Bożena M.:Rodo nie zawiera obowiązku prowadzenia takiego rejestru (odmiennie od rejestru czynności 30.1. i wszystkich kategorii czynności 30.2). Jeśli ADO uważa, że w ten sposób realizuje wymóg wykazania się przestrzeganiem rodo (24.1.), nic nie stoi na przeszkodzie by go prowadzić.
Czy ktoś doświadczony mógłby się wypowiedzieć w temacie rejestracji udostępnień danych - nie chodzi mi o rejestr wniosków o udostępnienie , tylko o to, komu i kiedy udostępniliśmy czyjeś dane. Czy jest konieczność prowadzenia takiego rejestru? Jeśli tak to z czego wynika (może z art.15 c) RODO) ?
Jeśli powinniśmy go prowadzić, to czy w takim rejestrze powinny też znaleźć się zapisy dotyczące instytucji, do których przekazujemy dane zgodnie z przepisami np ZUS, US ..
Radosław Z.:
Bożena M.:Rodo nie zawiera obowiązku prowadzenia takiego rejestru (odmiennie od rejestru czynności 30.1. i wszystkich kategorii czynności 30.2). Jeśli ADO uważa, że w ten sposób realizuje wymóg wykazania się przestrzeganiem rodo (24.1.), nic nie stoi na przeszkodzie by go prowadzić.
Czy ktoś doświadczony mógłby się wypowiedzieć w temacie rejestracji udostępnień danych - nie chodzi mi o rejestr wniosków o udostępnienie , tylko o to, komu i kiedy udostępniliśmy czyjeś dane. Czy jest konieczność prowadzenia takiego rejestru? Jeśli tak to z czego wynika (może z art.15 c) RODO) ?
Jeśli powinniśmy go prowadzić, to czy w takim rejestrze powinny też znaleźć się zapisy dotyczące instytucji, do których przekazujemy dane zgodnie z przepisami np ZUS, US ..
Z praktycznego punktu widzenia, realizacja może być albo iluzoryczna (martwa) albo nie do opanowania (mnogość i rozproszenie udostępnień).
Nic tak nie demotywuje jak narzucanie i wykonanie nikomu nie potrzebnej roboty.
Bożena M.:Nie wiem czy dobrze odczytuję zamiar. Proponujesz permanentną inwigilację?
Ale załóżmy, że były pracownik prosi o dostęp do swoich danych. To co z informacjami o odbiorcach? Jego dane udostępniliśmy kilku firmom - bo było to konieczne do umowy, bankowi, ZUS, US, Związki Zawodowe - jak to potem zebrać z wszystkich lat pracy. No chyba, że program kadrowy miałby taka opcję i notowałby to z formie "rejestru" dla pracownika
Radosław Z.:
Bożena M.:Nie wiem czy dobrze odczytuję zamiar. Proponujesz permanentną inwigilację?
Ale załóżmy, że były pracownik prosi o dostęp do swoich danych. To co z informacjami o odbiorcach? Jego dane udostępniliśmy kilku firmom - bo było to konieczne do umowy, bankowi, ZUS, US, Związki Zawodowe - jak to potem zebrać z wszystkich lat pracy. No chyba, że program kadrowy miałby taka opcję i notowałby to z formie "rejestru" dla pracownika
Informacja, że dane zostały udostępnione ZUS, US, bankowi jest wystarczająca.
Jeśli coś takiego miałoby być wprowadzone (daty przekazań), to obawiam się, że piedyrliard ludzi trzeba by zatrudnić tylko do tego. Drugie tyle do kontrolowania. I niech się ktoś pomyli
Paweł G. IOD, podmiot danych
Radosław Z.:Tylko że ryzyko jest krytyczne i bez kontroli - skutecznej - nad udostępnieniami danych zostaniesz zatopiony bardzo szybko. Ostatnio plusowałem kilka twoich niezłych merytorycznie wypowiedzi, ale w tym wątku znów masz słabszy moment. Wydziwiasz znaczy.
Z praktycznego punktu widzenia, realizacja może być albo iluzoryczna (martwa) albo nie do opanowania (mnogość i rozproszenie udostępnień).
Paweł G. IOD, podmiot danych
Adam G.:Ciekawe, jak rozliczysz się z obowiązku monitorowania, czy planowane udostępnienia są legalne, celowe i adekwatne.
zamierzam się ograniczyć do posiadania wiedzy jakich mamy odbiorców, znać procesy zachodzące w organizacji oraz osoby odpowiedzialne (liderów) tych procesów.
Adam G.:
Pani Bożeno, a bez tego "rejestru" to Administrator danych nie poradzi sobie ze spełnieniem obowiązku wynikającego z art 15.1.c ? Przecież osoba, której dane dotyczą ma prawo otrzymać od nas informacje "czy przetwarzane są dane jej dotyczące" (nie były przetwarzane tylko są OBECNIE przetwarzane), "informacje o odbiorcach lub kategoriach odbiorców"
danych do odbiorcy). Myślę, że prowadzenie rejestru na tą okoliczność, będzie przerostem formy nad treścią. Ja zamierzam się ograniczyć do posiadania wiedzy jakich mamy odbiorców, znać procesy zachodzące w organizacji oraz osoby odpowiedzialne (liderów) tych procesów
Paweł G. IOD, podmiot danych
Bożena M.:Tu masz prawdopodobieństwo graniczące z pewnością :)
się obawiam, że pomimo wyznaczenia osób odpowiedzialnych za procesy, pracownicy i tak będą z przyzwyczajenia robić swoje nie zastanawiając się nad RODO. Nie zauważą pewnych procesów,
Paweł G.:
Bożena M.:Tu masz prawdopodobieństwo graniczące z pewnością :)
się obawiam, że pomimo wyznaczenia osób odpowiedzialnych za procesy, pracownicy i tak będą z przyzwyczajenia robić swoje nie zastanawiając się nad RODO. Nie zauważą pewnych procesów,
Ja się przekonałem, że bez rejestru udostępnień nie ma szans.
Paweł G. IOD, podmiot danych
Bożena M.:Jeśli masz na myśli powierzenia, to nie.
I do takiego rejestru każesz wpisywać też udostępnienie podmiotom upoważnionym?
Paweł G.:Nie. Mam na myśli ZUS, US, banki (to pod kątem kadri płac), sądom pod kątem np dochodzenia roszczeń, komornikom
Bożena M.:Jeśli masz na myśli powierzenia, to nie.
I do takiego rejestru każesz wpisywać też udostępnienie podmiotom upoważnionym?
Paweł G. IOD, podmiot danych
Bożena M.:Do tej pory ten typ odpuszczałem, ale za działy kadr i księgowości się właśnie biorę - ulepszam system. Uszczelniam znaczy :)
Nie. Mam na myśli ZUS, US, banki (to pod kątem kadri płac), sądom pod kątem np dochodzenia roszczeń, komornikom
Monika K. Radca prawny, xx
Paweł G. IOD, podmiot danych
Monika K.:Ja mam swoje ryzyka i swoje powody.
Każde "kadry" przekazują dane do ZUS i US - po co wiec umieszczać tę oczywista informacje w jakimś dodatkowym rejestrze?
Fakt udostępnienia danych komornikowi w ramach prowadzonego przez niego postępowania - też bez sensNie bezsens, bo do rejestru pracownik ma wpisać po spełnieniu określonych warunków. Czy zaistniały te warunki - pracownik musi wykazać.
Monika K.:Nie wszystko niestety znajdę w aktach, Jakby tak było to byłoby super. Podpisujemy np wiele umów. Czasem dane pracowników są w nich zawarte - tego w aktach nie ma.
jeśli pracownik zażyczy sobie informacji o odbiorcach jego danych - sprawdzisz to w jego aktach - i tak trzeba będzie na taki wniosek odpowiedzieć indywidualnie. Zreszta masz obowiązek informować o kategoriach odbiorcow a nie konkretnych odbiorcach.
Bożena M.:Warto czytać przepisy rodo całościowo i realizować również całościowo. Skupianie się na oderwanym fragmencie powoduje tworzenie problemów tam, gdzie ich nie ma.
co za różnica czy do rejestru wpisuję z datą, czy bez - pytanie czy go prowadzić, a jak nie to jak spełnić art 15 c) ?
Następna dyskusja:
пропозиції роботи
