Zamówienia publiczne, dostęp do danych osób, które już nie pracują w placówce, nieprzestrzeganie zasady czystego biurka czy też brak odpowiednich szkoleń personelu z zakresu ochrony danych osobowych. To tylko niektóre z nieprawidłowości, jakie pojawiają się podczas przeprowadzania audytów w placówkach medycznych.
Przepisy RODO nakładają na placówki obowiązek włączania inspektora ochrony danych we wszystkie procesy dotyczące ochrony danych osobowych. Dotyczy to również naruszeń ochrony danych. Jak zatem zadbać o to, aby w odpowiedni sposób go ująć w procesie rozpatrywania skarg i wniosków?
Bardzo często naruszenia ochrony danych są wynikiem niewykonywania bądź nienależytego wykonywania przez pracowników obowiązków służbowych. Czy w takiej sytuacji odpowiedzialność ponosi administrator danych osobowych, pracodawca, właściciel gabinetu? Sprawdź, jak należy interpretować przepisy w tej kwestii.
Szczególnej ochrony danych osobowych wymagają dzieci, gdyż mogą one być mniej świadome ryzyka, konsekwencji, zabezpieczeń i praw przysługujących im w związku z przetwarzaniem danych osobowych. Tym bardziej więc administrator musi spełnić obowiązek poinformowania dziecka o naruszeniu ochrony jego danych (art. 34 RODO). Taki obowiązek aktualizuje się dopiero w razie wysokiego prawdopodobieństwa wystąpienia negatywnych konsekwencji dla praw lub wolności osób fizycznych.
Przedsiębiorca nie ma konieczności wyrabiania pieczątki. A to dlatego, że w polskim prawie nie ma zapisu, który by to nakazywał. Są jednak zawody, w których posiadanie pieczątki jest obowiązkowe. Pieczątka jest wymagana w zawodach medycznych: lekarza, weterynarza, pielęgniarki, położnej, diagnosty laboratoryjnego. W przypadku tych zawodów pieczątki są określone stosownymi uchwałami i rozporządzeniami.
Wysyłanie jednej wiadomości elektronicznej do kilku odbiorców udostępniają w ten sposób dane wszystkich adresatów, kradzież lub zgubienie laptopa, błędy w udostępnianiu dokumentacji medycznej lub złośliwe oprogramowanie IT, to tylko niektóre z często odnotowywanych przez UODO przypadków naruszenia danych. Sprawdź, jak się przed nimi chronić.
Każdy administrator musi zagwarantować, by proces przetwarzania danych osobowych był realizowany w warunkach zapewniających odpowiedni poziom bezpieczeństwa. Jednak nawet najlepszy system nie gwarantuje absolutnego bezpieczeństwa. Dlatego tak istotne jest opracowanie właściwej procedury na wypadek naruszenia ochrony danych osobowych.
W niektórych przypadkach, po stwierdzeniu że nastąpiło naruszenie ochrony danych osobowych, placówka jest zobowiązana do zgłoszenia określonego incydentu PUODO, a niekiedy również do powiadomienia o naruszeniu osób, których te dane dotyczą. Przy ocenie, czy w danym przypadku należy dokonać powiadomienia, istotna jest analiza incydentu pod kątem ryzyka dla praw i wolności osób fizycznych. Sprawdź, jak dokonać takiej analizy.
W przypadku naruszenia ochrony danych obowiązkiem administratora danych osobowych jest niezwłoczne zawiadomienie Prezesa UODO o dokonanym naruszeniu , ale też poinformowanie o tym naruszeniu podmiotu danych – jeżeli występuje wysokie ryzyko naruszenia praw lub wolności osoby fizycznej. Niestety stosunkowo często zawiadomienia są sporządzone zbyt ogólnikowo lub są wewnętrznie sprzeczne. Jak uniknąć błędów? Warto skorzystać z rad organu nadzorczego.
Rolą administratora jest ocena, czy dane zdarzenie jest naruszeniem ochrony danych uzasadniającym dokonanie zgłoszenia do Prezesa UODO, ewentualnie do podmiotu danych. Czy można z góry wykluczyć konieczność takiego zgłoszenia, jeżeli naruszono ochronę danych osobowych tylko jednej osoby?
Zjawisko „hejtu w Internecie” stało się w dzisiejszych czasach niestety bardzo rozpowszechnione. Grupą zawodową szczególnie narażoną na tego typu działalność są lekarze. Jakie istnieją środki do walki z hejtem i czy ustawa o ochronie danych osobowych może być w tej kwestii pomocna?
P ojawia się coraz więcej wątpliwości odnośnie do tego, co możemy uznać za tzw. wyciek danych podlegający obowiązkowi zgłoszenia do Prezesa Urzędu Ochrony Danych Osobowych. Niestety, nie sposób jest ustalić jednej wspólnej odpowiedzi dla wszystkich przypadków, jednak są pewne kategorie danych, których nieuprawnione udostępnienie powoduje automatyczny obowiązek dokonania zgłoszenia. Sprawdź, jakie to przypadki.
Jeżeli personel placówki ochrony zdrowia wykryje jakiekolwiek naruszenie ochrony danych, to ma obowiązek niezwłocznie to zgłosić do przełożonego, inspektora ochrony danych lub kierownika placówki. Czy w takiej sytuacji należy również powiadomić osoby, których dane zostały zgubione czy też wykradzione? Sprawdź, jak postąpić, aby wykazać podczas kontroli należytą staranność.
Upublicznienie przez Dolnośląski Związek Piłki Nożnej danych osobowych sędziów zawierających ich imiona i nazwiska, ale także dokładne adresy zamieszkania oraz numery PESEL stanowi naruszenie danych osobowych. Tak ocenił Prezes Urzędu Ochrony Danych Osobowych i nałożył na administratora karę finansową w wysokości ponad 55 tys. złotych. Zdaniem PUODOnie było żadnych podstaw prawnych, by w Internecie dostępny był aż tak szeroki zakres danych sędziów. Upubliczniając je, administrator stwarzał potencjalne ryzyko ich bezprawnego wykorzystania, np. do podszycia się pod te osoby w celu zaciągania pożyczek czy innych zobowiązań.
Jeżeli ze względu na ryzyko naruszenia dla praw i wolności osób fizycznych administrator zdecydował powiadomić o incydencie Prezesa Urzędu Ochrony Danych Osobowych, wówczas musi to zrobić bez zbędnej zwłoki.Aby ocenić to ryzyko pomocne będą wytyczne wytyczne dotyczące klasyfikacji naruszeń i procedura zgłaszanie naruszenie ochrony danych do organu nadzorczego.
© Wiedza i Praktyka
/WiedzaiPraktyka
/wip
Chcesz otrzymywać powiadomienia o zmianach prawnych, webinariach i wydarzeniach branżowych?
Wyrażając zgodę na otrzymywanie powyższych powiadomień, oświadczam iż zapoznałem/am się z Regulaminem usługi i zgadzam się na stosowanie jego postanowień.