytanie:  Prowadzę biuro rachunkowe. Nie zatrudniam pracowników ani zleceniobiorców. Świadczę obsługę kadrowo-płacową na zlecenie moich klientów i w związku z tym przetwarzam dane osobowe ich pracowników. Czy zgodnie z RODO do moich obowiązków należy uzyskanie zgody od pracowników klienta na przetwarzanie ich danych osobowych?

Pytanie:  Zdaniem GIODO istnieje możliwość umieszczania zdjęć na identyfikatorach, gdy obowiązek noszenia identyfikatora ze zdjęciem wynika z wewnętrznych przepisów jednostki. W opinii GIODO wprowadzenie takiego wymogu w regulaminie pracy bądź układzie zbiorowym pracy nie narusza art. 23 ustawy o ochronie danych osobowych. Akty te należą do źródeł prawa pracy, a do ich zakresu przedmiotowego należy określenie m.in. zasad przebywania na terenie jednostki. Jak powinno to być uregulowane u pracodawcy na podstawie RODO? Czy można uregulować możliwość umieszczania zdjęć na identyfikatorach w zakładowym układzie zbiorowym pracy? Czy należy powoływać się na art. 6 ust. 1 lit. f RODO?

Pytanie:  Na podstawie umowy powierzenia procesor może powierzać przetwarzanie danych osobowych dalszym podmiotom w drodze pisemnej umowy. Czy właściwe jest określenie w takiej umowie, że umowa dalszego powierzenia przetwarzania danych osobowych, których administratorem danych jest firma X, zostaje zawarta pomiędzy procesorem a dalszym podmiotem przetwarzającym? Czy też w stosunku do procesora można użyć określenia powierzający, a w stosunku do dalszego podmiotu przetwarzającego przetwarzający?

Pytanie:  Podmiot publiczny realizuje zadania związane z budową dróg. Do czasu ostatecznego oddania inwestycji drogowej za uszkodzenia pojazdów na tych drogach odpowiada wykonawca. W związku z uszkodzeniami pojazdów prywatnych na tych drogach do podmiotu publicznego wpływają o odszkodowania, czasem zawierające dane wrażliwe (dokumentacja medyczna). Podmiot publiczny przekazuje wnioski do wykonawcy, a on potem do firm ubezpieczających. Czy podmiot publiczny powinien mieć zgodę od poszkodowanego na przekazanie jego danych do wykonawcy? Czy potrzebna jest umowa powierzenia z wykonawcą?

Do momentu rozpoczęcia obowiązywania ogólnego rozporządzenia o ochronie danych (RODO) zostało już bardzo mało czasu. Trzeba go wykorzystać efektywnie, by w jak największym stopniu przygotować się do obowiązywania nowych przepisów. Sprawdź, jakie działania krok po kroku trzeba podjąć, żeby przeprowadzić projekt wdrożenia RODO w firmie.

Pytanie:  Jeżeli w ramach konsultacji przy przeprowadzaniu oceny skutków dla ochrony danych (DPIA) będą zbierane dane osobowe osób, które np. wypełnią ankietę, to należy wobec nich wypełnić obowiązek informacyjny, a co za tym idzie, poinformować, przez jaki czas ich dane będą przechowywane? Jak długo trzeba przechowywać te dane, które służą udokumentowaniu DPIA? Czy wystarczy jako udokumentowanie konsultacji przedstawić anonimowe ankiety?

Pytanie:  Pracuję w urzędzie gminy, przełożony zlecił mi wykonanie oceny ryzyka dla ochrony danych osobowych pod kątem ogólnego rozporządzenia o ochronie danych (RODO). Jak taka ocena powinna wyglądać w praktyce? Jak krok po kroku powinienem przeprowadzić taką analizę, żeby było to zgodne z RODO?

Pytanie:  Czy pracodawca ma obowiązek poinformować pracowników, że ich dane osobowe są przetwarzane przez biuro rachunkowe lub zewnętrznego specjalistę bhp? Jeżeli tak, to w jaki sposób należy dopełnić tego obowiązku? Czy należy zebrać od pracowników zgodę na przekazanie ich danych do firmy zewnętrznej?

Ogólne rozporządzenie o ochronie danych (RODO) nakłada na administratora szerszy niż obecnie obowiązek informacyjny. Nakazuje także określone działania w związku z realizacją przez osoby, których dane dotyczą, ich praw z zakresu ochrony danych osobowych. Dowiedz się, czy i w jakich okolicznościach administrator będzie mógł pobierać opłaty za realizację żądań osób, których dane przetwarza.