Administrator Danych Osobowych

(I) Udostępnienie dokumentacji medycznej po śmierci mieszkańca DPS – kto ma prawo do wglądu?

Udostępnienie dokumentacji medycznej po śmierci mieszkańca DPS – kto ma prawo do wglądu?

Pytanie:  Sprawa dotyczy Domu Pomocy Społecznej (DPS). Zmarł mieszkaniec DPS. Córka zmarłego mieszkańca zwróciła się o udostępnienie całej dokumentacji medycznej zmarłego. Córka za życia nie została upoważniono przez zmarłego. Opiekę medyczną nad mieszkańcami sprawuje POZ przychodnia i to u niej znajduje się dokumentacja medyczna. W DPS znajdują się tylko raporty dobowe. Wydaje mi się, że administratorem dokumentacji medycznej jest przychodnia i to do niej powinna zwrócić się córka zmarłego. Natomiast jak wygląda sprawa w przypadku śmierci mieszkańca DPS a nie ma osoby upoważnionej? Jakie dokumenty potwierdzające prawo do otrzymania dokumentacji medycznej powinna posiadać ta osoba?
Korzyści 

Z artykułu dowiesz się m.in.:

  1. Kto jest administratorem dokumentacji medycznej mieszkańca DPS – DPS czy przychodnia?
  2. Czy córka zmarłego mieszkańca może uzyskać jego dokumentację medyczną bez upoważnienia?
  3. Czy dokumentacja medyczna może być udostępniona osobie bliskiej zmarłego?
  4. Jakie dokumenty należy przedstawić, by uzyskać dokumentację medyczną po śmierci pacjenta?
  5. Czy DPS może samodzielnie przekazać raporty dobowe po śmierci mieszkańca?
    koniec
KSeF a dane osobowe – kto jest administratorem i jaka jest podstawa prawna przetwarzania danych

Ochrona danych osobowych w KSeF – status administratorów i podstawa prawna przetwarzania danych

Wdrożenie Krajowego Systemu e-Faktur (KSeF) stanowi jedną z najistotniejszych zmian w polskim systemie podatkowym ostatnich lat. Centralizacja fakturowania w jednym, państwowym systemie teleinformatycznym rodzi jednak fundamentalne pytania o bezpieczeństwo i zasady przetwarzania danych, w tym w szczególności osobowych. Każda faktura, zwłaszcza w obrocie z osobami fizycznymi prowadzącymi działalność gospodarczą, zawiera szereg informacji stanowiących dane osobowe . Niniejszy artykuł ma na celu przybliżenie ram prawnych ochrony danych w KSeF.

Korzyści 

Z artykułu dowiesz się m.in.:

  1. Bezpieczeństwo i ochrona danych osobowych w KSeF
    Krajowy System e-Faktur (KSeF) wprowadza centralne przetwarzanie faktur, co rodzi istotne wyzwania w zakresie ochrony danych osobowych. Administratorem danych w systemie jest Szef KAS, który odpowiada za bezpieczeństwo teleinformatyczne i zgodność z RODO. Ochrona danych w KSeF opiera się na zasadach przejrzystości, minimalizacji i legalności.
  2. Status administratorów i podstawa prawna przetwarzania danych
    Podatnik pozostaje administratorem danych swoich kontrahentów, natomiast Szef KAS pełni rolę niezależnego administratora całego systemu KSeF. Przetwarzanie danych odbywa się na podstawie art. 6 ust. 1 lit. c RODO, czyli w celu realizacji obowiązku prawnego. Ochrona danych osobowych w KSeF nie wymaga zgody ze względu na ustawowy interes publiczny.
  3. Konsekwencje dla podatników i organów publicznych
    Obowiązki związane z KSeF oznaczają nowy model odpowiedzialności w zakresie przetwarzania danych osobowych. System KSeF wymusza zgodność z zasadami ochrony danych, zapewniając jednocześnie bezpieczeństwo i transparentność obrotu gospodarczego. Dla przedsiębiorców oznacza to konieczność dostosowania procesów księgowych i informacyjnych do wymogów RODO.
Administrator danych w ogłoszeniach online – wyrok TSUE Russmedia Digital a komunikat UODO

Dane w ogłoszeniach internetowych: kiedy właściciel platformy staje się administratorem danych i jakie środki musi wdrożyć

Wyrok TSUE w sprawie C‑492/23 Russmedia Digital i Inform Media Press oraz najnowszy komunikat UODO potwierdzają, że właściciel strony internetowej z ogłoszeniami jest administratorem danych osobowych zawartych w publikowanych treściach. Oznacza to konieczność wdrożenia środków technicznych i organizacyjnych, które pozwolą zidentyfikować ogłoszenia z danymi szczególnych kategorii, zweryfikować tożsamość reklamodawcy i jego podstawę prawną przetwarzania danych – także w kontekście rosnącego zjawiska „celeb bait” w mediach społecznościowych.

Czy można uzależnić udostępnienie danych osobowych od wdrożenia środków bezpieczeństwa?

Czy można uzależnić udostępnienie danych osobowych od wdrożenia środków bezpieczeństwa?

Pytanie:  Dwóch administratorów przygotowuje umowę biznesową w ramach, której dochodzi do udostępnienia danych osobowych. Czy można uzależnić udostępnienie danych osobowych od spełnienia przez drugiego administratora środków technicznych i organizacyjnych gwarantujących odpowiedni stopień bezpieczeństwa danym osobowych?
Korzyści 

Z porady dowiesz się m.in.:

  • Czy współadministratorzy mogą uzależnić udostępnienie danych osobowych od spełnienia środków bezpieczeństwa?

  • Jakie wymagania RODO dotyczą współadministrowania danymi osobowymi?

  • Czy administrator może odmówić współpracy, jeśli drugi administrator nie stosuje odpowiednich środków ochrony danych?

  • Jak określić odpowiedzialność każdego z administratorów przy współadministrowaniu?

  • Jakie prawa mają osoby, których dane dotyczą, wobec współadministratorów?

  • Czy podpisanie umowy o współadministrowanie musi uwzględniać standardy bezpieczeństwa danych osobowych?

Czy administrator danych musi realizować obowiązek informacyjny, gdy dane przegląda AI

Czy administrator danych musi realizować obowiązek informacyjny, gdy dane przegląda AI

Pytanie:  Zgodnie z zadanym promptem model językowym (LLM) będzie przy wykorzystaniu funkcjonalności agenta wyszukiwał strony internetowe potencjalnych dostawców, przeglądał je strona po stronie, wyszukiwał dane kontaktowe, a następnie po zatwierdzeniu oferty przedsiębiorstwa przekieruje się do biznesowych portali społecznościowych, pośród których będzie znajdował osoby odpowiedzialne za sprzedaż w tych przedsiębiorstwach i kontaktował się z nimi. Jaki stosunek do danych „roboczych”, które model „przegląda” ma administrator danych i czy przysługuje im realizacja wszystkich obowiązków wskazanych w RODO (np. obowiązek informacyjny)? Oczywiście chodzi o dane nie pojawiające się w wyniku działania modelu.
Jak określić status administratora danych w złożonej strukturze jednostki

Jak określić status administratora danych w złożonej strukturze jednostki

Określenie statusu administratora danych w ramach rozbudowanych struktur organizacyjnych to jedno z kluczowych zadań inspektora ochrony danych. Błędne przypisanie roli ADO lub nieuprawnione zawarcie umowy powierzenia może skutkować poważnym naruszeniem ochrony danych i obowiązkiem zgłoszenia incydentu do PUODO. Dowiedz się, jak prawidłowo ustalić administratora w jednostkach organizacyjnych i jakie działania podjąć w razie nieprawidłowości.

Korzyści 
  • Status administratora danych w jednostkach organizacyjnych zależy od faktycznego decydowania o celach i sposobach przetwarzania danych osobowych pracowników, klientów czy kontrahentów. 
  • W praktyce pojawia się problem zawierania umów powierzenia przetwarzania danych. Jeżeli dyrekcja generalna nie ma formalnego umocowania (np. pełnomocnictwa) do działania w imieniu wszystkich jednostek, nie może zawrzeć takiej umowy. W przeciwnym razie dochodzi do nieuprawnionego udostępnienia danych osobowych, co stanowi naruszenie ochrony danych i może zostać zakwalifikowane jako incydent wymagający zgłoszenia do Prezesa UODO.
  •   Skutki błędnego przypisania roli administratora obejmują konieczność oceny ryzyka i wdrożenia procedury zgłoszenia incydentu bezpieczeństwa do organu nadzorczego. Każda jednostka, będąca administratorem danych osobowych, musi samodzielnie analizować naruszenia i zapewnić zgodność z art. 33 RODO.
Czy Inspektor Ochrony Danych może nadawać upoważnienia do przetwarzania danych osobowych?

Czy Inspektor Ochrony Danych może nadawać upoważnienia do przetwarzania danych osobowych?

Inspektor Ochrony Danych pełni kluczową rolę w zapewnieniu zgodności przetwarzania danych osobowych z przepisami RODO. Jego rola powinna koncentrować się na nadzorze, doradztwie oraz opiniowaniu procesów związanych z upoważnieniami, aby zagwarantować ich zgodność z obowiązującym prawem i uniknąć konfliktu interesów. A jak wygląda kwestia nadawania upoważnień do przetwarzania danych osobowych? Na kim spoczywa odpowiedzialność za tego rodzaju czynności – administratorze danych osobowych czy może inspektorze ochrony danych?

Korzyści 
  • Nadawanie upoważnień do przetwarzania danych osobowych to zadanie wyłącznie administratora danych lub osoby wyraźnie przez niego umocowanej, a nie Inspektora Ochrony Danych (IOD) ani jego zastępcy. 
  • Rola IOD powinna ograniczać się do nadzoru, doradztwa i opiniowania zgodności treści upoważnień z przepisami prawa, aby uniknąć konfliktu interesów oraz zapewnić niezależność funkcji IOD. 
  • Zaleca się uregulowanie w dokumentach wewnętrznych organizacji (np. polityce bezpieczeństwa danych) podziału kompetencji między administratorem a IOD oraz aktualizację procedur zgodnie z wytycznymi UODO.
e1d372e849a715872393eed30c3dd24f23185c57-xlarge (2)

Czy kancelaria prawna musi zawrzeć umowę powierzenia danych z klientem?

Pytanie:  Kancelaria prawna chce podpisać umowę na usługi prawne z zakładem komunikacji. Czy konieczne jest także podpisanie umowy powierzenia danych osobowych.
Czy dane zbierane w IPN podlegają RODO? Prezes UODO wnioskuje o uchwałę NSA

Czy dane zbierane w IPN podlegają RODO? Prezes UODO wnioskuje o uchwałę NSA

Czy dane osobowe przetwarzane przez Instytut Pamięci Narodowej podlegają przepisom o ochronie danych osobowych? Rozbieżności w orzecznictwie sądów administracyjnych skłoniły Prezesa UODO do wystąpienia z wnioskiem o uchwałę Naczelnego Sądu Administracyjnego. Kluczowe znaczenie ma interpretacja art. 71 ustawy o IPN. Sprawdź, co może się zmienić i jakie znaczenie ma to dla administratorów danych.

4a49e54d8df68248e80c47a9b4b6a9ac907c407a-xlarge (59)

Podmiot przetwarzający musi współpracować z administratorem danych osobowych w kwestii zabezpieczeń

Odpowiedzialność za zastosowanie odpowiednich środków mających zapewnić bezpieczeństwo danych osobowych rozciąga się na wszystkie podmioty uczestniczące w procesach przetwarzania danych osobowych. Dlatego podmiot przetwarzający, w oparciu o aktualne postanowienia umowy powierzenia, a także w oparciu o aktualne przepisy i wiedzę techniczną, powinien sprawdzać na bieżąco, czy świadcząc swe usługi, stosuje adekwatne rozwiązania. Tak wynika z jednej z decyzji UODO, która dotyczyła ataku hakerskiego.

Korzyści 

Za artykułu dowiesz się m.in.:

  • Podmiot przetwarzający musi współpracować z administratorem danych osobowych (ADO) w zakresie zabezpieczeń, weryfikując, czy stosowane środki techniczne i organizacyjne zapewniają odpowiednie bezpieczeństwo danych. Niedopatrzenia, takie jak brak analizy ryzyka i niewłaściwe zabezpieczenia serwera, mogą prowadzić do kar finansowych, jak pokazuje decyzja UODO w sprawie ataku hakerskiego.


  • Podmiot przetwarzający powinien aktywnie wspierać ADO, m.in. informując o podatnościach w systemach czy rekomendując aktualizację zabezpieczeń. Jego odpowiedzialność wynika z umowy powierzenia i RODO, a zaniechanie pomocy lub brak odpowiednich działań prewencyjnych może skutkować karami.

  • Umowa powierzenia powinna być regularnie aktualizowana, uwzględniając zmiany technologiczne i ryzyka. Podmiot przetwarzający musi udostępniać ADO niezbędne informacje, ułatwiając audyty i kontrole, a także potwierdzać posiadanie odpowiednich zasobów oraz wiedzy technicznej w celu spełnienia wymogów RODO.

4d3585e53b92f7efac98b6b638ac481ec306feff-xlarge

Jak stosować Akt w sprawie AI, czyli wytyczne dla administratorów danych osobowych

Obecnie czekamy na oficjalne uchwalenie ostatecznej wersji przepisów europejskiego Aktu o sztucznej inteligencji. Akt ten ma wpływ na sposób wykonywania obowiązków w zakresie przetwarzania danych osobowych zarówno przez twórców rozwiązań z zakresu sztucznej inteligencji (AI) jak i użytkowników takich rozwiązań, zwłaszcza firm, które swoją działalność choćby częściowo o takie rozwiązania oprą.

bbd6acf5be5bfdd91cac8ac5e384589e8e411fc9-xlarge (1)

Weterynarz jako administrator danych osobowych

Pytanie:  Gmina zawiera umowę z weterynarzem. Dotyczy ona m.in. trwałego elektronicznego znakowania psów. W ramach tej umowy weterynarz ma wprowadzać dane właścicieli psów do bazy danych „Safe Animal”. Czy weterynarz jest odrębnym administratorem danych osobowych, który musi spełnić obowiązek informacyjny względem właścicieli zwierząt?
94ed09fa9f0186f04ef316bf6c9e596f57175853-xlarge (1)

Dodatek węglowy – czy konieczne powierzenie przetwarzania danych innemu organowi

Zasadniczo wnioski o wypłatę dodatku węglowego rozpoznaje wójt, burmistrz lub prezydent miasta. Nic jednak nie stoi na przeszkodzie upoważnieniu w tym zakresie innego organu. Czy należy wówczas zawrzeć z tym organem umowę powierzenia przetwarzania danych? Czy też staje się on odrębnym administratorem? Wyjaśnienie w artykule.

zagrożenie nuklearne

Dystrybucja jodku potasu – kto ma status ADO

Pytanie:  Urząd gminy organizuje transport i dystrybucję jodku potasu. W związku z tym przetwarzane są dane osobowe w związku z tymi czynnościami m.in. imię i nazwisko, miejsce zamieszkania oraz wieku z wyodrębnieniem kobiet w ciąży i karmiących. Dane te są przekazywane Państwowemu Powiatowemu Inspektorowi Sanitarnemu. Kto jest administratorem tych danych osobowych?
zgłoszenie o naruszeniu RODO

Jak prawidłowo wskazać w dokumentacji administratora danych osobowych

Pytanie:  Czy w przypadku prowadzenia jednoosobowej działalności gospodarczej we wszystkich dokumentach (zwłaszcza w klauzulach informacyjnych) jako administratora można podać firmę? Czy też bezpiecznej jest użyć zwrotu: „Administratorem Państwa danych jest Jan Kowalski prowadzący działalność pod firmą XXXX"? 

Nasi partnerzy i zdobyte nagrody » 

Nagrody i wyróżnienia» 

Poznaj kluczowe zagadnienia, z jakimi możesz się zetknąć podczas codziennej pracy IODO.
E-kurs dla początkującego Inspektora Danych Osobowych. Rzetelna wiedza i praktyczne ćwiczenia.

SPRAWDŹ »

© Portal Poradyodo.pl

24-h bezpłatny test portalu!
Zyskaj pełen dostęp do bazy porad i aktualności!

SPRAWDŹ »

x