Społecznościowe Forum Podstawowy Problem Świadczeniodawcy

Pozostałe problemy => Problemy ogólne => Wątek zaczęty przez: Robinson w Maja 21, 2018, 18:00:00 pm

Tytuł: RODO czy serwis IT+Rozliczenia NFZ muszą mieć IOD?
Wiadomość wysłana przez: Robinson w Maja 21, 2018, 18:00:00 pm
witam,
jak Waszym zdaniem wygląda serwis IT zajmujący się rozliczeniami z NFZ dla świadczeniodawców, czy musi mieć Inspektora? Dostanie umowę powierzenia danych od świadczeniodawców, przetwarza dużą ilość danych,wrażliwych i na sporym obszarze.
Tytuł: Odp: RODO czy serwis IT+Rozliczenia NFZ muszą mieć IOD?
Wiadomość wysłana przez: karolweksler w Maja 21, 2018, 19:44:41 pm
Tak. Musi mieć umowę powierzenia - nie każda przychodnia może wyjść z inicjatywą, poczekaj do 24.05 i Ty wyjdź do nich z inicjatywą, jeśli oni nie wyjdą. Musi mieć inspektora. Musi prowadzić rejestr czynności przetwarzania.
Tytuł: Odp: RODO czy serwis IT+Rozliczenia NFZ muszą mieć IOD?
Wiadomość wysłana przez: PiotrSz w Maja 22, 2018, 08:40:25 am
Cytat: karolweksler w Maja 21, 2018, 19:44:41 pm
Musi mieć inspektora. Musi prowadzić rejestr czynności przetwarzania.

Ale musi mieć przychodnia czy musi mieć podwykonawca?

Pozdrawiam
Tytuł: Odp: RODO czy serwis IT+Rozliczenia NFZ muszą mieć IOD?
Wiadomość wysłana przez: 09061303 w Maja 22, 2018, 12:13:09 pm
Koledzy może szerzej napiszą, ale gdzieś jest zapis, że jak współpracujemy (jesteśmy procesorami) podmiotów, które muszą mieć IODO, to i my musimy mieć IODO. W skrócie - jeśli firma upoważniająca nas do przetwarzania danych musi mieć IODO, to na serwisie też taki obowiązek leży (w grę wchodzi też ilość i jakość danych oraz obszar przetwarzania jak napisał Robinson, ale tego już musiałbym poszukać).
Tytuł: Odp: RODO czy serwis IT+Rozliczenia NFZ muszą mieć IOD?
Wiadomość wysłana przez: Slawek w Maja 22, 2018, 16:58:06 pm
No to co zrobić, jak firma jednoosobowa robi obsługę IT, rozliczenia i wysyłki do NFZ dla POZ, a kierownik naciska, żeby jeszcze być IODO u nich w ośrodku?!
Ludzie, przecież tyle się ludzi w Polsce nie urodziło, żeby to wszystko obsłużyć!
Tytuł: Odp: RODO czy serwis IT+Rozliczenia NFZ muszą mieć IOD?
Wiadomość wysłana przez: 09061303 w Maja 22, 2018, 17:23:20 pm
No niestety patrząc jednoosobowo łączenie funkcji np.:
- serwis IT + IODO
- pielęgniarka + IODO
- lekarz + IODO
rodzi konflikt interesów.

Hmm... jak sobie weźmiesz IODO dla swojej firmy (jak potrzebujesz, a sam raczej nie możesz nim być), to może on być też IODO u Twoich klientów.
Wiem, że to chore dla małych jednostek, ale przepisy tak stanowią.
Tytuł: Odp: RODO czy serwis IT+Rozliczenia NFZ muszą mieć IOD?
Wiadomość wysłana przez: karolweksler w Maja 22, 2018, 20:48:07 pm
Cytat: PiotrSz w Maja 22, 2018, 08:40:25 am
Cytat: karolweksler w Maja 21, 2018, 19:44:41 pm
Musi mieć inspektora. Musi prowadzić rejestr czynności przetwarzania.

Ale musi mieć przychodnia czy musi mieć podwykonawca?

Pozdrawiam

Przychodnia - rejestr czynności jako administrator na podstawie art. 30 ust. 1.
Podwykonawca - rejestr czynności jako podmiot przetwarzający na podstawie art. 30 ust. 2

Cytat: 09061303 w Maja 22, 2018, 12:13:09 pm
Koledzy może szerzej napiszą, ale gdzieś jest zapis, że jak współpracujemy (jesteśmy procesorami) podmiotów, które muszą mieć IODO, to i my musimy mieć IODO. W skrócie - jeśli firma upoważniająca nas do przetwarzania danych musi mieć IODO, to na serwisie też taki obowiązek leży (w grę wchodzi też ilość i jakość danych oraz obszar przetwarzania jak napisał Robinson, ale tego już musiałbym poszukać).
Procesor podmiotu jest podmiotem przetwarzającym.
Obowiązek powołania inspektora ma zarówno administrator, jak i podmiot, o ile przetwarza dane osobowe na dużą skalę i jest to głównym obszarem działalności.
Różnica jest przy wycieku - jeżeli od Ciebie jako podmiotu przetwarzającego wyciekną dane powierzone przez administratora, to Ty informujesz administratora, a administrator Urząd.

Cytuj
Artykuł  4
Definicje

Na użytek niniejszego rozporządzenia:
7)   "administrator" oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych; jeżeli cele i sposoby takiego przetwarzania są określone w prawie Unii lub w prawie państwa członkowskiego, to również w prawie Unii lub w prawie państwa członkowskiego może zostać wyznaczony administrator lub mogą zostać określone konkretne kryteria jego wyznaczania;
8 )   "podmiot przetwarzający" oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który przetwarza dane osobowe w imieniu administratora;

Artykuł  37
Wyznaczenie inspektora ochrony danych
1.   Administrator i podmiot przetwarzający wyznaczają inspektora ochrony danych, zawsze gdy:
c)   główna działalność administratora lub podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych, o których mowa w art. 9 ust. 1, oraz danych osobowych dotyczących wyroków skazujących i naruszeń prawa, o czym mowa w art. 10.
Style:2: Portal (default), Printpage (default).
Pod-szablony:4: init, print_above, main, print_below.
Pliki językowe:6: SPortal.english (domyslny), SPortal.polish-utf8 (domyslny), SPortal.english (domyslny), index+Modifications.english (domyslny), index+Modifications.polish-utf8 (domyslny), SPortal.polish-utf8 (domyslny).
Arkusze stylów:1: portal (default).
Uwzględnione pliki:13 - 634KB. (pokaż)
Użytych zapytań: 13.

[Pokaż zapytania]