Pytanie:  Jesteśmy ośrodkiem badawczym. Realizujemy badanie kliniczne. Powstała jednak wątpliwość, kto jest administratorem danych wobec danych osobowych osób biorących udział w badaniu klinicznym. Czy będzie to sponsor badania klinicznego czy ośrodek badawczy, który to badanie kliniczne realizuje?

Coraz częściej słyszymy o wyciekach danych osobowych. Zwykle jest to wynik udostępniania danych osobowych bez wcześniejszej weryfikacji tożsamości osoby wnioskującej o dane. Poznaj sposoby, dzięki którym zabezpieczysz się przed ujawnieniem danych osobowym nieupoważnionym osobom czy podmiotom.

Jednym z obowiązków administratora bezpieczeństwa informacji jest prowadzenie rejestru zbiorów danych osobowych przetwarzanych przez administratora. Rejestr powinien być jawny. Dowiedz się, czy można zatem udostępnić informacje, które się w nim znajdują przez telefon.

Pytanie:  Czy zbiór danych osobowych zawierający dane wrażliwe trzeba zgłaszać do rejestracji u Generalnego Inspektora Ochrony Danych Osobowych? Jeżeli taki obowiązek istnieje, to z jakiego przepisu prawa on wynika? Czy jeżeli administrator danych powołał ABI, to nie ma już takiego obowiązku?

Pytanie:  Czy w kwestionariuszu osobowym i formularzu ubezpieczeniowym należy zamieścić klauzulę zgody na przetwarzanie danych osobowych? Czy w celu udzielenia urlopu okolicznościowego pracownik działu kadr może zażądać np. kopii aktu zawarcia małżeństwa, narodzin dziecka lub aktu zgonu?

Pytanie:  W ostatnim czasie otrzymuję telefony od różnych firm, które proponują usługi szkoleniowe i wdrożenie procedur w tym zakresie. Informują, że jeżeli nie dopełnię obowiązku szkoleń i nie powołam ABI do końca listopada tego roku, to mogę spodziewać się kary od GIODO. Czy rzeczywiście przepisy przewidują taki obowiązek?

Pytanie:  Jaka odpowiedzialność grozi na gruncie polskiej ustawy z 29 sierpnia 1997 r. o ochronie danych osobowych, w przypadku gdy administrator danych albo jeden z jego pracowników niewłaściwie zabezpieczy dokumenty (w formie elektronicznej i papierowej), które zawierają wrażliwe dane osobowe?

Pytanie:  Administrator danych pozyskuje zgody marketingowe na prowadzonych przez siebie portalach. Informacje o wypełnionych formularzach i zawartych w nich zgodach są gromadzone przez podmiot trzeci na jego serwerach. W kolejnym kroku ten podmiot przekazuje w wersji elektronicznej raporty zawierające dane osób zarejestrowanych administratorowi bazy. Czy w takiej sytuacji administrator danych powinien podpisać z tym podmiotem trzecim (dostawcą serwerów, na których gromadzone są dane) umowę powierzenia przetwarzania danych osobowych?

Pytanie:  Szpital podpisał umowę na udzielanie świadczeń w ramach nocnej i świątecznej opieki zdrowotnej z podmiotem zewnętrznym. Zadaniem tego podmiotu jest zebranie danych od pacjentów, udzielenie świadczenia medycznego, prowadzenie dokumentacji medycznej pacjentów oraz wprowadzenie danych do systemu informatycznego na potrzeby ich rozliczenia z NFZ. W zakresie zadań szpitala leży sprawozdawczość świadczeń do NFZ i comiesięczne fakturowanie. Szpital chce dołączyć do umowy głównej odrębną umowę powierzenia przetwarzania danych osobowych. Czy w opisanej sytuacji szpital jest administratorem danych, a podmiot zewnętrzny jest podmiotem przetwarzającym, któremu szpital powierza dane osobowe do przetwarzania?

Jednoczesne pozyskanie zgody na przetwarzanie danych osobowych do różnych celów i przez różnych administratorów danych jest możliwe. Osoba, która wyraża zgodę, powinna mieć jednak możliwość swobodnego wyboru, czy i jakim administratorom danych i do jakich celów przekazuje swoje dane. Dowiedz się, jak spełnić te warunki.