Contacts
Info
Podkast prowadzony przez Inspektora Ochrony Danych uprawiającego swoje rzemiosło od 2011 roku.
5 NOV 2020 · Pracownicze Plany Kapitałowe wzbudzają w Internecie wiele dyskusji na tematy finansowe. Czy podobnie jest w zakresie ochrony danych?
24 NOV 2019 · W tym odcinku omawiam zmiany w przepisach dotyczących ZFŚS (które weszły wiosną 2019 roku) oraz omawiam procedurę przeglądu danych, którą należy przeprowadzać przynajmniej 1 raz w roku.
17 JUN 2019 · Sytuacja pielęgniarki szkolnej generuje wciąż wiele zapytań. Najważniejszą myśl można streścić w jednym zdaniu: Szkoła i Pielęgniarka to dwaj oddzielni administratorzy i nie występuje tu konieczność, ani nawet możliwość zawierania umowy powierzenia.
Jaki jest status prawny pielęgniarki?
Umowa powierzenia to umowa w relacji pionowej. Zawarcie takiej umowy z pielęgniarką szkolną oznaczałoby, że wykonuje ona przetwarzanie w imieniu administratora (w tym wypadku szkoły) i jest mu podporządkowana.
Podmiot przetwarzający (procesor) w myśl RODO ma wiele obowiązków wobec administratora i jest mu podległy w zakresie przetwarzania tych danych. Taka sytuacja nie występuje w przypadku opieki zdrowotnej w szkole.
Podmiot udzielający świadczeń zdrowotnych gromadzi dane pacjentów w oparciu o:
Rozporządzenie Ministra Zdrowia z dnia 20 czerwca 2008 r. w sprawie zakresu niezbędnych informacji gromadzonych przez świadczeniodawców, szczegółowego sposobu rejestrowania tych informacji oraz ich przekazywania podmiotom zobowiązanym do finansowania świadczeń ze środków publicznych (Dz.U. 2016 poz. 192)
Ustawę z dnia 6 listopada 2008 r. o prawach pacjenta i Rzeczniku Praw Pacjenta – art. 24 i art. 25 (Dz.U. 2017 poz. 1318)
Wynika z tego, że pielęgniarka szkolna działa niezależnie od szkoły i przetwarza dane osobowe w imieniu NZOZ lub innego podmiotu, którego jest pracownikiem. Staje się ona wtedy odbiorcą danych w rozumieniu art. 4 pkt 9 RODO („odbiorca” oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, któremu ujawnia się dane osobowe, niezależnie od tego, czy jest stroną trzecią).
Jak powinien wyglądać przepływ danych?
Ustawa z dnia 14 grudnia 2016 r. – Prawo oświatowe (Dz.U. 2018 poz. 996) w art. 103 pkt. 1 ppt. 4 mówi, że Szkoła w zakresie realizacji zadań statutowych zapewnia uczniom możliwość korzystania z gabinetu profilaktyki zdrowotnej.
Ponieważ, jak już wcześniej ustaliliśmy, gabinet ten działa jako oddzielny administrator danych, konieczne jest więc udostępnienie przez szkołę danych, które są niezbędne do działania tego gabinetu i świadczenia usług profilaktyki zdrowotnej.
W związku z tym szkoła przekazuje dane o uczniach na mocy prawa. Na pewno w zakresie takim jak: imię, nazwisko i numer PESEL (patrz: prawo oświatowe art. 68 ust. 1 pkt 11 , Dz.U. 2018 poz. 996).
Czy w szerszym? Na chwilę obecną to trudne dla mnie do rozstrzygnięcia, bowiem pielęgniarka powinna prowadzić dokumentację zawierającą nazwisko i imię (imiona), data urodzenia, oznaczenie płci, adres miejsca zamieszkania, numer PESEL, nazwisko i imię (imiona) przedstawiciela ustawowego oraz adres jego miejsca zamieszkania (patrz: Art. 25 Ustawa z dnia 6 listopada 2008 r. o prawach pacjenta i Rzeczniku Praw Pacjenta). Być może będą potrzebne też inne dane, także te o stanie zdrowia (np. informacje o niepełnosprawności, chorobach itp.). Jednak z drugiej strony, brak jest jasnej podstawy na przekazanie tych informacji i pojawiają się głosy, że szkoła nie powinna wychodzić poza zamknięty katalog trzech informacji, chyba że podanie dodatkowych informacji ratuje życie dziecka – wtedy tak, ujawnienie szerszych danych jest nie tylko dopuszczalne, ale i konieczne.
Tak, czy inaczej – po przekazaniu danych do niezależnego administratora, nie będą one już wracać do szkoły, gdyż na podstawie § 10 Rozporządzenia Ministra Zdrowia z dnia 28 sierpnia 2009 r. w sprawie organizacji profilaktycznej opieki zdrowotnej nad dziećmi i młodzieżą (Dz.U. 2009 nr 139 poz. 1133):
W przypadku zmiany szkoły przez ucznia dokumentację medyczną ucznia odbierają opiekunowie prawni lub faktyczni ucznia i przekazują szkole przyjmującej ucznia. (§ 10 pkt. 4)
Po zakończeniu kształcenia przez ucznia pielęgniarka, higienistka szkolna albo położna przekazują indywidualną dokumentację medyczną ucznia lekarzowi podstawowej opieki zdrowotnej, sprawującemu opiekę zdrowotną nad uczniem na podstawie deklaracji wyboru lekarza podstawowej opieki zdrowotnej. (§ 10 pkt. 4)
Na co zawracać uwagę?
Przekazując dane do pielęgniarki, Szkoła traci nad nimi kontrolę i to podmiot, którego pracownikiem jest pielęgniarka, przejmuje odpowiedzialność za właściwą opiekę nad danymi. Jednak z mojej osobistej praktyki wynika, że nierzadko występują tu uchybienia, a obszar przetwarzania danych tych dwóch administratorów się przenika. Szkolne sprzątaczki sprzątają gabinet, pielęgniarka pozostawia karty medyczne w sekretariacie itp.
Ochrona danych uczniów to zadanie szkoły i nawet jeśli nie ma ona bezpośredniej zwierzchności nad pielęgniarką, to moim zdaniem na stopie partnerskiej Dyrektor powinien przypomnieć jej o obowiązkach w zakresie ochrony danych oraz zapewnić, aby wynajmowany na terenie szkoły gabinet był właściwie zabezpieczony. Jeżeli szkoła użycza również łącza internetowego, to warto zadbać aby komputer w gabinecie pielęgniarki działał w oddzielnej podsieci.
Warto również, zawierając umowę z tym, a nie innym NZOZ, już na etapie umowy określić warunki ochrony danych.
26 MAY 2019 · W systemie ochrony danych istnieją sporne tematy, które dzielą także ekspertów. Takim tematem jest określenie, czy dane dane są już osobowe, czy jeszcze nie. A jak to jest w przypadku numeru rejestracyjnego?
Jednym z takich odwiecznych tematów jest numer rejestracyjny auta. Zacznijmy jak zwykle od definicji z RODO:
„dane osobowe” oznaczają wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej („osobie, której dane dotyczą”); możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej;
W tym artykule skupię się na początku definicji:
„dane osobowe” oznaczają wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej […]
i pojawia się pytanie – możliwej do zidentyfikowania przez kogo? Mamy tu do czynienia z dwoma możliwymi podejściami:
Podejście obiektywne – osoba ma być możliwa do zidentyfikowania w ogólności.
Podejście subiektywne – osoba ma być możliwa do zidentyfikowania w konkretnej sytuacji.
W podejściu pierwszym sprawa jest jasna. Numer rejestracyjny figuruje w bazie urzędowej, na jego podstawie policja, prokuratura i inne urzędy są w stanie zidentyfikować właściciela, więc numer rejestracyjny to dane osobowe identyfikujące, a co za tym idzie, tworzenie np. internetowych rejestrów zdjęć źle zaparkowanych samochodów to już przetwarzanie danych osobowych, choć autor rejestru ani osoba wgrywająca doń te zdjęcie, nie są w stanie rozpoznać, kto jest ową osobą fizyczną.
Zdecydowanie przyjemniejsze byłoby podejście subiektywne, wg którego ten numer to nie są dane, gdyż zidentyfikować osobę może tylko wąski krąg uprawnionych. Tylko czy takie podejście się obroni w zetknięciu z rodzimym Urzędem Ochrony Danych Osobowych, lub jego zagranicznymi odpowiednikami? Motyw 26 RODO niewiele tu wyjaśnia, mówiąc:
Aby stwierdzić, czy dana osoba fizyczna jest możliwa do zidentyfikowania, należy wziąć pod uwagę wszelkie rozsądnie prawdopodobne sposoby (w tym wyodrębnienie wpisów dotyczących tej samej osoby), w stosunku do których istnieje uzasadnione prawdopodobieństwo, iż zostaną wykorzystane przez administratora lub inną osobę w celu bezpośredniego lub pośredniego zidentyfikowania osoby fizycznej.
Wspomina się tu bowiem o innej osobie, a więc zdjęcie źle zaparkowanego samochodu może zostać wykorzystane czy to przez policję czy to przez sąsiada, który może połączyć zdjęcie z internetu z realnym naszym pojazdem. Obydwie te osoby (policjant i sąsiad) wcale nie używają jakiś nierozsądnych i nieprawdopodobnych metod.
Nieraz zresztą w internecie widywałem komentarze: Nie zamazujcie numerów, dopadniemy dzbana. Skoro tak, to komentujący jednak zakładają, że go zidentyfikują.
Czy więc obiektywne podejście nie jest jednak bezpieczniejsze? Jeśli numer nie pozwala na identyfikację, to czy został zamazany czy nie, odbiorca zdjęcia czy filmu nie odczuje różnicy. A jeśli odczuje różnicę, to może jednak ten numer pozwala na identyfikację i należy go potraktować jak identyfikujące dane osobowe?
Zachęcam Państwa do dyskusji na ten temat. Czy to w komentarzach pod artykułem, czy to na facebookowym Forum Inspektorów Ochrony Danych.
25 MAY 2019 · „U licha! już przeszło 40 lat mówię prozą, nic o tym nie wiedząc.” mówi znany bohater sztuki Moliera. A ja ostatnio usłyszałem zdanie – „Jeśli cos wpada i nic z tym nie robię, to nie jest przetwarzanie tylko gromadzenie”.
Zdanie to powiedział do mnie ostatnio mój kolega, który ochroną danych zupełnie się nie zajmuje. No i wywiązała się między nami dyskusja, dotycząca monitoringu wizyjnego, którym on administruje. Dyskusja, która pokazuje, że tak naprawdę zrozumienie pojęć z zakresu ochrony danych jest wciąż bardzo dalekie przeciętnym zjadaczom chleba razowego, których życie wcale nie obraca się wokoło RODO. Co prawda, na pewno o nim słyszeli, bo nie da się nie usłyszeć tej nazwy, ale poza tym, nie znają pojęć i nawet nie wiedzą, że te dane przetwarzają.
Choć już pisałem o tym w artykule o powierzaniu, to przytoczę ponownie definicję przetwarzania danych.
„przetwarzanie” oznacza operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie;
Tym razem pogrubiłem zapisy związane z utrwalaniem i przechowywaniem. Tak drodzy administratorzy monitoringów wizyjnych, jesteście administratorami i przetwarzacie dane. Nie musicie ich wykorzystywać, ujawniać, przekazywać dalej. Już samo utrwalanie i przechowywanie wystarczy.
Piszę o tym, gdyż wspomniany przeze mnie kolega zamontował monitoring w swoim prywatnym domu jednorodzinnym i uznał, że skoro to na czynności o czysto osobistym lub domowym charakterze, to pod RODO nie podlega. Jednakowoż, jedna z kamer kolegi skierowana jest na drogę publiczną i rejestruje przejeżdżające auta, pieszych na chodniku etc. Co prawda kolega uważa, że chodnik jest jego, bo musi go zimą odśnieżać, jednak tak prosta zależność nie występuje i monitorowane miejsce jest miejscem publicznym. W tym wypadku nie ma już ucieczki od RODO. A skoro tak, należy zrealizować obowiązek informacyjny z Art. 13, łącznie z podaniem danych administratora! Nie wystarczy piktogram kamery albo napis Teren monitorowany.
15 MAR 2019 · Czy odróżniasz udostępnianie od powierzania danych? Jeżeli masz wątpliwości lub sprzedawca bułek chce podpisywać z Tobą umowę powierzenia – posłuchaj lub przeczytaj: http://lobo.expert/2019/03/09/powierzac-czy-nie-powierzac/
27 FEB 2019 · Zapis podkastu: http://lobo.expert/2019/02/27/co-to-sa-dane-osobowe-i-jak-je-chronic/
23 FEB 2019 · Odcinek o tym, jak komornik zabrał niewinnemu 1000zł.
Zapis tekstowy odcinka: http://lobo.expert/2019/02/12/czy-system-chroni-prawa-i-wolnosci-osob/
23 FEB 2019 · Obowiązki Inspektora ochrony danych okiem Przemysława.
Zapis tekstowy nagrania: http://lobo.expert/2019/02/21/obowiazki-inspektora/
19 FEB 2019 · Podcast na temat RODO, zapis treści podkastu znajdziesz na blogu: http://lobo.expert/2019/02/19/rodo-rewolucja-czy-ewolucja/
Podkast prowadzony przez Inspektora Ochrony Danych uprawiającego swoje rzemiosło od 2011 roku.
Information
Author | Przemysław Adam Śmiejek |
Organization | Przemysław Adam Śmiejek |
Categories | Business |
Website | ochrona.gwarantowana.pl |
odo@lobo.pro |
Copyright 2024 - Spreaker Inc. an iHeartMedia Company