Wszystkie wpisy, których autorem jest admin

Debata RODO dostępna na stronie ApexNet.pl!

5 kwietnia 2018 roku odbyła się transmisja na żywo debaty poprowadzonej przez Macieja Orłosia, który dyskutował z naszymi ekspertami na temat nowego rozporządzenia o ochronie danych osobowych (RODO). Ci z Was, którzy nie zdążyli obejrzeć całego spotkania będą mogli nadrobić zaległości – zajrzyjcie na naszą podstronę i dowiedzcie się, jak RODO powinno zostać wdrożone w Waszej firmie. To już naprawdę ostatni dzwonek!

http://apexnet.com.pl/webinar_rodo/

rodo

Ostatnia część skryptu z chatu z naszym ekspertem RODO

Jeśli jeszcze nie znaleźliście odpowiedzi na swoje pytanie zadane na chacie podczas webinaru RODO, to teraz jest na to szansa! Zapraszamy :)

Zakupy w e-sklepie, wystarczy do zaznaczenia zgoda na przetwarzanie danych? Czy powinna być specjalna podstrona informująca szczegółowo o przetwarzaniu danych?

W e-sklepie podstawą przetwarzania danych jest umowa czyli regulamin.

Jeżeli posiadam dokumenty firmy jednoosobowej, która nie odebrała swoich dokumentów np. z 2007 roku to jak mogę je „zapomnieć”?

Najlepiej odesłać do uprawnionej osoby, która wystąpi z żądaniem.

Co gdy wdrożymy coś źle? Wtedy też będzie kara?

Niekoniecznie. Należy dochować przy wdrożeniu należytej staranności, ponadto organ może też nałożyć środki administracyjne.

Czy to prawda, że standard niszczarki musi być ścinkowy, a paskowy już nie?

Dane powinny zostać zniszczone w sposób uniemożliwiający identyfikację danych zawartych w dokumentach. Dobór narzędzi jest efektem analizy ryzyka.

Czy zdjęcie przedstawiające wizerunek jednej lub kilku osób to dane osobowe?

Co do zasady tak, wizerunek podlega również ochronie jaki dobro osobiste oraz jest chroniony przez prawo autorskie.

Jak przeprowadzić ocenę analizy ryzyka?

Wytyczne GIODO w tym zakresie znajdują się na stronie internetowej.

Kary, kary, kary ……. dla firm do 20 mln Euro, ale dla organów państwowych tylko do 100 tys zł – prawda?

Tak

Dzień dobry, czy rozp. dot. e-privacy faktycznie wchodzi 25.05.2018 r.? Na stronie MC jest ono w fazie projektu. Proszę o wyjaśnienie.

Najprawdopodobniej wejdzie pod koniec tego roku.

Czy administratorem może być osoba prawna (9sp.zo.o.) czy należy wyznaczyć konkretną osobę?

Administratorem jest wtedy spółka.

Zapomnienie-czy o konieczności przechowywania dokumentacji a tym samych braku możliwości zapomnienia musimy informować klienta „z góry”?

O braku możliwości nie, ale o okresie retencji tak.

Jeżeli na stronie mojej firmy umieszczam z nazwiska i zdjęcia osób współpracujących z moją firmą (trenerzy, konsultanci) to czy muszę ich usunąć czy posiadać pisemne zgody na umieszczanie ich na stronie?

Na wizerunek już zgodnie z obowiązującymi przepisami niezbędna była zgoda, w zakresie imion i nazwisk pracowników nie jest konieczna zgoda takich osób.

Kogo wg RODO należy powołać do ochrony danych, wcześniej był ABI, Administrator, jak będzie?

Będzie administrator, w zależności od okoliczności IOD, ale to  nie są jedyne podmioty biorące udział w procesie przetwarzania danych.

Czy prawo do bycia zapomnianym może się odbyć przez animizację danych ?

Tak

Jak można zweryfikować że zostało się zapomnianym albo jak trzeba udowodnić że osoba która do nas się zwróciła została zapomniana ?

Administrator nie jest zobowiązany tego udowadniać, ale poinformować osobę która zażądała prawa do bycia zapomnianym o podjętych czynnościach we właściwym terminie.

Dzień dobry! Czy prowadząc firmę szkoleniową BHP – wystawiając zaświadczenie o ukończeniu szkolenia – musimy mieć zgodę osoby szkolącej?

Nie

Czy trzeba weryfikować wiek osób, które udzielają zgody na przetwarzanie danych osobowych?

Tak

Czy będąc informatykiem czyli administratorem systemów informatycznych mogę być inspektorem?

W mojej ocenie będzie istniał konflikt interesów. Zgodnie z wytycznymi Grupy Roboczej art. 29  co do zasady będzie istniał w odniesieniu do kierownika IT, tym bardziej zatem w stosunku do ASI.

Czy jako księgowa w publicznej placówce mogę być iodo?

Co do zasady może istnieć konflikt interesów.

Czy informatyk/ASI może być IDO? To w sumie konflikt interesów.

Takie też jest moje zdanie :)

W placówkach opiekuńczych wymagana będzie zgoda opiekuna na przetwarzanie danych, a co gdy opiekun nie wyrazi zgody jakie trzeba podjąć kroki?

Niestety nie rozumiem co macie Państwo na myśli pod pojęciem placówki opiekuńczej, ale zgoda wcale nie jest najczęstszą przesłanką, jeśli podstawą Państwa działania są przepisy prawa to one stanowią podstawę.

Czy będąc informatykiem w państwowej firmie czyli administratorem systemów informatycznych mogę być inspektorem?

W mojej ocenie będzie istniał konflikt interesów. Zgodnie z wytycznymi Grupy Roboczej art. 29  co do zasady będzie istniał w odniesieniu do kierownika IT, tym bardziej zatem w stosunku do ASI.

Czy jeśli powstaje publiczna lista internetowa, na której użytkownicy sami z własnej woli podają do publicznej wiadomości pod własnym wpisem na tej stronie – swoje imię, nazwisko i województwo w którym mieszkają, to czy taki zbiór wymaga rejestrowania bazy danych?

Żaden zbiór nie wymaga zgodnie z RODO.

Monitoring przemysłowy czy i ile możemy przechowywać nagrania i czy musimy informować o tym klientów, i jak informować.

Wszystko zależy od konkretnego przypadku, a wnioski są efektem analizy w toku wdrożenia. Przepisy nie przewidują zwolnienia z obowiązku informacyjnego.

Co z formularzem kontaktowym na stronie internetowej. Czy jeśli sam klient chce z nami się skontaktować i zostawi swój numer telefonu w formularzu kontaktowym to czy musimy dawać check boxy ze zgodami na przetwarzanie danych osobowych w celu kontaktu i przedstawieniu oferty?

Nie

Co zrobić z danymi osób, które dobrowolnie zapisały się do newslettera, podając wyłącznie swój adres mailowy, nie potwierdzając jednak (klikając w link w mailu) drugi raz tej zgody? Czy taką listę można będzie wykorzystać?

Taki wymóg istnieje od końca 2014 roku i nie jest związany z RODO. Najlepiej byłoby pobrać zgody we właściwy sposób.

Czy gabinet dentystyczny zatrudniający 10 pracowników i jakby nie było przetwarzający dane szczególnie chronione musi powołać IODO i prowadzić rejestr czynności przetwarzania?

Kwestia powołania IODO wymaga szczegółowej analizy i poznania organizacji, natomiast rejestr czynności przetwarzania tak.

Czy wizerunek to również są dane osobowe?

Tak

Czy procedury ochrony danych muszą być spisane?

RODO takiego wymogu nie zawiera, ale aby zapewnić zasadę rozliczalności warto to zrobić.

Jak to wygląda w uczelniach wyższych?

Wdrożenie składa się z takich samych etapów jak w innych instytucjach.

Witam czy dane wrażliwe powinny być w inny sposób ewidencjonowane?

Niestety nie rozumiem pytania. RODO zawiera pewne odrębności w stosunku do danych wrażliwych, które należy wziąć pod uwagę przy wdrożeniu.

Kto musi mieć IODO?

W art. 37 RODO znajdują się przesłanki powołania IODO.

Czy otrzymane wizytówki od klientów muszę chronić?

Tak

A co z ochroną wizerunku np. w fotografii. Czy to też dane osobowe?

Tak to są dane osobowe. Ponadto wizerunek jest chroniony przez ustawę o prawie autorskim i prawach pokrewnych.

Co ze szkołami i przedszkolami, jak w tych instytucjach ma wyglądać wdrożenie RODO?

Tak jak w każdej innej organizacji. Ani RODO, ani projekt ustawy nie zawierają wyłączeń w odniesieniu do szkół i przedszkoli.

Prowadzę mikroprzedsiębiorstwo. Co powinnam wiedzieć o RODO?

Kompleksowe informacje może Pani uzyskać na szkoleniu, zapraszamy!

Czy osoba fizyczna prowadząca działalność gospodarczą podlega pod RODO?

Tak

Czy można przesyłać maile zawierające dane osobowe do podmiotów, z którym współpracuję? Czy te maile muszą być zawsze szyfrowane? Kto ponosi odpowiedzialność jeśli te dane z maili wyciekną?

Oczywiście można, decyzję o szyfrowaniu podejmuje administrator na podstawie analizy ryzyka, to kto poniesie odpowiedzialność zależy od tego kto jest za wyciek odpowiedzialny (maile mogą być szyfrowane, a pracownik upoważniony do przetwarzania danych skopiuje dane i ujawni).

Bycie zapomnianym a kopie zapasowe – trzeba usuwać dane? tylko jak…

Wszystko zależy od tego, jak są sporządzane kopie zapasowe.

W naszym podmiocie do tej pory był ABI teraz jest powołana inna osoba IODO. Jak płynnie przejść z jednej funkcji do drugiej? Czy IODO trzeba zgłaszać/rejestrować? W jakim terminie?

 IODO trzeba będzie zgłosić w terminie 14 dni. Kwestia przejęcia funkcji jest kwestią organizacyjną w Państwa organizacji.

Czy IODO może być rekrutowany spośród dotychczasowych pracowników tj. czy może to być funkcja dodatkowa.

Może ją pełnić osoba dotychczas zatrudniona, musi jednak mieć możliwość realnego wykonywania obowiązków IODo co powinno być priorytetem, należy też wykluczyć konflikt interesów. Grupa robocza art.29 zaleca analizę stanowisk i ocenę w przypadku których taki konflikt będzie istniał.

Jak będzie z prawem do zapomnienia, trzeba będzie kasować z dysków dane?

Jeżeli efektem analizy danego żądania będzie wniosek iż jest ono zasadne niezbędne będzie zrealizowanie prawa do bycia zapomnianym. Jest to możliwe przez usunięcie lub anonimizację danych.

W jakim stopniu przepisy te dotyczą małych firmy prowadzących sprzedaż internetową?

W całości, ostateczny projekt ustawy nie przewiduje ograniczeń stosowania RODO wobec przedsiębiorców.

Witam, czy jeśli w dokumentacji technicznej projektowej załączono uprawnienia oraz OIIB, na których widnieje imię i nazwisko oraz data i miejsce urodzenia projektanta, Zamawiający może upublicznić scan projektu wraz z tymi danymi jako opis przedmiotu zamówienia?

Wszystko zależy od sytuacji, czy p. taki wymóg nakładają na Państwa przepisy odrębne.

Prowadzę mikroprzedsiębiorstwo. Co powinnam wiedzieć o RODO?

Wszystko co powinna Pani wiedzieć przedstawiamy na szkoleniach, zapraszamy!

Przed chwilą było że Iodo zastepuje ABI – a potem jest informacja , że Iodo jest niezależny i sprawdza administratora…

I jedno i drugie jest prawdą.

Prosimy o sprecyzowanie dokładnie, kto MUSI mieć IODO.

W każdym przypadku niezbędne jest dokonanie analizy zgodnie z RODO oraz wytycznymi grupy roboczej art. 29.

 Co się zmienia w wypadku prowadzenia ewidencji klientów w formie papierowej?

Konieczne będzie jej odpowiednie zabezpieczenie, zgodnie z RODO, aby takie właściwe zabezpieczenie dobrać należy wykonać analizę ryzyka.

Czy w księgowości powinien być rejestr przetwarzania danych?

Zakładam, że ma Pani/Pan na myśli rejestr czynności przetwarzania lub rejestr kategorii czynności przetwarzania. Jesteście Państwo obowiązani prowadzić pierwszy rejestr w stosunku do danych których jesteście administratorem, a drugie w stosunku do danych dla których jesteście procesorem gdyż nie przetwarzacie Państwo danych sporadycznie. Przykłady właściwych rejestrów znajdują się na stronie GIODO.

Czy jeżeli pracuje jako informatyk, to mogę również pełnić funkcję IODO w firmie/organizacji?

Może istnieć konflikt interesów.  Zgodnie z wytycznymi Grupy Roboczej art. 29 będzie istniał co do zasady w przypadku kierownika działu IT. W odniesieniu do pracowników niższego szczebla takie ryzyko również istnieje. Z każdym razem tę kwestię należy przeanalizować.

Czy biuro rachunkowe musi wyznaczyć personalnie odpowiednika administratora czy może być tym podmiotem osoba prawna?

Administratorem zgodnie z definicją może być osoba prawna, jeśli biuro jest osobą prawną to biuro będzie administratorem w stosunku do danych co do których decyduje o celach i środkach.

Posiadam politykę bezpieczeństwa danych osobowych , upoważniłam pracowników mam rejestr zbiorów danych, co nowego mam wprowadzić w takich „starych” politykach?

Na przykład rejestr czynności przetwarzania.

 Kto może zostać IODO np. w szpitalu?

Osoba spełniająca wymagania wynikające z art. 37 ust. 5 RODO, nie może istnieć konflikt interesów, IOD powinien podlegać bezpośrednio kierownictwu jednostki, warto się zapoznać z wytycznymi Grupy Roboczej art. 29 w tym zakresie.

Co z przetwarzaniem danych osobowych osób fizycznych składających ofertę w przetargu?

Z uwagi na wzór, mając podstawę prawną do udostępnienia danych jesteście Państwo do tego uprawnieni.

Czy będąc podwykonawcą (freelancer) muszę wprowadzać politykę bezpieczeństwa (RODO)?

RODO nie zawiera takiego wymogu.

Biuro rachunkowe nie zatrudnia pracowników, ma tylko podwykonawców (firmy zewnętrzne) działające w biurze – jak wdrożyć procedurę w takiej sytuacji?

To zależy od wyniku audytu, który warto byłoby przeprowadzić. Natomiast to czy z takimi osobami należy zawrzeć umowy o powierzeniu czy udzielić im upoważnień zależy będzie rezultatem ustaleń poczynionych podczas audytu?

Kto może zostać IODO w jednostce budżetowej?

Osoba spełniająca wymagania wynikające z art. 37 ust. 5 RODO, nie może istnieć konflikt interesów, IOD powinien podlegać bezpośrednio kierownictwu jednostki, warto się zapoznać z wytycznymi Grupy Roboczej art. 29 w tym zakresie.

Dzień Dobry, czy przy rozliczeniach rocznych (biuro rachunkowe) gdy odliczamy ulgę na dzieci musimy mieć zgodę rodziców na przetwarzanie danych ich dzieci które nam podają?

Jeżeli podanie danych wynika z przepisów prawa nie wymaga to zgody.

Dziękujemy za tak liczny udział w chacie, na wszystkie pytania odpowiedziała pani Anna Żmijewska – ekspert RODO ApexNet.

Zapraszamy na szkolenia z RODO, to już ostatni dzwonek, aby wdrożyć nowe rozporządzenie w Twojej firmie!

 

 

Ustawa przyjęta przez sejm!

Informujemy, że 10.05.2018 sejm przyjął ustawę o ochronie danych osobowych, która dostosowuje polskie prawo do RODO.

Za przyjęciem ustawy głosowało 233 posłów, przeciw było 176, a 25 wstrzymało się od głosu. Tym samym ustawa została przegłosowana i zgodnie z prawem została przekazana do Senatu do dalszego rozpatrzenia.

Przypomnijmy, że ustawa określa m.in. wprowadzenie nowego organu nadzorczego- Prezesa Urzędu Ochrony Danych Osobowych i zasady jego funkcjonowania. Nowa funkcja zastąpi istniejącą funkcję GIODO. Kolejne zmiany dotyczą m.in. zniesienia dwuinstancyjność postępowania w sprawach o naruszenie przepisów o ochronie danych osobowych czy wprowadzenie prawa do bycia zapomnianym.

Pełny tekst ustawy dostępny jest już teraz w EduStrefie, w zakładce BAZA WIEDZY- PRZEPISY PRAWNE.  Zapraszamy TUTAJ.

INFORMUJEMY, ŻE 10.10.2018

 

II część pytań do eksperta podczas webinaru RODO

Jaki jest wpływ RODO w praktyce na zamówienia publiczne w kontekście nadchodzącej elektronizacji? Jak chronić dokument JEDZ przekazany elektronicznie w ramach uzupełnienia oferty-składany już bez zaszyfrowania na maila. Jak zabezpieczać dokumenty wykonawcy zgodnie z RODO by się nie narazić na kary?

Nie ma jednolitych reguł zabezpieczenia danych. Zgodnie z RODO środki mają być „odpowiednie”. Oceniając, czy stopień bezpieczeństwa jest odpowiedni, uwzględnia się w szczególności ryzyko wiążące się z przetwarzaniem, w szczególności wynikające z przypadkowego lub niezgodnego z prawem zniszczenia, utraty, modyfikacji, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.

Jeżeli współpracując z partnerami i realizując dla nich usługi – mam formularze zleceń – to czy mogę w jednej formule odnośnie akceptacji regulaminu i warunkow realizacji – dodać klauzulę o zgodzie na przetwarzanie danych? i czy potem przy życzeniu o bycie zapomnianym mogę odmówić z uwagi na przepisy prawa podatkowego (czas przetrzymywania dokumentów – identyfikacja w przypadku roszczeń i windykacji)?

Zgoda na przetwarzanie danych osobowych musi być odrębna, przy czym zgoda taka w ogóle nie będzie potrzebna, jeżeli chodzi o dane potrzebne do realizacji umowy. Administrator może odmówić realizacji prawa do bycia zapomnianym w przypadkach wskazanych w art. 17 ust. 3 RODO, tj. m.in. gdy przetwarzanie danych jest niezbędne do wywiązania się z prawnego obowiązku wymagającego przetwarzania na mocy prawa Unii lub prawa państwa członkowskiego, któremu podlega administrator.

Biuro rachunkowo – kadrowe: przetwarza dane osobowe pracowników swoich klientów, od ilu uznamy że jest to przetwarzanie na dużą skalę i konieczna jest ocena skutków przetwarzania danych?

Zgodnie z wytycznymi Grupy Roboczej art. 29 nie jest możliwe wskazanie konkretnej wartości, czy to rozmiaru zbioru danych, czy liczby osób, których dane dotyczą, która determinowałaby „dużą skalę”. Zależy to od okoliczności konkretnego przypadku.

Zgodnie z RODO w przypadku posiadania monitoringu na terenie firmy oprócz informacji o jego posiadaniu powinno sie też zamieścić informacje o tym kto jest ADO i IOD. Jak spełnić ten obowiązek, bo nie wyobrażam sobie zamieszczania takich informacji na bramach wjazdowych.

Obowiązek informacyjny może zostać spełniony poprzez umieszczenie informacji w widocznym miejscu w pomieszczeniach, w których zastosowano monitoring. Należy jednak pamiętać, że musi istnieć podstawa prawna dla przetwarzania danych z monitoringu wizyjnego. W stosunku do pracowników podstawą taką będzie znowelizowany  kodeks pracy (pracownik będzie musiał wyrazić zgodę na monitoringu). Dla monitoringu w miejscach ogólnodostępnych podstawą taką może być art. 6 ust. 1 lit. f RODO, tj. prawnie uzasadniony interes (np. względy bezpieczeństwa). Administrator będzie musiał wykazać istnienie takiego interesu. Trzeba też pamiętać, że ze stosowaniem monitoringu wiążą  się również dodatkowe obowiązki, w szczególności obowiązkowa ocena skutków dla ochrony danych.

Czy pracownik Wydziału może być IODO w swoim Wydziale np na 1/4 etatu?

Jeżeli są spełnione wymogi RODO dotyczące jego wiedzy i kwalifikacji oraz statusu (niezależność i podleganie bezpośrednio najwyższemu kierownictwu). Nie może być to jednak osoba, która sama przetwarza dane osobowe w ramach swoich obowiązków.

Czy można przechowywać ksero dowodu osobistego przesłanego razem z wnioskiem przez interesanta dobrowolnie pocztą?

Jeżeli nie jest niezbędne przetwarzanie wszystkich danych z dowodu osobistego, to nie można przechowywać jego kopii.

W naszej firmie dotychczas ABI był kierownik jednego z wydziałów. Teraz IODO ma zostać sekretarka. Czy tak można?

Pytanie komu podlega sekretarka, czy będzie niezależna, czy nie koliduje to z jej dotychczasowymi obowiązkami i kluczowe: czy posiada odpowiednią wiedzę.

Czy jest obowiązek zgłaszania bazy danych do UODO?

Nie będzie obowiązku zgłoszenia zbioru danych – będzie rejestr czynności przetwarzania, inny dla procesora, inny dla administratora.

Czy podczas komisji orzeczniczych lekarz może wywoływać pacjenta po nazwisku?

Nie, gdyż w takim przypadku dane osobowe są ujawniane innym osobom.

Czy istnieją wytyczne jakie procedury powinny być krok po kroku zrobione w firmie do dostosowania jej do rodo? Wytyczne jak przeprowadzić analizę ryzyka itp?

Grupa Robocza Art. 29 przygotowała wytyczne dotyczące oceny ryzyka (są dostępne na stronie GIODO).  Ponadto Ministerstwo Przedsiębiorczości i Technologii przygotowała przewodnik o RODO dla małych i średnich przedsiębiorstw (dostępny na stronie internetowej ministerstwa) .

Jeśli chodzi tylko o zwykłe wykonanie zlecenia, bez publikacji w celach marketingowych – czy zgody od wszystkich są potrzebne, jeżeli zdjęcia będą drukowane dla zleceniodawcy (np. odbitki do albumu) i/lub wysyłane mailem do zleceniodawcy?

Nie jest potrzebna zgoda osób, z którymi fotograf zawarł umowę. Co do pozostałych można rozważyć powołanie się na prawie uzasadniony interes administratora. Należy jednak pamiętać o zgodzie na wykorzystanie wizerunku na podstawie prawa autorskiego.

Czy przy wysyłaniu materiału biologicznego do zbadania innej firmie, oznaczonego imieniem i nazwiskiem, muszę mieć umowę o powierzenie z tą firmą? I zgodę klienta na udostępnienie danych osobowych innym podmiotom?

Jeżeli firma w zakresie przekazania jest procesorem to umowę o powierzeniu, ale klient musi zostać poinformowany o kategoriach odbiorców danych.

Jeśli ja, jako właściciel jednoosobowej działalności gospodarczej jestem zarówno administratorem jak i osoba przetwarzającą dane, to czy muszę prowadzić oddzielne rejestry?

Odrębny dla siebie jako administratora, odrębny dla siebie jako procesora, zawierają inne informacje.

Czy jeśli firma wszystko trzyma w chmurze (azure) a nie na lokalnym komputerze to czy też musi mieć dysk szyfrowany?

Jeżeli absolutnie nie ma żadnych danych na komputerze i w razie jego zagubienia kradzieży nie ma możliwości dostania się do nich ich utracenia itd to należy zabezpieczyć dostęp do chmury.

A jeszcze można liczyć na odpowiedź na pytanie gościa, czy IOD może być urzędnik (stanowisko urzędnicze) czy trzeba zmienić pracownikowi umowę na zwykłe stanowisko w jednostce budżetowej gminy?

Trzeba zwrócić uwagę na wymogi RODO dotyczące statusu IOD. Administrator oraz podmiot przetwarzający muszą zapewnić, by IOD nie otrzymywał instrukcji dotyczących wykonywania tych zadań (IOD musi być niezależny). Nie być odwoływany ani karany przez administratora ani podmiot przetwarzający za wypełnianie swoich zadań.  Ponadto IOD musi bezpośrednio podlegać najwyższemu kierownictwu administratora lub podmiotu przetwarzającego. Należy także pamiętać, że  IOD może wykonywać inne, o ile nie kolidują one z funkcją IOD. Jeżeli te przesłanki zostaną spełnione wobec danego stanowiska urzędniczego, to taka osoba może być IOD

Zapraszamy na szkolenia z RODO, więcej informacji znajduje się TUTAJ

 

 

 

 

Wasze pytania – nasze odpowiedzi, czyli skrypt chatu z webinaru RODO. Część I!

Przed Wami odpowiedzi na pytania, które zostały zadane ekspertowi ApexNet podczas webinaru RODO pt.:” Zbrodnia i kara – czyli ile zapłacimy za źle wdrożone RODO?”.

Zapraszamy do lektury! Szkolenia z RODO znajdziecie TUTAJ

Czy listą na której pracownicy danej firmy wpisują swoje imię i nazwisko, np. na zapisy na zniżkowe bilety do kina, to należy traktować to już jako dane osobowe? Wiadomo z jakiej firmy są te osoby, gdyż lista jest dostępna tylko dla pracowników.

Tak, taka lista obejmuje dane osobowe.

Czy kary pieniężne będą dotyczyły jednostek organizacyjnych samorządów terytorialnych? p. ośrodków pomocy społecznej?

RODO nie rozstrzyga tej kwestii. Każdemu z państw członkowskich prawodawca europejski pozostawił do rozstrzygnięcia, czy kary pieniężne znajdą zastosowane wobec administratorów lub podmiotów przetwarzających, którymi są organy i podmioty publiczne ustanowione w tym państwie. W projekcie polskiej ustawy o ochronie danych przewidziano możliwość nałożenia kary pieniężnej na jednostki sektora finansów publicznych, ale w niższej wysokości (do 100.000 zł).

Lista obecności na szkoleniu – powinna zawierać jakąś klauzule w nawiązaniu do rodo?

Taka lista stanowi zbiór danych osobowych. W związku z tym mają do niej zastosowania przepisy RODO, w szczególności musi zostać spełniony wobec uczestników szkolenia obowiązek informacyjny.

Dzień dobry! Czy prowadząc firmę szkoleniową BHP – wystawiając zaświadczenie o ukończeniu szkolenia – musimy mieć zgodę osoby szkolącej?

Jeżeli przetwarzanie danych osobowych tej osoby odbywa się w celu wykonania umowy o przeprowadzenie szkolenia, to zgoda nie jest potrzebna. 

Testy wiedzy na szkoleniu mogą być przechowywane? Jaka klauzula jest potrzebna by one były przechowywane?

Wszystko zależy od celu takiego przechowywania. Jeżeli jest to niezbędne do wykonania umowy, to wystarczy spełnienie obowiązku informacyjnego, bez odrębnej zgody. Jeżeli jednak testy są przechowywane w innym celu niż wykonanie umowy, to należy uzyskać zgodę.

Co z trzymaniem danych w darmowej chmurze, np. na google drive, albo dropboxie? czy takie usługi spełniają normy RODO?

Z tymi podmiotami będą musiały zostać zawarte umowy o powierzeniu przetwarzania danych osobowych zgodne z RODO.

Co zrobić w przypadku ciągłych telefonów zapraszających na spotkania?

Jeżeli takie przetwarzanie danych odbywa się w celach marketingowych to możemy skorzystać z prawa do sprzeciwu, który uniemożliwi administratorowi dalsze przetwarzanie tych danych.

Jeśli prowadzimy szkolenie nadające certyfikat uprawnienia i pracodawca go nie chce udostępnić pracownikowi bo on zmienił prace. To jakie są możliwości by taki certyfikat odzyskać? Jak to się ma do rodo i przechowywania danych?

Osoba, której dane dotyczą, jest uprawniona do uzyskania od administratora potwierdzenia, czy przetwarzane są dane osobowe jej dotyczące, a jeżeli ma to miejsce, jest uprawniona do uzyskania dostępu do nich oraz informacji wskazanych w art. 15 RODO (m.in. o celu przetwarzania). Ponadto RODO przewiduje uprawnienie do przenoszenia danych (np. do nowego pracodawcy). Informacja o uzyskaniu certyfikatu, jeżeli stanowi daną osobową, może zostać przeniesiona  do nowego pracodawcy.

Co z trzymaniem danych na dropbox?

W takim przypadku będzie musiała zostać zawarta umowa o powierzeniu przetwarzania danych osobowych. Ponadto należy uwzględnić zasady przekazywania danych do państwa trzeciego, tj. poza UE/EOG. Dropbox znajduje się na liście Privacy Shield, a więc spełnia unijne wymagania dotyczące ochrony danych osobowych.

W jaki sposób można zabezpieczyć wg Rodo dokumenty (umowy) zawierające dane osobowe klientów? Oprócz schowania do szafki pod klucz?

RODO nie określa wprost tych środków, a jedynie wskazuje, że środki te mają być one odpowiednie. Należy brać pod uwagę stan wiedzy technicznej, koszty wdrażania oraz charakter, zakres, kontekst i cele przetwarzania. Wszelkie zabezpieczenia w RODO są dobierane pod kątem istniejących ryzyk.

Na jakiej podstawie można sprawdzić nauczycieli przed zatrudnieniem – ukaranie karą dyscyplinarną i rejestrze przestępców seksualnych?

Od kandydatów do pracy można uzyskać jedynie informacje wskazane w projektowanym art. 22(1) kodeksu pracy, w tym informacje o przebiegu dotychczasowego zatrudnienia (nie dotyczy to jednak kar dyscyplinarnych, a jedynie miejsca pracy, okresu pracy czy sposobu wygaśnięcia stosunku pracy). Rejestr przestępców seksualnych jest rejestrem publicznym.

Monitoring przemysłowy czy i ile możemy przechowywać nagrania i czy musimy informować o tym klientów, i jak informować?

Dane osobowe z monitoringu muszą być przechowywane przez okres niezbędny, RODO nie wskazuje wprost takich terminów. Klienci muszą zostać poinformowani o stosowaniu monitoringu w zwięzłej, przejrzystej, zrozumiałej i łatwo dostępnej formie, jasnym i prostym językiem.

Zapomnienie-czy o konieczności przechowywania dokumentacji a tym samym braku możliwości zapomnienia (względy podatkowe, dowodowe itp) musimy informować klienta „z góry”?

W ramach obowiązku informacyjnego administratora, klient musi zostać poinformowany o okresie przechowywania danych osobowych. Ponadto klient musi zostać poinformowany o prawie do usunięcia danych. Jeżeli klient zwróci się o usunięcie danych, to wówczas w odpowiedzi administrator przekazuje informację o odmowie wraz z podaniem przyczyny.

Czy dane firmowe osoby – pozyskane np. w trakcie rozmowy telefonicznej odnośnie decyzyjności mogą być wykorzystane (tel, imię i nazwisko, stanowisko, mail – w rożnych kombinacjach) i zapisane w systemie?

Dane takie mogą być wykorzystanie na podstawie prawnie uzasadnionego interesu administratora danych. Ważne jest jednak to, aby dane te były wykorzystane tylko w takim celu, w jakich zostały przekazane (w przeciwnym wypadku konieczna będzie odrębna zgoda).

Czy w przypadku podania w wiadomości na Facebooku nr PESEL można zażądać jego usunięcia (całej wiadomości, ewentualnie wszystkich wiadomości)?

Tak, jeżeli nie ma podstawy dla przetwarzania takiej danej.

Czy na adresy mialowe pozyskane ze źródeł powszechnie dostępnych musimy dokonywać obowiązku informacyjnego?

Tak, chyba że zachodzą przesłanki wyłączenia obowiązku informacyjnego, np. osoba ta dysponuje już tymi informacjami.

Dzień dobry, chciałbym zapytać o taką kwestię, a gdy ktoś pracuje na umowę o dzieło (wciąż bardzo powszechna umowa w Polsce) to czy powinien podpisać jakąś umowę o wykorzystywaniu danych ze zleceniodawcą dla którego pracuje?

Tak, osoba pracująca na podstawie umowy o dzieło jest podmiotem niezależnym od administratora, a zatem musi zostać z nią zawarta umowa o powierzeniu przetwarzania danych osobowych (jeżeli takie dane są powierzane w celu wykonania umowy o dzieło).

Czy listą na której pracownicy danej firmy wpisują swoje imię i nazwisko, np. na zapisy na zniżkowe bilety do kina, to należy traktować to już jako dane osobowe? Wiadomo z jakiej firmy są te osoby, gdyż lista jest dostępna tylko dla pracowników. Czy to za mało informacji by traktować to jako dane osobowe?

To są dane osobowe, gdyż pozwalają na identyfikację osób, których dotyczą.

No właśnie mamy chronić wizytówki – a co z wielkimi wymianami kontaktów i pozwoleniem ustnym na przekazanie kontaktu i danych innej osobie/firmie?

Zgoda może być wyrażona w różny sposób, np. poprzez wrzucenie wizytówki do określonego pojemnika.

Czy wizerunek osoby na zdjęciu (np. ślubnym) jest też uznawane za daną osobową?

Tak i dodatkowo jest chroniony co do zasady przez prawo autorskie.

Czy pracownik działu kadr łącznie z naczelnikiem może być IODO ?

Nie ma możliwości wyznaczenia dwóch inspektorów ochrony danych w jednej jednostce.

Biuro rachunkowe umowy o powierzanie – czy klient powinien nas zapewnić że posiada zgody na wykorzystywanie danych które powierza biuru?

Warto w umowie zawrzeć postanowienie, że administrator jest uprawniony do przetwarzania danych osobowych (niekoniecznie musi to być na podstawie zgody).

Prowadzę jednoosobową działalność gospodarczą, branża szkoleniowa. Mam pytanie, czy do osób, które brały udział w moich szkoleniach i których posiadam dane (imię, nazwisko, adres e-mail i nr telefonu) muszę wysyłać wiadomość z informacją, że przetwarzam ich dane i mają prawo do ich wglądu oraz zapomnienia? 

Tak, wobec tych osób musi zostać spełniony obowiązek informacyjny.

Jaki wpływ RODO na zamówienia publiczne?

RODO będzie musiało zostać uwzględnione zarówno w samym postępowaniu o udzielenie zamówienia (odpowiednie sformułowanie wymogów w zakresie danych osobowych), jak i w treści umów o udzieleniu zamówienia publicznego.

Dzień dobry, chciałbym zapytać o taką kwestię, a gdy ktoś pracuje na umowę o dzieło (wciąż bardzo powszechna umowa w Polsce) to czy powinien podpisać jakąś umowę o wykorzystywaniu danych ze zleceniodawcą dla którego pracuje?

Tak, umowę o powierzeniu przetwarzania danych, jeżeli są mu powierzane dane osobowe.

Co z dokumentami Polityka bezpieczeństwa i instrukcja obsługi systemów informatycznych , czy po wejściu RODO nie ma obowiązku posiadać tych dokumentów?

RODO wspomina jedynie o odpowiednich politykach, ale w praktyce trzeba wykazać zasadę rozliczalności.

UODO wymagała prowadzenia sprawdzeni rocznego czy w związku z RODO ten obowiązek ustaje?

RODO wymaga regularnego testowania, mierzenia i oceniania skuteczności środków.

Czy przy wysyłaniu materiału biologicznego do zbadania innej firmie, oznaczonego imieniem i nazwiskiem, muszę mieć umowę o powierzenie z tą firmą. I zgodę klienta na udostępnienie danych osobowych innym podmiotom?

W tym przypadku musi zostać zawarta umowa powierzenia. Na takie powierzenie nie jest jednak konieczna zgoda klient (wystarczy udzielenie informacji w ramach obowiązku informacyjnego).

Czy CV przesyłane przez osoby na potrzeby rekrutacji trzeba od razu po rekrutacji kasować czy można je zostawiać, by w przyszłości się odezwać do tych osób i zaproponować współprace?

Musimy mieć zgodę takiej osoby na wykorzystanie go do przyszłych rekrutacji.

CV odsyłać czy niszczyć w niszczarce?

Jeżeli nie ma już podstaw do przetwarzania danych osobowych w CV, to dane te powinny zostać usunięte. Może to nastąpić w niszczarce.

Co powinien zrobić fotograf wykonujący zdjęcia podczas różnych wydarzeń (śluby, różnego rodzaju targi, wydarzenia firmowe) na których będzie widoczne wiele osób? Czy każda osoba dająca się rozpoznać na zdjęciu (nawet jeśli nie jest głównym tematem zdjęcia) będzie musiała wyrazić pisemną zgodę na przetwarzanie jej danych osobowych?

Z uwagi na to, że wizerunek jest daną osobową, jego przetwarzanie wymaga zgody, jeżeli nie ma innej podstawy przetwarzania danych wymienionej w art. 6 ust. 1 RODO. Zgoda taka nie musi być jednak wyrażona na piśmie. Z motywu 32 do RODO wynika, że zgoda taka może zostać udzielona także ustnie. Administrator musi jednak móc wykazać podstawę przetwarzania danych osobowych zgodnie z zasadą rozliczalności. Pamiętajmy, że to także prawo autorskie i jeśli fotograf chce takie fotografie wykorzystywać do celów marketingowych to powinien mieć zgody.

 

Certyfikaty RODO w zamówieniach publicznych

Certyfikat RODO to pewnego rodzaju zaświadczenie o zgodności firmowych systemów z zasadami przetwarzania danych osobowych. Artykuł 42 Rozporządzenia o Ochronie Danych Osobowych mówi, iż

Państwa członkowskie, organy nadzorcze, Europejska Rada Ochrony Danych oraz Komisja zachęcają – w szczególności na szczeblu Unii – do ustanawiania mechanizmów certyfikacji oraz znaków jakości i oznaczeń w zakresie ochrony danych osobowych mających świadczyć o zgodności z niniejszym rozporządzeniem operacji przetwarzania prowadzonych przez administratorów i podmioty przetwarzające. Przy tym uwzględnia się szczególne potrzeby mikroprzedsiębiorstw oraz małych i średnich przedsiębiorstw.

Tego typu certyfikaty będą wydawane właścicielom firm zarówno przez Prezesa Urzędu Ochrony Danych Osobowych (do którego będzie należało ustalenie kryteriów przyznania certyfikatu), ale także przez firmy prywatne po uzyskaniu odpowiedniego dokumentu z Polskiego Centrum Akredytacji. O certyfikat będą mogli się ubiegać administratorzy danych osobowych, jak i tzw. procesorzy, czyli podmioty zewnętrzne, którym powierzane są dane osobowe w celu ich dalszego przetwarzania.

Obowiązek posiadania certyfikatu

Posiadanie certyfikatu nie jest jednak obowiązkowe, o czym traktuje punkt 3 artykułu 42:

„Certyfikacja jest dobrowolna, a proces jej uzyskania musi być przejrzysty.”

W większej mierze będzie on stanowił pewnego rodzaju przywilej. Certyfikat ten wesprze nie tylko przedsiębiorców, ale również pomoże klientom łatwiej zidentyfikować podmioty, które są sumienne, godne zaufania i przekonywające, a także profesjonalnie dbają o powierzone im dane osobowe – co jednoznacznie nie wskazuje na to, aby podmioty, które nie będą ubiegać się o przyznanie certyfikatu przetwarzają dane w sposób niezgodny z RODO. Niestosowanie się do przepisów znajdujących się w rozporządzeniu skutkuje bowiem wielomilionowymi karami finansowymi, co samo w sobie powinno być wystarczającym bodźcem do przestrzegania zapisów RODO.

Niemniej jednak podmioty, które posiadają certyfikat zgodności z RODO, mogą być korzystniej traktowane w przetargach o wykonanie zamówienia. Według Urzędu Zamówień Publicznych brak certyfikatu RODO nie może być podstawą odrzucenia oferty. UZP koncentruje się bardziej na tym, czy certyfikat RODO w ogóle może być jednym z warunków udziału w postępowaniu lub stanowić pozacenowe kryterium oceny ofert. Podsumowuje, że wszystko tak naprawdę zależy od przedmiotu zamówienia. Jeżeli ma ono związek z ochroną danych osobowych, to odpowiedź jest twierdząca.

Czy warto ubiegać się o certyfikat?

Jako że jest to kwestia dobrowolna, a jego przyznanie wymaga sporo pracy i dużego nakładu finansowego, nie jest to rzecz niezbędna. Aczkolwiek duże, europejskie przedsiębiorstwa mogłyby nadwerężyć swoją reputację za brak certyfikatu, co nie wpłynęłoby na pozytywny odzew konsumentów. Warto zwrócić uwagę na fakt, że jego posiadanie może przyczynić się do łagodniejszego wyroku w przypadku, gdy organ nadzorczy będzie musiał wziąć pod uwagę przyznanie kary.

Po więcej informacji zapraszamy na szkolenia RODO z ekspertami ApexNet -> TUTAJ

Kalendarz szkoleń na maj już gotowy!

Kalendarz szkoleń zaplanowanych na maj 2018 roku jest już dostępny na stronie ApexNet.pl!

W przyszłym miesiącu przygotowaliśmy dla Was standardowe i renomowane szkolenia z zakresu Zamówień Publicznych, RODO czy JEDZ – początkujący uczestnicy będą mogli nabyć nowych, aktualnych informacji, a ci bardziej zaawansowani pogłębić tę wiedzę, którą już dysponują. Wykonawcy, Zamawiający – serdecznie zapraszamy!

Na szkolenia obowiązują jeszcze promocyjne ceny.

Kalendarz majowy na 2018 r dostępny jest TUTAJ

Jak RODO wpłynie na pracę działu Human Resources (HR)?

Od 25.05.2018 r. zacznie mieć zastosowanie Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych – RODO). Będzie to skutkować istotnymi zmianami m.in. w zakresie przetwarzania danych osobowych pracowników i kandydatów do pracy, co wpłynie znacząco na pracę działów HR. Istotne są nie tylko przepisy samego RODO, ale także planowane zmiany w kodeksie pracy.
Przetwarzanie danych osobowych przez pracodawcę
Zgodnie z projektowanym art. 221 § 1 kodeksu pracy pracodawca może żądać od osoby ubiegającej się o zatrudnienie podania danych osobowych obejmujących:
1) imię (imiona) i nazwisko;
2) datę urodzenia;
3) adres do korespondencji;
4) adres poczty elektronicznej albo numer telefonu;
5) wykształcenie;
6) przebieg dotychczasowego zatrudnienia.
Pracodawca może przetwarzać inne dane osobowe kandydata do pracy, gdy dotyczą one stosunku pracy i osoba ubiegająca się o zatrudnienie wyrazi na to zgodę w oświadczeniu złożonym w postaci papierowej lub elektronicznej. Brak zgody nie może być podstawą niekorzystnego traktowania osoby ubiegającej się o zatrudnienie, a także nie może powodować wobec nich jakichkolwiek negatywnych konsekwencji, zwłaszcza nie może stanowić przyczyny uzasadniającej odmowę zatrudnienia. W zakresie danych wymienionych w znowelizowanym art. 221 § 1 kodeksu pracy nie będzie potrzebna klauzula zgody na przetwarzanie danych osobowych tak często wymagana obecnie w procesach rekrutacyjnych. Jeżeli jednak dane kandydata do pracy mają zostać wykorzystane w rekrutacji na inne stanowisko pracy, to należy uzyskać zgodę na przetwarzanie jego danych osobowych na potrzeby innego ogłoszenia. Zgoda taka będzie potrzebna także wtedy, gdy CV ma zostać wykorzystane także na potrzeby przyszłych rekrutacji.
Obowiązki pracodawcy wobec kandydata
Pracodawca ma obowiązek spełnić wobec kandydata do pracy obowiązek informacyjny zgodnie z wymogami RODO. Pracodawca ma obwiązek poinformować kandydata m.in. o swoich danych kontaktowych oraz danych inspektora ochrony danych osobowych (jeżeli został powołany), celu i podstawie prawnej przetwarzania, o odbiorcach danych osobowych lub o kategoriach odbiorców, jeżeli istnieją, a także o okresie przechowywania danych i prawach osoby, której dane dotyczą, w szczególności prawie dostępu do danych osobowych dotyczących swojej osoby, żądania ich sprostowania, usunięcia lub ograniczenia przetwarzania, a także prawie do sprzeciwu czy wniesienia skargi do organu nadzorczego (szczegółowy zakres obowiązku informacyjnego reguluje art. 13 ust. 1 i 2 RODO). Konieczność zrealizowania obowiązku informacyjnego zgodnie z RODO wyklucza możliwość przeprowadzenia tzw. rekrutacji ukrytych. Każda osoba, która aplikuje w procesie rekrutacyjnym musi wiedzieć, komu powierza swoje dane osobowe.
Jeżeli pracodawcy korzystają z usług portali rekrutacyjnych, to nie można również zapominać o konieczności zawarcia umowy o powierzeniu przetwarzania danych osobowych. Z portalami rekrutacyjnymi należy zawrzeć umowę powierzenia przetwarzania danych osobowych zgodną z RODO (przepisy szczegółowo wymieniają katalog elementów, jakie umowa taka powinna zawierać). Ponadto, zgodnie z art. 28 ust. 1 RODO administrator danych osobowych może korzystać wyłącznie z usług podmiotów przetwarzających, które zapewniają wystarczające gwarancje, by przetwarzanie
chroniło prawa kandydatów. Przed powierzeniem danych Administrator Danych Osobowych musi więc ocenić, czy poziom stosowanych zabezpieczeń jest odpowiedni.
Od osoby już zatrudnionej, pracodawca będzie mógł się domagać podania:
1) adresu zamieszkania;
2) numeru PESEL, a w przypadku jego braku – rodzaju i numeru dokumentu potwierdzającego tożsamość;
3) innych danych osobowych pracownika, a także danych osobowych dzieci pracownika i innych członków jego najbliższej rodziny, jeżeli podanie takich danych będzie konieczne ze względu na korzystanie przez pracownika ze szczególnych uprawnień przewidzianych w prawie pracy.
Wymóg uzyskania zgody na przetwarzanie danych
Do pracowników również ma zastosowanie wymóg uzyskania zgody (w postaci papierowej lub elektronicznej) na przetwarzanie innych danych, o ile dotyczą one stosunku pracy (przetwarzanie danych osobowych związanych ze sferą intymną człowieka takich jak dane o nałogach, stanie zdrowia oraz o życiu seksualnym lub orientacji seksualnej, nie będzie możliwe nawet za zgodą pracownika). Brak zgody nie może wywoływać negatywnych konsekwencji dla pracownika, np. być podstawą wypowiedzenia stosunku pracy lub jego rozwiązania bez wypowiedzenia przez pracodawcę. Projekt zakłada również, że pracodawca może przetwarzać adres do korespondencji, poczty elektronicznej i numer telefonu już po nawiązaniu stosunku pracy, tylko wówczas, gdy pracownik wyrazi na to zgodę w oświadczeniu złożonym w postaci papierowej lub elektronicznej. Pracodawca musi wobec pracownika spełnić obowiązek informacyjny z art. 13 ust. 1 i 2 RODO, a zatem stosowna klauzula informacyjna musi zostać przekazana pracownikowi wraz z umową o pracę.
Prawo do bycia zapomnianym
Projektowane zmiany dotyczą również kwestii bardziej szczegółowych, jak dopuszczalność stosowania monitoringu w pracy czy pozyskiwania danych biometrycznych. Interesująca jest kwestia stosowania wobec pracowników tzw. „prawa do bycia zapomnianym” szczegółowo uregulowanego w RODO. Prawo to ma bowiem ograniczone zastosowanie do pracowników, których dane zawarte w aktach osobowych muszą być przechowywane przez okres 50 lat od zakończenia stosunku pracy. Przez ten okres pracownik nie może zatem skutecznie powołać się na „prawo do bycia zapomnianym” w zakresie danych zawartych w jego aktach osobowych.

Anna Żmijewska
Ekspert RODO, prowadząca szkolenia w ApexNet.pl

Informacje na temat szkoleń z RODO znajdziesz TUTAJ

Prawo do bycia zapomnianym w placówkach medycznych

W Polsce od 25 maja 2018 roku zacznie obowiązywać RODO, europejskie rozporządzenie o ochronie danych osobowych, które m.in. ustanawia prawo do usunięcia danych, nazywane prawem do bycia zapomnianym. Polega ono na tym, że każdej osobie, której dane są przetwarzane, przysługuje prawo do ich usunięcia, czyli właśnie „bycia zapomnianym”.
Prawo to może być realizowane przez podmiot danych, gdy spełniony jest jeden spośród następujących warunków:
1. Dane nie są już dłużej niezbędne do realizacji celu, w jakim zostały zebrane lub są przetwarzane;
2. Podmiot danych wycofał zgodę na przetwarzanie jego danych osobowych oraz nie istnieją podstawy prawne, aby mimo tego kontynuować przetwarzanie;
3. Podmiot danych sprzeciwia się przetwarzaniu oraz nie występują nadrzędne prawnie uzasadnione podstawy przetwarzania, lub podmiot danych sprzeciwia się przetwarzaniu jego danych osobowych na potrzeby i w zakresie marketingu bezpośredniego (w tym profilowania);
4. Przetwarzanie w inny sposób nie jest lub nie było zgodne z RODO lub innymi przepisami prawa;
5. Dane osobowe zostały zebrane w nawiązaniu do oferowania bezpośrednio osobom poniżej 16 lat usług społeczeństwa informatycznego (np. portale społecznościowe).
Co może zrobić pacjent?
Na gruncie RODO pacjent może zwrócić się z żądaniem do administratora danych (podmiotu wykonującego działalność leczniczą, np. szpital) wtedy gdy:
1. Jego dane, które zostały zebrane nie są już niezbędne do celów do których zostały zebrane;
2. Dane pacjenta zostały zebrane lub są przetwarzane w inny sposób w sytuacji, gdy pacjent wycofał zgodę;
3. Zostanie spełniona przesłana z art. 17 ust. 1 RODO czyli dane byłby przetwarzane niezgodnie z prawem, dane osobowe muszą zostać usunięte w celu wywiązania się z obowiązku prawnego przewidzianego w prawie Unii lub prawie państwa członkowskiego, któremu podlega administrator, dane osobowe zostały zebrane w związku z oferowaniem usług społeczeństwa informacyjnego, o których mowa w art. 8 ust. 1.
Administrator ma obowiązek bezzwłocznie usunąć dane w przypadku wystąpienia w/w przesłanki.
Czego pacjent zrobić nie może?
Pacjent nie może zwrócić się do placówki medycznej, aby ta usunęła wszystkie jego dane, zarówno w trakcie leczenia jak i po zakończonej hospitalizacji. Dlaczego? Zastosowanie mają tutaj przepisy szczegółowe, czyli w tym przypadku ustawa o prawach pacjenta i RPP, która stanowi w art. 24 ust. 1, że każdy podmiot udzielający świadczeń zdrowotnych jest obowiązany do przechowywania dokumentacji medycznej, okres przechowywania dokumentacji zależy od rodzaju dokumentacji. Podmiot medyczny nie może więc na życzenie zniszczyć dokumentacji medycznej pacjenta, a jedynie jest zobligowany to zrobić po upływie okresu, w jakim był zobowiązany przechowywać dokumentację medyczną.
Prawo do bycia zapomnianym nie dotyczy sytuacji zniszczenia dokumentacji medycznej na żądanie pacjenta, ponieważ według RODO przetwarzanie jest niezbędne do wywiązania się z prawnego obowiązku wymagającego przetwarzania na mocy prawa krajowego oraz z uwagi na względy interesu publicznego w dziedzinie zdrowia publicznego.
Kiedy można zwrócić się do placówki medycznej z żądaniem prawa do bycia zapomnianym?
Prawo do bycia zapomnianym będzie mieć zastosowanie m.in. w sytuacji, gdy lekarz czy pielęgniarka lub inny pracownik zmienił miejsce pracy, a jego dane (w tym wizerunek) nadal widnieją na stronie internetowej byłego pracodawcy. Może zwrócić się on z żądaniem natychmiastowego usunięcia.
W tym przypadku z żądaniem może się także zwrócić pacjent w sytuacji, kiedy wyraził zgodę na wykorzystywanie jego danych osobowych przez podmiot medyczny do celów marketingowych, gdzie placówki mogą takie dane gromadzić i przetwarzać za zgodą pacjenta.
Zgodę zawsze można wycofać ze skutkiem natychmiastowym i bezpłatnie (gdy pacjent np. zapisał się na newsletter). Zawsze może się z niego wypisać bez ponoszenia konsekwencji, dotyczy to również obecności danych pacjenta w profilach społecznościowych prowadzonych przez placówki medyczne.
Aneta Sieradzka, Ph.D, MBA
Partner Zarządzający Sieradzka&Partners, ekspert RODO w ApexNet