Archiwa tagu: webinar rodo

II część pytań do eksperta podczas webinaru RODO

Jaki jest wpływ RODO w praktyce na zamówienia publiczne w kontekście nadchodzącej elektronizacji? Jak chronić dokument JEDZ przekazany elektronicznie w ramach uzupełnienia oferty-składany już bez zaszyfrowania na maila. Jak zabezpieczać dokumenty wykonawcy zgodnie z RODO by się nie narazić na kary?

Nie ma jednolitych reguł zabezpieczenia danych. Zgodnie z RODO środki mają być „odpowiednie”. Oceniając, czy stopień bezpieczeństwa jest odpowiedni, uwzględnia się w szczególności ryzyko wiążące się z przetwarzaniem, w szczególności wynikające z przypadkowego lub niezgodnego z prawem zniszczenia, utraty, modyfikacji, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.

Jeżeli współpracując z partnerami i realizując dla nich usługi – mam formularze zleceń – to czy mogę w jednej formule odnośnie akceptacji regulaminu i warunkow realizacji – dodać klauzulę o zgodzie na przetwarzanie danych? i czy potem przy życzeniu o bycie zapomnianym mogę odmówić z uwagi na przepisy prawa podatkowego (czas przetrzymywania dokumentów – identyfikacja w przypadku roszczeń i windykacji)?

Zgoda na przetwarzanie danych osobowych musi być odrębna, przy czym zgoda taka w ogóle nie będzie potrzebna, jeżeli chodzi o dane potrzebne do realizacji umowy. Administrator może odmówić realizacji prawa do bycia zapomnianym w przypadkach wskazanych w art. 17 ust. 3 RODO, tj. m.in. gdy przetwarzanie danych jest niezbędne do wywiązania się z prawnego obowiązku wymagającego przetwarzania na mocy prawa Unii lub prawa państwa członkowskiego, któremu podlega administrator.

Biuro rachunkowo – kadrowe: przetwarza dane osobowe pracowników swoich klientów, od ilu uznamy że jest to przetwarzanie na dużą skalę i konieczna jest ocena skutków przetwarzania danych?

Zgodnie z wytycznymi Grupy Roboczej art. 29 nie jest możliwe wskazanie konkretnej wartości, czy to rozmiaru zbioru danych, czy liczby osób, których dane dotyczą, która determinowałaby „dużą skalę”. Zależy to od okoliczności konkretnego przypadku.

Zgodnie z RODO w przypadku posiadania monitoringu na terenie firmy oprócz informacji o jego posiadaniu powinno sie też zamieścić informacje o tym kto jest ADO i IOD. Jak spełnić ten obowiązek, bo nie wyobrażam sobie zamieszczania takich informacji na bramach wjazdowych.

Obowiązek informacyjny może zostać spełniony poprzez umieszczenie informacji w widocznym miejscu w pomieszczeniach, w których zastosowano monitoring. Należy jednak pamiętać, że musi istnieć podstawa prawna dla przetwarzania danych z monitoringu wizyjnego. W stosunku do pracowników podstawą taką będzie znowelizowany  kodeks pracy (pracownik będzie musiał wyrazić zgodę na monitoringu). Dla monitoringu w miejscach ogólnodostępnych podstawą taką może być art. 6 ust. 1 lit. f RODO, tj. prawnie uzasadniony interes (np. względy bezpieczeństwa). Administrator będzie musiał wykazać istnienie takiego interesu. Trzeba też pamiętać, że ze stosowaniem monitoringu wiążą  się również dodatkowe obowiązki, w szczególności obowiązkowa ocena skutków dla ochrony danych.

Czy pracownik Wydziału może być IODO w swoim Wydziale np na 1/4 etatu?

Jeżeli są spełnione wymogi RODO dotyczące jego wiedzy i kwalifikacji oraz statusu (niezależność i podleganie bezpośrednio najwyższemu kierownictwu). Nie może być to jednak osoba, która sama przetwarza dane osobowe w ramach swoich obowiązków.

Czy można przechowywać ksero dowodu osobistego przesłanego razem z wnioskiem przez interesanta dobrowolnie pocztą?

Jeżeli nie jest niezbędne przetwarzanie wszystkich danych z dowodu osobistego, to nie można przechowywać jego kopii.

W naszej firmie dotychczas ABI był kierownik jednego z wydziałów. Teraz IODO ma zostać sekretarka. Czy tak można?

Pytanie komu podlega sekretarka, czy będzie niezależna, czy nie koliduje to z jej dotychczasowymi obowiązkami i kluczowe: czy posiada odpowiednią wiedzę.

Czy jest obowiązek zgłaszania bazy danych do UODO?

Nie będzie obowiązku zgłoszenia zbioru danych – będzie rejestr czynności przetwarzania, inny dla procesora, inny dla administratora.

Czy podczas komisji orzeczniczych lekarz może wywoływać pacjenta po nazwisku?

Nie, gdyż w takim przypadku dane osobowe są ujawniane innym osobom.

Czy istnieją wytyczne jakie procedury powinny być krok po kroku zrobione w firmie do dostosowania jej do rodo? Wytyczne jak przeprowadzić analizę ryzyka itp?

Grupa Robocza Art. 29 przygotowała wytyczne dotyczące oceny ryzyka (są dostępne na stronie GIODO).  Ponadto Ministerstwo Przedsiębiorczości i Technologii przygotowała przewodnik o RODO dla małych i średnich przedsiębiorstw (dostępny na stronie internetowej ministerstwa) .

Jeśli chodzi tylko o zwykłe wykonanie zlecenia, bez publikacji w celach marketingowych – czy zgody od wszystkich są potrzebne, jeżeli zdjęcia będą drukowane dla zleceniodawcy (np. odbitki do albumu) i/lub wysyłane mailem do zleceniodawcy?

Nie jest potrzebna zgoda osób, z którymi fotograf zawarł umowę. Co do pozostałych można rozważyć powołanie się na prawie uzasadniony interes administratora. Należy jednak pamiętać o zgodzie na wykorzystanie wizerunku na podstawie prawa autorskiego.

Czy przy wysyłaniu materiału biologicznego do zbadania innej firmie, oznaczonego imieniem i nazwiskiem, muszę mieć umowę o powierzenie z tą firmą? I zgodę klienta na udostępnienie danych osobowych innym podmiotom?

Jeżeli firma w zakresie przekazania jest procesorem to umowę o powierzeniu, ale klient musi zostać poinformowany o kategoriach odbiorców danych.

Jeśli ja, jako właściciel jednoosobowej działalności gospodarczej jestem zarówno administratorem jak i osoba przetwarzającą dane, to czy muszę prowadzić oddzielne rejestry?

Odrębny dla siebie jako administratora, odrębny dla siebie jako procesora, zawierają inne informacje.

Czy jeśli firma wszystko trzyma w chmurze (azure) a nie na lokalnym komputerze to czy też musi mieć dysk szyfrowany?

Jeżeli absolutnie nie ma żadnych danych na komputerze i w razie jego zagubienia kradzieży nie ma możliwości dostania się do nich ich utracenia itd to należy zabezpieczyć dostęp do chmury.

A jeszcze można liczyć na odpowiedź na pytanie gościa, czy IOD może być urzędnik (stanowisko urzędnicze) czy trzeba zmienić pracownikowi umowę na zwykłe stanowisko w jednostce budżetowej gminy?

Trzeba zwrócić uwagę na wymogi RODO dotyczące statusu IOD. Administrator oraz podmiot przetwarzający muszą zapewnić, by IOD nie otrzymywał instrukcji dotyczących wykonywania tych zadań (IOD musi być niezależny). Nie być odwoływany ani karany przez administratora ani podmiot przetwarzający za wypełnianie swoich zadań.  Ponadto IOD musi bezpośrednio podlegać najwyższemu kierownictwu administratora lub podmiotu przetwarzającego. Należy także pamiętać, że  IOD może wykonywać inne, o ile nie kolidują one z funkcją IOD. Jeżeli te przesłanki zostaną spełnione wobec danego stanowiska urzędniczego, to taka osoba może być IOD

Zapraszamy na szkolenia z RODO, więcej informacji znajduje się TUTAJ

 

 

 

 

Wasze pytania – nasze odpowiedzi, czyli skrypt chatu z webinaru RODO. Część I!

Przed Wami odpowiedzi na pytania, które zostały zadane ekspertowi ApexNet podczas webinaru RODO pt.:” Zbrodnia i kara – czyli ile zapłacimy za źle wdrożone RODO?”.

Zapraszamy do lektury! Szkolenia z RODO znajdziecie TUTAJ

Czy listą na której pracownicy danej firmy wpisują swoje imię i nazwisko, np. na zapisy na zniżkowe bilety do kina, to należy traktować to już jako dane osobowe? Wiadomo z jakiej firmy są te osoby, gdyż lista jest dostępna tylko dla pracowników.

Tak, taka lista obejmuje dane osobowe.

Czy kary pieniężne będą dotyczyły jednostek organizacyjnych samorządów terytorialnych? p. ośrodków pomocy społecznej?

RODO nie rozstrzyga tej kwestii. Każdemu z państw członkowskich prawodawca europejski pozostawił do rozstrzygnięcia, czy kary pieniężne znajdą zastosowane wobec administratorów lub podmiotów przetwarzających, którymi są organy i podmioty publiczne ustanowione w tym państwie. W projekcie polskiej ustawy o ochronie danych przewidziano możliwość nałożenia kary pieniężnej na jednostki sektora finansów publicznych, ale w niższej wysokości (do 100.000 zł).

Lista obecności na szkoleniu – powinna zawierać jakąś klauzule w nawiązaniu do rodo?

Taka lista stanowi zbiór danych osobowych. W związku z tym mają do niej zastosowania przepisy RODO, w szczególności musi zostać spełniony wobec uczestników szkolenia obowiązek informacyjny.

Dzień dobry! Czy prowadząc firmę szkoleniową BHP – wystawiając zaświadczenie o ukończeniu szkolenia – musimy mieć zgodę osoby szkolącej?

Jeżeli przetwarzanie danych osobowych tej osoby odbywa się w celu wykonania umowy o przeprowadzenie szkolenia, to zgoda nie jest potrzebna. 

Testy wiedzy na szkoleniu mogą być przechowywane? Jaka klauzula jest potrzebna by one były przechowywane?

Wszystko zależy od celu takiego przechowywania. Jeżeli jest to niezbędne do wykonania umowy, to wystarczy spełnienie obowiązku informacyjnego, bez odrębnej zgody. Jeżeli jednak testy są przechowywane w innym celu niż wykonanie umowy, to należy uzyskać zgodę.

Co z trzymaniem danych w darmowej chmurze, np. na google drive, albo dropboxie? czy takie usługi spełniają normy RODO?

Z tymi podmiotami będą musiały zostać zawarte umowy o powierzeniu przetwarzania danych osobowych zgodne z RODO.

Co zrobić w przypadku ciągłych telefonów zapraszających na spotkania?

Jeżeli takie przetwarzanie danych odbywa się w celach marketingowych to możemy skorzystać z prawa do sprzeciwu, który uniemożliwi administratorowi dalsze przetwarzanie tych danych.

Jeśli prowadzimy szkolenie nadające certyfikat uprawnienia i pracodawca go nie chce udostępnić pracownikowi bo on zmienił prace. To jakie są możliwości by taki certyfikat odzyskać? Jak to się ma do rodo i przechowywania danych?

Osoba, której dane dotyczą, jest uprawniona do uzyskania od administratora potwierdzenia, czy przetwarzane są dane osobowe jej dotyczące, a jeżeli ma to miejsce, jest uprawniona do uzyskania dostępu do nich oraz informacji wskazanych w art. 15 RODO (m.in. o celu przetwarzania). Ponadto RODO przewiduje uprawnienie do przenoszenia danych (np. do nowego pracodawcy). Informacja o uzyskaniu certyfikatu, jeżeli stanowi daną osobową, może zostać przeniesiona  do nowego pracodawcy.

Co z trzymaniem danych na dropbox?

W takim przypadku będzie musiała zostać zawarta umowa o powierzeniu przetwarzania danych osobowych. Ponadto należy uwzględnić zasady przekazywania danych do państwa trzeciego, tj. poza UE/EOG. Dropbox znajduje się na liście Privacy Shield, a więc spełnia unijne wymagania dotyczące ochrony danych osobowych.

W jaki sposób można zabezpieczyć wg Rodo dokumenty (umowy) zawierające dane osobowe klientów? Oprócz schowania do szafki pod klucz?

RODO nie określa wprost tych środków, a jedynie wskazuje, że środki te mają być one odpowiednie. Należy brać pod uwagę stan wiedzy technicznej, koszty wdrażania oraz charakter, zakres, kontekst i cele przetwarzania. Wszelkie zabezpieczenia w RODO są dobierane pod kątem istniejących ryzyk.

Na jakiej podstawie można sprawdzić nauczycieli przed zatrudnieniem – ukaranie karą dyscyplinarną i rejestrze przestępców seksualnych?

Od kandydatów do pracy można uzyskać jedynie informacje wskazane w projektowanym art. 22(1) kodeksu pracy, w tym informacje o przebiegu dotychczasowego zatrudnienia (nie dotyczy to jednak kar dyscyplinarnych, a jedynie miejsca pracy, okresu pracy czy sposobu wygaśnięcia stosunku pracy). Rejestr przestępców seksualnych jest rejestrem publicznym.

Monitoring przemysłowy czy i ile możemy przechowywać nagrania i czy musimy informować o tym klientów, i jak informować?

Dane osobowe z monitoringu muszą być przechowywane przez okres niezbędny, RODO nie wskazuje wprost takich terminów. Klienci muszą zostać poinformowani o stosowaniu monitoringu w zwięzłej, przejrzystej, zrozumiałej i łatwo dostępnej formie, jasnym i prostym językiem.

Zapomnienie-czy o konieczności przechowywania dokumentacji a tym samym braku możliwości zapomnienia (względy podatkowe, dowodowe itp) musimy informować klienta „z góry”?

W ramach obowiązku informacyjnego administratora, klient musi zostać poinformowany o okresie przechowywania danych osobowych. Ponadto klient musi zostać poinformowany o prawie do usunięcia danych. Jeżeli klient zwróci się o usunięcie danych, to wówczas w odpowiedzi administrator przekazuje informację o odmowie wraz z podaniem przyczyny.

Czy dane firmowe osoby – pozyskane np. w trakcie rozmowy telefonicznej odnośnie decyzyjności mogą być wykorzystane (tel, imię i nazwisko, stanowisko, mail – w rożnych kombinacjach) i zapisane w systemie?

Dane takie mogą być wykorzystanie na podstawie prawnie uzasadnionego interesu administratora danych. Ważne jest jednak to, aby dane te były wykorzystane tylko w takim celu, w jakich zostały przekazane (w przeciwnym wypadku konieczna będzie odrębna zgoda).

Czy w przypadku podania w wiadomości na Facebooku nr PESEL można zażądać jego usunięcia (całej wiadomości, ewentualnie wszystkich wiadomości)?

Tak, jeżeli nie ma podstawy dla przetwarzania takiej danej.

Czy na adresy mialowe pozyskane ze źródeł powszechnie dostępnych musimy dokonywać obowiązku informacyjnego?

Tak, chyba że zachodzą przesłanki wyłączenia obowiązku informacyjnego, np. osoba ta dysponuje już tymi informacjami.

Dzień dobry, chciałbym zapytać o taką kwestię, a gdy ktoś pracuje na umowę o dzieło (wciąż bardzo powszechna umowa w Polsce) to czy powinien podpisać jakąś umowę o wykorzystywaniu danych ze zleceniodawcą dla którego pracuje?

Tak, osoba pracująca na podstawie umowy o dzieło jest podmiotem niezależnym od administratora, a zatem musi zostać z nią zawarta umowa o powierzeniu przetwarzania danych osobowych (jeżeli takie dane są powierzane w celu wykonania umowy o dzieło).

Czy listą na której pracownicy danej firmy wpisują swoje imię i nazwisko, np. na zapisy na zniżkowe bilety do kina, to należy traktować to już jako dane osobowe? Wiadomo z jakiej firmy są te osoby, gdyż lista jest dostępna tylko dla pracowników. Czy to za mało informacji by traktować to jako dane osobowe?

To są dane osobowe, gdyż pozwalają na identyfikację osób, których dotyczą.

No właśnie mamy chronić wizytówki – a co z wielkimi wymianami kontaktów i pozwoleniem ustnym na przekazanie kontaktu i danych innej osobie/firmie?

Zgoda może być wyrażona w różny sposób, np. poprzez wrzucenie wizytówki do określonego pojemnika.

Czy wizerunek osoby na zdjęciu (np. ślubnym) jest też uznawane za daną osobową?

Tak i dodatkowo jest chroniony co do zasady przez prawo autorskie.

Czy pracownik działu kadr łącznie z naczelnikiem może być IODO ?

Nie ma możliwości wyznaczenia dwóch inspektorów ochrony danych w jednej jednostce.

Biuro rachunkowe umowy o powierzanie – czy klient powinien nas zapewnić że posiada zgody na wykorzystywanie danych które powierza biuru?

Warto w umowie zawrzeć postanowienie, że administrator jest uprawniony do przetwarzania danych osobowych (niekoniecznie musi to być na podstawie zgody).

Prowadzę jednoosobową działalność gospodarczą, branża szkoleniowa. Mam pytanie, czy do osób, które brały udział w moich szkoleniach i których posiadam dane (imię, nazwisko, adres e-mail i nr telefonu) muszę wysyłać wiadomość z informacją, że przetwarzam ich dane i mają prawo do ich wglądu oraz zapomnienia? 

Tak, wobec tych osób musi zostać spełniony obowiązek informacyjny.

Jaki wpływ RODO na zamówienia publiczne?

RODO będzie musiało zostać uwzględnione zarówno w samym postępowaniu o udzielenie zamówienia (odpowiednie sformułowanie wymogów w zakresie danych osobowych), jak i w treści umów o udzieleniu zamówienia publicznego.

Dzień dobry, chciałbym zapytać o taką kwestię, a gdy ktoś pracuje na umowę o dzieło (wciąż bardzo powszechna umowa w Polsce) to czy powinien podpisać jakąś umowę o wykorzystywaniu danych ze zleceniodawcą dla którego pracuje?

Tak, umowę o powierzeniu przetwarzania danych, jeżeli są mu powierzane dane osobowe.

Co z dokumentami Polityka bezpieczeństwa i instrukcja obsługi systemów informatycznych , czy po wejściu RODO nie ma obowiązku posiadać tych dokumentów?

RODO wspomina jedynie o odpowiednich politykach, ale w praktyce trzeba wykazać zasadę rozliczalności.

UODO wymagała prowadzenia sprawdzeni rocznego czy w związku z RODO ten obowiązek ustaje?

RODO wymaga regularnego testowania, mierzenia i oceniania skuteczności środków.

Czy przy wysyłaniu materiału biologicznego do zbadania innej firmie, oznaczonego imieniem i nazwiskiem, muszę mieć umowę o powierzenie z tą firmą. I zgodę klienta na udostępnienie danych osobowych innym podmiotom?

W tym przypadku musi zostać zawarta umowa powierzenia. Na takie powierzenie nie jest jednak konieczna zgoda klient (wystarczy udzielenie informacji w ramach obowiązku informacyjnego).

Czy CV przesyłane przez osoby na potrzeby rekrutacji trzeba od razu po rekrutacji kasować czy można je zostawiać, by w przyszłości się odezwać do tych osób i zaproponować współprace?

Musimy mieć zgodę takiej osoby na wykorzystanie go do przyszłych rekrutacji.

CV odsyłać czy niszczyć w niszczarce?

Jeżeli nie ma już podstaw do przetwarzania danych osobowych w CV, to dane te powinny zostać usunięte. Może to nastąpić w niszczarce.

Co powinien zrobić fotograf wykonujący zdjęcia podczas różnych wydarzeń (śluby, różnego rodzaju targi, wydarzenia firmowe) na których będzie widoczne wiele osób? Czy każda osoba dająca się rozpoznać na zdjęciu (nawet jeśli nie jest głównym tematem zdjęcia) będzie musiała wyrazić pisemną zgodę na przetwarzanie jej danych osobowych?

Z uwagi na to, że wizerunek jest daną osobową, jego przetwarzanie wymaga zgody, jeżeli nie ma innej podstawy przetwarzania danych wymienionej w art. 6 ust. 1 RODO. Zgoda taka nie musi być jednak wyrażona na piśmie. Z motywu 32 do RODO wynika, że zgoda taka może zostać udzielona także ustnie. Administrator musi jednak móc wykazać podstawę przetwarzania danych osobowych zgodnie z zasadą rozliczalności. Pamiętajmy, że to także prawo autorskie i jeśli fotograf chce takie fotografie wykorzystywać do celów marketingowych to powinien mieć zgody.