RODO i ISO – wzór

Wdrożenie Systemu Zarządzania Jakością ISO, GMP lub RODO to nie tylko dokumentacja, która raz opracowana leży na półce lub folderze. Często zdarza się tak, że firmy zamawiają szbalonową dokumentację dotyczącą ISO 9001, 14001, 45001 lub RODO, po czym nie wie co znią zrobić, jak wprowadzić zapisy do procesów firmy. Z reguły doradztwo w zakeresie wdrożenia systemu jest dodatkowo płatne, o czym klient nie bywa informowany przed podjęciem współpracy. Jest to praktyka nieprawidłowa, która utwierdza przekonanie, że certyfikowany system zarządzania lub realizowanie przepisów RODO to tylko dodatkowa biurokracja.
Tymczasem właściwe wdrożenie polega na indywidualnym podejściu do klienta, zrozumieniu jego działalności, kontekstu oraz struktury organizacyjnej i procesów. Wymagana dokumentacja ISO lub RODO jest opracowywana z uwzględnieniem powyższych kwestii dopasowana do potrzeb firmy.
W taki sposób działa firma NW Systemy Zarządzania sp. z o.o., która podczas wdrożeń zachowuje pełny kontakt z klientem. Nasi eksperci na każdym etapie uzgadniają konieczne formularze, procedury i inne udokumentowane informacje. W ten sposób system zarządzania lub przepisy RODO nie są martwe, tylko są stosowane bez kreowania nadmiernej “papierologii”. Zapewnia to zgodność z prawem oraz daje gwarancję uzyskania i utrzymania certyfikatów.

RODO – umowa powierzenia

Zawarcie umowy powierzenia przetwarzania danych osobowych powinno nastąpić wówczas, gdy administrator w celu realizacji zadań związanych z przetwarzaniem danych posługuje się innym, zewnętrznym podmiotem.  Taka sytuacja ma miejsce np. podczas dostawy oprogramowania na serwerach należących do Administratora danych.

Powierzający (Administrator) – powinien pamiętać m.in. o:

  1. Dysponowaniu podstawą prawną do przetwarzania danych osobowych;
  2. Przekazaniu informacji o odbiorcach danych;
  3. Zawarciu umowy przetwarzania danych osobowych;
  4. Uzyskanie zgody na skorzystanie z usług podmiotu przetwarzającego;
  5. Przyjęciu środków ochrony podczas przekazywania danych.

Obowiązki przyjmującego powierzenie – powinien pamiętać o:

  1. Zawarciu umowy powierzenia np. dostawca oprogramowania, dostawca hostingu mogą być podmiotami przetwarzającymi, dla swoich klientów i w związku z tym obejmują go zasady określone w RODO;
  2. Prowadzeniu rejestru kategorii czynności przetwarzania danych osobowych;
  3. Zasadach wynikających z artykułu 28 ust 3 RODO:

– przetwarzanie danych osobowych wyłącznie na udokumentowane polecenie administratora;

– nadanie upoważnień przez administratora osobom, które mają zobowiązać się do zachowania tajemnicy;

– pomoc administratorowi w wypełnianiu żądań osoby, której dane dotyczą w zakresie jej praw;

– zwrocie lub usunięciu danych po zakończeniu umowy;

– umożliwieniu przeprowadzenia audytów i inspekcji przez Administratora, itp.

Prowadzisz firmę z branży IT i nie jesteś pewien, czy przetwarzasz dane swoich klientów zgodnie z prawem (RODO, ustawa o ochronie danych osobowych, prawo telekomunikacyjne)? Zamów u nas audyt prawny oraz zleć nam przeprowadzenie działań, które zapewnią zgodność z przepisami.

Organizator na tle weryfikowania osób zaszczepionych

Adam Niedzielski, szef resortu zdrowia, wyjaśnił, że podczas zgromadzeń i imprez organizator będzie weryfikował, ile z uczestniczących w nich osób jest zaszczepionych, a ile nie.

Do tej pory żadne przepisy prawne nie dają bezpośredniej podstawy organizatorowi do sprawdzenia osób, które są zaszczepione a które nie.

Jedynym przepisem do, którego można się odnieść jest art. 9 ust. 2 lit. i) RODO, który mówi:  „przetwarzanie jest niezbędne ze względów związanych z interesem publicznym w dziedzinie zdrowia publicznego, takich jak ochrona przed poważnymi transgranicznymi zagrożeniami zdrowotnymi lub zapewnienie wysokich standardów jakości i bezpieczeństwa opieki zdrowotnej oraz produktów leczniczych lub wyrobów medycznych, na podstawie prawa Unii lub prawa państwa członkowskiego, które przewidują odpowiednie, konkretne środki ochrony praw i wolności osób, których dane dotyczą, w szczególności tajemnicę zawodową”

W preambule 46 do RODO jest wyjaśnienie – „Przetwarzanie danych osobowych należy uznać za zgodne z prawem również w przypadkach, gdy jest niezbędne do ochrony interesu, który ma istotne znaczenie dla życia osoby, której dane dotyczą, lub innej osoby fizycznej. Żywotny interes innej osoby fizycznej powinien zasadniczo być podstawą przetwarzania danych osobowych wyłącznie w przypadkach, gdy ewidentnie przetwarzania tego nie da się oprzeć na innej podstawie prawnej. Niektóre rodzaje przetwarzania mogą służyć zarówno ważnemu interesowi publicznemu, jak i żywotnym interesom osoby, której dane dotyczą, na przykład gdy przetwarzanie jest niezbędne do celów humanitarnych, w tym monitorowania epidemii i ich rozprzestrzeniania się lub w nadzwyczajnych sytuacjach humanitarnych, w szczególności w przypadku klęsk żywiołowych i katastrof spowodowanych przez człowieka.”

W dniu 20 marca 2020 r. został wprowadzony stan epidemii na podstawie ROZPORZĄDZENIA MINISTRA ZDROWIA z dnia 20 marca 2020 r., który może uzasadniać bezpośrednie zastosowanie art. 9 ust. 2 lit. i) RODO podczas sprawdzania czy dana osoba jest zaszczepiona, czy nie.

UWAGA – Ostrzeżenie dla klientów Nazwa.pl i Home.pl przed atakiem hakerskim.

W ostatnich dniach następują ataki ze stron podszywających się pod serwisy Nazwa.pl i Home.pl w formach emaila, gdzie przestępcy chcą wyłudzić pieniądze poprzez uzyskiwanie dostępu do kont administratorskich. 

Poniżej przedstawiamy e-mail, który przesyłany jest do każdego klienta:

 

 

Prosimy o ostrożność i niepodejmowanie działań, które sugeruje przywołany e-mail.

Jest to typowy atak phishingowy. Należy uważnie czytać URL w pasku adresowym przeglądarki zawsze przed wpisaniem hasła.

Ponadto warto zalogować się do panelu administratora w danym serwisie i sprawdzić stan swojego konta lub wykonać telefon do Home.pl lub Nazwa.pli dopytać czy musimy wykonywać jakieś działania

Dane osobowe a zalecenia Głównego Inspektoratu Sanitarnego

Otwarte salony fryzjerskie jak i kosmetyczne muszą zachowywać pewne wytyczne dotyczące bezpieczeństwa.

W zakresie danych osobowych GIS zaleca:

1. Pomiar i rejestracje temperatury ciała pracowników za pomocą termometru bezdotykowego przez rozpoczęciem pracy, za zgodą pracowników;

2. Prowadzenie i dokumentowanie wywiadu pracowników za ich zgodą o braku wstępowania objawów chorobowych u pracownika/osoby świadczącej usługi oraz o braku kontaktu z osobą, która miała widoczne objawy chorobowe lub była narażona na kontakt z osobą zakażoną;

3. Kontakt telefoniczny lub za pomocą emailu z klientem dzień przed umówioną wizytą w celu potwierdzenia wizyty;

4. Gdy są jakiekolwiek objawy wskazujące na chorobę zakaźną to:

  • Klient jak i pracownik nie powinien przychodzić na umówioną wizytę/do pracy, gdy ma jakiekolwiek objawy wskazujące na chorobę zakaźną,
  • Jeśli osoba miała kontakt z osobą podejrzaną o zakażenie, zachorowanie lub skierowaną do izolacji,
  • Jeśli klient zamieszkuje z osobą, która jest poddana obowiązkowej izolacji lub kwarantannie.

5. Umawianie się za pomocą środków zdalnych na wizytę w salonie kosmetycznym czy fryzjerskim.

W przypadku wątpliwości do wytycznych dotyczących danych osobowych zapraszamy do kontaktu.