Ostatnia część skryptu z chatu z naszym ekspertem RODO

Jeśli jeszcze nie znaleźliście odpowiedzi na swoje pytanie zadane na chacie podczas webinaru RODO, to teraz jest na to szansa! Zapraszamy :) Zakupy w e-sklepie, wystarczy do zaznaczenia zgoda na przetwarzanie danych? Czy powinna być specjalna podstrona informująca szczegółowo o przetwarzaniu danych?

W e-sklepie podstawą przetwarzania danych jest umowa czyli regulamin.

Jeżeli posiadam dokumenty firmy jednoosobowej, która nie odebrała swoich dokumentów np. z 2007 roku to jak mogę je "zapomnieć"?

Najlepiej odesłać do uprawnionej osoby, która wystąpi z żądaniem.

Co gdy wdrożymy coś źle? Wtedy też będzie kara?

Niekoniecznie. Należy dochować przy wdrożeniu należytej staranności, ponadto organ może też nałożyć środki administracyjne.

Czy to prawda, że standard niszczarki musi być ścinkowy, a paskowy już nie?

Dane powinny zostać zniszczone w sposób uniemożliwiający identyfikację danych zawartych w dokumentach. Dobór narzędzi jest efektem analizy ryzyka.

Czy zdjęcie przedstawiające wizerunek jednej lub kilku osób to dane osobowe?

Co do zasady tak, wizerunek podlega również ochronie jaki dobro osobiste oraz jest chroniony przez prawo autorskie.

Jak przeprowadzić ocenę analizy ryzyka?

Wytyczne GIODO w tym zakresie znajdują się na stronie internetowej.

Kary, kary, kary ....... dla firm do 20 mln Euro, ale dla organów państwowych tylko do 100 tys zł – prawda?

Tak

Dzień dobry, czy rozp. dot. e-privacy faktycznie wchodzi 25.05.2018 r.? Na stronie MC jest ono w fazie projektu. Proszę o wyjaśnienie.

Najprawdopodobniej wejdzie pod koniec tego roku.

Czy administratorem może być osoba prawna (9sp.zo.o.) czy należy wyznaczyć konkretną osobę?

Administratorem jest wtedy spółka.

Zapomnienie-czy o konieczności przechowywania dokumentacji a tym samych braku możliwości zapomnienia musimy informować klienta "z góry"?

O braku możliwości nie, ale o okresie retencji tak.

Jeżeli na stronie mojej firmy umieszczam z nazwiska i zdjęcia osób współpracujących z moją firmą (trenerzy, konsultanci) to czy muszę ich usunąć czy posiadać pisemne zgody na umieszczanie ich na stronie?

Na wizerunek już zgodnie z obowiązującymi przepisami niezbędna była zgoda, w zakresie imion i nazwisk pracowników nie jest konieczna zgoda takich osób.

Kogo wg RODO należy powołać do ochrony danych, wcześniej był ABI, Administrator, jak będzie?

Będzie administrator, w zależności od okoliczności IOD, ale to  nie są jedyne podmioty biorące udział w procesie przetwarzania danych.

Czy prawo do bycia zapomnianym może się odbyć przez animizację danych ?

Tak

Jak można zweryfikować że zostało się zapomnianym albo jak trzeba udowodnić że osoba która do nas się zwróciła została zapomniana ?

Administrator nie jest zobowiązany tego udowadniać, ale poinformować osobę która zażądała prawa do bycia zapomnianym o podjętych czynnościach we właściwym terminie.

Dzień dobry! Czy prowadząc firmę szkoleniową BHP – wystawiając zaświadczenie o ukończeniu szkolenia - musimy mieć zgodę osoby szkolącej?

Nie

Czy trzeba weryfikować wiek osób, które udzielają zgody na przetwarzanie danych osobowych?

Tak

Czy będąc informatykiem czyli administratorem systemów informatycznych mogę być inspektorem?

W mojej ocenie będzie istniał konflikt interesów. Zgodnie z wytycznymi Grupy Roboczej art. 29  co do zasady będzie istniał w odniesieniu do kierownika IT, tym bardziej zatem w stosunku do ASI.

Czy jako księgowa w publicznej placówce mogę być iodo?

Co do zasady może istnieć konflikt interesów.

Czy informatyk/ASI może być IDO? To w sumie konflikt interesów.

Takie też jest moje zdanie :)

W placówkach opiekuńczych wymagana będzie zgoda opiekuna na przetwarzanie danych, a co gdy opiekun nie wyrazi zgody jakie trzeba podjąć kroki?

Niestety nie rozumiem co macie Państwo na myśli pod pojęciem placówki opiekuńczej, ale zgoda wcale nie jest najczęstszą przesłanką, jeśli podstawą Państwa działania są przepisy prawa to one stanowią podstawę.

Czy będąc informatykiem w państwowej firmie czyli administratorem systemów informatycznych mogę być inspektorem?

W mojej ocenie będzie istniał konflikt interesów. Zgodnie z wytycznymi Grupy Roboczej art. 29  co do zasady będzie istniał w odniesieniu do kierownika IT, tym bardziej zatem w stosunku do ASI.

Czy jeśli powstaje publiczna lista internetowa, na której użytkownicy sami z własnej woli podają do publicznej wiadomości pod własnym wpisem na tej stronie - swoje imię, nazwisko i województwo w którym mieszkają, to czy taki zbiór wymaga rejestrowania bazy danych?

Żaden zbiór nie wymaga zgodnie z RODO.

Monitoring przemysłowy czy i ile możemy przechowywać nagrania i czy musimy informować o tym klientów, i jak informować.

Wszystko zależy od konkretnego przypadku, a wnioski są efektem analizy w toku wdrożenia. Przepisy nie przewidują zwolnienia z obowiązku informacyjnego.

Co z formularzem kontaktowym na stronie internetowej. Czy jeśli sam klient chce z nami się skontaktować i zostawi swój numer telefonu w formularzu kontaktowym to czy musimy dawać check boxy ze zgodami na przetwarzanie danych osobowych w celu kontaktu i przedstawieniu oferty?

Nie

Co zrobić z danymi osób, które dobrowolnie zapisały się do newslettera, podając wyłącznie swój adres mailowy, nie potwierdzając jednak (klikając w link w mailu) drugi raz tej zgody? Czy taką listę można będzie wykorzystać?

Taki wymóg istnieje od końca 2014 roku i nie jest związany z RODO. Najlepiej byłoby pobrać zgody we właściwy sposób.

Czy gabinet dentystyczny zatrudniający 10 pracowników i jakby nie było przetwarzający dane szczególnie chronione musi powołać IODO i prowadzić rejestr czynności przetwarzania?

Kwestia powołania IODO wymaga szczegółowej analizy i poznania organizacji, natomiast rejestr czynności przetwarzania tak.

Czy wizerunek to również są dane osobowe?

Tak

Czy procedury ochrony danych muszą być spisane?

RODO takiego wymogu nie zawiera, ale aby zapewnić zasadę rozliczalności warto to zrobić.

Jak to wygląda w uczelniach wyższych?

Wdrożenie składa się z takich samych etapów jak w innych instytucjach.

Witam czy dane wrażliwe powinny być w inny sposób ewidencjonowane?

Niestety nie rozumiem pytania. RODO zawiera pewne odrębności w stosunku do danych wrażliwych, które należy wziąć pod uwagę przy wdrożeniu.

Kto musi mieć IODO?

W art. 37 RODO znajdują się przesłanki powołania IODO.

Czy otrzymane wizytówki od klientów muszę chronić?

Tak

A co z ochroną wizerunku np. w fotografii. Czy to też dane osobowe?

Tak to są dane osobowe. Ponadto wizerunek jest chroniony przez ustawę o prawie autorskim i prawach pokrewnych.

Co ze szkołami i przedszkolami, jak w tych instytucjach ma wyglądać wdrożenie RODO?

Tak jak w każdej innej organizacji. Ani RODO, ani projekt ustawy nie zawierają wyłączeń w odniesieniu do szkół i przedszkoli.

Prowadzę mikroprzedsiębiorstwo. Co powinnam wiedzieć o RODO?

Kompleksowe informacje może Pani uzyskać na szkoleniu, zapraszamy!

Czy osoba fizyczna prowadząca działalność gospodarczą podlega pod RODO?

Tak

Czy można przesyłać maile zawierające dane osobowe do podmiotów, z którym współpracuję? Czy te maile muszą być zawsze szyfrowane? Kto ponosi odpowiedzialność jeśli te dane z maili wyciekną?

Oczywiście można, decyzję o szyfrowaniu podejmuje administrator na podstawie analizy ryzyka, to kto poniesie odpowiedzialność zależy od tego kto jest za wyciek odpowiedzialny (maile mogą być szyfrowane, a pracownik upoważniony do przetwarzania danych skopiuje dane i ujawni).

Bycie zapomnianym a kopie zapasowe - trzeba usuwać dane? tylko jak…

Wszystko zależy od tego, jak są sporządzane kopie zapasowe.

W naszym podmiocie do tej pory był ABI teraz jest powołana inna osoba IODO. Jak płynnie przejść z jednej funkcji do drugiej? Czy IODO trzeba zgłaszać/rejestrować? W jakim terminie?

 IODO trzeba będzie zgłosić w terminie 14 dni. Kwestia przejęcia funkcji jest kwestią organizacyjną w Państwa organizacji.

Czy IODO może być rekrutowany spośród dotychczasowych pracowników tj. czy może to być funkcja dodatkowa.

Może ją pełnić osoba dotychczas zatrudniona, musi jednak mieć możliwość realnego wykonywania obowiązków IODo co powinno być priorytetem, należy też wykluczyć konflikt interesów. Grupa robocza art.29 zaleca analizę stanowisk i ocenę w przypadku których taki konflikt będzie istniał.

Jak będzie z prawem do zapomnienia, trzeba będzie kasować z dysków dane?

Jeżeli efektem analizy danego żądania będzie wniosek iż jest ono zasadne niezbędne będzie zrealizowanie prawa do bycia zapomnianym. Jest to możliwe przez usunięcie lub anonimizację danych.

W jakim stopniu przepisy te dotyczą małych firmy prowadzących sprzedaż internetową?

W całości, ostateczny projekt ustawy nie przewiduje ograniczeń stosowania RODO wobec przedsiębiorców.

Witam, czy jeśli w dokumentacji technicznej projektowej załączono uprawnienia oraz OIIB, na których widnieje imię i nazwisko oraz data i miejsce urodzenia projektanta, Zamawiający może upublicznić scan projektu wraz z tymi danymi jako opis przedmiotu zamówienia?

Wszystko zależy od sytuacji, czy p. taki wymóg nakładają na Państwa przepisy odrębne.

Prowadzę mikroprzedsiębiorstwo. Co powinnam wiedzieć o RODO?

Wszystko co powinna Pani wiedzieć przedstawiamy na szkoleniach, zapraszamy!

Przed chwilą było że Iodo zastepuje ABI - a potem jest informacja , że Iodo jest niezależny i sprawdza administratora…

I jedno i drugie jest prawdą.

Prosimy o sprecyzowanie dokładnie, kto MUSI mieć IODO.

W każdym przypadku niezbędne jest dokonanie analizy zgodnie z RODO oraz wytycznymi grupy roboczej art. 29.

 Co się zmienia w wypadku prowadzenia ewidencji klientów w formie papierowej?

Konieczne będzie jej odpowiednie zabezpieczenie, zgodnie z RODO, aby takie właściwe zabezpieczenie dobrać należy wykonać analizę ryzyka.

Czy w księgowości powinien być rejestr przetwarzania danych?

Zakładam, że ma Pani/Pan na myśli rejestr czynności przetwarzania lub rejestr kategorii czynności przetwarzania. Jesteście Państwo obowiązani prowadzić pierwszy rejestr w stosunku do danych których jesteście administratorem, a drugie w stosunku do danych dla których jesteście procesorem gdyż nie przetwarzacie Państwo danych sporadycznie. Przykłady właściwych rejestrów znajdują się na stronie GIODO.

Czy jeżeli pracuje jako informatyk, to mogę również pełnić funkcję IODO w firmie/organizacji?

Może istnieć konflikt interesów.  Zgodnie z wytycznymi Grupy Roboczej art. 29 będzie istniał co do zasady w przypadku kierownika działu IT. W odniesieniu do pracowników niższego szczebla takie ryzyko również istnieje. Z każdym razem tę kwestię należy przeanalizować.

Czy biuro rachunkowe musi wyznaczyć personalnie odpowiednika administratora czy może być tym podmiotem osoba prawna?

Administratorem zgodnie z definicją może być osoba prawna, jeśli biuro jest osobą prawną to biuro będzie administratorem w stosunku do danych co do których decyduje o celach i środkach.

Posiadam politykę bezpieczeństwa danych osobowych , upoważniłam pracowników mam rejestr zbiorów danych, co nowego mam wprowadzić w takich "starych" politykach?

Na przykład rejestr czynności przetwarzania.

 Kto może zostać IODO np. w szpitalu?

Osoba spełniająca wymagania wynikające z art. 37 ust. 5 RODO, nie może istnieć konflikt interesów, IOD powinien podlegać bezpośrednio kierownictwu jednostki, warto się zapoznać z wytycznymi Grupy Roboczej art. 29 w tym zakresie.

Co z przetwarzaniem danych osobowych osób fizycznych składających ofertę w przetargu?

Z uwagi na wzór, mając podstawę prawną do udostępnienia danych jesteście Państwo do tego uprawnieni.

Czy będąc podwykonawcą (freelancer) muszę wprowadzać politykę bezpieczeństwa (RODO)?

RODO nie zawiera takiego wymogu.

Biuro rachunkowe nie zatrudnia pracowników, ma tylko podwykonawców (firmy zewnętrzne) działające w biurze - jak wdrożyć procedurę w takiej sytuacji?

To zależy od wyniku audytu, który warto byłoby przeprowadzić. Natomiast to czy z takimi osobami należy zawrzeć umowy o powierzeniu czy udzielić im upoważnień zależy będzie rezultatem ustaleń poczynionych podczas audytu?

Kto może zostać IODO w jednostce budżetowej?

Osoba spełniająca wymagania wynikające z art. 37 ust. 5 RODO, nie może istnieć konflikt interesów, IOD powinien podlegać bezpośrednio kierownictwu jednostki, warto się zapoznać z wytycznymi Grupy Roboczej art. 29 w tym zakresie.

Dzień Dobry, czy przy rozliczeniach rocznych (biuro rachunkowe) gdy odliczamy ulgę na dzieci musimy mieć zgodę rodziców na przetwarzanie danych ich dzieci które nam podają?

Jeżeli podanie danych wynika z przepisów prawa nie wymaga to zgody.

Dziękujemy za tak liczny udział w chacie, na wszystkie pytania odpowiedziała pani Anna Żmijewska - ekspert RODO ApexNet.

Zapraszamy na szkolenia z RODO, to już ostatni dzwonek, aby wdrożyć nowe rozporządzenie w Twojej firmie!