Q&A webinar Audyt i wdrożenie RODO w praktyce

 

wdrozenie-rodo

 

1.Korzystamy z firmy hostingowej, czy powinniśmy mieć umowę powierzenia danych osobowych?

Zdecydowanie tak. Firma jako administrator danych musi odpowiednio się zabezpieczyć w razie gdyby pojawił się jakiś incydent. Należy tak przygotować umowę, aby firma hostingowa te incydenty monitorowała, a także poinformowała jakie środki stosuje w celu zabezpieczenia danych, a także gdzie są one przechowywane – czy w UE czy poza UE.

2. Czy pracodawca musi tworzyć dla pracowników jakieś dodatkowe dokumenty odnośnie RODO?

Tak. Przede wszystkim musi poinformować pracowników o tym, co się dzieje z ich danymi osobowymi, gdzie są one przetrzymywane, w jaki sposób są wykorzystywane i jakie konkretnie dane się przechowuje (np. członków rodzin dla różnych benefitów, opieki medycznej etc.). Te informacje można zawrzeć w aneksie do umowy o pracę. Zalecamy przygotować także krótką instrukcję dla nowych pracowników – handbook – z  informacją jakie firma stosuje narzędzia, polityki i procedury w kontekście przetwarzania danych. Ważbe będzie też odebranie od pracowników nowych zgód np. na wykorzystywanie wizerunku, korzystanie z systemów gdzie jest monitoring itp.

3. Czy sklep medyczny musi powoływać Inspektora Ochrony Danych (IOD)? Przetwarzane są dane o stanie zdrowia, a konkretnie jednostka chorobowa zakodowana.

Zdecydowanie tak. Jest to w przypadku sklepu medycznego obligatoryjne z uwagi na charakter przetwarzanych danych – dane medyczne to dane wrażliwe. Czas na powołanie IOD jest do 31 lipca. Trzeba taką osobę zgłosić na uodo.gov.pl, poprzez wypełnienie odpowiedniego formularza.

4. Firma zewnętrzna wykonuje dla nas zadania służby BHP. Czy powinniśmy zawrzeć umowę powierzenia?

Zdecydowanie tak. Trzeba mieć taką umowę.

5. Jeśli w bazie klientów znajdują się działalności gospodarcze to czy takie firmy trzeba poinformować, że są w bazie?

Tak, dobrą praktyką jest poinformowanie klientów o tym, że są w naszej bazie. Jeśli te kontakty chcemy wykorzystać do celów marketingowych, to należy o tym również poinformować. Jeśli natomiast nie posiadamy odpowiednich zgód na wysyłanie informacji o charakterze marketingowym, to powinno się usunąć te kontakty z bazy.

6. Jakie kwoty pozwalają zabezpieczyć technicznie średniej wielkości firmę usługową?

Od kilkunastu do kilkudziesięciu tysięcy. Zależy to do wielkości firmy – liczby oddziałów i liczby pracowników.

7. Jak często należy zmieniać hasła?

Można zmieniać hasła nawet co 6 miesięcy. Krytyczną rzeczą jest natomiast zwrócenie uwagi na ich długość. Ważne, aby hasło było dlugie, zawierało znaki specjalne, a także aby było łatwe do zapamiętania przez pracowników. Trzeba je zmieniać, ale nie jest to konieczne co 30 dni.

8. Jak samemu można sprawdzić, że zakupione rozwiązanie jest dobrze skonfigurowane?

To czy systemy są skonfigurowane tak, aby wszystko było bezpieczne i zgodne z RODO należy sprawdzić za pomocą pentestów. Sprawdzenie tego samemu może być żmudne i czasochłonne. Aby mieć pełną świadomość, najlepsze będzie wsparcie zewnętrznych specjalistów. Co więcej, RODO zaleca robienie pentestów, więc można to zaplanować w budżecie i taki mały audyt będzie na pewno na plus.

9. Czy można e-mailem wysłać zestawienie z naliczeniem wynagrodzeń do zewnętrznego biura rachunkowego?

Można, do tego biura rachunkowego, z którym firma współpracuje. Ważne, aby był ten plik zahasłowany lub odpowiednio zaszyfrowany. Koniecznie musi być z takim biurem podpisana umowa powierzenia danych osobowych.

10. Czy jeśli w firmie był ABI to automatycznie stał się Inspektorem Ochrony Danych (IOD) i nic nie trzeba zmieniać?

ABI jest automatycznie IOD do 1 września 2018r., a później przestaje nim być. Trzeba zatem wypełnić na stronie uodo.gov.pl odpowieni formularz zgłaszający nowego IOD. Jeśli dana firma ma obowiązek zgłoszenia IOD, musi to zrobić do 31.07.2018r.!