II część pytań do eksperta podczas webinaru RODO
Jaki jest wpływ RODO w praktyce na zamówienia publiczne w kontekście nadchodzącej elektronizacji? Jak chronić dokument JEDZ przekazany elektronicznie w ramach uzupełnienia oferty-składany już bez zaszyfrowania na maila. Jak zabezpieczać dokumenty wykonawcy zgodnie z RODO by się nie narazić na kary?
Nie ma jednolitych reguł zabezpieczenia danych. Zgodnie z RODO środki mają być „odpowiednie”. Oceniając, czy stopień bezpieczeństwa jest odpowiedni, uwzględnia się w szczególności ryzyko wiążące się z przetwarzaniem, w szczególności wynikające z przypadkowego lub niezgodnego z prawem zniszczenia, utraty, modyfikacji, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.
Jeżeli współpracując z partnerami i realizując dla nich usługi - mam formularze zleceń - to czy mogę w jednej formule odnośnie akceptacji regulaminu i warunkow realizacji - dodać klauzulę o zgodzie na przetwarzanie danych? i czy potem przy życzeniu o bycie zapomnianym mogę odmówić z uwagi na przepisy prawa podatkowego (czas przetrzymywania dokumentów - identyfikacja w przypadku roszczeń i windykacji)?
Zgoda na przetwarzanie danych osobowych musi być odrębna, przy czym zgoda taka w ogóle nie będzie potrzebna, jeżeli chodzi o dane potrzebne do realizacji umowy. Administrator może odmówić realizacji prawa do bycia zapomnianym w przypadkach wskazanych w art. 17 ust. 3 RODO, tj. m.in. gdy przetwarzanie danych jest niezbędne do wywiązania się z prawnego obowiązku wymagającego przetwarzania na mocy prawa Unii lub prawa państwa członkowskiego, któremu podlega administrator.
Biuro rachunkowo - kadrowe: przetwarza dane osobowe pracowników swoich klientów, od ilu uznamy że jest to przetwarzanie na dużą skalę i konieczna jest ocena skutków przetwarzania danych?
Zgodnie z wytycznymi Grupy Roboczej art. 29 nie jest możliwe wskazanie konkretnej wartości, czy to rozmiaru zbioru danych, czy liczby osób, których dane dotyczą, która determinowałaby „dużą skalę”. Zależy to od okoliczności konkretnego przypadku.
Zgodnie z RODO w przypadku posiadania monitoringu na terenie firmy oprócz informacji o jego posiadaniu powinno sie też zamieścić informacje o tym kto jest ADO i IOD. Jak spełnić ten obowiązek, bo nie wyobrażam sobie zamieszczania takich informacji na bramach wjazdowych.
Obowiązek informacyjny może zostać spełniony poprzez umieszczenie informacji w widocznym miejscu w pomieszczeniach, w których zastosowano monitoring. Należy jednak pamiętać, że musi istnieć podstawa prawna dla przetwarzania danych z monitoringu wizyjnego. W stosunku do pracowników podstawą taką będzie znowelizowany kodeks pracy (pracownik będzie musiał wyrazić zgodę na monitoringu). Dla monitoringu w miejscach ogólnodostępnych podstawą taką może być art. 6 ust. 1 lit. f RODO, tj. prawnie uzasadniony interes (np. względy bezpieczeństwa). Administrator będzie musiał wykazać istnienie takiego interesu. Trzeba też pamiętać, że ze stosowaniem monitoringu wiążą się również dodatkowe obowiązki, w szczególności obowiązkowa ocena skutków dla ochrony danych.
Czy pracownik Wydziału może być IODO w swoim Wydziale np na 1/4 etatu?
Jeżeli są spełnione wymogi RODO dotyczące jego wiedzy i kwalifikacji oraz statusu (niezależność i podleganie bezpośrednio najwyższemu kierownictwu). Nie może być to jednak osoba, która sama przetwarza dane osobowe w ramach swoich obowiązków.
Czy można przechowywać ksero dowodu osobistego przesłanego razem z wnioskiem przez interesanta dobrowolnie pocztą?
Jeżeli nie jest niezbędne przetwarzanie wszystkich danych z dowodu osobistego, to nie można przechowywać jego kopii.
W naszej firmie dotychczas ABI był kierownik jednego z wydziałów. Teraz IODO ma zostać sekretarka. Czy tak można?
Pytanie komu podlega sekretarka, czy będzie niezależna, czy nie koliduje to z jej dotychczasowymi obowiązkami i kluczowe: czy posiada odpowiednią wiedzę.
Czy jest obowiązek zgłaszania bazy danych do UODO?
Nie będzie obowiązku zgłoszenia zbioru danych - będzie rejestr czynności przetwarzania, inny dla procesora, inny dla administratora.
Czy podczas komisji orzeczniczych lekarz może wywoływać pacjenta po nazwisku?
Nie, gdyż w takim przypadku dane osobowe są ujawniane innym osobom.
Czy istnieją wytyczne jakie procedury powinny być krok po kroku zrobione w firmie do dostosowania jej do rodo? Wytyczne jak przeprowadzić analizę ryzyka itp?
Grupa Robocza Art. 29 przygotowała wytyczne dotyczące oceny ryzyka (są dostępne na stronie GIODO). Ponadto Ministerstwo Przedsiębiorczości i Technologii przygotowała przewodnik o RODO dla małych i średnich przedsiębiorstw (dostępny na stronie internetowej ministerstwa) .
Jeśli chodzi tylko o zwykłe wykonanie zlecenia, bez publikacji w celach marketingowych - czy zgody od wszystkich są potrzebne, jeżeli zdjęcia będą drukowane dla zleceniodawcy (np. odbitki do albumu) i/lub wysyłane mailem do zleceniodawcy?
Nie jest potrzebna zgoda osób, z którymi fotograf zawarł umowę. Co do pozostałych można rozważyć powołanie się na prawie uzasadniony interes administratora. Należy jednak pamiętać o zgodzie na wykorzystanie wizerunku na podstawie prawa autorskiego.
Czy przy wysyłaniu materiału biologicznego do zbadania innej firmie, oznaczonego imieniem i nazwiskiem, muszę mieć umowę o powierzenie z tą firmą? I zgodę klienta na udostępnienie danych osobowych innym podmiotom?
Jeżeli firma w zakresie przekazania jest procesorem to umowę o powierzeniu, ale klient musi zostać poinformowany o kategoriach odbiorców danych.
Jeśli ja, jako właściciel jednoosobowej działalności gospodarczej jestem zarówno administratorem jak i osoba przetwarzającą dane, to czy muszę prowadzić oddzielne rejestry?
Odrębny dla siebie jako administratora, odrębny dla siebie jako procesora, zawierają inne informacje.
Czy jeśli firma wszystko trzyma w chmurze (azure) a nie na lokalnym komputerze to czy też musi mieć dysk szyfrowany?
Jeżeli absolutnie nie ma żadnych danych na komputerze i w razie jego zagubienia kradzieży nie ma możliwości dostania się do nich ich utracenia itd to należy zabezpieczyć dostęp do chmury.
A jeszcze można liczyć na odpowiedź na pytanie gościa, czy IOD może być urzędnik (stanowisko urzędnicze) czy trzeba zmienić pracownikowi umowę na zwykłe stanowisko w jednostce budżetowej gminy?
Trzeba zwrócić uwagę na wymogi RODO dotyczące statusu IOD. Administrator oraz podmiot przetwarzający muszą zapewnić, by IOD nie otrzymywał instrukcji dotyczących wykonywania tych zadań (IOD musi być niezależny). Nie być odwoływany ani karany przez administratora ani podmiot przetwarzający za wypełnianie swoich zadań. Ponadto IOD musi bezpośrednio podlegać najwyższemu kierownictwu administratora lub podmiotu przetwarzającego. Należy także pamiętać, że IOD może wykonywać inne, o ile nie kolidują one z funkcją IOD. Jeżeli te przesłanki zostaną spełnione wobec danego stanowiska urzędniczego, to taka osoba może być IOD
Zapraszamy na szkolenia z RODO, więcej informacji znajduje się TUTAJ
WYBIERZ
SZKOLENIE Z ZAMÓWIEŃ PUBLICZNYCH