konto usunięte

Temat: Plan sprawdzeń

Posiadam pewien dylemat, a ponieważ słyszałem różne opinie, to chciałem także o taką poprosić Państwa. Jak wygląda to w sytuacji, kiedy spółka "matka" przetwarza zbiory danych spółek "córek":
1. Czy poza spółką "matką" należy także dokonać sprawdzeń w spółkach "córkach", które powierzyły zbiory na zasadzie umowy o powierzeniu?
2. Jak wygląda sytuacja w momencie, kiedy spółka "córka" zacznie przetwarzać dane zawarte w umowie o powierzeniu we własnym celu lub dane, które nie zostały objęte tą umową?

Temat: Plan sprawdzeń

Łukasz B.:
Posiadam pewien dylemat, a ponieważ słyszałem różne opinie, to chciałem także o taką poprosić Państwa. Jak wygląda to w sytuacji, kiedy spółka "matka" przetwarza zbiory danych spółek "córek":
1. Czy poza spółką "matką" należy także dokonać sprawdzeń w spółkach "córkach", które powierzyły zbiory na zasadzie umowy o powierzeniu?
2. Jak wygląda sytuacja w momencie, kiedy spółka "córka" zacznie przetwarzać dane zawarte w umowie o powierzeniu we własnym celu lub dane, które nie zostały objęte tą umową?

Nie mają znaczenia sprawy własnościowe. Ważne czy 'spółka córka' jest ADO w rozumieniu uodo. Jeśli tak, to 'spółka matka' jeśli nie jest współadministratorstwem, nie ma prawa przetwarzać d.o. 'spółek córek' bez stosowanej umowy powierzenia.
Sprawdzenia? Jeśli 'spółka córka' ma ABI, to jedynym uprawnionym do kontroli przestrzegania uodo jest GIODO.
Każdy procesor jest związany zapisami umowy powierzenia. Pozo wyjątkami wynikającymi z przepisów prawa procesor nie ma prawa udostępniać obcych d.o. Jeśli 'matka' wystąpi po nie, to niech poda podstawę prawną z uodo.
ps.
Zapisy o wyrażeniu zgody na przekazywanie d.o. w celu wykonania umowy ADO i jego grupie kapitałowej są wątpliwe (choć nagminnie stosowane) prawnie.
Szymon S.

Szymon S. IOD / IBTI

Temat: Plan sprawdzeń

Radosław Z.:

Sprawdzenia? Jeśli 'spółka córka' ma ABI, to jedynym uprawnionym do kontroli przestrzegania uodo jest GIODO.

Nadrzędna jednostka "mataka" nie ma prawa kontroli podległych sobie podmiotów jeśli one mają ABI-ch?

Temat: Plan sprawdzeń

Szymon S.:
Radosław Z.:

Sprawdzenia? Jeśli 'spółka córka' ma ABI, to jedynym uprawnionym do kontroli przestrzegania uodo jest GIODO.

Nadrzędna jednostka "mataka" nie ma prawa kontroli podległych sobie podmiotów jeśli one mają ABI-ch?
Zerknij w art.12.1. uodo gdzie zapisano wprost tę prerogatywę GIODO.

A teraz praktyczne podejście - "spółka-matka" dobrze oceniła "spółkę-córkę" ale przychodzi GIODO i ocenia wprost przeciwnie. Pytanie za 2 pkt. czyja ocena jest ważniejsza? Jeszcze ciekawiej robi się w sytuacji odwrotnej - ktoś w "spółce-matce" chce dokopać komuś w "spółce-córce" robi kontrolę odo i otrzymuje to co zamówił - negatywną ocenę (otwiera drogę do czystki), ale GIODO wykonało tez kontrolę i wydało pozytywną ocenę. ...
Paweł G.

Paweł G. IOD, podmiot danych

Temat: Plan sprawdzeń

sytuacji, kiedy spółka "matka" przetwarza zbiory danych spółek "córek":
Każda spółka jest odrębnym ADO. Może dochodzić do wzajemnego powierzania sobie przetwarzania danych osobowych.
1. Czy poza spółką "matką" należy także dokonać sprawdzeń w spółkach "córkach", które powierzyły zbiory na zasadzie umowy o powierzeniu?
To zależy, co jest w zakresie sprawdzenia i jak brzmi umowa powierzenia.
2. Jak wygląda sytuacja w momencie, kiedy spółka "córka" zacznie przetwarzać dane zawarte w umowie o powierzeniu we własnym celu lub dane, które nie zostały objęte tą umową?
Staje się ich administratorem i ponosi odpowiedzialność jak administrator.
Paulina S.

Paulina S. Inspektor ochrony
danych

Temat: Plan sprawdzeń

Odświeżam temat, ponieważ zastanawiam się co ze sprawdzeniami po 25 maja. Nowy projekt ustawy w ogóle nie przewiduje takiej formy kontroli. W miejsce sprawdzeń pojawia się za to cały rozdział o postępowaniu kontrolnym (który moim zdaniem jest - przepraszam za wyrażenie - żywcem zerżnięty z rozwiązań stosowanych przez Państwową Inspekcję Sanitarną).
Co za tym idzie, jakie będą dalsze losy Rozporządzenia MAiC (Dz.U. 2015 poz. 745)?

Temat: Plan sprawdzeń

Paulina S.:
Odświeżam temat, ponieważ zastanawiam się co ze sprawdzeniami po 25 maja.
Całe rodo jest oparte na ryzyku. To jest myśl przewodnia. Jako, że ochrona d.o. to proces ciągły, to i wykonanie analizy ryzyka winno być ujęte w ciągłości tego procesu. To od ADO zależy jak często zechce mieć sprawdzoną Organizację. Nie powinno być uznane za błędne przyjęcie planowanego corocznego sprawdzenia.
Poza planowym, rodo nakłada obowiązek przeprowadzenia audytu, w co najmniej przypadkach:
- wystąpienia incydentu,
- projektowania nowych rozwiązań,
- oceny skutków.
Również gdy Organizacja korzysta (lub sama jest) procesorem-podmiotem przetwarzającym, to winna liczyć się z możliwością audytu.
Osobną sprawą jest audyt w ramach kodeksów postępowania, certyfikacji.
Co za tym idzie, jakie będą dalsze losy Rozporządzenia MAiC (Dz.U. 2015 poz. 745)?
Te i reszta rozporządzeń poleci do kosza (za uodo).

Następna dyskusja:

Plan sprawdzeń w szkole




Wyślij zaproszenie do