RODO czy serwis IT+Rozliczenia NFZ muszą mieć IOD?

[Robinson]

witam,
jak Waszym zdaniem wygląda serwis IT zajmujący się rozliczeniami z NFZ dla świadczeniodawców, czy musi mieć Inspektora? Dostanie umowę powierzenia danych od świadczeniodawców, przetwarza dużą ilość danych,wrażliwych i na sporym obszarze.

[karolweksler]

Tak. Musi mieć umowę powierzenia - nie każda przychodnia może wyjść z inicjatywą, poczekaj do 24.05 i Ty wyjdź do nich z inicjatywą, jeśli oni nie wyjdą. Musi mieć inspektora. Musi prowadzić rejestr czynności przetwarzania.

[PiotrSz]

Musi mieć inspektora. Musi prowadzić rejestr czynności przetwarzania.

Ale musi mieć przychodnia czy musi mieć podwykonawca?

Pozdrawiam

[09061303]

Koledzy może szerzej napiszą, ale gdzieś jest zapis, że jak współpracujemy (jesteśmy procesorami) podmiotów, które muszą mieć IODO, to i my musimy mieć IODO. W skrócie - jeśli firma upoważniająca nas do przetwarzania danych musi mieć IODO, to na serwisie też taki obowiązek leży (w grę wchodzi też ilość i jakość danych oraz obszar przetwarzania jak napisał Robinson, ale tego już musiałbym poszukać).

[Slawek]

No to co zrobić, jak firma jednoosobowa robi obsługę IT, rozliczenia i wysyłki do NFZ dla POZ, a kierownik naciska, żeby jeszcze być IODO u nich w ośrodku?!
Ludzie, przecież tyle się ludzi w Polsce nie urodziło, żeby to wszystko obsłużyć!

[09061303]

No niestety patrząc jednoosobowo łączenie funkcji np.:
- serwis IT + IODO
- pielęgniarka + IODO
- lekarz + IODO
rodzi konflikt interesów.

Hmm... jak sobie weźmiesz IODO dla swojej firmy (jak potrzebujesz, a sam raczej nie możesz nim być), to może on być też IODO u Twoich klientów.
Wiem, że to chore dla małych jednostek, ale przepisy tak stanowią.

[karolweksler]

Musi mieć inspektora. Musi prowadzić rejestr czynności przetwarzania.

Ale musi mieć przychodnia czy musi mieć podwykonawca?

Pozdrawiam

Przychodnia - rejestr czynności jako administrator na podstawie art. 30 ust. 1.
Podwykonawca - rejestr czynności jako podmiot przetwarzający na podstawie art. 30 ust. 2

Koledzy może szerzej napiszą, ale gdzieś jest zapis, że jak współpracujemy (jesteśmy procesorami) podmiotów, które muszą mieć IODO, to i my musimy mieć IODO. W skrócie - jeśli firma upoważniająca nas do przetwarzania danych musi mieć IODO, to na serwisie też taki obowiązek leży (w grę wchodzi też ilość i jakość danych oraz obszar przetwarzania jak napisał Robinson, ale tego już musiałbym poszukać).

Procesor podmiotu jest podmiotem przetwarzającym.
Obowiązek powołania inspektora ma zarówno administrator, jak i podmiot, o ile przetwarza dane osobowe na dużą skalę i jest to głównym obszarem działalności.
Różnica jest przy wycieku - jeżeli od Ciebie jako podmiotu przetwarzającego wyciekną dane powierzone przez administratora, to Ty informujesz administratora, a administrator Urząd.

Artykuł  4
Definicje

Na użytek niniejszego rozporządzenia:
7)   "administrator" oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych; jeżeli cele i sposoby takiego przetwarzania są określone w prawie Unii lub w prawie państwa członkowskiego, to również w prawie Unii lub w prawie państwa członkowskiego może zostać wyznaczony administrator lub mogą zostać określone konkretne kryteria jego wyznaczania;
8 )   "podmiot przetwarzający" oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który przetwarza dane osobowe w imieniu administratora;

Artykuł  37
Wyznaczenie inspektora ochrony danych
1.   Administrator i podmiot przetwarzający wyznaczają inspektora ochrony danych, zawsze gdy:
c)   główna działalność administratora lub podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych, o których mowa w art. 9 ust. 1, oraz danych osobowych dotyczących wyroków skazujących i naruszeń prawa, o czym mowa w art. 10.