Proste to RODO ochrona danych w sektorze medycznym

Wdrożenie RODO w jednostkach medycznych. Audyt cyberbezpieczeństwa PWDL. Przygotowanie dokumentacji RODO. Szkolenia z ochrony danych osobowych.

Proste to RODO

Ochrona danych w sektorze medycznym

Kiedy należy zawrzeć umowę powierzenia przetwarzania danych

Kiedy należy zawrzeć umowę powierzenia przetwarzania danych

Kiedy należy zawrzeć umowę powierzenia przetwarzania danych

Etapowa metoda ustalenia czy podmiot jest administratorem danych (odbiorcą) czy podmiotem przetwarzającym. Kiedy należy zarzwć umowę powierzenia przetwarzania danych.

Kiedy należy zawrzeć umowę powierzenia przetwarzania danych? To pytanie zadają sobie Państwo bardzo często. Zarówno, kiedy analizujecie relacje od strony administratora, jak i od strony potencjalnego podmiotu przetwarzającego. Z tego względu dr Jakub Rzymowski przygotował, dla Państwa wytyczne, jakie pomogą w ustalaniu charakteru relacji. Ufamy, iż materiał, jaki przygotowany został dla Państwa będize pomocy.jak więc stosować zapisy art. 28 Rozporządzenia RODO w praktyce, zapraszamy do testu.

Metoda 1: W czyim imieniu dane są przetwarzane?

Przetwarzanie danych osobowych w imieniu administratora lub nie w imieniu administratora może nie wystarczyć. Może okazać się że na tej podstawie nie jest mozliwa odpowiedź na pytanie. Nie będizemy w stanie ocenić, czy dany podmiot jest administratorem, czy podmiotem przetwarzającym. Jest tak ponieważ rozstrzygnięcie dylematu interpretacyjnego może być po prostu w danej sytuacji zbyt triudne. Dla danego rozstrzygającego niemożliwe. Jak zatem widać, oparcie metody badawczej jedynie o to w czyim imieniu dane są przetwarzane, może być zawodne i groźne.

Metoda 2: Czy ADO zleca czynności na danych?

Bardziej niezawodną wydaje się być kolejna metoda. Metoda oparta na tym, czy administrator danych zleca czynność na danych, czy inną czynność, do której wykonania dane są niezbędne.

Metoda 3: Czy możliwy jest zwrot danych?

Kolejną metodą jest metoda oparta o to, czy administrator może skutecznie żądać zwrócenia danych. Naturalnie zwrócenia danych od podmiotu który jest administratorem danych/odbiorcą lub podmiotem przetwarzającym. Metodę tę stosuje pewien ze znanych mi praktyków ochrony danych i RODO – R. Kosuń. Rafała Kosunia znam osobiście. Jednak trudno jest mi wskazać źródło wskazujące na jego poglądy. Tym niemniej uważam, że warto na nie tu wskazać, z uwagi na ich trafność i wygodę w stosowaniu. Metoda ta musi być czasem uzupełniana, o to czy czynność zlecana jest czynnością na danych, czego R. Kosuń ma świadomość.

Metoda 4: Czy przepisy uniemożliwiają zwrot danych?

Jeszcze jedna metoda oparta może być o fakt, że podmiot, który badamy pod kątem ustalenia czy jest on administratorem czy podmiotem przetwarzającym, nie może zwrócić danych pierwotnemu administratorowi, ponieważ prawo mu to uniemożliwia. Przykładem są tu osoby/podmioty prowadzące niektóre zawody czy rodzaje działalności regulowane prawem, takie jak adwokat, doradca podatkowy, notariusz, szpital, przychodnia.

Krok 1 -

Czy podmiot przetwarza dane osobowe w imieniu (pierwotnego) administratora czy podmiot przetwarza dane osobowe we własnym imieniu?

  • Jeżeli podmiot przetwarza dane osobowe w imieniu (pierwotnego) administratora to podmiot ten jest podmiotem przetwarzającym
  • Jeżeli podmiot przetwarza dane osobowe we własnym imieniu to podmiot ten jest administratorem (odbiorcą).

Krok 1 jest pozornie przesądzający, niestety tylko pozornie, trudno bowiem czasem wręcz zrozumieć w czyim imieniu podmiot przetwarza.

Mając to na uwadze, trzeba mieć świadomość, że zarówno wynik, w którym zleceniobiorca jest administratorem danych, może być fałszywy jak i wynik, w którym zleceniobiorca jest podmiotem przetwarzającym może być fałszywy.

Krok 2 -

Czy podmiot lub osoba wykonuje zawód lub działalność uregulowaną prawem w taki sposób, że działa w sposób, który nie dopuszcza przyjmowania wskazówek od zleceniodawcy? Zwykle wiąże się to również z obowiązkiem przechowywania danych po wykonaniu zlecenia i niemożnością zwrócenia tych danych (pierwotnemu) administratorowi.

  • Jeżeli podmiot lub osoba wykonuje zawód lub działalność uregulowaną prawem w taki sposób, że działa w sposób, który nie dopuszcza przyjmowania wskazówek od zleceniodawcy, to taki podmiot lub osoba jest administratorem (odbiorcą).
  • Jeżeli podmiot lub osoba nie wykonuje zawodu  lub działalności uregulowanej prawem w taki sposób, że działa w sposób, który nie dopuszcza przyjmowania wskazówek od zleceniodawcy, to taki podmiot lub osoba jest administratorem (odbiorcą), lub podmiotem przetwarzającym, lecz w Kroku 2 tego nie ustalono, należy wykonać kroki następne.

Innymi słowy, twierdząca odpowiedź na pytanie skutkuje wynikiem pozytywnym ,który wydaje się być wiarygodny, przecząca odpowiedź na pytanie skutkuje wynikiem negatywnym, który może być fałszywie negatywny.

Krok 3

Czy administrator może skutecznie żądać zwrócenia danych od podmiotu który jest administratorem danych/odbiorcą lub podmiotem przetwarzającym? Nie wykluczam, że krok 3 tożsamy jest z krokiem 2 aczkolwiek nie mam tu całkowitej pewności.

Jeżeli administrator nie może skutecznie żądać zwrócenia danych od podmiotu który jest administratorem danych/odbiorcą lub podmiotem przetwarzającym, to podmiot ten jest administratorem danych (odbiorcą).

  • Jeżeli administrator może skutecznie żądać zwrócenia danych od podmiotu który jest administratorem danych/odbiorcą lub podmiotem przetwarzającym, to podmiot ten jest podmiotem przetwarzającym lub administratorem, lecz w Kroku 3 tego nie ustalono, należy wykonać kroki następne.

Innymi słowy, przecząca odpowiedź na pytanie skutkuje wynikiem pozytywnym, który wydaje się być wiarygodny, twierdząca odpowiedź na pytanie skutkuje wynikiem negatywnym, który może być fałszywie negatywny.

Krok 4

Czy administrator zleca wykonanie czynności na danych?

Jeżeli administrator zleca wykonanie czynności na danych, to zleceniobiorca jest podmiotem przetwarzającym.

  • Jeżeli administrator zleca wykonanie innej czynności niż czynność na danych, to zleceniobiorca jest administratorem danych (odbiorcą).

Najbardziej niezawodną wydaje się być metoda oparta na tym czy administrator danych zleca czynność na danych czy inną czynność, do której wykonania dane są niezbędne.

Kiedy należy zawrzeć umowę powierzenia przetwarzania danych,

Kiedy należy zawrzeć umowę powierzenia przetwarzania danych. Ufamy, iż dzięki naszemu opracowaniu oraz zautomatyzowanej jego formie to pytanie nie będzie już dla Państwa problemem.

Dokument do pobrania PDF

Autor:Jakub Rzymowski z Konacelarii Adwokacjej Eurokancelaria prof. M. Królikwskiej-Olczak
Rodzaj publikacji: Komentarz RODO
Dostępność: Publikacja bezpłatna
Prawa autorskie: Copyright by J.Rzymowski

Bezpłatny komentarz RODO - Definicja "podmiot przetwarzający"

Autor:Jakub Rzymowski z Konacelarii Adwokacjej Eurokancelaria prof. M. Królikwskiej-Olczak
Rodzaj publikacji: Komentarz RODO
Dostępność: Publikacja bezpłatna
Prawa autorskie: Copyright by J.Rzymowski

Procedura udostępniania dokumentacji medycznej. Kompletny zestaw wzorów dokumentów i ich opis.

5/5

79,00 pln

Jak prowadzić ewidencję udostępnionej dokumentacji medycznej. Gotowa procedura.

5/5

29,00 pln

Wypełniony wzór Klauzuli Informacyjnej dla Pacjentów jednostek medycznych. Opis sposobów realizacji obowiązku.

5/5

149,00 pln

Procedura realizacji obowiązku informacyjnego w jednostce medycznej. Dokument ułatwiający określenie metod realizacji obowiązku oraz rozliczalność.​

5/5

99,00 pln

Jeśli chcesz poznać naszą pełną ofertę, pobierz listę dokumentów RODO, jakimi dysponujemy. W naszej ofercie znajdą Państwo, kompletne procedury postępowania, wzory dokumentacji RODO, wypełnione dokumenty, artykuły, opracowania dydaktyczne.