пропозиції роботи
Wypowiedzi
-
Dostałem takiego maila:
"Nasi klienci zgłosi Państwa firmę do weryfikacji czy jako Administrator Danych Osobowych przetwarzają Państwo ich dane osobowe. Jeśli tak, to na jakiej podstawie prawnej oraz kiedy ta zgoda została udzielona. W ciągu najbliższych kilku dni wyślemy, w imieniu naszych klientów, ok. 300 wezwań do udzielenia takiej informacji na mocy art 15 ust. 1 RODO z ustawowym terminem odpowiedzi 30 dni.
Prosimy o kontakt w tej sprawie aby ułatwić cały proces.
Z wyrazami szacunku
Zespół BSafer Sp z o.o."
Ktoś miał z nimi do czynienia? Oszuści czy naciągacze? -
Drążę temat dalej.
Motyw 14 RODO, drugie zdanie:
"Niniejsze rozporządzenie nie dotyczy przetwarzania danych osobowych dotyczących osób prawnych, w szczególności przedsiębiorstw będących osobami prawnymi, w tym danych o firmie i formie prawnej oraz danych kontaktowych osoby prawnej."
Szczególnie ciekawy jest zwrot "danych osobowych dotyczących osób prawnych"..
Wg komentarza P.Litwińskiego:
"Motyw 14 RODO stanowi więc klucz do wykładni jego art. 1, który wyłącza zastosowanie rozporządzenia wobec danych osobowych przetwarzanych w związku z funkcjonowaniem osoby prawnej na rynku".
W dalszej części komentarz skupia się na danych osób reprezentujących podmioty, ale jak dla mnie ma to też zastosowanie do danych kontaktowych, czy ogólnie "danych służbowych".
Jak dla mnie takie wyłączenie byłoby czymś bardzo rozsądnym, ale wygląda na to, że dużo podmiotów nie jest świadoma tego wyłączenia (chyba, że ja je źle rozumiem). -
Materusz P.:
Kontakty służbowe winny być elementem zakresu obowiązków czyli realizacją umowy o pracę (6.1.b).
W tym wypadku 6.1.b jest podstawą dla firmy X do udostępniania na zewnątrz danych kontaktowych pracownika.
Ale już dla firmy Y, która otrzymała dane od firmy X?
Chyba, że dane kontaktowe podano w umowie zawartej pomiędzy firmami (np, jako dane osoby kontaktowej odpowiedzialnej za realizację umowy).
Jeżeli nie ma umowy pomiędzy X i Y, to 6.1.f wydaje się być bardziej przystające do sytuacji. -
Grzegorz K.:
Hm... A jak odwoła wam zgodę?
6.1.f?
6.1.f jak dla mnie brzmi najrozsądniej, ale pojawia się podobny problem jak ze zgodą.
Przy 6.1.f przysługuje prawo do sprzeciwu... -
Moment, moment.
Najpierw musi być podstawa prawna umożliwiająca "zatrudnienie" IOD.
Skoro będzie to zewnętrzny podmiot (a nie umowa zlecenie) to zapewne będzie umowa na świadczenie usług, a do niej powierzenie przetwarzania, której legalizuje świadczenie takiej usługi w relacji firma-firma.
To, że NASTĘPNIE wyznaczony człowiek będzie przetwarzał dane jako IOD nie zmienia sytuacji. IOD jako osoba ma prawo, ale firma, która go zatrudnia uzyskuje to uprawnienie na podstawie powierzenia.
"Uzależnienie dostępu do danych osobowych od podpisania umowy powierzenia jest w tym przypadku ograniczaniem przez ADO ustawowych (rozporządzeniowych) kompetencji IODo.".
??? Moim zdaniem jest na odwrót. Najpierw następuje podpisanie umowy powierzenia pomiędzy firmami co umożliwia powołanie człowieka na IOD. Dopiero wtedy uzyskuje on kompetencje IOD i fakt uprzedniego zawarcia umowy powierzenia w żaden sposób nie ogranicza jego kompetencji.
Przy jednoosobowej działalności można jeszcze się zastanawiać czy jest konieczność zawierania umowy powierzenia, ale na początek warto sobie odpowiedzieć na pytania, które zadał w poprzednim poście Paweł. -
Jak podeszliście do problemu ew. obowiązku informacyjnego wobec osób kontaktujących się w relacjach B2B?
Mamy np. pracowników dwóch firm, którzy kontaktują się ze sobą w związku ze współpracą pomiędzy firmami ich zatrudniającymi. Dane kontaktowe uzyskali w ramach współpracy biznesowej, mogły to być różne drogi (rozmowa bezpośrednia, rozmowa telefoniczna, wymiana wizytówek, korespondencja mailowa lub zwykła, dane kontaktowe były podane na stronie WWW lub np. w umowie (jako dane osoby kontaktowej, nie strony umowy)), mogło to być bezpośrednio, albo pośrednio (od innych osób - np. Prezes podał dane kontaktowe do swojego pracownika).
To co o sobie wiedzą to przeważnie:
- imię i nazwisko;
- nazwa podmiotu, w którym są zatrudnieni;
- stanowisko/funkcja;
- telefon służbowy;
- mail służbowy.
Dotychczas podchodziłem do tematu w ten sposób, że traktowałem to jako dane służbowe (dane firmy).
Wg takiej interpretacji zgoda na potraktowanie informacji o imieniu, nazwisku i miejscu zatrudniania jako danych kontaktowych firmy to kwestia uregulowana pomiędzy zatrudnionym, a firmą zatrudniającą. Natomiast dla reszty świata dane te są po prostu danymi kontaktowymi do firmy.
Z drugiej strony, "na chłopski rozum", uzyskując dane kontaktowe, dowiadujemy się też czegoś o osobie fizycznej.
Wg dotychczasowych interpretacji np. mail typu imię.nazwisko@firma.pl był traktowany jako dane osobowe.
Więc? Wysyłamy obowiązek, każdej nowej osobie, z którą kontaktujemy się w sprawach służbowych?
Jakoś dotąd (RODO stosujemy od blisko 40 dni) nie widzę takiej praktyki.
Jak Wy do tego problemu podchodzicie? -
Jest jeszcze SIODO
https://www.siodo.org/
ale działają znacznie krócej (chyba od 2016) i nie znam ich dokonań.
Przedstawicieli SABI widziałem kilka razy w akcji na różnych konferencjach i merytorycznie byli bardzo mocni.
Ja też myślałem, żeby się stowarzyszyć, ale jakoś ciągle czasu brak ... -
Mam wrażenie, że świat (a przynajmniej spora jego część) oszalał na punkcie spełniania obowiązku informacyjnego
i tak się zastanawiam gdzie są granice tego szaleństwa.
Na prawdę jeżeli pracownik jakiejś firmy ma mój publicznie dostępny służbowy adres e-mail to natychmiast musi mnie informować?
Nawet jeżeli uzyskał go ponieważ wysłałem do niego maila, trzyma go tylko w swojej osobistej skrzynce lub ew. książce adresowej, nie zajmuje się mailingiem i nie udostępnia zebranych adresów innym osobom?
Nie można tego podciągnąć pod użytek osobisty?
Jakie istotne skutki dla moich praw i wolności może rodzić posiadanie przez kogoś mojego służbowego, publicznie dostępnego maila, którego sam mu przekazałem?Ten post został edytowany przez Autora dnia 29.05.18 o godzinie 02:52 -
Jarosław K.:
Czy Szpital jako równoległy Administrator Danych z uwagi na obowiązek prowadzenie dokumentacji medycznej musi prowadzić rejestr wszystkich kategorii przetwarzania dokonywanych w imieniu Administratora Danych.
Chodzi tu o sytuację gdy np. dany zakład pracy przekazuje nam skierowania swoich Pracowników na Badania okresowe a Szpital je wykonuje i przechowuje dokumentacje z uwagi na przepisy obowiązującego prawa stając się jednocześnie równoległym Administratorem,
Doprecyzuj, czy uznajecie się za administratora, czy za podmiot przetwarzający (najczęściej na podstawie umowy powierzenia).
Jeżeli jesteście administratorem to jak dla mnie jest to jeden wpis w rejestrze czynności przetwarzania.
Jeżeli jesteście podmiotem przetwarzającym, to dla każdego zakładu pracy zlecającego badania będziesz miał osobny wpis w rejestrze kategorii czynności przetwarzania.
Ja jestem zwolennikiem interpretacji, która mówi, że podmiot wykonujący badanie jest osobnym administratorem. -
Paulina S.:
Myślę Marku, że to już zaspokoi Twoją żądzę wiedzy.
Ha, od ponad 40 lat próbuję ją zaspokoić. ;-)
Ale dzięki, że próbowałaś.
Tak na prawdę, to pytałem o ten czas na zgłoszenie, żeby pokazać, że jednak niekoniecznie, nie dla każdego, brak zgłoszenia IOD będzie rodziło jakieś skutki już 25.05.2018. -
Radosław Z.:
Marek P.:
Rodo czyta się całościowo. Jeśli w jednym miejscu jest zapis o stosowaniu rozporządzenia, to ten zapis odnosi się do innych przepisów odnośnie czasu obowiązywania. Art. 99 podaje datę od której ma zastosowanie rodo. Tak więc w organizacji, która obecnie działa, ochrona danych osobowych winna być dostosowana do rodo przed tą datą. Zawiadomienie organu nadzoru po tej dacie może skutkować odpowiedzialnością z art. 83.4.a.
A jaki jest czas na zgłoszenie IOD?
Bo w 37.7 RODO nic o tym nie ma...
Moje pytanie brzmiało "jaki jest czas na zgłoszenie IOD?"
Przecież zawsze musi być jakiś czas na powiadomienie.
Wyobraź sobie, że ktoś powołuje IOD 25.05.2018 (wcześniej nie miał obowiązku albo akurat 25.05.2018 założył nową działalność gospodarczą)
- jaki jest czas na zgłoszenie IOD? -
Bozena C.:
Czy ktoś ma już coś opracowane w tym temacie ?
Jest jeszcze opcja, o której wspomina Grupa Robocza Art. 29 w publikacji WP 243 Wytyczne dotyczące inspektorów ochrony danych (‘DPO’).
"DPO, przy pomocy zespołu jeśli to niezbędne, powinien mieć możliwość sprawnego komunikowania się z osobami, których dane dotyczą23i współpracy24 z właściwym organem nadzorczym."
Czyli jak rozumiem można powołać ludzi, którzy wspomagają IODę wykonywaniu różnych obowiązków. Pytanie tylko, czy wybrana osoba z zespołu może być upoważniona do zastępowania IODy w czynnościach formalnych.
Czy np. IOD może mieć pełnomocnika?Ten post został edytowany przez Autora dnia 09.05.18 o godzinie 09:53 -
Radosław Z.:
Jeśli organ nadzoru (nie wiadomo jak finalnie będzie się nazywał) nie powstanie do 25.05., to jak wytłumaczysz się z naruszenia art. 37.7. w związku z art. 99? A co, jeśli PUODO nie powstanie i pozostanie GIODO?
A jaki jest czas na zgłoszenie IOD?
Bo w 37.7 RODO nic o tym nie ma... -
Paweł G.:
W zależności od uzgodnień zestawienie może zawierać listę osób, którym wykonywano te badania.
Uważam to za nieuzasadnione.
Klient chce mieć możliwość weryfikacji z czego wynika kwota na zbiorczych comiesięcznych fakturach. W tym celu chce być informowany za jakie badania płaci i komu były wykonane. -
Radosław Z.:
Kopia aktu małżeństwa mogła być podstawą udzielenia urlopu okolicznościowego.
Moim zdaniem powinna jednak zadziałać tu zasada minimalizacji.
Wystarczy okazanie aktu.
Jaki jest cel przechowywania jego kopii? -
Tu już ciężej o jednoznaczną odpowiedź. Generalnie przyjęła się praktyka (przynajmniej tam gdzie ja pracuję, tj. w Opolu i okolicach), że zlecający uważają się za administratorów. Większość podmiotów wykonujących badania laboratoryjne podpisuje takie umowy. Również wyszukane przeze mnie komentarze różnych specjalistów od ODO najczęściej idą w tym kierunku (ale nie wszystkie).
Oczywiście w takiej sytuacji system do pobierania wyników (strona WWW) musi zapewnić, że wyniki badań są wydawane tylko osobom reprezentującym podmiot zlecający te badania.
Problem może być taki, że o ile jeżeli wykonawcą jest podmiot laboratoryjny to można sobie wyobrazić, że dane powierzone przez administratora przetwarza wyłącznie w zakresie określonym umową, ale jeżeli wykonawcą jest posiadający własne laboratorium szpital to pojawia się pytanie, czy nie wykorzystuje on wyników badań również do własnych celów... Spotkałem się z przypadkiem kiedy szpital uważa siebie za niezależnego administratora, zachowuje sobie wyniki badań i wykorzystuje je do własnych celów (kiedy pacjent trafia do tego szpitala, w historii jego badań widać też wyniki wykonane na zlecenie innych podmiotów). Uzasadnieniem dla takiego postępowania ma być fakt, że szpital jako centralna jednostka obsługująca pacjentów w całym regionie zapewnia sobie w ten sposób pełniejszy obraz historii badań klienta, co ma poprawiać możliwości oceny stanu pacjenta i diagnozowania, a także w niektórych przypadkach unika się w ten sposób niepotrzebnego powtarzania badań, które nie zawsze są obojętne dla zdrowia badanych osób. -
Grzegorz K.:
Analiza Bow-Tie dla zobrazowania. I zabezpieczenia stawiasz po obu stronach:
Ad 1 - aby nie wystąpiło, albo aby siła zagrożenia nie była zbyt mocna (żeby nie odpalało zdarzenia szczytowego)
Ad 2 - aby jak wystąpi, nie zmaterializowało skutków wynikających ze zdarzenia.
Dzięki, nie znałem tego.
Przykład już dawałem.
Nie wyłapałem, ostatnio mam mało czasu na przeglądanie forum... -
Ja jestem zwolennikiem rozwiązania, że podmioty medyczne takie jak szpitale czy poradnie są niezależnymi administratorami danych. Wynika to moim zdaniem z tego, że podmioty medyczne mają swoje przepisy określające m.in. wymogi co do przechowywania i ochrony danych, a więc świadcząc usługę medyczną realizują swoje (określone przepisami) cele.
Zwykle, w sytuacji takiej jak opisujesz uważam, że nie ma podstaw do umowy powierzenia.
Komunikacja pomiędzy klientem (firmą przysyłającą pracowników na badania) a poradnią odbywa się za pośrednictwem samego pacjenta, wyjątkiem jest przekazywanie danych rozliczniowych.
Typowo takie przetwarzanie wygląda następująco:
1) Przyjęcie pacjenta odbywa się na podstawie skierowania, z którym pacjent stawił się pacjent (czyli pomimo, że skierowanie wystawił zakład pracy to dane przekazuje nam pacjent).
2) Badanie pacjenta - wiadomo, na podstawie danych od pacjenta/o pacjencie.
3) Przekazanie potwierdzenia o zdatności do pracy - zwykle otrzymuje je pacjent i sam przekazuje (udostępnia je) swojemu pracodawcy.
4) W celu udokumentowania podstaw do wystawienia faktury (którą zwykle poradnie wystawiają zbiorczo za miesiąc i przesyłają bezpośrednio klientowi - zakładowi pracy) poradnia dołącza do faktury zestawienie wykonanych badań (w sensie jakie badania i ile, NIE przekazuje wyników).
W zależności od uzgodnień zestawienie może zawierać listę osób, którym wykonywano te badania.
Ja podchodzę do tego tak, że jest to uprawnione udostępnianie informacji pomiędzy dwoma uprawnionymi podmiotami (administratorami). Przesłanką przetwarzania są prawnie uzasadnione interesy poradni i klienta (oba podmioty mają podstawy do przetwarzania informacji o ilości i rodzaju wykonanych pacjentowi badań).
Podsumowując - całą sytuację traktuję jako przekazywanie danych pomiędzy uprawnionym administratorem, a pacjentem oraz - w przypadku rozliczeń - pomiędzy dwoma niezależnymi administratorami danych. Nie ma tu więc sytuacji uzasadniającej podpisania umowy powierzenia.Ten post został edytowany przez Autora dnia 04.05.18 o godzinie 09:22 -
Może źle zapytałem...
Czy stosujecie różne metodologie szacowania ryzyka, w zależności od tego czy dotyczy ono
1) naruszeń przewidywanych (gdzie szacowane jest prawdopodobieństwo wystąpienia)
2) naruszeń, do których doszło (gdzie prawdopodobieństwo wystąpienia przestaje być istotnym parametrem ponieważ do zdarzenia już doszło, natomiast trzeba określić prawdopodobieństwo skutkowania tego konkretnego zdarzenia) -
Mam wrażenie, że RODO w stosunku do ryzyk posługuje się dwoma różnymi prawdopodobieństwami.
Tam gdzie chodzi o dobór zabezpieczeń mówi się o ryzyku , które charakteryzuje się prawdopodobieństwem wystąpienia i wagą zagrożenia (art 32 ust 1).
Tam gdzie jest mowa o powiadomieniu organu nadzorczego mówi się o prawdopodobieństwie skutkowania ryzykiem (art 33 ust 1).
Jak do tego podchodzicie? Rozróżniacie procedurę szacowania ryzyka dla doboru zabezpieczeń od procedury szacowania ryzyka w celu oceny skutków naruszenia?Ten post został edytowany przez Autora dnia 01.05.18 o godzinie 22:54
Dołącz do GoldenLine
Oferty pracy
Sprawdź aktualne oferty pracy
Aplikuj w łatwy sposób
Aplikuj jednym kliknięciem
