Proste to RODO w medycynie w oświacie w firmie

Wdrożenie RODO w firmie / w szkole / w podmiocie medycznym

Wdrożenie RODO w firmie / w oświacie / w medycynie

Dokumentacja RODO dla firmy, dla podmiotów medycznych, przychodni, szpitali, lekarzy, dla placówek oświatowych. Pełnienei funkcji Inspektora Ochrony Danych w firmach, w podmiotach medycznych, w szkołach. Szkolenia z zakresu cyberbezpieczeństwa oraz ochrony danych osobowych. Audyt Bezpieczeństwa Informacji KRI. Dofinansowania dla samorządów, dla podmiotów medycznych na cyberbezpieczeństwo.

Przetwarzanie danych przez CUW

Przetwarzanie danych przez CUW

Powierzenie danych między Jednostkami Obsługiwanymi a Jednostką Obsługującą

Przetwarzanie danych przez CUW. Centrum Usług Wspólnych jest to jednostka powołana w celu zapewnienia wspólnej obsługi przez JST. Wspólną obsługę mogą prowadzić starostwo powiatowe / urząd gminy, inna jednostka organizacyjna powiatu / gminy, jednostka organizacyjna związku powiatów / gmin albo jednostka organizacyjna związku powiatowo-gminnego, zwane dalej „jednostkami obsługującymi” (art. 10b ust. 1 ustawy o samorządzie gminnym oraz art. 6b ust. 1 ustawy o samorządzie powiatowym)

Powierzenie przetwarzania danych.

Powierzenie przetwarzania danych następuje w sytuacji, gdy inny podmiot na zlecenie Administratora dokonuje czynności na danych z definicji Rozporządzenia RODO. Łatwo, więc ustalić jak wygląda relacja między Jednostką Obsługującą, a Jednostkami Obsługiwanymi, gdyż niewątpliwie mamy tu do czynienia z Powierzeniem. Administratorem Danych Osobowych [dalej ADO] pracowników jest pracodawca, a więc Jednostka Obsługiwana. Jednostka Obsługująca wykonuje jedynie w imieniu ADO operacji przetwarzania danych osobowych tych pracowników.

CUW

Jednostką Obsługującą może być również Urząd Gminy lub Starostwo Powiatowe w tej sytuacji pracownicy Jednostki Obsługującej są pracownikami Urzędu lub Starostwa.

CUW

Przetwarzanie danych przez CUW powołany uchwałą organu.

Zdecydowana większość uchwał rady czy to gminy czy powiatu dokładnie w ten sposób jest podjęta. Ustalenie tych faktów pozwala nam wykluczyć, że powierzenie danych w omawianej sytuacji nie występuje, a co za tym idzie nie ma zastosowania art. 28 RODO. Przypomnijmy, że podmiot przetwarzający oraz każda osoba działająca z upoważnienia administratora lub podmiotu przetwarzającego i mająca dostęp do danych osobowych przetwarzają je wyłącznie na polecenie administratora, chyba że wymaga tego prawo Unii lub prawo państwa członkowskiego.

Z tego względu ciężko przyjąć, że każda osoba pracująca w CUW przetwarza dane tylko i wyłącznie na polecenie Administratora, gdyż Administrator nie ma żadnego wpływu na organizację pracy, zakres obowiązków oraz nadzoru nad pracownikami Jednostki Obsługującej.

Podstawaprawna powierzenia przetwarzania danych Jednostce Obsługującej.

Z definicji art. 28 ust. 3 Rozporządzenia RODO przetwarzanie przez podmiot przetwarzający odbywa się na podstawie umowy lub innego instrumentu prawnego, które podlegają prawu Unii lub prawu państwa członkowskiego i wiążą podmiot przetwarzający i administratora określają przedmiot i czas trwania przetwarzania, charakter i cel przetwarzania, rodzaj danych osobowych oraz kategorie osób, których dane dotyczą, obowiązki i prawa administratora.

Inny instrument prawny, który wiąże ADO i Podmiot Przetwarzający to niewątpliwie Uchwała Rady Gminy lub Rady Powiatu wydana na podstawie art. 6b lub 10b ustawy o samorządzie powiatowym lub gminnym. Jakie elementy powinna zawierać uchwała aby przetwarzanie danych przez CUW mogło być realizowane.

Uchwała tworząca CUW

Elementy składowe Uchwały, jako Instrumentu.

Jednak, aby instrument prawny był zgodny z definicją RODO musi zawierać pozostałe informacje zawarte w art. 28 ust. 3 Rozporządzenia RODO.

Ta umowa lub inny instrument prawny stanowią w szczególności, że podmiot przetwarzający:

a) przetwarza dane osobowe wyłącznie na udokumentowane polecenie administratora – co dotyczy też przekazywania danych osobowych do państwa trzeciego lub organizacji międzynarodowej – chyba że obowiązek taki nakłada na niego prawo Unii lub prawo państwa członkowskiego, któremu podlega podmiot przetwarzający; w takim przypadku przed rozpoczęciem przetwarzania podmiot przetwarzający informuje administratora o tym obowiązku prawnym, o ile prawo to nie zabrania udzielania takiej informacji z uwagi na ważny interes publiczny;

b) zapewnia, by osoby upoważnione do przetwarzania danych osobowych zobowiązały się do zachowania tajemnicy lub by podlegały odpowiedniemu ustawowemu obowiązkowi zachowania tajemnicy;

c) podejmuje wszelkie środki wymagane na mocy art. 32;

d) przestrzega warunków korzystania z usług innego podmiotu przetwarzającego, o których mowa w ust. 2 i 4;

e) biorąc pod uwagę charakter przetwarzania, w miarę możliwości pomaga administratorowi poprzez odpowiednie środki techniczne i organizacyjne wywiązać się z obowiązku odpowiadania na żądania osoby, której dane dotyczą, w zakresie wykonywania jej praw określonych w rozdziale III;

f) uwzględniając charakter przetwarzania oraz dostępne mu informacje, pomaga administratorowi wywiązać się z obowiązków określonych w art. 32–36;

g) po zakończeniu świadczenia usług związanych z przetwarzaniem zależnie od decyzji administratora usuwa lub zwraca mu wszelkie dane osobowe oraz usuwa wszelkie ich istniejące kopie, chyba że prawo Unii lub prawo państwa członkowskiego nakazują przechowywanie danych osobowych;

h) udostępnia administratorowi wszelkie informacje niezbędne do wykazania spełnienia obowiązków określonych w niniejszym artykule oraz umożliwia administratorowi lub audytorowi upoważnionemu przez administratora przeprowadzanie audytów, w tym inspekcji, i przyczynia się do nich. W związku z obowiązkiem określonym w akapicie pierwszym

lit. h) podmiot przetwarzający niezwłocznie informuje administratora, jeżeli jego zdaniem wydane mu polecenie stanowi naruszenie niniejszego rozporządzenia lub innych przepisów Unii lub państwo członkowskiego o ochronie danych.

Co z przepisami art. 6d oraz 10d ustawy o samorządzie powiatowym oraz gminnym ?

Należy pamiętać, że RODO jest aktem nadrzędnym wobec przywoływanych ustaw, tak więc ustawa też jest w jego rozumieniu innym instrumentem prawnym, co za tym idzie, aby mogła powierzać przetwarzanie danych musi wypełniać wymogi z art. 28 ust. 3 Rozporządzenia RODO.

Zachodzi więc potrzeba zastosowania umowy powierzenia lub innego instrumentu, który wypełniał by brakujące postanowienia art. 28 ust. 3 Rozporządzenia RODO, aby powierzenie było zrealizowane w całości. Wątpliwe natomiast zdaje się to, iż Jednostka Obsługiwana nie ma możliwości wyboru w zakresie Jednostki Obsługującej, tak jak to ma miejsce w przypadku biur rachunkowych. Czy oznacza to zatem, że nie mamy tu do czynienia z powierzeniem? Jest to powierzenie w czystej postaci i aby ustalić, czy brak możliwości wyboru CUW jest przesłanką do uznania, że powierzenie nie zachodzi konieczne jest przeanalizowanie art. 28 ust. 1 Rozporządzenia RODO.

Jeżeli przetwarzanie ma być dokonywane w imieniu administratora, korzysta on wyłącznie z usług takich podmiotów przetwarzających, które zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi niniejszego rozporządzenia i chroniło prawa osób, których dane dotyczą.

W przywołanym artykule mowa jest jedynie o korzystaniu z podmiotów, które zapewniają wystarczające gwarancje, ciężko więc uznać, że organ prowadzący placówkę powołując inną jednostkę lub przyjmując realizację zadań na siebie nie jest jednostką zapewniającą wystarczające gwarancje wdrożenia odpowiednich środków. Rozporządzenie nie zawęża się do tego, że Administrator ma dobierać swobodnie Podmiot Przetwarzający, a jedynie do tego, aby nie korzystał z PP, którzy takich gwarancji nie dają. Jest to kolejny powód do tego, aby między Jednostką Obsługującą, a Obsługiwaną zostało zawarte pewnego rodzaju Porozumienie.

Skoro przepisy bezpośrednio nie umocowują w pełni powierzenia to w jaki sposób powinno ono być zrealizowane?

Przetwarzanie danych przez CUW jest więc zagadnieniem o wiele bardziej złożonym niż mogłoby się to wydawać na pierwszy rzut oka.

Porozumienie zdaje się najłatwiejszą formą uzupełnienia wymagań z art. 28 ust. 3 Rozporządzenia RODO i może zostać zawarte między Jednostką Obsługującą, a Jednostkami Obsługiwanymi bez konieczności angażowania organów gminy lub powiatu. W sytuacji umowy lub porozumienia oczywiście podstawą powierzenia będzie uchwała rady i to na nią powinniśmy się powołać wskazując na cel powierzenia oraz czas obowiązywania.

Forma pisemna lub elektroniczna.

Należy pamiętać również o tym, że powierzenie musi mieć formę pisemną lub elektroniczną. Zgodnie z art. 28 ust. 9 Rozporządzenia RODO umowa lub inny akt prawny, o których mowa w art. 3 i 4, mają formę pisemną, w tym formę elektroniczną.

Autorem niniejszego tekstu jest Mariusz Stasiak Vel Stasek. Copyright by © Mariusz Stasiak Vel Stasek.
Autor wyraża zgodę na niekomercyjne udostępnianie niniejszego tekstu, jednak wyłącznie w niezmienionej formie i treści, łącznie z niniejszymi zapisami. Proste to RODO.

Zespół Proste to RODO. Informujemy, iż tekst Pana Mariusza Stasiek Vel Stasek wzbudzał będzie szereg kontrowersji i pytań. Zachęcamy do dyskusji z jego autorem na temat jego publikacji. Za merytoryczną stronę opracowania odpowiada autor tekstu.

Zgłoszenie naruszenia do UODO zalane archiwum

Zgłoszenie naruszenia do UODO zalane archiwum

Zgłoszenie naruszenia do UODO zalane archiwum

Jeśli znalazłeś się, w sytuacji, kiedy na skutek awarii, doszło do rozszczelnienia rur w pomieszczeniu archiwum na skutek czego doszło do zalania przechowywanych w nim dokumentów, jako administrator danych osobowych zobowiązany jesteś do wykonania określonych czynności. W naszym poradniku na konkretnym przykładzie opisujemy krok po kroku, jak wyglądał proces analizowania zajścia, jakie informacje trzeba było pozyskać, aby mieć możliwość podjęcia określonych działań naprawczych. Pokazujemy, także  jakich ustaleń dokonywano na poszczególnych etapach. Przedstawiamy również treść wzoru zgłoszenia naruszenia ochrony danych osobowych, jakie sporządzone zostało w związku z zalaniem dokumentów w archiwum i częściowym ich zniszczeniem. Otrzymasz także zawiadomienie skierowane do podmiotów danych, których dokumenty zostały zniszczone, jakie przygotowaliśmy w związku z wystąpieniem naruszenia ochrony danych osobowych.

Wiemy, że masz mało czasu …

Dlatego materiał, jaki otrzymasz ma na celu pomóc Ci w ocenie sytuacji i ewentualnym przygotowaniu zgłoszenia naruszenia ochrony danych osobowych do UODO oraz w przygotowaniu zawiadomienia do podmiotów danych. Postawiliśmy na praktyczną stronę i ograniczamy analizy do niezbędnego minimum. Celem jest pomóc Ci w sytuacji, w jakiej się znalazłeś.

Materiały, jakie otrzymasz …

  • Listę pytań na które powinieneś uzyskać odpowiedź analizując swój przypadek.
  • Omówienie, konkretnej sytuacji związanej ze zniszczeniem na skutek zalania dokumentów przechowywanych w pomieszczeniach archiwum , gdzie krok po kroku pokazujemy co robiliśmy, jakie działania podejmowaliśmy.
  • Wzór zgłoszenia do UODO, jakie przygotowane zostało w omawianym stanie faktycznym.
  • Wzór zawiadomienia do podmiotów danych, których dokumentacja uległa zniszczeniu na skutek jej zalania.
  • Wzór zapisu, jaki został ujęty w rejestrze naruszeń, wewnętrznym.

Dla kogo jest nasze opracowanie …

Jeśli znalazłeś się w sytuacji, kiedy doszło do zalania archiwum i zachodzi ryzyko jej zniszczenia, bądź uległa ona zniszczeniu, opracowany przez nas materiał pozwoli Ci na zrozumienie tego, z jakim zdarzeniem masz do czynienia oraz podjęcie konkretnych kroków. Dzięki lekturze oraz wzorcowym materiałom, będziesz mógł samodzielnie opracować zgłoszenie naruszenia ochrony danych do UODO oraz treść zawiadomienia do podmiotów danych, których dotyczy naruszenie.

Szczegóły szkolenia >>
Wzór zgłoszenia do UODO email przesłany do niewłaściwego adresata

Zgłoszenie naruszenia do UODO błędnie wysłany email

Zgłoszenie naruszenia do UODO błędnie wysłany email

Jeśli znalazłeś się, w sytuacji, kiedy na skutek błędu własnego, albo klienta, doszło do tego, że przesłano email do niewłaściwego adresata, należy wykonać określone działania, aby określić co należy zrobić w takiej sytuacji. W naszym poradniku na przykładzie opisujemy krok po kroku, jak wyglądał proces analizowania zajścia u administratora danych osobowych. Pokazujemy, jakich ustaleń dokonywano na poszczególnych etapach. Przedstawiamy także treść zgłoszenia naruszenia ochrony danych osobowych, jakie sporządzone zostało w związku z wysyłką email do błędnego adresata. Pokazujemy także, jakie zawiadomienie do podmiotu danych, którego dane ujawniono, zostało przygotowane.

Wiemy, że masz mało czasu …

Dlatego materiał, jaki otrzymasz ma na celu pomóc Ci w ocenie sytuacji i ewentualnym przygotowaniu zgłoszenia naruszenia ochrony danych osobowych do UODO oraz w przygotowaniu zawiadomienia do podmiotu danych. Postawiliśmy na praktyczną stronę i ograniczamy analizy do niezbędnego minimum. Celem jest pomóc Ci w sytuacji, w jakiej się znalazłeś.

Materiały, jakie otrzymasz …

  • Listę pytań na które powinieneś uzyskać odpowiedź analizując swój przypadek.
  • Omówienie, konkretnej sytuacji związanej z wysyłką email do błędnego adresata, gdzie krok po kroku pokazujemy co robiliśmy, jakie działania podejmowaliśmy.
  • Wzór zgłoszenia do UODO, jakie przygotowane zostało w omawianym stanie faktycznym.
  • Wzór zawiadomienia do podmiotu danych, którego dane ujawniono w związku z wysyłką email do błędnego adresata.
  • Wzór zapisu, jaki został ujęty w rejestrze naruszeń, wewnętrznym.

Dla kogo jest nasze opracowanie …

Jeśli znalazłeś się w sytuacji, kiedy doszło do wysyłki korespondencji email do błędnego adresata, opracowany przez nas materiał pozwoli Ci na zrozumienie tego z jakim zdarzeniem masz do czynienia oraz podjęcie konkretnych kroków. Dzięki lekturze oraz wzorcowym materiałom, będziesz mógł samodzielnie opracować zgłoszenie naruszenia ochrony danych do UODO oraz treść zawiadomienia do podmiotu danych, którego dane ujawniono.

Szczegóły szkolenia >>
Jak dostosować stanowiska pracy wyposażone w monitory ekranowe do nowych przepisów BHP

Jak dostosować stanowiska pracy wyposażone w monitory ekranowe do nowych przepisów BHP

Jak dostosować stanowiska pracy wyposażone w monitory ekranowe do nowych przepisów BHP

Stanowisko pracy wyposażone w monitory ekranowe – za sprawą wejścia w życie, dnia 17 listopada 2023r., Rozporządzenia Ministra Rodziny i Polityki Społecznej, z dnia 18 października 2023r.,  zmieniającego rozporządzenie w sprawie bezpieczeństwa i higieny pracy na stanowiskach wyposażonych w monitory ekranowe (Dz.U.2023.2367) w rozporządzeniu Ministra Pracy i Polityki Socjalnej z dnia 1 grudnia 1998 r. w sprawie bezpieczeństwa i higieny pracy na stanowiskach wyposażonych w monitory ekranowe (Dz. U. poz. 973) wprowadzono zmiany odnoszące się do zapewnienia odpowiednich warunków w zakresie bezpieczeństwa i higieny pracy na stanowiskach pracy wyposażonych w monitory ekranowe.

Pakiet dokumentów

  • [Lista audytowa] Opracowaliśmy na bazie nowych przepisów BHP listę kontrolną, czeklistę audytową, dzięki wypełnieniu której będą mieli Państwo możliwość dokonania oceny poprawności wyposażenia stanowiska pracy wyposażonego w monitory ekranowe, jak również uzyskają Państwo informacje na temat konieczności dokonania doposażenia konkretnego stanowiska, o konkretny sprzęt, jaki wymagany jest według nowych regulacji prawnych. Jedną listę wykorzystują Państwo do oceny wszystkich stanowisk pracy.
  • [Instrukcja pracy] Kupują Państwo także wzorcową instrukcję dla osób zatrudnionych wykonujących pracę na stanowisku wyposażonym w monitory ekranowe.

 

Szczegóły szkolenia >>
Przykłady konsekwencji naruszenia oraz środków zaradczych do wykorzystania przy sporządzaniu zawiadomienia UODO

Przykłady konsekwencji i środków zaradczych pomocne przy sporządzaniu zgłoszenia lub zawiadomienia podmiotu danych

Przykłady konsekwencji naruszenia i środków zaradczych pomocne przy sporządzaniu zgłoszenia lub zawiadomienia podmiotu danych

Dokumentacja pomocna przy sporządzaniu zawiadomienia o naruszeniu ochrony danych osobowych przekazywanego do Urzędu Ochrony Danych Osobowych lub zawiadomienia kierowanego do podmiotu danych, którego dane dotyczą, zawiera przykłady:

  • możliwych konsekwencji naruszenia ochrony danych osobowych zwykłych,
  • możliwych konsekwencji naruszenia ochrony danych osobowych szczególnej kategorii,
  • środki zaradczych, jakie mogą być zastosowane lub są proponowane w celu zaradzenia naruszeniu / zminimalizowaniu skutków naruszenia ochrony danych osobowych zwykłych,
  • środki zaradczych, jakie mogą być zastosowane lub są proponowane w celu zaradzenia naruszeniu / zminimalizowaniu skutków naruszenia ochrony danych osobowych szczególnej kategorii.

Pomocna dokumentacja przy sporządzaniu zawiadomień

Wielu ADO / IOD boryka się z problemami, jakiego rodzaju konsekwencje mogą stanowić następstwo wystąpienia zdarzenia będącego naruszeniem ochrony danych osobowych, bądź jakiego rodzaju środki zaradcze, majace na celu zaradzenie naruszeniu, bądź zminimalizowaniu skutków naruszenia, należy zawrzeć w zawiadomieniu, kierowanym do Urzędu Ochrony Danych osobowych, bądź do podmiotu danych, którego dane dotyczą. Przygotowaliśmy wykaz zawierający zarówno konsekwencje naruszeń z odniesieniem do kategorii danych, jak i wyka proponowanych środków zaradczych. Wykaz powstał na bazie rzeczywistych stanów faktycznych. Wykaz pełni rolę pomocniczego, co oznacza, iż można nim się posiłkować tworząc własne zawiadomienia do UODO czy do podmiotu danych.

Szczegóły szkolenia >>
Wzory dokumentów dla szkół przy przekazywaniu laptopów i bonów

Wzory dokumentów dla szkół przy przekazywaniu laptopów i bonów

Wzory dokumentów dla szkół przy przekazywaniu laptopów i bonów

Szkoły realizujące zadania określone w ustawie z dnia 7 lipca 2023 r. o wsparciu rozwoju kompetencji cyfrowych uczniów i nauczycieli. Ustawa określa zasady i tryb przyznawania wsparcia uczniom i nauczycielom w związku z rozwojem kompetencji cyfrowych zobowiązane są także, do wykonania określonych czynności w obszarze ochrony danych osobowych.  W związku z tym przygotowaliśmy dla Państwa pakiet dokumentów, pozwalający na skuteczne wypełnienie obowiązków szkoły, jako administratora danych osobowych, uczestniczącego w procesie udzielania wsparcia, przekazywania laptopów dla uczniów klas IV, czy bonów na zakup sprzętu dla nauczycieli.

Pakiet dokumentów składa się z następujących wzorów:

  • Informacja dotycząca udostępniania danych do Ministerstwa Cyfryzacji.
  • Klauzula informacyjna dla rodziców przyjmujących lub biorący w użyczenie laptopa dla ucznia klasy IV Szkoły Podstawowej.
  • Oświadczenie nauczyciela dotyczące nie otrzymania sprzętu / świadczenia w ramach wsparcia udzielonego z innych programów finansowanych ze środków publicznych.
  • Wniosek nauczyciela o przyznanie bonu na zakup laptopa.

Format plików: MS Word
Możliwość edycji plików: Pliki można dowolnie edytować
Wysyłka dokumentów: Pakiet dokumentów wysyłany jest bezpośrednio po zakupie
Autor: Mariusz Stasiak vel Stasek

 

 

Szczegóły szkolenia >>
Ocena ryzyka korzystanie z Pendrive materiały szkoleniowe

Przenośne pamięci danych materiały szkoleniowe i ankieta sprawdzająca

Przenośne pamięci danych materiały szkoleniowe i ankieta sprawdzająca

Przygotowaliśmy dla Państwa materiał, jaki dedykowany jest dla tych podmiotów, które w związku ze swoim funkcjonowaniem przetwarzają dane z wykorzystaniem przenośnych pamięci danych.

Pakiet dokumentów zawiera:

  • Ankietę ewaluacyjną – ankietę sprawdzającą dzięki której ADO / IOD dokonać mogą analizy stanu faktycznego, a następnie na jej podstawie zalecić stosowanie adekwatnych środków bezpieczeństwa, zabezpieczających przetwarzanie danych osobowych z wykorzystaniem przenośnych pamięci danych.
  • Materiał szkoleniowy dla personelu – materiał pełni rolę informacyjną, jego zadaniem jest edukować personel korzystający z przenośnych pamięci danych w zakresie tego, jakiego rodzaju ryzyka związane są z takim przetwarzaniem oraz jakich zasad należy przestrzegać korzystając z przenośnych pamięci danych.

 

Szczegóły szkolenia >>
Wzory upoważnienia dla pracowników oświaty klauzule informacyjne i kwestionariusze osobowe

Dokumentacja RODO dla oświaty

Wzór upoważnienia dla pracownika szkoły

Przygotowaliśmy dla Państwa pakiet dokumentów dedykowanych dla placówek oświatowych w skład, którego wchodzą następujące dokumenty:

  1. Kwestionariusz dla kandydata
  2. Klauzula informacyjna dla kandydata
  3. Kwestionariusz osobowy dla pracownika
  4. Klauzula Informacyjna dla pracownika
  5. Zasady udzielania upoważnienia osobom zatrudnionym
  6. Wzór upoważnienia

 

Szczegóły szkolenia >>