Jak długo firma farmaceutyczna może przetwarzać dane osobowe ze zgłoszeń działań niepożądanych kosmetyków?

  

W kontekście RODO branża farmaceutyczna staje w obliczu ustalenia właściwych okresów przechowywania poszczególnych kategorii danych osobowych.

Specyficzną kategorią są dane pochodzące ze zgłoszeń działań niepożądanych. Obowiązek przyjmowania i weryfikacji takich zgłoszeń nie dotyczy wyłącznie produktów leczniczych, ale także wyrobów medycznych i produktów kosmetycznych.

Wraz z początkiem roku weszła w życie nowa ustawa z dnia 4 października 2018 r. o produktach kosmetycznych, która bardziej szczegółowo uregulowała kwestie związane z wykonywaniem przez firmy farmaceutyczne, producentów i dystrybutorów kosmetyków, obowiązków dot. działań niepożądanych tej właśnie kategorii produktów.

Czytaj dalej

Pierwsze kary pieniężne za naruszenia RODO

  

Kary pieniężne za przetwarzanie danych osobowych niezgodnie z przepisami RODO to już nie tylko teoria. Niektóre unijne organy nadzorcze wydały pierwsze decyzje skierowane przeciwko podmiotom, które uchybiły nowym standardom. I nie są to wcale niskie kwoty.

Portugalski organ nadzorczy nałożył niedawno karę na szpital w wysokości 400.000 EUR, czyli około 1,7 mln złotych za brak właściwej ochrony danych pacjentów. Uchybienia polegały m.in. na niestosowaniu odpowiednich środków organizacyjnych i technicznych w celu ograniczenia dostępu do tych danych wśród personelu szpitala. W efekcie tych zaniedbań, dostęp do danych pacjentów mogły uzyskiwać osoby nieuprawnione.

Organ ustalił również, że szpital nie dokonywał weryfikacji, czy konta byłych pracowników zostały usunięte z systemu informatycznego. Argument w postaci ograniczeń funkcjonalnych stosowanego oprogramowania został przez kontrolerów odrzucony.

Czytaj dalej

Nie twórz niepotrzebnej dokumentacji

  

W dniu 25 listopada 2018 r. upływa pół roku od rozpoczęcia stosowania przepisów unijnego rozporządzenia o ochronie danych osobowych. Z tej okazji na stronie internetowej Urzędu Ochrony Danych Osobowych, opublikowano oświadczenie Prezes Urzędu, dr Edyty Bielak-Jomaa.

Równolegle z oświadczeniem na stronie urzędu pojawiło się 10 wskazówek dla administratorów – jak stosować RODO, w oparciu o doświadczenia z pierwszego półrocza.

Z powyższymi komunikatami warto się zapoznać. Są one dostępne tutaj:

https://uodo.gov.pl/pl/171/576

https://uodo.gov.pl/pl/171/578

Jeden z punktów wykazu wskazówek dla administratorów nosi tytuł „Nie twórz niepotrzebnej dokumentacji”. Ponieważ w powyższym komunikacie został on omówiony głównie w kontekście zgód na przetwarzanie danych osobowych, warto rozwinąć ten temat.

Czytaj dalej

Zgoda w CV na przetwarzanie danych osobowych – potrzebna czy nie?

  

W dzisiejszym wpisie postaram się rozwiać wątpliwości pracodawców i kandydatów do pracy dotyczące umieszczania na dole CV formuły zgody na przetwarzanie danych osobowych w celu przeprowadzenia rekrutacji.

Osoby, które wysyłają swoje CV w związku z ogłoszeniami o pracę, z reguły zamieszczają pod swoim CV oświadczenie o zgodzie na przetwarzanie ich danych osobowych przez firmę, która prowadzi rekrutację na stanowisko, którym te osoby są zainteresowane.

Pojawia się pytanie, czy w świetle RODO jest to konieczne i jak powinien się zachować pracodawca, który otrzyma CV, w której takiej formułki nie ma. Czy jest on uprawniony przetwarzać dane osobowe kandydata i uwzględnić jego zgłoszenie na dalszych etapach procesu rekrutacji?

Czytaj dalej

Najważniejszy element systemu ochrony danych osobowych w każdej firmie

  

Przepisy RODO obowiązują od kilku miesięcy i wiele firm wprowadziło już zmiany związane z obowiązkiem należytej ochrony danych osobowych. Nawet jeżeli projekt pt. „Wdrożenie RODO”, można uznać za zakończony, to dopiero czas pokaże, czy wśród osób zarządzających firmami dokonała się zmiana mentalnościowa i czy nowe dokumenty oraz procedury sprawdzą się w bieżącej działalności ich biznesów.

Jak często podkreślam, ochrona danych osobowych to ciągły proces, który wymaga znajomości przepisów i sposobów obchodzenia się z danymi osobowymi przez każdą osobę, która ma dostęp do danych w związku z wykonywanymi zadaniami.

Czytaj dalej

Upoważnienie do przetwarzania danych osobowych

  

Zgodnie z RODO, każda osoba uzyskująca dostęp do danych osobowych w firmie powinna posiadać stosowne upoważnienie od administratora danych.

W treści upoważnienia należy określić komu jest udzielane i na jaki okres oraz opisywać zakres przedmiotowy upoważnienia, tj. jakie dane osobowe konkretny pracownik może na jego podstawie przetwarzać. Zakres upoważnienia powinien być adekwatny do zadań i czynności wykonywanych na rzecz pracodawcy, dlatego słuszną praktyką przy udzielaniu upoważnień jest odwołanie się do zakresu obowiązków danego pracownika.

Co istotne, zakresy upoważnień powinny się różnić w zależności od zajmowanego w firmie stanowiska. Przykładowo, księgowa czy pracownik działu kadr potrzebują innego dostępu do danych osobowych niż osoba zatrudniona w dziale marketingowym.

Czytaj dalej

Przetwarzanie danych osobowych ma być przejrzyste – tako „rzecze” RODO

  

W numerze 7-8 (260)/2018 magazynu Polish Market ukazał się mój nowy artykuł pt. „The Transparency of Data Processing in Line with GDPR”.

W artykule wyjaśniam sens zasady przejrzystości, stanowiącej jedną z najważniejszych zasad przetwarzania danych osobowych w świetle RODO. Wskazuję, w jaki sposób zasadę przejrzystości należy zachowywać w przypadku udostępnienia danych osobowych innemu podmiotowi. Ponieważ przetwarzanie danych osobowych w firmie to proces ciągły, sygnalizuję również, jak ważne jest zapewnienie przez administratora, aby aktualizował informacje o przetwarzaniu danych osobowych w przypadku zamiaru wprowadzenia istotnych zmian, np. rozpoczęcia przetwarzania danych w innym celu niż ten, w którym zostały one wcześniej zebrane.

Przypomnijmy, że zasada przejrzystości pozwala firmie zachować większą świadomość i kontrolę w obszarze przetwarzania danych osobowych, a jednym z najważniejszych dokumentów wewnętrznych, który ma służyć jej realizacji jest Rejestr czynności przetwarzania danych osobowych. Począwszy od dnia 25 maja 2018 r. obowiązek prowadzenia tego rejestru dotyczy zdecydowanej większość firm.

Zapraszam do lektury!

Jak zgłosić naruszenie ochrony danych do PUODO?

  

Od dnia 25 maja 2018 r. administratorzy danych osobowych mają obowiązek zgłaszania naruszeń ochrony danych osobowych do organu nadzorczego. Dla polskich firm organem tym jest Prezes Urzędu Ochrony Danych Osobowych.

W celu ułatwienia administratorom realizacji tego obowiązku, na stronie internetowej Urzędu Ochrony Danych Osobowych udostępniony został formularz zgłoszenia naruszenia ochrony danych osobowych. Zgodnie z instrukcją podaną na stronie, zgłoszenia naruszenia dokonuje się elektronicznie, poprzez wypełnienie formularza i załączenie do pisma ogólnego dostępnego na platformie biznes.gov.pl.

Czytaj dalej

Jasna strona RODO

  

W nowym numerze magazynu Polish Market ukazał się mój artykuł pt. „The Bright Side of General Data Protection Regulation”.

Link do numeru: https://issuu.com/polishmarket/docs/pm_5_272_2018

Artykuł na stronie 45.

Zapraszam do lektury!

Umowa powierzenia – kiedy należy ją zawierać?

  

W związku z rozpoczęciem stosowania RODO w dniu 25 maja 2018 r. możemy zaobserwować kilka zjawisk, którym warto się bliżej przyjrzeć.

W ostatnich dniach wielu przedsiębiorców otrzymało od swoich kontrahentów do podpisania umowy powierzenia przetwarzania danych osobowych. W niektórych przypadkach podpisanie takiej umowy jest stawiane jako warunek kontynuowania współpracy.

Czy w każdym przypadku kontrahent firmy ma podstawę wymagać od niej podpisania takiej umowy? Z umów powierzenia, z którymi miałem okazję zapoznać się w ostatnim czasie, mogę stwierdzić, że w wielu przypadkach ich zawarcie byłoby po prostu błędne.

Czytaj dalej