Blog - PDPS - Program do RODO - Ochrona danych osobowych

Współadministrowanie – powiadom klientów

Zawieranie umów dot. współadministrowania zgodnie z art. 26 RODO pomiędzy Administratorami, staje się co raz bardziej popularne. Z naszej praktyki obserwujemy stosowanie tego typu umów w następujących przypadkach:

  • W grupach przedsiębiorstw np. wspólna kadra pracująca dla kilku spółek;
  • Współpraca marketingowa przedsiębiorstw tj. wspólna baza klientów;
  • Jednostki samorządu terytorialnego np. Straż Miejska w strukturze Urzędu;
  • Projekty UE tutaj chcielibyśmy aby to zastosowanie wzrosło, przez niekończący się łańcuch powierzeń;

Powiadomienie osób fizycznych

W ramach przeprowadzanych audytów ochrony danych spotykamy się z częstym naruszeniem w zakresie art. 26 ust. 2 RODO tj. Zasadnicza treść uzgodnień wynikających najczęściej z zawartej umowy współadministrowania jest udostępniana podmiotom, których dane dotyczą. Dlatego zalecamy:

  • dokonać przeglądu klauzul informacyjnych pod kątem zawartych umów dot. współadministrowania;
  • uzupełnić klauzule informacyjne o dane współadministratorów i odwołać do zasadniczej treści tego typu uzgodnień np. umieszczonych na stronie www danego podmiotu.
  • zgodnie z art. 26 ust. 1 RODO w treści uzgodnień można również wskazać punkt kontaktowy dla osób, których dane dotyczą.

Plan audytu ochrony danych

Plan audytu ochrony danych

Jednym z obowiązków Inspektora Ochrony Danych wskazanym w Art. 39 lit. b) RODO jest  monitorowanie przestrzegania przepisów o ochronie danych osobowych oraz polityk administratora lub podmiotu przetwarzającego w dziedzinie ochrony danych (…) powiązane z tym audyty. Jeżeli zastanawiasz się jak sporządzić taki dokument to ten artykuł jest dla Ciebie.

Czy tylko plan?

W naszej opinii dobrze taki dokument potraktować jako planowanie audytu ale również innych powiązanych działań związanych z ochroną danych osobowych w organizacji. Taki jak:

  • Proces analizy ryzyka naruszenia praw i wolności osób fizycznych art. 35 RODO
  • Proces szacowania ryzyka dotyczących środków bezpieczeństwa art. 32 RODO
  • Inwentaryzacja zasobów danych np. w formie wniosków dotyczących czynności przetwarzania danych osobowych

Kryteria i zakres audytu

Oczywiście podstawowymi kryteriami audytu będą przepisy o ochronie danych osobowych, jednakże nie zapomnijmy również o właściwych przepisach sektorowych oraz politykach ochrony danych wdrożonych w organizacji (art. 24 RODO). Przykładowe kryteria mogą wyglądać następująco:

  • Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) dalej zwane „RODO”;
  • Ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz.U. 2018 poz. 1000) dalej zwana „ustawa”;  
  • Ustawa z dnia 21 lutego 2019 r. o zmianie niektórych ustaw w związku z zapewnieniem stosowania rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych);
  • Wewnętrzne polityki ochrony danych wdrożone przez administratora.

Przejdźmy teraz do zakresu audytu, na pewno audyt można wykonywać na dwa sposoby:

  • Sprawdzając poszczególne czynności przetwarzania (niegdyś zbiory) – pytanie kto w danej organizacji odpowiada za przekazywanie i aktualizowanie poszczególnych czynności oraz czy wskazano właścicieli tych czynności.
  • Opierając zakres audytu na obowiązkach wynikających z RODO np. przy użyciu artykułów

Co należy sprawdzić

Zdecydujmy się na wskazanie zakresu audytu jako poszczególnych obowiązków i artykułów w RODO. Można wymienić następujące czynności:

  • Ocena procesu zbierania danych osobowych i realizacji obowiązków informacyjnych 
    • Artykuł 5 RODO – Zasady przetwarzania danych
    • Artykuł 6 RODO – Zgodność przetwarzania z prawem
    • Artykuł 7 RODO – Warunki wyrażenia zgody
    • Artykuł 13 RODO – Informacje podawane w przypadku zbierania danych od osoby, której dane dotyczą;
    • Artykuł 14 RODO – Informacje podawane w przypadku pozyskiwania danych osobowych w sposób inny niż od osoby, której dane dotyczą;
  • Badanie aktualności, adekwatności polityk ochrony danych (artykuł 24 RODO)
  • Analiza procesu powierzenia przetwarzania danych osobowych i współpracy z podmiotami przetwarzającymi
    • Artykuł 28 RODO – Podmiot przetwarzający
  • Badanie stanu zabezpieczeni danych osobowych i procesu analizy ryzyka
    • Artykuł 32 RODO – Środki techniczne, organizacyjne i fizyczne dla ochrony danych
  • Przegląd i analiza rejestrów czynności przetwarzania
    • Artykuł 30 ust. 1 – Rejestrowanie czynności przetwarzania;
    • Artykuł 30 ust. 2 – Rejestrowanie kategorii czynności przetwarzania.
  • Realizacja oceny skutków dla ochrony danych
    • Artykuł 35 – Ocena skutków dla ochrony danych

Okres i odpowiedzialności

Oczywiście dokument planu audytu powinien wskazywać również w jakim czasookresie audyt zostanie wykonany, oczywiście w zależności od wielkości danej organizacji i wskazanego zakresu. Poprzednie przepisy ochrony danych osobowych wskazywały, że podobny plan nie powinien zakładać okresu krótszego niż jeden kwartał i dłuższego niż rok. Może to być dla nas pewnego rodzaju wskazówka.

Podsumowanie

Oczywiście skonsultuj plan z zainteresowanymi stronami, które będą uczestniczyły w audycie w zależności od branży poszczególne kwartały w roku mogą powodować mniejsze lub większe utrudnienia w realizacji audytów. Przedstaw plan do akceptacji i podpisu administratora, życzymy owocnych ustaleń.

Doprecyzuj zadania Inspektora Ochrony Danych

Wielu z Administratorów przetwarzających dane osobowe na dużą skalę m.in. w sektorze publicznych wyznaczyło Inspektorów Ochrony Danych (dalej IOD). W artykule podpowiem jak prawidłowo określić zadania i obowiązki Inspektora Ochrony Danych. Art. 39 RODO daje nam jedynie pośrednią odpowiedź jakie zadania spoczywają na IOD, w naszej opinii dla zapewnienia zgodności niezbędne jest doprecyzowanie jak w danej organizacji są one realizowane.

Informowanie Administratora

Art. 39 lit. a) informowanie administratora, podmiotu przetwarzającego oraz pracowników o ich obowiązkach wynikających z RODO.

Określ w jakiej formie przekazywane będą takie informacje, nie oszukujmy się zasada rozliczalności i duża odpowiedzialność wynikająca z RODO przemawia za sporządzaniem pisemnych opinii przez Inspektora Ochrony Danych. Ważne jest również ustalenie kontaktu do Inspektora Ochrony Danych, nierzadko zdarza się, że pracownicy czy też podwykonawcy nie wiedzą w jaki sposób zwrócić się do IOD. W klauzulach przekazywany jest najczęściej adres email lub telefon kontaktowy, ważne żeby te informacje były odpowiednio rozpowszechnione i znane w danej organizacji.

Monitorowanie przestrzegania przepisów o ochronie danych osobowych

Art. 39 lit. b) monitorowanie przestrzegania przepisów o ochronie danych osobowych oraz polityk administratora lub podmiotu przetwarzającego w dziedzinie ochrony danych osobowych, w tym podział obowiązków, działania zwiększające świadomość, szkolenia personelu uczestniczącego w operacjach przetwarzania oraz powiązane z tym audyty;

Monitorowanie przestrzegania przepisów o ochronie danych osobowych zwykle odbywa się poprzez realizację audytów przez Inspektora Ochrony Danych. Przepis w tym zakresie jest ogólny, stąd też zalecamy doprecyzowanie w jakich odstępach czasowych mają być realizowane audyty. Dobrą praktyką jest również zaplanowanie działań audytowych np. w formie planu, który powinien być skonsultowany z zainteresowanymi stronami i zaakceptowany przez administratora. Zastanów się audyty powinny być realizowane doraźnie np. podczas powstania podejrzeń o wystąpieniu naruszenia ochrony danych.

Działania zwiększające świadomość i szkolenie personelu – określ w jaki sposób zostanie przeszkolony personel rozpoczynający pracę w organizacji. Zaplanuj szkolenia okresowe i ich zakres, weź pod uwagę zakres obowiązków kadry, która będzie szkolona. Zbierz listy obecności i przygotuj odpowiednie materiały szkoleniowe.

Zalecenia co do oceny skutków dla ochrony danych

Art. 39 lit. c) udzielanie na żądanie zaleceń co do oceny skutków dla ochrony danych oraz monitorowanie jej wykonania zgodnie z art. 35

Przy tworzeniu planu audytu warto również uwzględnić działania, które organizacja powinna realizować okresowo mogą to być np. inwentaryzacja czynności, analiza ryzyka, ocena skutków dla ochrony. Uwzględnienie tego w planie pozwoli na odpowiednie zaplanowanie procesu oceny skutków wraz z wydaniem zaleceń czy też koordynowaniem procesu przez Inspektora Ochrony Danych.

Współpraca z Prezesem Urzędu Ochrony Danych Osobowych

d) współpraca z organem nadzorczym;

e) pełnienie funkcji punktu kontaktowego dla organu nadzorczego w kwestiach związanych z przetwarzaniem, w tym z uprzednimi konsultacjami, o których mowa w art. 36, oraz w stosownych przypadkach prowadzenie konsultacji we wszelkich innych sprawach.

Tutaj zalecamy zastanowienie się nad kwestią, kto będzie kontaktował się w organem nadzorczym w kwestiach takich jak, zmiana Inspektora Ochrony Danych oraz zgłoszenie naruszeń ochrony danych. Jeżeli nie jest to administrator należy wydać stosowne pełnomocnictwo w tym zakresie oraz dokonać opłaty skarbowej.

Podział zadań

Przy ustalaniu polityk ochrony danych zadbaj również o określenie zadań związanych z:

  • Prowadzenie rejestrów czynności (art. 30 RODO) kto dokonuje wpisów do rejestru, kto odpowiada za przekazywanie aktualnych informacji.
  • Wydawanie upoważnień i zbieranie oświadczeń dot. poufności – kto odpowiada za przygotowanie upoważnienia, kto będzie prowadzić ewidencję osób upoważnionych.
  • Tworzenie polityk ochrony danych i jej przeglądy
  • Realizacja procesu analizy ryzyka (art. 32 RODO) dla wdrażanych środków bezpieczeństwa
  • Realizacja procesu oceny skutków dla ochrony danych (art. 35 RODO)

Zalecamy doprecyzowanie wszystkich wyżej wymienionych kwestii oraz ustalenie roli Inspektora Ochrony Danych w wskazanych zadaniach. Należy pamiętać, aby nie doszło do konfliktu interesów czyli, żeby IOD nie sprawdzał sam swoich zadań.

Rejestr czynności przetwarzania – przykład BHP

Rejestr czynności przetwarzania

Dla zachowania zgodności z RODO Administrator i podmiot
przetwarzający powinni prowadzić rejestr czynności przetwarzania, za które są
odpowiedzialni.

  • Administrator prowadzi rejestr czynności przetwarzania danych osobowych zgodnie z art. 30
    ust. 1
  • Podmiot przetwarzający prowadzi rejestr wszystkich kategorii czynności
    przetwarzania
    dokonywanych w imieniu Administratora (który powierzył
    przetwarzanie np. zastosowanie w firmach usługowych Księgowość, Informatyka,
    BHP).

W artykule zajmiemy się obowiązkiem nałożonym na
Administratorów, czyli prowadzeniem rejestru czynności przetwarzania danych
osobowych. Obowiązek prowadzenia takiego rejestru dotyczy większości
przedsiębiorstw, którzy przetwarzają dane osobowe w sposób nie sporadyczny.

Forma prowadzenia
rejestru czynności przetwarzania danych osobowych

Rejestr ma formę pisemną, w tym formę elektroniczną tzn. że
dopuszczalne jest posiadanie dokumentu elektronicznego z takim rejestrem
opatrzonego podpisem kwalifikowanym. Rejestr jest jednym z najważniejszych
dokumentów w RODO. Wynika to z faktu, że rejestr czynności w ramach współpracy
z organem nadzorczym tj. Prezesem Urzędu Ochrony Danych Osobowych, na jego żądanie ma zostać udostępniony.
Z tego powodu zadbaj więc o:

  • Wprowadzenie wersjonowanie dokumentu wraz z
    opisem zmian;
  • Opatrzenie dokumentu podpisem Administratora lub
    jego Pełnomocnika (może być również elektroniczny).

Arkusz kalkulacyjny
czy dokument tekstowy?

Na stronie Urzędu Ochrony Danych Osobowych znajdziemy przykład rejestry czynności przetwarzania dla Szkół na stronie: https://uodo.gov.pl/pl/123/214 jest to arkusz kalkulacyjny, według Nas takie rozwiązanie może mieć swoje wady i zalety tj.:

  • Forma arkuszu kalkulacyjnego, pozwala na jego
    szybki przegląd i porównanie – jest to na pewno preferowana forma przez kontrolera lub inspektora ochrony
    danych. Uwierzcie nam na słowo w ramach audytów ochrony danych taka forma,
    znacząco przyśpiesza sprawdzenie. Sami oceńcie czy to wada czy też zaleta.
  • Forma arkusza kalkulacyjnego, nie do końca się
    sprawdza przy pracy grupowej nad rejestrem. Umówmy się do właściwego określenia
    poszczególnych czynności wymagana jest współpraca w danej organizacji. Ważne:
    sprawdź jak wygląda odpowiedzialność poszczególnych osób w organizacji za przekazywanie
    danych dot. czynności przetwarzania.
  • Prowadzenie rejestru czynności, może wymagać
    wprowadzenia procedury wnioskowej. Dlaczego tak uważamy? Czynności przed
    dodaniem do rejestru powinny zostać sprawdzone co do ich prawidłowości, może to
    też być okazja do dokonania analizy ryzyka naruszenia praw i wolności osób
    fizycznych. Analiza może nam posłużyć do zdecydowania czy dana czynność wymaga
    dokonania oceny skutków dla ochrony danych osobowych tj. art. 35 RODO.

Zawartość rejestru
czynności – dla przykładowej czynności BHP

Dane
administratora – imię i nazwisko lub nazwa oraz dane kontaktowe. Jeżeli ma
zastosowanie to również

  • Dane współadministratorów
  • Przedstawiciela 
  • Inspektora ochrony danych

Nazwa i dane kontaktowe
administratora
Nazwa Moja Firma XYZ Sp. z o.o.
Adres ul. Zamkowa 58B, 95-200 Pabianice
Email kontakt@pojafirmaxyz.pl
Telefon (22) 00000000

Proponujemy umieścić te dane na
stronie tytułowej dokumentu tekstowego wraz z wskazaniem historii zmian
dokument i spisu treści.

  • Nazwa czynności przetwarzania (nieobligatoryjna
    – dla zachowania porządku)

1. NAZWA
CZYNNOŚCI PRZETWARZANIA
  BHP

  • Jednostka organizacyjna (nieobligatoryjna – dla
    zachowania porządku) – proponujemy określenie jednostki wraz z właścicielem
    czynności. Który będzie odpowiedzialny za dostarczanie informacji o czynności.

2. JEDNOSTKA
ORGANIZACYJNA  (nazwa wydziału i
stanowiska)
  Wydział organizacyjny – Specjalista ds.
BHP

  • Cele przetwarzania

3. CEL
PRZETWARZANIA
  Prowadzenie spraw związanych z
bezpieczeństwem i higieną pracy oraz ochroną przeciwpożarową w Moja Firma XYZ Sp. z o.o.

  • Kategorie osób których dane dotyczą – np.
    pracownicy, klienci, kontrahenci.

4. KATEGORIE
OSÓB, KTÓRYCH DANE DOTYCZĄ
  Pracownicy

  • Kategorie danych osobowych

5. KATEGORIE
DANYCH OSOBOWYCH
  1. Dokumentacja szkoleń – dane
identyfikacyjne, data i miejsce urodzenia, daty i nazwy odbytych szkoleń BHP.
2. Rejestr wypadków przy pracy  – dane identyfikacyjne, miejsce i data
wypadku, skutki wypadku, data sporządzenia protokołu powypadkowego,
stwierdzenie cyz wypadek jest wypadkiem przy pracy, data przekazania do ZUS
wniosku o świadczenia z tytułu wypadku, liczba dni niezdolności do pracy,
inne informacje.
3. Rejestr chorób zawodowych i podejrzeń
o takie choroby – dane identyfikacyjne, data urodzenia, dane adresowe, PESEL,
czynnik prowadzący do choroby zawodowej, okres narażenia, inne czynniki
wpływające na powstanie choroby, zawód, informacja o rozpoznanej chrobie,
nazwa jednostki orzeczniczej, data rozpoznania choroby, data decyzji o
stwierdzeniu choroby.

  • Podstawa prawna – nieobligatoryjne pole
    (przydatne przy tworzeniu klauzul informacyjnych)

6. PODSTAWA
PRAWNA
  1. Dokumentacja
szkoleń BHP – Przetwarzanie niezbędne do wypełnienia obowiązku prawnego –
art. 6 ust. 1 pkt. c RODO- Rozporządzenie Ministra Gospodarki i Pracy z 27
lipca 2004 r. w sprawie szkolenia w dziedzinie bezpieczeństwa i higieny
pracy.
2. Rejestr
wypadków przy pracy – Przetwarzanie niezbędne do wypełnienia obowiązku
prawnego – art. 6 ust. 1 pkt. c RODO – Rozporządzenie Rady Ministrów z 1
lipca 2009 r. w sprawie ustalania okoliczności i przyczyn wypadków przy
pracy.
3. Rejestr
chorób zawodowych i podejrzeń o takie choroby – Przetwarzanie niezbędne do
wypełnienia obowiązku prawnego – art. 6 ust. 1 pkt. c RODO- art. 235 par. 4
Kodeksu pracy, Rozporządzenie Ministra Zdrowia z 1 sierpnia 2002 r. w sprawie
sposobu dokumentowania chorób zawodowych i skutków tych chorób.

  • Źródło danych, skąd dane zostały pozyskane (pole
    nieobligatoryjne)

7. ŹRÓDŁO
DANYCH
  Pracownicy

  • Planowany termin usunięcia kategorii danych

8. PLANOWANY
TERMIN USUNIĘCIA KATEGORII DANYCH

(JEŻELI
JEST TO MOŻLIWE)
  1. Po 50 latach od rozwiązania umowy o
pracę – art. 51u ust. 1 ustawy z dnia 14 lipca 1983 r. o narodowym zasobie
archiwalnym i archiwach, a także Rozporządzenie Ministra Pracy i Polityki
Socjalnej z dnia 28 maja 1996 r. w sprawie zakresu prowadzenia przez
pracodawców dokumentacji w sprawach związanych ze stosunkiem pracy oraz
sposobu prowadzenia akt osobowych pracownika.
2. Po 10 latach od sporządzenia – art.
234 § 31 ustawy z dnia 26 czerwca 1974 r. – Kodeks pracy.
3. Po 10 latach od sporządzenia.

  • Kategorie odbiorców danych – wskazujemy podmioty
    do których dane trafiają na podstawie przepisów prawa i zawartych umów np.
    powierzenia danych.

9. KATEGORIE
ODBIORCÓW , którym dane ujawniono lub zostaną ujawnione wraz z podmiotami
przetwarzającymi
  1. ZUS, GUS,
2. Zakładu Epidemiologii Instytutu
Medycyny Pracy, Właściwy Państwowy Inspektor Sanitarny, Właściwy Inspektor
Pracy.

  • Stosowane systemy informatyczne – pole
    nieobligatoryjne (stosowane dla porządku)

10. STOSOWANE
SYSTEMY INFORMATYCZNE LUB OPROGRAMOWANIE
  Nie dotyczy

  • Ogólny opis technicznych i organizacyjnych
    środków bezpieczeństwa zgodnie z art. 32 ust. 1 RODO (przykłady środków
    bezpieczeństwa techniczne, organizacyjne, fizyczne)

11. OGÓLNY
OPIS TECHNICZNYCH I ORGANIZACYJNYCH ŚRODKÓWBEZPIECZEŃSTWA ZGODNIE Z ART. 32
UST. 1 RODO
  1. Zamykane szafy w pomieszczeniach
zamykanych, dostępnych tylko dla upoważnionych osób.
2. Ochrona fizyczna obiektów.
3. Wprowadzona polityka bezpieczeństwa

  • Przekazywanie danych do państwa trzeciego lub
    organizacji międzynarodowej – ew. dokumentacja odpowiednich zabezpieczeń.

12. TRANSFER
DO KRAJU TRZECIEGO LUB ORGANIZACJI MIEDZYNARODOWEJ WRAZ Z DOKUMENTACJĄ
ODPOWIEDNICH ZABEZPIECZEŃ
  Nie dotyczy

PIN zamiast hasła do systemu Windows 10

Funkcja Windows Hello dostępna w systemie Windows 10 pozwala użytkownikowi na logowanie do swojego urządzenia przy użyciu kodu PIN.

Jaka jest różnica i dlaczego PIN jest bezpieczniejszy od hasła?

Z wyglądu kod PIN przypomina hasła, jednakże kod PIN jest przypisany bezpośrednio do urządzenia w odróżnieniu od hasła. W praktyce oznacza to, że kod PIN nie jest przekazywany przy uwierzytelnianiu poza urządzeniem np. podczas logowania do serwera. Oznacza to również, że jeżeli logujesz się kontem Microsoft (wykorzystywane np. do usługi OneDrive, Outlook.com itp.) do komputera, w sytuacji kiedy hasło do konta Microsoft wycieknie nie spowoduje to bezpośredniego zagrożenia dla danych zgromadzonych na urządzeniach chronionych PIN-em.

Gdzie i jak kod PIN jest przechowywany?

PIN w usłudze Windows Hello jest przechowywany w module TPM bezpośrednio na płycie głównej, przy użyciu szyfrowania asymetrycznego. W założeniu kod PIN jest objęty lepszą ochroną przed atakującymi próbującymi przechwycić dane dostępowe i złośliwym oprogramowaniem. Warto również wiedzieć, że uwierzytelnienie za pomocą kodu PIN zapewnia ochronę przed próbą wielokrotnego odgadywania hasła – urządzenie wtedy jest blokowane. 

Zastosowanie biznesowe

Krótko wspomnę również o możliwości skorzystania z usługi Windows Hello for Business, co pozwala na wprowadzenie na wprowadzenie mechanizmów dla stosowania bardziej złożonych kodów nie składających się wyłącznie z cyfr oraz podniesienie ochrony kont użytkowników w Domenie Active Directory. Więcej w tym temacie znajdziemy na stronie:

https://docs.microsoft.com/pl-pl/configmgr/protect/deploy-use/windows-hello-for-business-settings

Medycyna pracy bez umowy powierzenia

Definicje

Na początku zdefiniujmy wykonawcę i jego obowiązki. Zgodnie z art. 2 ust 1 ustawy z dnia 27 czerwca 1997 roku o służbie medycyny pracy (Dz.U.2018.1155 t.j. z dnia 2018.06.15), jednostkami organizacyjnymi służby medycyny pracy są:

  1. podmioty wykonujące działalność leczniczą w celu sprawowania profilaktycznej opieki zdrowotnej nad pracującymi, z wyłączeniem pielęgniarek i położnych wykonujących zawód w formach określonych odrębnymi przepisami, zwane dalej „podstawowymi jednostkami służby medycyny pracy”;
  2. wojewódzkie ośrodki medycyny pracy.

Zakres umowy dot. badań

Zgodnie z art. 12 w/w ustawy umowa powinna określać w szczególności:

  1. strony umowy oraz osoby objęte świadczeniami z tytułu umowy;
  2. zakres opieki zdrowotnej, który w odniesieniu do pracowników powinien obejmować co najmniej te rodzaje świadczeń, do których zapewnienia zleceniodawca jest obowiązany na podstawie Kodeksu pracy, niniejszej ustawy i przepisów wydanych na ich podstawie;
  3. warunki i sposób udzielania świadczeń zdrowotnych, a w szczególności: sposób rejestracji osób objętych umową, organizację udzielania świadczeń, tryb przekazywania zaświadczeń lekarskich o zdolności do pracy bądź nauki oraz sposób podania tych informacji do wiadomości zainteresowanych;
  4. sposób kontrolowania przez zleceniodawcę wykonywania postanowień umowy;
  5. obowiązki zleceniodawcy wobec zleceniobiorcy

Podstawy do przetwarzania danych przez podmiot medyczny

Zgodnie z art. 6 ww. ustawy wykonawca jest umocowany do realizacji zadań o których mowa powyżej, a zgodnie z art. 11 dane zawarte w dokumentacji badań i orzeczeń są objęte tajemnicą zawodową i służbową.

Dane te mogą być udostępnione wyłącznie osobom lub podmiotom wyznaczonym i zdefiniowanym w przepisach prawa. Dodajmy jeszcze występujący tutaj element tajemnicy zawodowej, którym objęte są wszelkie informacje i dane o pacjencie, które zostały pozyskane przez osobę fizyczną wykonującą zawód medyczny przy udzielaniu mu świadczenia zdrowotnego.

Należy tutaj przytoczyć art. 14 ustawy z dnia 6 listopada 2008 roku o prawach pacjentów i Rzeczniku Praw Pacjenta (Dz.U.2017.1318 t.j. z dnia 2017.07.04), gdzie w celu realizacji prawa pacjenta do tajemnicy informacji z nim zawiązanych osoby wykonujące zawód medyczny są obowiązane zachować w tajemnicy informacje związane z pacjentem, w szczególności ze stanem zdrowia pacjenta, dane osobowe, jego status społeczny, rodzinny. W badaniach o których mowa powyżej występuje także dokumentacja medyczna kształtowana treścią ROZPORZĄDZENIA MINISTRA ZDROWIA z dnia 29 lipca 2010 r. w sprawie rodzajów dokumentacji medycznej służby medycyny pracy, sposobu jej prowadzenia i przechowywania oraz wzorów stosowanych dokumentów Dz.U.2010.149.1002 z dnia 2010.08.16) w której wskazano między innymi, że dokumentacja medyczna jest własnością podmiotów obowiązanych do jej prowadzenia, jest przechowywana przez jednostkę która ją prowadzi, a okres przechowywania wynosi 20 lat.

Podsumowanie

Podstawą przetwarzania danych osobowych przez jednostki medycyny pracy nie będzie więc pisemna umowa zawarta z pracodawcą na podstawie art. 12 u.s.m. (art. 6 ust. 1 lit. b RODO), a obowiązki prawne wynikające z ww. przepisów (art. 9 ust. 2 lit. b i h w zw. z art. 6 ust. 1 lit. c
RODO) oraz ochrona żywotnych interesów osoby, której dane dotyczą (art. 9 ust. 2 lit. c w zw. z art. 6 ust. 1 lit. d RODO).

W opisanym przypadku zawarcie umowy powierzenia nie jest wymagane, a jednostka medycyny pracy nie będzie podmiotem przetwarzającym (procesorem). Wykonawca będzie „klasycznym” administratorem danych osobowych, gdzie w pełnym zakresie ma obowiązek wypełnić wymagania obowiązujących przepisów, także RODO.

Kontrola UODO w Bankach dot. kopiowania dokumentów

#UODO zatwierdził plan kontroli sektorowych na rok 2020 a w nim znajdują się m.in.:

– Banki w kontekście kopiowania dokumentów tożsamości

W kontekście tej informacji zalecamy aby w Banku dokonać weryfikacji zgodności procesu kserowania dowodów tożsamości, należy przypomnieć, że zgodnie ze stanowiskiem Prezesa Urzędu Ochrony Danych Osobowych przedstawionym w piśmie sygn. ZSPR.027.306.2019 z sierpnia 2019r. art. 112b ustawy Prawo bankowe nie pozwala bankom wykonywać kserokopii i skanów dowodów osobistych klientów żeby np. założyć konto bankowe czy zbadać zdolność kredytową klienta. W opinii Prezesa UODO wystarczy wówczas spisanie danych z dokumentów tożsamości.

Jednakże zdaniem Prezesa Urzędu Ochrony Danych Osobowych Banki mogą kopiować dokumenty tożsamości, jeżeli wymagają tego względy bezpieczeństwa określone w art. 35 ustawy o przeciwdziałaniu praniu pieniędzy (przesłanki stosowania środków bezpieczeństwa) tj.

  1. nawiązywania stosunków gospodarczych
  2. przeprowadzania transakcji okazjonalnej:
  3. o równowartości 15 000 euro lub większej, bez względu na to, czy transakcja jest przeprowadzana jako pojedyncza operacja, czy kilka operacji, które wydają się ze sobą powiązanie, lub która stanowi transfer środków pieniężnych na kwotę przekraczającą równowartość 1000 euro.
  4. przeprowadzania gotówkowej transakcji okazjonalnej o równowartości 10 000 euro lub większej, bez względu na to, czy transakcja jest przeprowadzana jako pojedyncza operacja, czy kilka operacji, które wydają się ze sobą powiązane.
  5. obstawiania stawek oraz odbioru wygranych o równowartości 2000 euro lub większej (…)
  6. podejrzenia prania pieniędzy lub finansowania terroryzmu;
  7. wątpliwości co do prowadzenia lub kompletności dotychczas uzyskanych danych identyfikacyjnych klienta.

W naszej opinii dobrą praktyką będzie również sprawdzenie czy przechowywane kopie i skany dokumentów tożsamości zostały prawidłowo zabezpieczone oraz przez jaki okres są przechowywane w Banku jak wynika z Ustawy z dnia 1 marca 2018r. o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu – kopie dokumentów i informacje uzyskane w wyniku stosowania środków bezpieczeństwa należy przechowywać przez okres 5 lat licząc od pierwszego dnia roku następującego po roku, w którym zakończono stosunki gospodarcze z klientem lub w którym przeprowadzono transakcje okazjonalne.