Proste to RODO w medycynie w oświacie w firmie

Wdrożenie RODO w firmie / w szkole / w podmiocie medycznym

Wdrożenie RODO w firmie / w oświacie / w medycynie

Dokumentacja RODO dla firmy, dla podmiotów medycznych, przychodni, szpitali, lekarzy, dla placówek oświatowych. Pełnienei funkcji Inspektora Ochrony Danych w firmach, w podmiotach medycznych, w szkołach. Szkolenia z zakresu cyberbezpieczeństwa oraz ochrony danych osobowych. Audyt Bezpieczeństwa Informacji KRI. Dofinansowania dla samorządów, dla podmiotów medycznych na cyberbezpieczeństwo.

Jak udzielić odpowiedzi na 27 pytań UODO

Jak udzielić odpowiedzi na 27 pytań UODO

Jak udzielić odpowiedzi na 27 pytań UODO. Jak informuje UODO w związku z docierającymi do Organu nadzorczego informacjami o nieprawidłowościach w obszarze powoływania i pełnienia funkcji przez Inspektorów Ochrony Danych Organ nadzorczy- korzystając ze swoich uprawnień – przygotował 27 pytań kontrolnych, które będzie kierował do administratorów i podmiotów przetwarzających, zarówno z sektora publicznego, jak i prywatnego, zobowiązując je tym samym do udzielenia odpowiedzi.

Jakie zadania realizuje Inspektor Ochrony Danych

Do zadań inspektora ochrony danych zgodnie z art. art. 39 ust. 1 oraz 38 ust. 4 RODO należą:

  • informowanie administratora, podmiotu przetwarzającego oraz pracowników, którzy przetwarzają dane osobowe, o obowiązkach spoczywających na nich na mocy niniejszego rozporządzenia oraz innych przepisów Unii lub państw członkowskich o ochronie danych i doradzanie im w tej sprawie;
  • monitorowanie przestrzegania niniejszego rozporządzenia, innych przepisów Unii lub państw członkowskich o ochronie danych oraz polityk administratora lub podmiotu przetwarzającego w dziedzinie ochrony danych osobowych, w tym podział obowiązków, działania zwiększające świadomość, szkolenia personelu uczestniczącego w operacjach przetwarzania oraz powiązane z tym audyty;
  • udzielanie na żądanie zaleceń co do oceny skutków dla ochrony danych oraz monitorowanie jej wykonania;
  • współpraca z Prezesem Urzędu Ochrony Danych Osobowych,
  • pełnienie funkcji punktu kontaktowego dla Prezesa Urzędu Ochrony Danych Osobowych w kwestiach związanych z przetwarzaniem, w tym z uprzednimi konsultacjami, o których mowa w art. 36, oraz w stosownych przypadkach prowadzenie konsultacji we wszelkich innych sprawach,
  • pełnienie roli punktu kontaktowego dla osób, których dane dotyczą, we wszystkich sprawach związanych z przetwarzaniem ich danych osobowych oraz z wykonywaniem praw przysługujących im na mocy niniejszego rozporządzenia.

O co pyta Organ nadzorczy administratora ...

W komunikacie UODO czytamy, iż

cyt.: „(…)Od początku stosowania przepisów RODO Urząd Ochrony Danych Osobowych, zarówno w ramach prowadzonych postępowań, jak w reakcji na zgłaszane mu przypadki nieprzestrzegania przepisów dotyczących inspektorów ochrony danych podejmował działania wynikające z jego uprawnień, określone w art. 58 RODO. Dotychczasowe doświadczenia organu nadzorczego w tym zakresie posłużyły do sformułowania listy zagadnień, do których – wraz z przedstawieniem odpowiednich dowodów – będą musieli odnieść się wezwani administratorzy i podmioty przetwarzające. (…)”.

Pytania UODO o pracę Inspektorów Ochrony danych:

  1. Czy u administratora został wyznaczony inspektor ochrony danych (IOD)?
  2. Czy na administratorze ciąży obowiązek wyznaczenia IOD (jeżeli tak, to na jakiej podstawie prawnej), czy też IOD został wyznaczony mimo braku takiego obowiązku?
  3. Czy administrator opublikował imię i nazwisko oraz kontakt do IOD na swojej stronie internetowej lub – jeżeli nie prowadzi swojej strony internetowej, w sposób ogólnie dostępny w miejscu prowadzenia swojej działalności?
  4. Czy ww. informacje znajdują się w ogólnie dostępnym miejscu (proszę wskazać to miejsce, w przypadku strony internetowej proszę wskazać jej adres oraz link do tej informacji) ?
  5. Czy Inspektor Ochrony Danych jest pracownikiem administratora, a jeśli nie, to na jakiej podstawie prawnej wykonuje swoje obowiązki?
  6. Czy IOD został powołany na wyłączność u administratora, czy wykonuje swoje obowiązki również u innych administratorów?
  7. Na podstawie jakich kwalifikacji administrator wyznaczył IOD (np. wykształcenie, doświadczenie, wiedza)?
  8. Jakie niezbędne zasoby, o których mowa w art. 38 ust. 2 rozporządzenia 2016/679 administrator zapewnia IOD?
  9. W jaki sposób administrator zapewnia zasoby na utrzymanie wiedzy fachowej IOD?
  10. Jakie stanowisko zajmuje IOD i komu podlega w strukturze organizacyjnej administratora?
  11. Czy administrator powołał zastępcę IOD, jeżeli tak, to kiedy?
  12. Czy u administratora funkcjonuje zespół IOD lub inna forma stałego wsparcia IOD w zakresie wykonywania jego zadań?
  13. W jaki sposób administrator zapewnia by IOD był właściwie i niezwłocznie włączany we wszystkie sprawy dotyczące ochrony danych osobowych (np. czy zostały opracowane zasady dotyczące tego, jakie sprawy mają być konsultowane z IOD, kto i w jakich sytuacjach powinien zgłaszać się w celu uzyskania konsultacji IOD, czy i na jakich zasadach IOD bierze udział w naradach kierownictwa)
  14. W jaki sposób administrator zapewnia IOD dostęp do danych osobowych i operacji przetwarzania?
  15. Czy administrator przyjął jakiekolwiek regulacje wewnętrzne dotyczące funkcjonowania IOD (w szczególności w celu zapewnienia poszanowania gwarancji jego niezależności oraz jego uprawnień w zakresie dostępu do danych osobowych i operacji przetwarzania, włączania we wszystkie sprawy dotyczące ochrony danych osobowych, unikania konfliktu interesów), a jeżeli tak, to w jakim akcie wewnętrznym zostały one przewidziane?
  16. W jaki sposób administrator zapewnia, aby IOD nie były wydawane instrukcje co do wykonywania zdań przez IOD?
  17. W jaki sposób administrator zapewnia, aby IOD nie były karany i odwoływany za wykonywanie swoich zadań?
  18. W jaki sposób ADO postępuje w przypadku, gdy nie uwzględnia wskazówek lub rekomendacji IOD, np. czy dokumentuje powody niezastosowania tych wskazówek?
  19. W jaki sposób osoby, których dane dotyczą, mogą kontaktować się z inspektorem ochrony danych zgodnie z art. 38 ust. 4 rozporządzenia 2016/679 ?
  20. Czy inspektor ochrony danych wykonuje również inne obowiązki lub sprawuje inną funkcję poza obowiązkami związanymi z ochroną danych osobowych, jeżeli tak to: jakie oraz w jakim wymiarze czasu pełni funkcję IOD, a w jakim inne zadania, w jaki sposób administrator ocenił, że w przypadku każdego z tych zadań nie występuje konflikt interesów, o którym mowa w art. 38 ust 6 rozporządzenia   2016/679, czy w zakresie wykonywania innych zadań IOD podlega innym osobom niż najwyższe kierownictwo administratora?
  21. Czy administrator opracował politykę zarządzania konfliktem interesów lub wprowadził inny mechanizm zapewniający niewystępowanie konfliktu interesów?
  22. Czy IOD wykonuje swoje zadania jedynie w siedzibie administratora, a jeżeli nie, to w jakim miejscu i w jaki sposób zapewniona jest stała dostępność IOD dla kierownictwa i pracowników administratora?
  23. Czy IOD opracował (systematycznie opracowuje) plan swojej pracy np. w zakresie szkoleń, audytów?
  24. Czy taki plan był prezentowany administratorowi w celu umożliwienia dokonania oceny, czy IOD dysponuje wystarczającymi zasobami i uprawnieniami w obszarach, które IOD obejmuje swoimi zadaniami?
  25. Jak często i w jaki sposób IOD przekazuje administratorowi wyniki przeprowadzonych audytów?
  26. Czy administrator występował do IOD o udzielenie zaleceń co do oceny skutków dla ochrony danych, a jeśli tak, to w jakich sytuacjach?
  27. Czy administrator kontroluje pracę inspektora, jeżeli tak, to w jaki sposób?

Przykładowe wyjaśnienia, w jaki sposób odpowiadać ...

 

  • Czy na administratorze ciąży obowiązek wyznaczenia IOD (jeżeli tak, to na jakiej podstawie prawnej), czy też IOD został wyznaczony mimo braku takiego obowiązku?

Administrator powinien być w stanie odpowiedzieć na to pytanie poprzez okazanie się adekwatną oceną swojej sytuacji, w zakresie tego, czy w ogóle istnieje obowiązek powołania IOD w jego strukturze. W sytuacji, kiedy taki obowiązek obiektywnie istnieje oraz w sytuacji, kiedy pomimo jego braku, IOD został wyznaczony, ADO powinien posiadać dokumentację potwierdzającą zachowanie właściwego trybu dokonania zgłoszenia powołanego IOD. Udzielając odpowiedzi na to pytanie warto jest zatem zaprezentować posiadaną dokumentację przez ADO. Analiza powinna być dokonana w szczególności z zachowaniem przepisów Sekcji 4 Rozporządzenia RODO

  • Czy u administratora został wyznaczony inspektor ochrony danych (IOD)?

 ADO powinien posiadać dokumentację potwierdzającą fakt powołania IOD oraz fakt zachowanie właściwego trybu dokonania zgłoszenia powołanego IOD.  Zgodnie z art.10 ust. 1 Ustawy o ochronie danych osobowych ADO, który wyznaczył inspektora, zawiadamia Prezesa Urzędu o jego wyznaczeniu w terminie 14 dni od dnia wyznaczenia, wskazując imię, nazwisko oraz adres poczty elektronicznej lub numer telefonu inspektora.

  • Czy administrator opublikował imię i nazwisko oraz kontakt do IOD na swojej stronie internetowej lub – jeżeli nie prowadzi swojej strony internetowej, w sposób ogólnie dostępny w miejscu prowadzenia swojej działalności?

Każdy podmiot, który wyznaczył Inspektora Ochrony Danych, zobowiązany jest do podania jego imienia i nazwiska, adresu poczty email lub numeru telefonu kontaktowego, poprzez zamieszczenie na własnej stronie internetowej www, a jeśli jej nie posiada, to poprzez umieszczenie ich w miejscu prowadzenia działalności. Szerzej o tym pisaliśmy w naszym pracowaniu „Czy należy podawać imię i nazwisko IOD„. Odpowiadając zatem na pytanie nalezy podać dokładny adres strony internetowej, na jakiej zamieszczone zostąły dane oraz ich zakres, można także posłużyć się tzw. zrzutem ekranu, w sytuacji kiedy ADO nie prowadzi strony internetowej warto jest odwołać się do zapisów np. Procedury wypełniania funkcji przez Inspektora Ochrony Danych, w której to zagadnienie informowania o danych IOD powinno zostac uregulowane.

  • Czy ww. informacje znajdują się w ogólnie dostępnym miejscu (proszę wskazać to miejsce, w przypadku strony internetowej proszę wskazać jej adres oraz link do tej informacji) ?

Każdy podmiot, który wyznaczył Inspektora Ochrony Danych, zgodnie z art. 11 Ustawy o ochronie danych osobowych udostępnia dane inspektora, niezwłocznie po jego wyznaczeniu, na swojej stronie internetowej, a jeżeli nie prowadzi własnej strony internetowej, w sposób ogólnie dostępny w miejscu prowadzenia działalności. Analogicznie, jak w odpowiedzi na poprzednie pytanie, wskazujemy jak wnosi Organ nadzorczy, uzupełniająco posługujemy się dokumentem Procedura wypełniania funkcji przez Inspektora Ochrony Danych.

Regulamin pełnienia funkcji Inspektora Ochrony Danych

Poradnik jak udzielić odpowiedzi na 27 pytań UODO

Materiały źródłowe

Opracowanie UODO „Jakie zadania ma IOD?” [Dostęp: 01.04.2022r., godz.: 8:33]

Procedura pełnienia funkcji Inspektora Ochrony Danych