rodo

[Przemyslaw]

Czy ja dobrze to wszystko zrozumiałem? Czy jest tak że wszyscy chcą zarobić jak najwięcej (na szkoleniach, wdrożeniach, umowach długoterminowych, np. IOD) bo idzie RODO a tak naprawdę nie ma jeszcze przepisów, które by jasno określały jak to wszystko ma wyglądać?

Na pewno już dzwonią po świadczeniodawcach specjalistyczne firmy, które mają nazwy - Polski Oddział Rodo. Specjalistyczna Instytucja RODO.  To łatwe pieniądze do zarobienia bo mało kto się orientuje w tej tematyce. Tak było, jest i zawsze będzie.

[mpi]

- IOD jest obowiązkowy jeżeli przetwarza się dane osobowe na dużą skalę, ale nigdzie nie ma napisane co to do dokładnie oznacza stąd tak naprawdę nie wiadomo czy IOD powinien być w przypadku prywatnej praktyki specjalistycznej, a może dopiero w przypadku praktyki lekarza rodzinnego, a może dopiero w przypadku przychodni rodzinnej z kilkoma lekarzami, a może dopiero szpital?

a ja słyszałem, że jest (będzie?) katalog jednostek, które będą do tego zobowiązane. Podobno m.in jednostki publiczne, jednostki służby zdrowia itd...

- ktoś mi ostatnio powiedział, że w PZ chyba krąży oferta na IOD z jakiejś firmy na ok 1tys zł (brutto) miesięcznie (umowa minimum na 1,5 roku).

tego to nawet komentować mi się nie chce

Czy jest tak że wszyscy chcą zarobić jak najwięcej (na szkoleniach, wdrożeniach, umowach długoterminowych, np. IOD) bo idzie RODO a tak naprawdę nie ma jeszcze przepisów, które by jasno określały jak to wszystko ma wyglądać?

obecnie drukarka z logo RODO Ready kosztuje dwa razy więcej 

[dbfr]

Nie miałem za bardzo jeszcze czasu żeby się temu całemu RODO dokładnie przyjrzeć, ale z tego co zapamiętałem z gdzieś w międzyczasie na szybko przejrzanych artykułów to:
- jeszcze nie ma polskich przepisów implementujących RODO czyli tak naprawdę nie do końca wiadomo co będzie a co nie wymagane a teraz bazujemy na zapisach ogólnych wymyślonych przez UE
- mają się pojawić jakieś kodeksy branżowe, które będą uszczegóławiać krajowe przepisy "ogólne" i chyba właśnie trwają prace na stworzeniem takiego dla branży medycznej
- jak ktoś ma wszystkie obecnie wymagane przepisami dokumenty (polityka bezpieczeństwa, itp.) to generalnie za wiele nie musi robić bo w nowych przepisach nie ma zapisane co konkretnie musisz mieć i w jaki sposób coś zrobić
- nowe przepisy są nastawione na to że bezpieczeństwo przetwarzania danych to bardziej stały proces niż coś co zrobimy raz i wystarczy
- wielomilionowe kary to są górne limity, ale wystarczy, że się pokarze skruchę (czyli, że coś się jednak w dziedzinie ochrony danych robiło, ale nie wyszło i że informuje się wszystkich zainteresowanych i współpracuje z odpowiednimi organami w przypadku fackupu)
- IOD jest obowiązkowy jeżeli przetwarza się dane osobowe na dużą skalę, ale nigdzie nie ma napisane co to do dokładnie oznacza stąd tak naprawdę nie wiadomo czy IOD powinien być w przypadku prywatnej praktyki specjalistycznej, a może dopiero w przypadku praktyki lekarza rodzinnego, a może dopiero w przypadku przychodni rodzinnej z kilkoma lekarzami, a może dopiero szpital?
- ktoś mi ostatnio powiedział, że w PZ chyba krąży oferta na IOD z jakiejś firmy na ok 1tys zł (brutto) miesięcznie (umowa minimum na 1,5 roku).

Michał - przepisy i zasady są określone. Kodeksy branżowe mają za zadanie uszczegółowić dane branże - zalecenia dla branży medycznej się tworzą, pod koniec lutego jest szansa na oddanie ich do konsultacji publicznych.

Zgadzam się z tym, że jak ktoś ma już jakąś dokumentację itp. to w jakimś stopniu jest przygotowany. RODO wprowadza jednak kilka nowości, jak chociażby rejestr czynności przetwarzania czy rejestr incydentów oraz obowiązek ich zgłaszania, realizacja prawa do zapomnienia itp.. Więcej możesz zerknąć tutaj: http://itwmedycynie.pl/2018/01/23/czy-wdrozenie-rodo-to-zadanie-it/ , niektóre rzeczy pokrywają się z tym co niektórzy już mają, nie zawsze jednak wszystko.

W temacie IOD dla podmiotów zajmujących się ochroną zdrowia. Taki ktoś być musi. Więcej np. tutaj: http://www.rp.pl/Firma/305199992-Inspektor-ochrony-danych-osobowych---kto-bedzie-musial-powolac.html

Jeżeli chodzi o to, że wszyscy i wszystko dziś marketingowo spełnia RODO to faktycznie tak jest. Nie ma co się dziwić, temat jest bezapelacyjnie na topie.

[09061303]

W temacie IOD dla podmiotów zajmujących się ochroną zdrowia. Taki ktoś być musi. Więcej np. tutaj: http://www.rp.pl/Firma/305199992-Inspektor-ochrony-danych-osobowych---kto-bedzie-musial-powolac.html

No właśnie niestety mam podobny pogląd - teraz, to co mnie w tym kontekście najbardziej interesuje, to czy wystarczy przetwarzać dane wrażliwe czy przetwarzać dane wrażliwe i na dużą skalę, żeby musieć mieć inspektora. Mam nadzieję, że ktoś odgórnie tego typu tematy uściśli tak jak co to znaczy przetwarzać na dużą skalę dane - dla jednych duża skala może być to 200k+ pacjentów, dla innych 200+ pacjentów.

[Michał]

Proszę zatem podajcie mi link do polskich przepisów wdrażających RODO.
Podajcie mi (nawet w tym artykule rp.pl) cytat z którego wynika, że mała przychodnia lekarzy rodzinnych czy pojedyncza praktyka lekarza rodzinnego jest zobowiązana do posiadania IOD. Sorry, ale przykład szpitala ma się wg mnie nijak do małej przychodni czy pojedynczej praktyki lekarskiej.
Cały czas uważam, że aby podlegać pod wymóg posiadania IOD trzeba przetwarzać dane wrażliwe (szczególne) i robić to na dużą skalę. Oczywiście nie ma nigdzie pokreślonego co znaczy duża skala, więc ja stoję na stanowisku, że przedstawione przeze mnie podmioty nie mają konieczności posiadania IOD, a jeżeli jest inaczej to naprawdę proszę o konkretne cytaty i to najlepiej cytaty polskich przepisów.

[zibi]

a indywidualne pielęgniarki czy położne czy też szkolne też się w to łapią ?

[09061303]

A czy przetwarzają jakiekolwiek dane osobowe (wystarczy imię i nazwisko i pesel)? Czy do tego nie dochodzą dane wrażliwe (info o stanie zdrowia)? Moja odpowiedź (bo pewnie zdania są różne) brzmi niestety tak z dodaniem posiadania IOD (chyba, że same będą - może nie będzie konfliktu interesów).
Czekam jednak z nadzieją, że cośkolwiek ktoś mądrego na przypadek małych podmiotów wymyśli mądrego, a przynajmniej nie kosztochłonnego.

[Michał]

no i właśnie o to mi chodzi. Nie ma jasnych przepisów, które by to określały bo inaczej chyba ktoś w ciągu 5 dniu podałby odpowiednie linki.

[karolweksler]

Dostałem maila z Fundacji Panoptykon z linkiem do ich autorskiego, ponoć praktycznego poradnika w sprawie RODO. Wrzucę, może ktoś skorzysta, ja jeszcze nie przeglądałem.

https://panoptykon.org/RODO
https://panoptykon.org/wiadomosc/odzyskaj-kontrole-w-sieci-odcinek-i-przegladarka

[Edward_B]

To chyba raczej reklama biura rachunkowego

Przemysław: Skasowałem.

[hanarafa]

a indywidualne pielęgniarki czy położne czy też szkolne też się w to łapią ?

W RODO nie istnieje już forma "dane wrażliwe". Poza tym RODO jest podrzędne do rodzimych przepisów o ochronie danych osobowych. Drugie poza tym to RODO nie przewiduje konkretnych przepisów i pozostawia dużą dowolność interpretacyjną. Dane mają być chronione nie tylko tam gdzie są gromadzone, ale również w czasie ich przesyłania a docelowo będą przesyłane nawet na życzenie klienta/pacjenta do wskazanej przez niego jednostki czy instytucji. Czyli każda instytucja gromadząca dane jest zobowiązana do zabezpieczenia tych danych wg, własnych kryteriów i pomysłu byle skutecznie. Drugą nowością jest natychmiastowe, właściwie w czasie rzeczywistym, zgłaszanie naruszenia tych zabezpieczeń-taki donos na samych siebie ( sanepid wdrożył już taką procedurę pod tyt. kontroli wewnętrznej tylko nie straszy takimi kosmicznymi karami)) Równie dobrze można to opracować samemu, bo nikt nie zna się na naszych włościach jak my sami. Nie taki diabeł straszny jak go malują,
Oprócz tego Kamsoft proponuje http://www.kamsoft.pl/KS-BDO
i myślę, że to nie najgorsze rozwiązanie.

[hanarafa]

http://rodo2018.pl/
Może komuś sie przyda \. Jest i  przykładowa tabelka z ocena ryzyka.