Ochrona Danych Osobowych

Relacja – śRODOwe śniadanie 20 lutego 2019: rola IOD, usługi medyczne, leasing, podróże służbowe

Category śRODOwe śniadanie

20 lutego 2019 jak co drugą środę odbyło się śRODOwe śniadanie, czyli spotkanie praktyków ochrony danych osobowych.

Na wstępie zdecydowaliśmy czy kawa, czy herbata, a następnie oddaliśmy się dyskusji z osobami, które nas rozumieją lepiej niż ktokolwiek.

Rozmowa krążyła wokół codziennych spraw: roli, obowiązków i możliwości działania Inspektora Ochrony Danych (IOD), przetwarzania danych w ramach korzystania i świadczenia usług medycznych, a także niezwykle ciekawych tematów usług leasingowych i organizacji podróży służbowych.

Rozmawialiśmy między innymi o:

  • roli IOD w organizacji przetwarzającej dane osobowe,
    • wszyscy zgodnie przyznaliśmy, że IOD nie ma łatwej roli edukując ADO, negocjując czas, środki i narzędzia niezbędne dla IOD, szczególnie że funkcji tej nie powinno się łączyć z żadną inną związaną z przetwarzaniem danych,
    • część zebranych skłania się ku opinii, że aby dobrze pełnić obowiązki IOD trzeba być bardzo zżytym z organizacją ADO, najlepiej tam po prostu być zatrudnionym na co dzień - znać ludzi, kontekst działalności, realia pracy i bolączki zespołu,
    • jednym z ciekawszych zadań IOD w ramach międzynarodowych grup kapitałowych jest wprowadzanie współpracowników z centrali w polskie realia, praktykę interpretacyjną i wymogi,
    • być może w przyszłości IOD będzie pełnił swoją funkcję dla wielu ADO, bo dobrych fachowców brakuje,
    • IOD bywa specjalistą, doradcą, kierownikiem projektu,
    • ADO oczekuje od IOD zapewnienia, niemal gwarancji poprawności wdrożonych rozwiązań potwierdzonych oficjalnym podpisem, za którym stoją doświadczenie, kwalifikacje, niezależnie od niepewności związanej z wdrażaniem RODO i dopiero kształtujących się standardów, praktyki interpretacyjnej,
    • konieczne staje się posiadanie polisy OC dla roli IOD,
      • pytanie jakie PKD podać ubezpieczycielowi w związku z pełnieniem roli IOD,
      • pytanie co taka polisa będzie obejmować,
    • padło też prowokacyjne pytanie czy prawnik spełnia wymagania stawiane IOD,
      • naturalnie prawnicy widzą świat przez pryzmat przepisów prawa,
      • a dla IOD konieczna jest znajomość procesów i realiów biznesowych oraz umiejętność myślenia przez pryzmat zarządzania ryzykiem,
      • poza środkami ochrony prawnej należy myśleć o środkach ochrony technicznych, organizacyjnych, fizycznych,
      • być może do pełnienia roli IOD konieczna jest znajomość prawa, ale także interdyscyplinarna wiedza i zespół,
    • padło pytanie czy informatycy lub HRowcy potrafią współpracować z prawnikami, audytorami, IOD,
      • rozmowa potoczyła się w kierunku przykładów asertywności informatyków oraz HRowców, którzy kierują się dobrze sobie znanymi zasadami i dobrymi praktykami,
      • przepisem na dobrą współpracę wydaje się być odejście od ogółu i przejście do szczegółów, rozmowa o konkretnych sytuacjach czy obszarach przetwarzania,
    • audyt warto "sprzedać" jako obiektywnie potrzebny, przydatny i wnoszący wartość do codziennej pracy, np. przez uporządkowanie procesów,
      • audyt nie jest jednorazową czynnością sprawdzającą, ale cyklicznym działaniem, które ma na celu doskonalenie małymi krokami, sprawdzanie czy wprowadzone rozwiązania się sprawdzają, jak zespół ocenia ich adekwatność,
      • podobnie jak jest to w przypadku ISO27k
    • z pewnością ADO poważniej potraktują rolę IOD kiedy:
      • media zaczną donosić o kontrolach sektorowych w naszej branży,
      • karach nałożonych na polskich przedsiębiorców,
      • działalności zawodowych wyłudzaczy łapiących ADO na kruczki prawne i domagających się odszkodowań,
  • "Medycyna leży"
    • personel medyczny i pomocniczy ma bardzo wymagającą pracę i jest niechętny podejmowaniu kolejnych obowiązków lub przyjmowaniu rozwiązań utrudniających pracę,
    • w wielu placówkach medycznych stan dostosowania jest pozorny albo wręcz odwrotnie - narzucane są rozwiązania skrajnie restrykcyjne i niepotrzebne
    • audytorzy, prawnicy, IOD powinni dołożyć szczególnej staranności, aby poznać tą branżę, zanim zaczną ją reformować,
    • z całą pewnością prywatne zakłady opieki zdrowotnej stają się administratorami danych pacjentów, na rzecz których pracodawcy wykupujący pakiety medyczne świadczą usługi przetwarzania danych jako procesorzy zbierający i przekazujący dane pracowników,
  • podróże służbowe rodzą sporo pytań i wątpliwości, kto jest kim dla kogo i jaką podstawę prawną należy zastosować:
    • organizacja podróży często powierzana jest całemu szeregowi podmiotów:
      • biuro podróży,
      • linie lotnicze,
      • hotele,
    • organizacją podróży często zajmują się osoby z innej spółki grupy kapitałowej, czyli całkowicie odrębnych podmiotów,
    • jeśli w tej łamigłówce pojawiają się osoby lub destynacje z krajów trzecich, robi się tym bardziej interesująco,
  • leasing jest również ciekawym przypadkiem współpracy, w ramach którego:
    • pracodawca często przekazuje leasingodawcy dane pracowników w celu obsługi mandatu lub umówienia i wykonania usługi serwisowej,
    • ale firmy leasingowe nie chcą być ADO danych pracowników,
    • pojawia się też pytanie kto jest jest ADO w ramach zbierania danych z GPS zamontowanych w pojazdach, jeśli pojazd jest wykorzystywany do celów służbowych, ale również do celów prywatnych,
  • firmy kurierskie i transportowe oraz relacje z nimi były kolejnym obszarem naszego zainteresowania,
    • generalnie dzielimy je na te, które działają na podstawie
      • prawa przewozowego - są wtedy ADO,
      • pozostałe - które są wyłącznie procesorem,
    • zazwyczaj firmy kurierskie zatrudniają kurierów z własną działalnością, ale odchodzimy od traktowania ich jako procesorów, a skłaniamy się do uznawania ich za "pracowników" w szerokim sensie (ang. "staff")
  • nowe realia RODO stawiają przez ADO cele, które należy wypełniać "dobrze", ale nadal trwa dyskusja i wypracowywanie standardów co to właściwie znaczy "dobrze",
    • duża przestrzeń do interpretacji rodzi niepewność, potencjalnie niepotrzebne koszty dla przedsiębiorców albo oszczędności, ale zwiększające ryzyko niezgodności z przepisami,
    • często obie strony relacji umownej różnie interpretują przepisy ograniczając swoje ryzyko, a w rezultacie umowy pozostają niepodpisane,
    • dość często faktyczny ADO nie podejmuje się tej roli unikając odpowiedzialności oraz spełnienia wymagań przepisów,
    • konieczność edukowania silniejszego ekonomicznie kontrahenta często spada na podwykonawcę,
    • tym bardziej konieczne jest zatrudnienie fachowego doradcy, a najlepiej IODa.

Natępne śRODOwe śniadanie już 6 marca: https://favitor.pl/srodowe-sniadanie/

Zgłoś swój udział i temat najbliższego śRODOwego śniadania!

Udział jest bezpłatny za emailowym potwierdzeniem ze strony organizatora.
KLIKNIJ TUTAJ
Tags , , , ,
RELATED STORIES
vamtam-theme-circle-post
Category śRODOwe śniadanie

Relacja – śRODOwe śniadanie 6 marca 2019: marketing, sprzedaż, telemarketing, analiza ryzyka

11 marca 2019
W środę 6 marca 2019, jak co dwa tygodnie, odbyło się śRODOwe śniadanie, czyli spotkanie...
Tags , , , , ,
Read More
vamtam-theme-circle-post
Category śRODOwe śniadanie

Relacja – śRODOwe śniadanie 6 lutego 2019: analiza ryzyka, rekrutacja, Facebook, biometria

6 lutego 2019
W środę 6 lutego 2019 mieliśmy ponownie przyjemność zaprosić Państwa na śRODOwe śniadanie, czyli spotkanie...
Tags , , , , , ,
Read More
vamtam-theme-circle-post
Category śRODOwe śniadanie

Relacja – śRODOwe śniadanie 23 stycznia 2019: ADO, procesor, upoważnienia, obowiązek informacyjny, rekrutacja, wizerunek

24 stycznia 2019
W środę 23 stycznia 2019 mieliśmy przyjemność zaprosić Państwa na pierwsze śRODOwe śniadanie, czyli spotkanie...
Tags , , , , , , , , ,
Read More