Jakie kryteria świadczą o tym, że dana organizacja ma status administratora danych osobowych? Kiedy natomiast staje się ona procesorem? Jak powinny wyglądać relacje pomiędzy administratorem a procesorem? Odpowiedź na te pytania nie jest łatwa. Na szczęście wiele wskazówek w tym zakresie można znaleźć w wytycznych Europejskiej Rady Ochrony Danych. Specjalnie dla naszych Czytelników analizujemy i wyciągamy wnioski z wytycznych EROD nr 7/2020 w sprawie pojęć administratora, współadministratora i podmiotu przetwarzającego.
Pytanie: Beneficjent projektów resortowych musi przekazać do instytucji zarządzającej (instytucji przyznającej wydatki) skany umów i rachunków wykonawców, świadczących usługi w projekcie (w celu rozliczenia wydatków). Widnieją na nich dane osobowe. Na jakiej podstawie prawnej beneficjent może przekazać takie dane, jeśli nie została między beneficjentem a instytucją zarządzającą podpisana umowa powierzenia danych?
Przekazywanie danych osobowych do podmiotu zlokalizowanego poza Europejskim Obszarem Gospodarczym czyli państwa trzeciego wymaga zastosowania odpowiednich rozwiązań. Tylko w ten sposób transfer taki będzie legalny. Sprawdź, jak to zrobić.
Jeżeli placówka medyczna zamierza przekazać dane osobowe pacjenta innemu podmiotowi, wówczas staje przed dylematem – czy zawrzeć umowę powierzenia, czy też nie jest to konieczne? Zależy to oczywiście od konkretnych okoliczności, ale także przepisów regulujących działalność podmiotów leczniczych.
Udostępnić dane osobowe, powierzyć ich przetwarzanie, a może upoważnić do ich przetwarzania? Z takim dylematem mierzy się niejeden administrator. Niestety podjęcie właściwej decyzji bywa trudne i zależy od okoliczności danego przypadku. We właściwym wyborze pomóc może praktyczne zestawienie w tabeli.
Pytanie: Szpital ma zawartą umowę z innym podmiotem leczniczym, który wykonuje określone badania dla pacjentów szpitala. W związku z tym zawarta jest pomiędzy tymi dwoma placówkami umowa wzajemnego udostępniania danych pacjentów i personelu medycznego. Czy oprócz tego należy zawrzeć umowę powierzenia?
Pytanie: Placówka prowadzi działalność związaną z usługami medycznymi. Na wybrane usługi ma podpisaną umowę współpracy z lekarzami o konkretnej specjalizacji np. chirurg stomatologiczny. W ramach tej umowy lekarz wykonuje danemu pacjentowi usługę, w zamian za to dostaje wynagrodzenie od placówki. Wszystkie dane pacjenta przetwarza administrator danych czyli placówka. Lekarz tylko w skrajnych sytuacjach przepisuje pacjentowi leki na receptę lub wystawia zwolnienie lekarskie. Czy z takim lekarzem należy podpisać umowę powierzenia przetwarzania danych?
Pytanie: Procesor współpracuje z jednym podprocesorem, niemniej jednak ta współpraca dotyczy danych powierzanych przez różnych administratorów. Czy w takiej sytuacji wystarczy jedna umowa podpowierzenia, czy należy zawierać odrębne dla każdego administratora?
Urząd Ochrony Danych Osobowych opublikował nową wersję poradnika dotyczącego naruszeń ochrony danych osobowych. Dokument zawiera nie tylko zaktualizowane procedury, ale również szczegółowe wskazówki dotyczące klasyfikacji naruszeń oraz roli inspektora ochrony danych. Nowe zapisy wzbudziły dyskusje wśród specjalistów – część z nich uznała, że stanowisko UODO może oznaczać bardziej rygorystyczne podejście do obowiązku zgłaszania incydentów. Administratorzy danych osobowych powinni zweryfikować swoje procedury i dokumentację, aby dostosować je do nowych wytycznych zawartych w tzw. Poradniku’25. Artykuł omawia kluczowe zmiany w poradniku, interpretacje przepisów oraz praktyczne konsekwencje dla ADO i IOD – zarówno w zakresie analizy ryzyka, jak i obowiązków związanych z dokumentowaniem oraz zgłaszaniem naruszeń.
04.03.2025
Otrzymuj raz w tygodniu aktualne informacje o zmianach w prawie oraz komentarze ekspertów
© Portal Poradyodo.pl
