Q&A - RODO po roku, 22.05.2019

qa.jpg [1]

Szanowni Państwo,

idąc śladem wprowadzonego w zeszłym roku udogodnienia dla Członków SEG związanego z dostępem do wiedzy i materiałów tworzonych przy okazji wydarzeń organizowanych przez Stowarzyszenie, pod poniższym linkiem znajdą Państwo pytania i odpowiedzi z konferencji "RODO po roku", która odbyła się 22 maja 2019 roku w Warszawie.

  • Q&A (należy być zalogowanym na stronie www.seg.org.pl [2], materiał dostępny w Strefie dla Członków SEG):

Pobierz [1]Wyżej wymieniony materiał dostępny jest również na stronie konferencji:
https://seg.org.pl/pl/rodo-po-roku [3]

Życzymy miłej lektury!

Ponizej spis pytań, których odpowiedzi znajdują się w publikacji:

  • Jakie były najczęstsze błędy przy wdrażaniu RODO?
  • Na jakie błędy UODO zwraca uwagę w zakresie przestrzegania przepisów RODO?
  • Jaka jest specyfika ochrony danych osobowych w spółce giełdowej?
  • Jak udostępnić listę akcjonariuszy, żeby nie naruszyć prawa?
  • Co zrobić z listą po walnym zgromadzeniu?
  • Na jakiej podstawie możemy powierzyć przetwarzanie danych osobowych?
  • Czy firma, która powierza przetwarzanie danych osobowych osobie, która prowadzi jednoosobową działalność gospodarczą może dokonać tego poprzez upoważnienie?
  • Jak zidentyfikować największe zagrożenia dotyczące administrowania danymi osobowymi w spółce?
  • Z jakich praw korzystają osoby fizyczne od wejścia w życie RODO?
  • Które prawa osób są najtrudniejsze do realizacji dla firm przetwarzających dane?
  • Po wejściu w życie RODO dostawaliśmy dziesiątki e-maili z informacją, że konkretna firma przetwarza nasze dane. Czy firma przetwarzająca powinna wysyłać takie e-maile regularnie?
  • Czy pracodawca musi spełnić obowiązek informacyjny wobec osób, które nie są już u niego zatrudnione?
  • Każda osoba może poprosić o kopię swoich danych, które są przetwarzane w danym podmiocie. Czy taką prośbę można przesłać drogą e-mailową i czy firma może w odpowiedzi przesłać dane e-mailem bez szyfrowania?
  • Czy ktoś w ogóle korzysta z prawa do sprostowania danych? Czy osoby fizyczne mają świadomość istnienia takiego prawa?
  • Czy usuwając dane osobowe, można w protokołach wpisywać imię i nazwisko osoby, której dane się usuwa?
  • Czy prawo do bycia zapomnianym wynikające z art. 17 RODO jest przez osoby fizyczne stosowane? Czy wpływają takie zgłoszenia, czy można odmówić takiego prawa?
  • Kto powinien zajmować się RODO w organizacji? Czy są jakieś wybrane grupy w organizacji, które szczególnie powinny się na tym znać?
  • W ramach systemu, który mamy w spółce powinniśmy mieć odpowiednie procedury – jak sprawdzić czy one w praktyce działają?
  • Jeżeli w wyniku badań i testów stwierdziliśmy, że nasze procedury są „szufladowe” to co należy zrobić, żeby one zaczęły prawidłowo funkcjonować w podmiocie?
  • Jakie są podstawowe rady jak najlepiej edukować pracowników?
  • Jakimi narzędziami nacisku spółka dysponuje, aby zmusić pracowników do przestrzegania przepisów RODO?
  • Czy RODO coś zmieniło w zakresie monitoringu pracowników?
  • Czy pracodawca monitorujący geolokalizację pracownika prowadzącego auto może monitorować również inne aspekty jego zachowania, takie jak prędkość jazdy, styl jazdy, ekonomika jazdy, zapięcie pasów?
  • Czy są jakieś inne argumenty oprócz BHP, na które możemy się powołać, monitorując pracownika poruszającego się samochodem?
  • Czy możemy rozszerzyć zakres monitoringu na podstawie zgody pracownika? Jak wydobyć tę zgodę, żeby nie było podejrzenia, że jest ona wymuszona?
  • Czy są obszary w zakładzie pracy, których nie możemy monitorować?
  • Co można zrobić z danymi z monitoringu? Trzeba je od razu skasować, czy można je przechowywać, przetwarzać? Czy to zależy od tego, co się na nich znajduje?
  • Czy może być tak, że coś, co zarejestrowano na monitoringu, jest ważne, ale nie można tego wykorzystać z powodów prawnych?
  • Jak przechowywać dane z monitoringu?
  • Czy można monitorować, jakie strony internetowe pracownik odwiedza?
  • Czy trzeba uznać żądanie osoby do usunięcia jej wizerunku z monitoringu wizyjnego?
  • Czy zawarcie umowy powierzenia przetwarzania danych osobowych zwalnia z odpowiedzialności?
  • Na co zwracać uwagę przy tworzeniu umowy powierzenia przetwarzania danych osobowych?
  • Czego nie można zawrzeć w umowie powierzenia przetwarzania danych osobowych?
  • Jeśli podmiot przetwarzający dane osobowe złamie przepisy lub spowoduje jakieś niedociągnięcia to kto za nie odpowiada?
  • W jaki sposób skutecznie nadzorować podmiot przetwarzający dane?
  • Jak wygląda audyt bezpośredni podmiotu przetwarzającego dane osobowe?
  • Kto powinien przeprowadzić audyt w podmiocie przetwarzającym?
  • Jakie są najczęstsze problemy z podmiotami przetwarzającymi dane osobowe?
  • Jeżeli podmiotem przetwarzającym dane osobowe jest firma spoza Unii Europejskiej to oznacza, że te dane osobowe są mniej bezpieczne i czy osoby tam pracujące mają świadomość konieczności ochrony danych osobowych?
  • Czym jest incydent w kontekście ochrony danych osobowych?
  • Czy wysłanie e-maila do grupy osób bez ukrycia adresów e-mail tych osób (czyli bez zastosowania opcji UDW) jest już incydentem?
  • Rozważmy taką sytuację: zaginęła jedna z list obecności na walne zgromadzenie akcjonariuszy. Czy to jest incydent?
  • Co robić, jeśli potwierdzi się, że doszło do incydentu?
  • Czy umieszczanie przez pracownika plików prywatnych na dysku wspólnym w firmie jest incydentem?
  • Co robić, jeśli uznamy, że incydent należy zgłosić do PUODO?
  • Czy w firmie trzeba wdrożyć wewnętrzne procedury, żeby móc stwierdzić, jak incydent oddziałuje na osobę, której dane zostały ujawnione?
  • Kiedy powinien pojawić się raport bieżący zawierający informację o incydencie?
  • Jak powinna wyglądać dokumentacja związana z incydentem? Jak pokazać, że organizacja podjęła działania, aby więcej do podobnych incydentów nie doszło?
  • Jaką dokumentację warto mieć na wypadek kontroli PUODO, żeby pokazać, że dobrze zarządziliśmy incydentem?
  • Kiedy za incydent zostanie nałożona kara?
  • Czy tylko inspektor ochrony danych może zgłosić incydent?
  • Czym jest certyfikacja zgodna z RODO?
  • Po co podmiotom takie certyfikaty?
  • Czy w innych krajach są takie certyfikaty?
  • Gdyby jakąś spółka chciała uzyskać certyfikat to jak może się przygotowywać do procesu certyfikacji?
  • W jaki sposób skutecznie nadzorować podmiot przetwarzający dane?
  • Czy na podstawie takiej analizy organizacja powinna sama stwierdzić, czego jej brakuje czy powinien to zrobić podmiot zewnętrzny?
  • Jak w praktyce wygląda proces certyfikacji?
  • Jak długo trwa proces certyfikacji?
  • Ile osób jest zaangażowanych w proces certyfikacji w spółce?
  • Czy jest jakieś ryzyko związane z procesem certyfikacji?
  • Ile kosztuje proces certyfikacji?
  • Jak długo certyfikat jest ważny?
  • Jaką korzyść daje certyfikat?

Życzymy miłej lektury!

Tagi: 
RODO [4]
Dokumenty dostępne tylko dla Członków SEG: 
Q&A [1]
Ostatnia aktualizacja 08/11/2019
Adres URL źródła: https://seg.org.pl/pl/node/5676

 

Odnośniki
[1] https://seg.org.pl/pl/system/files/private-document-files/qa_22.05.2019_wg_szablonu.pdf
[2] http://www.seg.org.pl
[3] https://seg.org.pl/pl/raportowanie-niefinansowe-resilience-spolki-gieldowej-transmisja-online1
[4] https://seg.org.pl/pl/tags/rodo