IOD jako punkt kontaktowy

 

🛡️ AUDYT: IOD jako punkt kontaktowy (art. 39 ust. 1 lit. e RODO (Rozporządzenie 2016/679))

🔢 Jak korzystać z arkusza

Każde pytanie oceń:

• 0 pkt – brak / nie istnieje
• 1 pkt – częściowo wdrożone / działa nieformalnie
• 2 pkt – w pełni wdrożone i działa w praktyce

---

📋 SEKCJA 1: Dostępność i widoczność IOD (max 6 pkt)

☐ Czy dane kontaktowe IOD są publicznie dostępne (www, polityka prywatności)?
☐ Czy kontakt jest bezpośredni (np. dedykowany e-mail, nie formularz ogólny)?
☐ Czy komunikacja do IOD jest łatwa i intuicyjna dla użytkownika?

Ryzyko przy niskim wyniku:
➡️ utrudnianie realizacji praw osób (naruszenie RODO)
➡️ skargi do Urząd Ochrony Danych Osobowych

---

📋 SEKCJA 2: Obsługa organu nadzorczego (max 8 pkt)

☐ Czy IOD jest formalnie zgłoszony do UODO?
☐ Czy istnieje procedura obsługi kontroli / zapytań organu?
☐ Czy wiadomo, kto zbiera dane do odpowiedzi?
☐ Czy IOD koordynuje odpowiedzi (a nie tylko przekazuje dalej)?

Ryzyko:
➡️ chaos komunikacyjny przy kontroli
➡️ niespójne lub błędne odpowiedzi
➡️ zwiększone ryzyko kary

---

📋 SEKCJA 3: Obsługa żądań osób (DSAR) (max 10 pkt)

☐ Czy istnieje formalna procedura obsługi żądań (art. 15–22)?
☐ Czy IOD nadzoruje realizację żądań?
☐ Czy firma kontroluje termin niezwłocznie ale nie dłużej niż 1 miesiąc?
☐ Czy istnieje proces weryfikacji tożsamości?
☐ Czy pracownicy wiedzą, gdzie przekazać żądanie?

Ryzyko:
➡️ naruszenie praw osób fizycznych
➡️ przekroczenie terminów
➡️ bezpośrednie skargi i postępowania

---

📋 SEKCJA 4: Centralizacja komunikacji (max 6 pkt)

☐ Czy wszystkie sprawy dot. danych trafiają do IOD?
☐ Czy istnieje jeden punkt wejścia (mail / system)?
☐ Czy zapytania są rejestrowane i śledzone?

Ryzyko:
➡️ „rozproszone RODO” w organizacji
➡️ brak kontroli nad komunikacją
➡️ utrata informacji

---

📋 SEKCJA 5: Obieg informacji wewnętrznej (max 8 pkt)

☐ Czy są zdefiniowane osoby kontaktowe w działach (IT, HR, marketing)?
☐ Czy IOD ma szybki dostęp do informacji?
☐ Czy istnieją ustalone ścieżki komunikacji?
☐ Czy działy współpracują z IOD w praktyce?

Ryzyko:
➡️ opóźnienia odpowiedzi
➡️ błędne dane przekazywane do organu/osób
➡️ brak kontroli nad procesami

---

📋 SEKCJA 6: Incydenty (naruszenia) (max 8 pkt)

☐ Czy pracownicy wiedzą, że incydent zgłasza się do IOD?
☐ Czy istnieje procedura obsługi naruszeń?
☐ Czy IOD koordynuje komunikację przy incydencie?
☐ Czy firma potrafi podjąć decyzję w 72h?

Ryzyko:
➡️ brak zgłoszenia naruszenia
➡️ opóźnienia → wysokie kary
➡️ chaos komunikacyjny

---

📋 SEKCJA 7: Pozycja i niezależność IOD (max 8 pkt)

☐ Czy IOD ma dostęp do zarządu?
☐ Czy nie ma konfliktu interesów?
☐ Czy IOD jest angażowany w nowe projekty?
☐ Czy ma realny wpływ na decyzje?

Ryzyko:
➡️ IOD „na papierze”
➡️ brak realnej funkcji punktu kontaktowego
➡️ naruszenie zasady niezależności

---

📋 SEKCJA 8: Dokumentacja i dowody (max 6 pkt)

☐ Czy firma dokumentuje zapytania i odpowiedzi?
☐ Czy istnieje rejestr komunikacji z organem/osobami?
☐ Czy można wykazać działania IOD (rozliczalność)?

Ryzyko:
➡️ brak dowodów zgodności (3+4+)
➡️ problem w trakcie kontroli

---

🧮 SCORING KOŃCOWY

Maksymalnie: 60 punktów

🟢 50–60 pkt → NISKI POZIOM RYZYKA

• IOD realnie pełni funkcję punktu kontaktowego
• system działa operacyjnie

👉 Rekomendacja: optymalizacja i automatyzacja

---

🟡 30–49 pkt → ŚREDNI POZIOM RYZYKA

• funkcja istnieje, ale ma luki
• możliwe problemy przy kontroli lub incydencie

👉 Rekomendacja: ustandaryzowanie procesów + szkolenia

---

🔴 0–29 pkt → WYSOKIE RYZYKO

• funkcja punktu kontaktowego jest pozorna
• duże ryzyko naruszeń i sankcji

👉 Rekomendacja: pilne wdrożenie procedur i centralizacji

---

🔥 BONUS: Szybki test „reality check”

Jeśli choć jedno z poniższych = NIE → realne ryzyko:

☐ Czy każda skarga trafia do IOD?
☐ Czy firma odpowie UODO w 48h?
☐ Czy pracownik wie, co zrobić z żądaniem RODO?

---

Kandydat zażądał usunięcia danych w trakcie rekrutacji

 

🔴 Kandydat zażądał usunięcia danych w trakcie rekrutacji. Firma… spanikowała.

Case z życia (HR + RODO + AI):

Ekspert aplikuje przez portal pracy.
Jego CV zostaje wstępnie przeanalizowane przez AI.
Dane trafiają do firmy → 3 osoby → a potem dalej „w świat” (kolejne 1–4 osoby każda, klasyczny forwarding maili).

I nagle 💥
kandydat korzysta z prawa do bycia zapomnianym z RODO.

Co poszło nie tak?

---

❌ 5 błędów, które widzę najczęściej w takich sytuacjach:

1️⃣ „Rozsyłanie CV mailem, bo szybciej”
Efekt: brak kontroli nad tym, kto ma dane i gdzie one są.

2️⃣ Brak mapy przepływu danych
Nikt nie wie, do ilu osób finalnie trafiły dane kandydata.

3️⃣ Brak procedury na żądania RODO
Zespół nie wie:
– kto odpowiada,
– co usuwać,
– w jakiej kolejności działać.

4️⃣ AI bez refleksji
Dane przeszły przez narzędzie AI… ale:
– czy dostawca jest procesorem czy administratorem?
– czy dane trafiły do trenowania modeli?

5️⃣ Zero zasady minimalizacji
Zamiast 2 decydentów → 10 osób „do opinii”.

---

✅ Jak to powinno wyglądać (w skrócie):

✔️ zatrzymujesz proces dla kandydata
✔️ identyfikujesz wszystkie miejsca, gdzie są dane (HR, maile, pliki)
✔️ usuwasz dane (z wyjątkami np. pod roszczenia)
✔️ informujesz wszystkie osoby, które dostały CV
✔️ dokumentujesz działania
✔️ odpowiadasz kandydatowi (max 1 miesiąc)

---

📌 Najważniejsza lekcja?

RODO to nie jest „papierologia”.
To test operacyjny procesów w firmie.

Bo kiedy przychodzi realne żądanie:
➡️ wychodzi, czy masz kontrolę nad danymi…
➡️ czy tylko Ci się wydaje, że masz.

---

💡 Pro tip dla HR i IT:

Zamiast rozsyłać CV:
👉 używaj ATS z nadawaniem dostępów
👉 ogranicz liczbę osób w procesie
👉 miej gotową procedurę „co robimy, gdy ktoś żąda usunięcia danych”

---

Spotkałeś się z taką sytuacją u siebie?
Jak Twoja firma poradziła sobie z żądaniem usunięcia danych w trakcie rekrutacji?

Czy lekarz może zrobić zdjęcie dokumentacji pacjenta telefonem?

 

To pytanie pojawia się bardzo często w audytach bezpieczeństwa w podmiotach leczniczych.
Odpowiedź brzmi: co do zasady – nie powinien, chyba że spełnione są bardzo konkretne warunki organizacyjne i prawne.

Podstawą oceny jest Rozporządzenie (UE) 2016/679 (RODO) oraz przepisy dotyczące prowadzenia dokumentacji medycznej.

---

1. Dlaczego robienie zdjęcia dokumentacji jest problematyczne?

Dokumentacja medyczna zawiera szczególną kategorię danych osobowych (dane o zdrowiu).

Zdjęcie wykonane prywatnym telefonem powoduje powstanie niekontrolowanej kopii danych, nad którą podmiot leczniczy często traci kontrolę.

Najczęstsze ryzyka:

• zapis zdjęcia w prywatnej galerii telefonu
• automatyczna synchronizacja z chmurą (np. Google Photos, iCloud)
• możliwość przesłania zdjęcia przez komunikatory
• brak kontroli nad dalszym przetwarzaniem danych

W praktyce oznacza to naruszenie zasady integralności i poufności danych.

---

2. Kiedy takie działanie może być uzasadnione?

W wyjątkowych sytuacjach zdjęcie dokumentacji może być dopuszczalne, jeżeli:

✔ jest to niezbędne do udzielenia świadczenia zdrowotnego
✔ odbywa się w ramach systemu informatycznego podmiotu
✔ telefon jest służbowym urządzeniem zarządzanym przez placówkę
✔ zdjęcie trafia bezpośrednio do systemu EDM
✔ obowiązuje procedura bezpieczeństwa

Przykład:

• dokumentacja musi być natychmiast przesłana do specjalisty konsultującego przypadek,
• zdjęcie wykonywane jest służbowym urządzeniem w aplikacji medycznej.

---

3. Kiedy jest to naruszenie RODO?

Najczęściej spotykane przypadki naruszeń w audytach:

❌ zdjęcie dokumentacji prywatnym telefonem
❌ przesłanie zdjęcia przez komunikator (np. WhatsApp)
❌ przechowywanie zdjęć w prywatnej galerii
❌ brak zgody i procedury w placówce

W takich sytuacjach może dojść do naruszenia ochrony danych osobowych.

---

4. Jak powinna wyglądać dobra praktyka w szpitalu?

Podmiot leczniczy powinien jasno określić w procedurach:

✔ zakaz fotografowania dokumentacji prywatnymi urządzeniami
✔ korzystanie wyłącznie z systemów EDM
✔ używanie służbowych urządzeń mobilnych
✔ szkolenia personelu medycznego

---

Wniosek

📌 Lekarz nie powinien wykonywać zdjęć dokumentacji pacjenta prywatnym telefonem.

Może to być dopuszczalne tylko wtedy, gdy:

• jest to niezbędne w procesie leczenia
• odbywa się w ramach systemu podmiotu leczniczego
• wykorzystywane jest zabezpieczone urządzenie służbowe.

---

Praktyczna, „nieprzeładowana” lista dokumentów RODO dla usługi manikiurzystki / salonu manicure

 

Branża BEAUTY ma więcej danych wrażliwych niż się wydaje, więc taka lista bardzo się przydaje 👍
Poniżej masz praktyczną, „nieprzeładowaną” listę dokumentów RODO dla usługi manikiurzystki / salonu manicure zatrudniającego do 5 pracowników, z monitoringiem i systemem online do rezerwacji wizyt.

---

1. Dokumenty obowiązkowe – fundament RODO

1.1. Rejestr czynności przetwarzania (RCzP) danych osobowych

Powinien obejmować co najmniej:

• klientki (wizyty, kontakt, historia zabiegów),
• rezerwacje online,
• pracowników,
• monitoring wizyjny,
• kontrahentów (księgowość, IT).

📌 Nawet przy 1–5 osobach RCzP jest wymagany, bo przetwarzanie jest ciągłe i zorganizowane.

---

1.2. Klauzule informacyjne (art. 13 RODO)

Oddzielne klauzule dla:

• klientek (na miejscu + online),
• systemu rezerwacji wizyt,
• pracowników,
• kandydatów do pracy,
• monitoringu.

📌 Klauzula dla klientek powinna uwzględniać:

• dane kontaktowe,
• historię wizyt,
• ewentualne uwagi dot. zdrowia (np. alergie).

---

1.3. Upoważnienia do przetwarzania danych

Dla:

• manikiurzystek,
• recepcji (jeśli jest),
• właścicielki salonu (jeżeli też realizuje usługi).

• ewidencja upoważnień (kto, od kiedy, do czego) lub Teczkę z pierwszymi egzemplarzami).

---

1.4. Umowy powierzenia danych

Obowiązkowe przy:

• systemie rezerwacji online,
• firmie IT / serwerach,
• biurze rachunkowym,
• firmie obsługującej monitoring (jeśli zewnętrzna).

📌 Brak umowy powierzenia = klasyczny błąd salonów beauty.

---

2. Monitoring – dokumenty konieczne

2.1. Regulamin monitoringu wizyjnego

Powinien zawierać:

• cel monitoringu (bezpieczeństwo, mienie),
• zakres kamer,
• czas przechowywania nagrań,
• osoby upoważnione do dostępu.

---

2.2. Oznaczenie monitoringu + klauzula informacyjna

• widoczne piktogramy kamer,
• klauzula RODO przy wejściu lub recepcji.

📌 Monitoring nie może obejmować:

• toalety,
• zaplecza socjalnego,
• miejsc przebierania.

---

3. Dokumenty organizacyjne i bezpieczeństwa

3.1. Polityka ochrony danych osobowych

Jedna, prosta polityka opisująca:

• jakie dane są zbierane,
• gdzie są przechowywane (system, papier),
• kto ma dostęp,
• jak są zabezpieczone (hasła, zamknięcia).

📌 W małym salonie 10–12 stron w zupełności wystarczy.

---

3.2. Analiza ryzyka

Uwzględniająca m.in.:

• system rezerwacji online,
• dostęp pracowników do danych klientek,
• monitoring,
• dokumentację papierową,
• urządzenia mobilne.

---

3.3. Procedura naruszeń danych

Na wypadek:

• włamania do systemu rezerwacji,
• zgubienia telefonu służbowego,
• ujawnienia danych klientki.

Kto decyduje o:

• zgłoszeniu do UODO,
• poinformowaniu klientów.

---

3.4. Procedura realizacji praw osób

Jak salon reaguje na:

• prośbę o dostęp do danych,
• usunięcie danych po zakończeniu usług,
• sprzeciw wobec monitoringu (jeśli możliwy).

---

4. Dokumenty specyficzne dla branży beauty

4.1. Zgody – tylko jeśli faktycznie potrzebne

Np.:

• zgoda na zdjęcia stylizacji (social media),
• zgoda marketingowa (SMS, e-mail).

📌 Usługa manicure nie wymaga zgody na przetwarzanie danych – podstawą jest umowa.

---

4.2. Zasady retencji danych

Określenie:

• jak długo dane klientek są przechowywane,
• kiedy są usuwane z systemu,
• kiedy niszczone są dokumenty papierowe.

---

5. Czego nie trzeba w takim salonie

❌ Inspektora Ochrony Danych (IOD)
❌ OSOD (DPIA →oceny skutków) – monitoring standardowy jej nie wymaga
❌ Rozbudowanych polityk korporacyjnych
❌ Zgód „na wszystko”

---

6. Checklista – w skrócie ✅

Salon manicure do 5 osób powinien mieć:

• ✔ Rejestr czynności przetwarzania
• ✔ Klauzule informacyjne (klientki, monitoring, online)
• ✔ Upoważnienia + ewidencję
• ✔ Umowy powierzenia (system rezerwacji!)
• ✔ Politykę ochrony danych
• ✔ Analizę ryzyka
• ✔ Procedury: naruszenia + prawa osób
• ✔ Regulamin monitoringu

---

odpowiedzialność rekrutera z RODO

 

Odpowiedzialność rekrutera zależy od jego roli wobec danych:

1. Rekruter jako pracownik działu HR (w imieniu pracodawcy)

• Administrator danych: to pracodawca (firma zatrudniająca), nie indywidualny rekruter.
• Rekruter działa na podstawie upoważnienia do przetwarzania danych osobowych i w ramach procedur wdrożonych przez pracodawcę.
• Odpowiedzialność rekrutera ma wtedy charakter pracowniczy – musi przestrzegać procedur, nie wynosić CV, nie kopiować danych na prywatne nośniki, nie przekazywać ich osobom nieuprawnionym.
• Za naruszenie przepisów (np. wyciek danych z winy rekrutera) odpowiedzialność ponosi pracodawca wobec organów nadzorczych i kandydatów, ale rekruter może odpowiadać dyscyplinarnie lub materialnie wobec swojego pracodawcy.

2. Rekruter jako firma zewnętrzna (agencja pracy, headhunter)

• Jeśli działa na zlecenie pracodawcy, zwykle jest podmiotem przetwarzającym (procesorem) – musi mieć podpisaną umowę powierzenia danych z klientem.
• Jeżeli sam zbiera CV, buduje własną bazę kandydatów i dopiero później rekomenduje ich klientom – wtedy pełni rolę administratora danych osobowych (bo sam decyduje o celach i sposobach przetwarzania).
• W obu przypadkach musi:
• realizować obowiązek informacyjny wobec kandydatów,
• dbać o podstawę prawną (np. zgoda kandydata, uzasadniony interes),
• zapewnić odpowiednie zabezpieczenia techniczne i organizacyjne,
• umożliwiać kandydatom korzystanie z praw (dostęp, usunięcie, sprostowanie, ograniczenie).

3. Ryzyka i konsekwencje

• Odpowiedzialność administracyjna: kary finansowe od UODO (do 20 mln € lub 4% obrotu).
• Odpowiedzialność cywilna: kandydat może domagać się odszkodowania za naruszenie jego praw.
• Odpowiedzialność karna: w Polsce np. za nieuprawnione udostępnianie danych (art. 107 ustawy o ochronie danych osobowych).
• Odpowiedzialność pracownicza: jeśli rekruter działa w ramach stosunku pracy i złamie zasady.

---