GoldenLine
Zaloguj się
Jarosław Kwiatkowski

Jarosław Kwiatkowski

Temat: Czy muszę prowadzić rejestr kategorii przetwarzania...

Dzień dobry

Czy Szpital jako równoległy Administrator Danych z uwagi na obowiązek prowadzenie dokumentacji medycznej musi prowadzić rejestr wszystkich kategorii przetwarzania dokonywanych w imieniu Administratora Danych.
Chodzi tu o sytuację gdy np. dany zakład pracy przekazuje nam skierowania swoich Pracowników na Badania okresowe a Szpital je wykonuje i przechowuje dokumentacje z uwagi na przepisy obowiązującego prawa stając się jednocześnie równoległym Administratorem,
Link do wypowiedziLink
Radosław Zieliński

Radosław Zieliński

Temat: Czy muszę prowadzić rejestr kategorii przetwarzania...

Każdy administrator .... (art. 30.1.) rejestr czynności przetwarzania danych osobowych.
Każdy podmiot przetwarzający (art. 30.2.) prowadzi rejestr wszystkich kategorii czynności przetwarzania dokonywanych w imieniu administratora.
Wyłączenie w art. 30.5. was nie dotyczą - przetwarzacie szczególne kategorie danych osobowych (9.1.).

Macie obowiązek prowadzenia obu rejestrów.
Link do wypowiedziLink
Paweł G.

Paweł G. IOD, podmiot danych

Temat: Czy muszę prowadzić rejestr kategorii przetwarzania...

Jarosław K.:
Chodzi tu o sytuację gdy np. dany zakład pracy przekazuje nam skierowania swoich Pracowników na Badania okresowe a Szpital je wykonuje i przechowuje dokumentacje z uwagi na przepisy obowiązującego prawa stając się jednocześnie równoległym Administratorem,
Ja bym to wpisał do rejestru czynności.
Link do wypowiedziLink
Marek Popiel

Marek Popiel ochroniarz danych

Temat: Czy muszę prowadzić rejestr kategorii przetwarzania...

Jarosław K.:
Czy Szpital jako równoległy Administrator Danych z uwagi na obowiązek prowadzenie dokumentacji medycznej musi prowadzić rejestr wszystkich kategorii przetwarzania dokonywanych w imieniu Administratora Danych.
Chodzi tu o sytuację gdy np. dany zakład pracy przekazuje nam skierowania swoich Pracowników na Badania okresowe a Szpital je wykonuje i przechowuje dokumentacje z uwagi na przepisy obowiązującego prawa stając się jednocześnie równoległym Administratorem,

Doprecyzuj, czy uznajecie się za administratora, czy za podmiot przetwarzający (najczęściej na podstawie umowy powierzenia).
Jeżeli jesteście administratorem to jak dla mnie jest to jeden wpis w rejestrze czynności przetwarzania.
Jeżeli jesteście podmiotem przetwarzającym, to dla każdego zakładu pracy zlecającego badania będziesz miał osobny wpis w rejestrze kategorii czynności przetwarzania.

Ja jestem zwolennikiem interpretacji, która mówi, że podmiot wykonujący badanie jest osobnym administratorem.
Link do wypowiedziLink
Monika K.

Monika K. Radca prawny, xx

Temat: Czy muszę prowadzić rejestr kategorii przetwarzania...

Moim zdaniem, wykonując zadania z ustawy o służbie medycynie pracy ( wszystkie badania profilaktyczne) jednostka służby medycyny pracy jest ADO danych pacjenta/ pracownika. Gdyby była tylko przetwarzającym badania wykonywane byłyby w imieniu zakładu pracy ( art 4 pkt 8 rodo) - a przecież wykonuje je we własnym imieniu . Ma także dostęp do wyników badań kt są w żadnym wypadku nie jawne dla pracodawcy .
W tym kontekście jednak zastanawiałam się nad obowiązkiem informacyjnym z art. 14 - jeśli przyjmiemy ze jest Adm. ma przecież własny obowiązek INF - ale może go spełniać w momencie zgłaszania się pracowników ze skierowaniami na badania.
przyjęcie koncepcji współadministrowania ( art. 26 rodo)pozwala na ustaleniu w porozumieniu kto ( zakład pracy) spełni obowiązek informacyjny wobec pracowników - to pozwoliłoby odciążyć w tym zakresie zakłady medycyny pracy a jednocześnie nie stawiałoby ich w roli procesorów .
Link do wypowiedziLink
Radosław Zieliński

Radosław Zieliński

Temat: Czy muszę prowadzić rejestr kategorii przetwarzania...

Monika K.:
Moim zdaniem, wykonując zadania z ustawy o służbie medycynie pracy ( wszystkie badania profilaktyczne) jednostka służby medycyny pracy jest ADO danych pacjenta/ pracownika. Gdyby była tylko przetwarzającym badania wykonywane byłyby w imieniu zakładu pracy ( art 4 pkt 8 rodo) - a przecież wykonuje je we własnym imieniu . Ma także dostęp do wyników badań kt są w żadnym wypadku nie jawne dla pracodawcy .
W tym kontekście jednak zastanawiałam się nad obowiązkiem informacyjnym z art. 14 - jeśli przyjmiemy ze jest Adm. ma przecież własny obowiązek INF - ale może go spełniać w momencie zgłaszania się pracowników ze skierowaniami na badania.
przyjęcie koncepcji współadministrowania ( art. 26 rodo)pozwala na ustaleniu w porozumieniu kto ( zakład pracy) spełni obowiązek informacyjny wobec pracowników - to pozwoliłoby odciążyć w tym zakresie zakłady medycyny pracy a jednocześnie nie stawiałoby ich w roli procesorów .
Wokół ochrony zdrowia pewnie jeszcze długo będą toczyć się dyskusje typu "wyższości świąt bożego narodzenia nad wielkanocnymi".
Moim zdaniem warto pochylić się nad każdym przypadkiem indywidualnie i sprawdzić jakie zachodzą interakcje.
Drugą sprawą jest fakt, że dane osobowe mają tendencje przyrostowe tj. Organizacja otrzymująca d.o. często zwiększa ich zakres. We wzorze można to wykazać: X+1 gdzie X to dane otrzymane z zewnątrz, a +1 to dane wytworzone w Organizacji.

Zaprezentowany przez Ciebie pogląd dobrze wpisuje się do sytuacji gdzie pracodawca poleca wykonać pracownikowi badania okresowe bez wskazania konkretnego lekarza medycyny pracy.

Inaczej powinno być oceniane gdy pracodawca wskazuje, że badania można wykonywać w tym i tylko w tym gabinecie, gdyż została podpisana umowa o świadczenie usług z zakresu medycyny pracy wobec pracowników. W celu realizacji tej umowy gabinet otrzyma od pracodawcy informację: dane pracownika, nazwa zakładu pracy, grupa zawodowa, specyficzne warunki pracy. I to są dane osobowe powierzone. Gabinet przyjmuje owe dane do przetworzenia (4.2.) wykonuje zakres badań na zlecenie pracodawcy (to znaczy, że sam nie określa zakresu - nie może robić dowolnych badań); powiększa przetwarzane d.o. o wartość +1 wobec której jest na mocy odrębnych przepisów samodzielnym ADO. Zwraca pracodawcy X + informacja o możliwości podjęcia przez pracownika wskazanej pracy.

Można zastanawiać się czy nie ma zastosowania współadministrowanie. Trudnością może być wspólne ustalanie celów. Pracodawca ma inny - zatrudnienie pracownika, gabinet inny - wykonywanie badań.
Link do wypowiedziLink
Ryszard S.

Ryszard S. Specjalista ds.
ochrony danych
osobowych

Temat: Czy muszę prowadzić rejestr kategorii przetwarzania...

Co prawda odwołuje się do UODO, ale argumenty mogą się przydać :-)
http://www.ncbr.gov.pl/gfx/ncbir/pl/defaultopisy/1255/...
Link do wypowiedziLink
Monika K.

Monika K. Radca prawny, xx

Temat: Czy muszę prowadzić rejestr kategorii przetwarzania...

Radosław Z.:
Monika K.:
Moim zdaniem, wykonując zadania z ustawy o służbie medycynie pracy ( wszystkie badania profilaktyczne) jednostka służby medycyny pracy jest ADO danych pacjenta/ pracownika. Gdyby była tylko przetwarzającym badania wykonywane byłyby w imieniu zakładu pracy ( art 4 pkt 8 rodo) - a przecież wykonuje je we własnym imieniu . Ma także dostęp do wyników badań kt są w żadnym wypadku nie jawne dla pracodawcy .
W tym kontekście jednak zastanawiałam się nad obowiązkiem informacyjnym z art. 14 - jeśli przyjmiemy ze jest Adm. ma przecież własny obowiązek INF - ale może go spełniać w momencie zgłaszania się pracowników ze skierowaniami na badania.
przyjęcie koncepcji współadministrowania ( art. 26 rodo)pozwala na ustaleniu w porozumieniu kto ( zakład pracy) spełni obowiązek informacyjny wobec pracowników - to pozwoliłoby odciążyć w tym zakresie zakłady medycyny pracy a jednocześnie nie stawiałoby ich w roli procesorów .
Wokół ochrony zdrowia pewnie jeszcze długo będą toczyć się dyskusje typu "wyższości świąt bożego narodzenia nad wielkanocnymi".
Moim zdaniem warto pochylić się nad każdym przypadkiem indywidualnie i sprawdzić jakie zachodzą interakcje.
Drugą sprawą jest fakt, że dane osobowe mają tendencje przyrostowe tj. Organizacja otrzymująca d.o. często zwiększa ich zakres. We wzorze można to wykazać: X+1 gdzie X to dane otrzymane z zewnątrz, a +1 to dane wytworzone w Organizacji.

Zaprezentowany przez Ciebie pogląd dobrze wpisuje się do sytuacji gdzie pracodawca poleca wykonać pracownikowi badania okresowe bez wskazania konkretnego lekarza medycyny pracy.

Inaczej powinno być oceniane gdy pracodawca wskazuje, że badania można wykonywać w tym i tylko w tym gabinecie, gdyż została podpisana umowa o świadczenie usług z zakresu medycyny pracy wobec pracowników. W celu realizacji tej umowy gabinet otrzyma od pracodawcy informację: dane pracownika, nazwa zakładu pracy, grupa zawodowa, specyficzne warunki pracy. I to są dane osobowe powierzone. Gabinet przyjmuje owe dane do przetworzenia (4.2.) wykonuje zakres badań na zlecenie pracodawcy (to znaczy, że sam nie określa zakresu - nie może robić dowolnych badań); powiększa przetwarzane d.o. o wartość +1 wobec której jest na mocy odrębnych przepisów samodzielnym ADO. Zwraca pracodawcy X + informacja o możliwości podjęcia przez pracownika wskazanej pracy.

Można zastanawiać się czy nie ma zastosowania współadministrowanie. Trudnością może być wspólne ustalanie celów. Pracodawca ma inny - zatrudnienie pracownika, gabinet inny - wykonywanie badań.

Nie zgadzam sie - szczegółowo regulują te kwestie kp i usawy dot profilaktyki zdrowotnej - to nie temat na krótkie wpisy na forum. Zaznaczam tylko inne stanowisko.
Link do wypowiedziLink
Radosław Zieliński

Radosław Zieliński

Temat: Czy muszę prowadzić rejestr kategorii przetwarzania...

Monika K.:
Nie zgadzam sie - szczegółowo regulują te kwestie kp i usawy dot profilaktyki zdrowotnej - to nie temat na krótkie wpisy na forum. Zaznaczam tylko inne stanowisko.
To będziemy pięknie się różnić (do czasu wydania wiążącej wykładni TSUE).
Link do wypowiedziLink
Szymon S.

Szymon S. IOD / IBTI

Temat: Czy muszę prowadzić rejestr kategorii przetwarzania...

A w czym problem, aby taki rejestr kategorii założyć i żeby nie miał wpisów z uwagi na brak adminów w imieniu, których przetwarza się dane? :-)Ten post został edytowany przez Autora dnia 18.05.18 o godzinie 10:54
Link do wypowiedziLink
« Wróć do tematów
Odpowiedz

Podobne tematy





Wyślij zaproszenie do
Anuluj