Ta strona korzysta z ciasteczek - więcej
Masz pytania? Infolinia RODO: 22 487 86 70 | +48 724 570 436
lub napisz: biuro@rbdo.pl


Od jakiej ilości pacjentów placówka medyczna powinna powołać Inspektora Ochrony Danych

Jak powszechnie wiadomo, RODO nie przewiduje szczegółowych progów, z których przekroczeniem powiązana jest definicja dużej skali – ściśle związana z kolei z obowiązkiem wyznaczenia Inspektora Ochrony Danych Osobowych. Choć na etapie projektu RODO proponowano konkretne liczby (5000 rekordów w ciągu 12 miesięcy) to jednak ostatecznie zrezygnowano z wpisania tak szczegółowego rozwiązania do rozporządzenia. Argumentowano to tym, że wpisanie tego „na sztywno” było by zbyt mało elastyczne – z drugiej jednak strony spowodowało to znaczną niepewność wśród podmiotów zobowiązanych – ponieważ nawet wytyczne grupy roboczej art. 29 w sprawie IODO  jedynie parafrazowały wskazówki z preambuły (jednoosobowa praktyka lekarska lub jednoosobowa kancelaria prawna – brak dużej skali, szpital, bank ubezpieczyciel – duża skala).

Czytaj dalej Od jakiej ilości pacjentów placówka medyczna powinna powołać Inspektora Ochrony Danych

O tym, jak Ministerstwo Pracy zmieniło (i zmienia) wzory kwestionariuszy osobowych dla pracowników i kandydatów do pracy

Od 2 czerwca 1996 roku do 1 stycznia 2019 roku obowiązywały pomocnicze wzory kwestionariuszy osobowych, które zostały wydane jako załączniki do rozporządzenia z dnia 28 maja 1996 r. w sprawie zakresu prowadzenia dokumentacji pracowniczej (Dz.U. 1996 nr 62 poz. 286).

Od dnia 1 stycznia 2019 roku obowiązuje nowe rozporządzenie w sprawie dokumentacji pracowniczej (Dz.U. 2018 poz. 2369), które nie zawiera już jednak żadnych wzorów kwestionariuszy osobowych – od tego dnia jedynie pomocnicze wzory kwestionariuszy zamieszczone są jako dostępne do pobrania ze stron Ministerstwa Rodziny, Pracy i Polityki Społecznej : Czytaj dalej O tym, jak Ministerstwo Pracy zmieniło (i zmienia) wzory kwestionariuszy osobowych dla pracowników i kandydatów do pracy

Stosowanie plików cookies, a obowiązek pozyskania zgody

Wielu operatorów stron internetowych różnie interpretuje przepisy związane z informowaniem i pozyskiwaniem zgody na wykorzystanie plików cookies. Niektóre witryny przepisy o cookies interpretują bardzo rygorystycznie – np. ustalają, że użytkownik musi „ręcznie” zatwierdzić stosowanie wobec niego Google Analytics, inne zaś opierają się na konstrukcji „zgody przeglądarkowej”, czyli wyrażonej poprzez ustawienia przeglądarki użytkownika. Czytaj dalej Stosowanie plików cookies, a obowiązek pozyskania zgody

10 zasad tworzenia prawidłowych procedur ochrony danych

Poniższe zasady mogą wydawać się oczywiste – jednak, niestety – tworzenie zbyt formalistycznych, oderwanych od rzeczywistości procedur ochrony danych osobowych (ale także innych informacji) to bardzo powszechny problem. Bardzo często używanie skomplikowanego języka jest formą „pójścia na skróty” przez tworzących procedury. Problem  polega na tym, że tak ustalone zasady nie realizują celu, jakiemu mają służyć, a bardzo często (głównie ze względu na język o i poziom ogólności lub brak dostosowania do konkretnej działalności) nie mają wręcz szans na to, by być stosowane w praktyce.

Jak więc tworzyć dokumenty takie jak np. polityka użytkowania urządzeń mobilnych, polityka pracy zdalnej, czy też ogólna polityka bezpieczeństwa?

Oto 10 zasad tworzenia procedur, których przestrzeganie ułatwi przygotowanie zasad bezpieczeństwa tak, by… Czytaj dalej 10 zasad tworzenia prawidłowych procedur ochrony danych

Szacowanie ryzyka w świetle RODO – ujęcie praktyczne

Szacowanie ryzyka dla ochrony danych osobowych ma znacznie więcej wspólnego ze zdrowym rozsądkiem, niż to by się mogło na pozór wydawać. Oczywiście – dla wielu problemem będzie kwestia udokumentowania tego działania, i to faktycznie można poczytywać za dodatkowy formalizm – jednak samo udokumentowanie można, a nawet powinno się ograniczyć do niezbędnego minimum.

Przeszkodą, która może dodatkowo zniechęcać do szacowania ryzyka jest zawiły język przepisów, z których ten obowiązek wynika – w szczególności chodzi o art. 24-25, 32, 33 oraz 35 RODO. Choć przepisy nie są sformułowane w sposób łatwy w odbiorze, to wynika z nich kilka wniosków, które można sformułować w dość zwięzły sposób. Czytaj dalej Szacowanie ryzyka w świetle RODO – ujęcie praktyczne

Księgi wejść i wyjść oraz przepustki, a RODO

Systemy przepustkowe/ewidencje wejść i wyjść powszechnie stosowane są nie tylko przez urzędy lub inne podmioty publiczne, ale także przez część prywatnych przedsiębiorstw – zwłaszcza tam, gdzie w codziennej działalności wykorzystywany jest istotny majątek, a liczba osób „przewijających” się przez przedsiębiorstwo jest bardzo wysoka. Zapisywanie danych w księdze wejść i wyjść jest także standardem obiektach przeznaczonych na komercyjny wynajem powierzchni biurowych. Czynnikiem, który powoduje konieczność weryfikacji takiej procedury jako zgodnej z RODO jest pozyskiwanie danych osoby, której dane są pozyskiwane w celu zaewidencjonowania wejścia na teren obiektu. Czytaj dalej Księgi wejść i wyjść oraz przepustki, a RODO

Z inspektorami ochrony danych nie należy zawierać umowy powierzenia

Bardzo często stosowanym rozwiązaniem w umowach pomiędzy administratorami danych a inspektorami ochrony danych jest zawieranie w umowie o współpracy postanowienia, które wprost odnosi się do ustalonej w art. 28 RODO relacji powierzenia przetwarzania. Dotyczy to w szczególności współpracy z zewnętrznymi IODO na zasadzie outsourcingu – tzn. gdy IODO nie jest pracownikiem ADO, a formalnie stanowi o zewnętrzny podmiot. Jest to jednak błąd – uformowanie relacji pomiędzy ADO a IODO jako relacja powierzenia przetwarzania będzie wprost naruszało zasadę niezależności IODO. Czytaj dalej Z inspektorami ochrony danych nie należy zawierać umowy powierzenia

Łączenie roli radcy prawnego z wykonywaniem zadań IODO a konflikt interesów

Wątpliwości co do dopuszczalności łączenia tych dwóch ról dostrzegła już w styczniu 2018 roku ówczesna GIODO – dr Edyta Bielak-Jomaa. W piśmie skierowanym do Prezesa Krajowej Rady Radców Prawnych Macieja Bobrowicza zwrócono się o wyrażenie opinii dotyczącej warunków dopuszczalności łączenia tych dwóch ról. Jak wskazano w stanowisku Komisji Etyki i Wykonywania Zawodu Krajowej Rady Radców Prawnych generalnej wykładni dokonał Ośrodek Badań, Studiów i Legislacji Krajowej Rady Radców Prawnych. Czytaj dalej Łączenie roli radcy prawnego z wykonywaniem zadań IODO a konflikt interesów

Wytyczne RODO: Nie wszystkie dane można usunąć na życzenie osoby której dotyczą

Dane osobowe, w tym dane wrażliwe – kiedy administrator ma prawo je usunąć?

W związku z RODO zrodziło się wiele pytań odnośnie usuwania danych, w tym danych wrażliwych oraz danych skazań w przypadku, gdy zostały one przekazane administratorowi z własnej inicjatywy podmiotu. Jest to sytuacja w której przekazanie danych odbyło się bez uprzedniej wiedzy oraz potrzeby sygnalizowanej przez administratora. Ministerstwo Cyfryzacji odpowiada na to pytanie w poradniku wydanym do sektora FinTech.

Grupa Robocza ds. Ochrony Danych Osobowych wyjaśnia, że administrator nie ma obowiązku usunięcia danych, w tym również danych wrażliwych, jeżeli ich skasowanie spowodowałoby z przyczyn technicznych również utracenie danych, które administrator ma prawo przetwarzać. Sytuacja taka może wystąpić, na przykład gdy dane wrażliwe znajdują się w jednym piśmie z żądaniem klienta lub jego danymi kontaktowymi. Czytaj dalej Wytyczne RODO: Nie wszystkie dane można usunąć na życzenie osoby której dotyczą


Więcej informacji

Kontakt

Pon.-pt.: 9:00 - 17:00

Dział Sprzedaży: zapytanie@rbdo.pl

Dział Prawny: faq@rbdo

Telefon: 22 487 86 70 lub +48 724 570 436

Szkolenia Certyfikowane