Podstawową kwestią dla mnie w rozmowie z klientem jest jedna rzecz - co klient chce osiągnąć, bo nazwanie celu "RODO" za dużo nie mówi.
Bardziej o to, żeby takie podmioty miały cokolwiek i nie za tysiące złotych.
(...)a zanim ich ktokolwiek "ścignie" to się zejdzie lata.No to z punktu widzenia podmiotu nie robimy nic. Jak nie ścigną szybko, to się zobaczy w przyszłości. Nawiasem mówiąc, na obecnych warunkach napisanie polityki w czasie trwania kontroli (ok. dwa dni, nie mieli nic, trzeba coś było załatwić; nie wiem jak duża firma) przez dość znaną w tej dziedzinie firmę kosztowało ok. 3-4kzł netto.
Czy ja dobrze to wszystko zrozumiałem? Czy jest tak że wszyscy chcą zarobić jak najwięcej (na szkoleniach, wdrożeniach, umowach długoterminowych, np. IOD) bo idzie RODO a tak naprawdę nie ma jeszcze przepisów, które by jasno określały jak to wszystko ma wyglądać?Na pewno już dzwonią po świadczeniodawcach specjalistyczne firmy, które mają nazwy - Polski Oddział Rodo. Specjalistyczna Instytucja RODO. To łatwe pieniądze do zarobienia bo mało kto się orientuje w tej tematyce. Tak było, jest i zawsze będzie.
- IOD jest obowiązkowy jeżeli przetwarza się dane osobowe na dużą skalę, ale nigdzie nie ma napisane co to do dokładnie oznacza stąd tak naprawdę nie wiadomo czy IOD powinien być w przypadku prywatnej praktyki specjalistycznej, a może dopiero w przypadku praktyki lekarza rodzinnego, a może dopiero w przypadku przychodni rodzinnej z kilkoma lekarzami, a może dopiero szpital?
- ktoś mi ostatnio powiedział, że w PZ chyba krąży oferta na IOD z jakiejś firmy na ok 1tys zł (brutto) miesięcznie (umowa minimum na 1,5 roku).
Czy jest tak że wszyscy chcą zarobić jak najwięcej (na szkoleniach, wdrożeniach, umowach długoterminowych, np. IOD) bo idzie RODO a tak naprawdę nie ma jeszcze przepisów, które by jasno określały jak to wszystko ma wyglądać?
Nie miałem za bardzo jeszcze czasu żeby się temu całemu RODO dokładnie przyjrzeć, ale z tego co zapamiętałem z gdzieś w międzyczasie na szybko przejrzanych artykułów to:Michał - przepisy i zasady są określone. Kodeksy branżowe mają za zadanie uszczegółowić dane branże - zalecenia dla branży medycznej się tworzą, pod koniec lutego jest szansa na oddanie ich do konsultacji publicznych.
- jeszcze nie ma polskich przepisów implementujących RODO czyli tak naprawdę nie do końca wiadomo co będzie a co nie wymagane a teraz bazujemy na zapisach ogólnych wymyślonych przez UE
- mają się pojawić jakieś kodeksy branżowe, które będą uszczegóławiać krajowe przepisy "ogólne" i chyba właśnie trwają prace na stworzeniem takiego dla branży medycznej
- jak ktoś ma wszystkie obecnie wymagane przepisami dokumenty (polityka bezpieczeństwa, itp.) to generalnie za wiele nie musi robić bo w nowych przepisach nie ma zapisane co konkretnie musisz mieć i w jaki sposób coś zrobić
- nowe przepisy są nastawione na to że bezpieczeństwo przetwarzania danych to bardziej stały proces niż coś co zrobimy raz i wystarczy
- wielomilionowe kary to są górne limity, ale wystarczy, że się pokarze skruchę (czyli, że coś się jednak w dziedzinie ochrony danych robiło, ale nie wyszło i że informuje się wszystkich zainteresowanych i współpracuje z odpowiednimi organami w przypadku fackupu)
- IOD jest obowiązkowy jeżeli przetwarza się dane osobowe na dużą skalę, ale nigdzie nie ma napisane co to do dokładnie oznacza stąd tak naprawdę nie wiadomo czy IOD powinien być w przypadku prywatnej praktyki specjalistycznej, a może dopiero w przypadku praktyki lekarza rodzinnego, a może dopiero w przypadku przychodni rodzinnej z kilkoma lekarzami, a może dopiero szpital?
- ktoś mi ostatnio powiedział, że w PZ chyba krąży oferta na IOD z jakiejś firmy na ok 1tys zł (brutto) miesięcznie (umowa minimum na 1,5 roku).
W temacie IOD dla podmiotów zajmujących się ochroną zdrowia. Taki ktoś być musi. Więcej np. tutaj: http://www.rp.pl/Firma/305199992-Inspektor-ochrony-danych-osobowych---kto-bedzie-musial-powolac.htmlNo właśnie niestety mam podobny pogląd - teraz, to co mnie w tym kontekście najbardziej interesuje, to czy wystarczy przetwarzać dane wrażliwe czy przetwarzać dane wrażliwe i na dużą skalę, żeby musieć mieć inspektora. Mam nadzieję, że ktoś odgórnie tego typu tematy uściśli tak jak co to znaczy przetwarzać na dużą skalę dane - dla jednych duża skala może być to 200k+ pacjentów, dla innych 200+ pacjentów.
a indywidualne pielęgniarki czy położne czy też szkolne też się w to łapią ?W RODO nie istnieje już forma "dane wrażliwe". Poza tym RODO jest podrzędne do rodzimych przepisów o ochronie danych osobowych. Drugie poza tym to RODO nie przewiduje konkretnych przepisów i pozostawia dużą dowolność interpretacyjną. Dane mają być chronione nie tylko tam gdzie są gromadzone, ale również w czasie ich przesyłania a docelowo będą przesyłane nawet na życzenie klienta/pacjenta do wskazanej przez niego jednostki czy instytucji. Czyli każda instytucja gromadząca dane jest zobowiązana do zabezpieczenia tych danych wg, własnych kryteriów i pomysłu byle skutecznie. Drugą nowością jest natychmiastowe, właściwie w czasie rzeczywistym, zgłaszanie naruszenia tych zabezpieczeń-taki donos na samych siebie ( sanepid wdrożył już taką procedurę pod tyt. kontroli wewnętrznej tylko nie straszy takimi kosmicznymi karami)) Równie dobrze można to opracować samemu, bo nikt nie zna się na naszych włościach jak my sami. Nie taki diabeł straszny jak go malują,