Temat: czy to jest powierzenie?

Marek P.:
Dlaczego Szpital miałby dzielić zbiór Pacjenci na mniejsze zbiory?

art. 7.1 uodo (określone kryteria - np. usługowe wykonywanie badań laboratoryjnych)
"Wystarcza występowanie jednego kryterium wyszukiwawczego w zestawieniu danych, aby zaklasyfikować je jako zbiór danych w rozumieniu art. 7 pkt 1 omawianej ustawy." I OSK 3053/14, Sposób wykładni art. 7 pkt 1 u.o.d.o. - Wyrok Naczelnego Sądu Administracyjnego w Warszawie

ps.
Pacjenci, wobec których szpital uzyskał nakaz zapłaty za nieuiszczoną opłatę za leczenie, nie mogą być tylko w zbiorze "pacjenci".

Temat: czy to jest powierzenie?

Radosław Z.:
Pacjenci, wobec których szpital uzyskał nakaz zapłaty za nieuiszczoną opłatę za leczenie, nie mogą być tylko w zbiorze "pacjenci".

Dlaczego?

Temat: czy to jest powierzenie?

Paweł G.:

Radosław Z.:
Pacjenci, wobec których szpital uzyskał nakaz zapłaty za nieuiszczoną opłatę za leczenie, nie mogą być tylko w zbiorze "pacjenci".

Dlaczego?

art.27.2.5 uodo
Dochodzenie zapłaty przed sądem nie ma nic wspólnego ze świadczeniami opisanymi w art.27.2.7 uodoTen post został edytowany przez Autora dnia 09.09.16 o godzinie 07:38

Temat: czy to jest powierzenie?

Wobec jednego zbioru może być więcej niż jeden cel przetwarzania. Może też być więcej niż jedna ustawowa przesłanka legalizująca przetwarzanie danych.

Temat: czy to jest powierzenie?

Paweł G.:
Wobec jednego zbioru może być więcej niż jeden cel przetwarzania. Może też być więcej niż jedna ustawowa przesłanka legalizująca przetwarzanie danych.

Podeprzesz te twierdzenia przepisami uodo?

Temat: czy to jest powierzenie?

Paweł G.:
Wobec jednego zbioru może być więcej niż jeden cel przetwarzania. Może też być więcej niż jedna ustawowa przesłanka legalizująca przetwarzanie danych.

Nawiązując do drugiego wątku:
Czy dobrze rozumiem chodzi Panu o to , że jeśli UODO czegoś do końca nie precyzuje to "zaglądamy" do przepisów " szczegółowych" będących podstawą działania instytucji?
Np: Ustawa o ZOZ , Ustawa NFZ-tu, Ustawa o finansach publicznych, Ustawa o dostępie do informacji publicznej itp itd?
Czy może źle to interpretuje?

Temat: czy to jest powierzenie?

Radosław Z.:

Paweł G.:
Wobec jednego zbioru może być więcej niż jeden cel przetwarzania. Może też być więcej niż jedna ustawowa przesłanka legalizująca przetwarzanie danych.

Podeprzesz te twierdzenia przepisami uodo?

Raczej ty na gruncie uodo wykaż, że jako administrator danych mogę mieć tylko jeden cel przetwarzania dla danych zawartych w zbiorze.

Moje drugie zdanie, że może być więcej niż jedna ustawowa przesłanka legalizująca przetwarzanie danych (np. zbiór legalizuje mi nie jeden, a dwa (lub nawet wszystkie) punkty z katalogu zawartego w art. 23 ust. 1 uodo), to opinia dośc utrwalona w doktrynie i powtarzająca się w różnych komentarzach do ustawy. Dziwię się, że cię ona dziwi.

Temat: czy to jest powierzenie?

Piotr O.:

Paweł G.:
Wobec jednego zbioru może być więcej niż jeden cel przetwarzania. Może też być więcej niż jedna ustawowa przesłanka legalizująca przetwarzanie danych.

Nawiązując do drugiego wątku:
Czy dobrze rozumiem chodzi Panu o to , że jeśli UODO czegoś do końca nie precyzuje to "zaglądamy" do przepisów " szczegółowych" będących podstawą działania instytucji?

To akurat reguluje art. 5 uodo.
Art. 5. Jeżeli przepisy odrębnych ustaw, które odnoszą się do przetwarzania danych, przewidują dalej idącą ich ochronę, niż wynika to z niniejszej ustawy, stosuje się przepisy tych ustaw.

Mnie natomiast chodziło o to, że taki art. 23 ust. 1 przewiduje 5 przesłanek legalizujących przetwarzanie danych niesensytywnych. Z tych przesłanek musi być spełniona co najmniej jedna, mogą być one spełnione łącznie albo jednocześnie 2-3 z nich.

Temat: czy to jest powierzenie?

Paweł G.:

Moje drugie zdanie, że może być więcej niż jedna ustawowa przesłanka legalizująca przetwarzanie danych (np. zbiór legalizuje mi nie jeden, a dwa (lub nawet wszystkie) punkty z katalogu zawartego w art. 23 ust. 1 uodo), to opinia dośc utrwalona w doktrynie i powtarzająca się w różnych komentarzach do ustawy. Dziwię się, że cię ona dziwi.

Przytocz, proszę, z jakich opracowań doktryny korzystasz, w której zawarto, że do jednego zbioru danych osobowych można, zgodnie z art. 23.1. stosować więcej niż jedną przesłankę. Znane są wyroki zaprzeczające Twojemu tokowi myślenia (np. Wyrok WSA w Krakowie z dnia 10 marca 2015 r. I SA/Kr 103/15; Wyrok WSA w Krakowie z dnia 5 czerwca 2014 r. II SA/Kr 653/14; Wyrok NSA w Warszawie z dnia 18 kwietnia 2014 r. I OSK 2789/12; Uchwała RIO w Rzeszowie z dnia 26 lipca 2016 r. XVI/2370/2016).
Doktryna uznaje (i to nie podlega dyskusji), że do przetwarzania danych osobowych może mieć zastosowanie więcej niż jedna przesłanka legalizująca. Do danych, ale nie do zbioru danych.

Temat: czy to jest powierzenie?

Radosław Z.:
Znane są wyroki zaprzeczające Twojemu tokowi myślenia (np. Wyrok WSA w Krakowie z dnia 10 marca 2015 r. I SA/Kr 103/15

Sąd twierdzi:
Przepis art. 23 ust. 1 pkt. 1-5 ustawy o ochronie danych osobowych zawiera okoliczności usprawiedliwiające przetwarzanie danych osobowych, z których każda ma charakter odrębny, niezależny od pozostałych.

Sąd jednak nie badał stanu faktycznego analogicznego do tego, który teoretycznie omawiamy, więc nie wyciąga wniosku, że przetwarzanie danych nie może być jednocześnie legalizowane przez dwie-trzy przesłanki, przeciwnie to się zdarza dość często (wskazywała nawet takie przypadki na zajęciach, w których brałem udział, p. Pilc z GIODO) .

Weźmy taki zbiór "Pracownicy". Część danych w tym zbiorze przetwarzamy wyłącznie dlatego, że są konieczne dla realizacji umowy, inne przetwarzamy, bo są konieczne do realizacji umowy, gdyż ich przetwarzanie wynika z przepisu prawa, do niektórych danych można by stosować jednocześnie argumentację, że konieczny do realizacji umowy oraz w prawnie usprawiedliwionym celu ADO.

Podobnie z podziałem na czynności przetwarzania. Gromadzenie imion i nazwisk pracowników legalizowałbym art. 23 ust. 1 pkt 2 oraz art. 23 ust. 1 pkt 3 uodo , ale publikowanie tych danych na stronie internetowej w celu umożliwienia klientom firmy kontaktu z właściwym pracownikiem - art. 23 ust. 1 pkt 5. A to wciąż ten sam zbiór, prawda?

Wyrok NSA w Warszawie z dnia 18 kwietnia 2014 r. I OSK 2789/12

Możesz zacytować fragment, o który chodzi?

Uchwała RIO w Rzeszowie z dnia 26 lipca 2016 r. XVI/2370/2016).

To już tylko skutek wcześniej cytowanych orzeczeń sądowych. Bez znaczenia dla meritum sporu.

Doktryna uznaje (i to nie podlega dyskusji), że do przetwarzania danych osobowych może mieć zastosowanie więcej niż jedna przesłanka legalizująca. Do danych, ale nie do zbioru danych.

No właśnie. Dlatego w zbiorze "Pracownicy" mogę mieć dane o różnych celach przetwarzania. Analogicznie w zbiorze "Pacjenci".

Temat: czy to jest powierzenie?

Jak to dane o pracownikach w jednym zbiorze o różnych celach?
Pracownicy - to zbiór danych gromadzony w celu zatrudnienia i świadczenia pracy (realizacji umowy). Jeśli do umowy jest niezbędne prawo jazdy, uprawnienia, są w tej pracy (czy w związku z nią) wypadki - to jest to jeden zbiór. Ten sam zbiór będzie, jeśli mamy system motywacyjny - bo nadal chodzi o motywację do pracy, a więc w związku z pracą.

Ale jeśli zbiór jest tworzony na bazie pracowników - do celu realizacji funduszu socjalnego to jest to INNY ZBIÓR. Bo nie jest do celu zatrudnienia i świadczenia pracy, a do celu realizacji świadczeń socjalnych. Idąc dalej - często wykracza poza pracowników.

Jakie inne cele jeszcze mogą być w pracownikach? Konkretnie, bo rozumiem, ze teza z praktyki.

Temat: czy to jest powierzenie?

Grzegorz K.:
Jakie inne cele jeszcze mogą być w pracownikach?

Na przykład cel publikowania danych identyfikacyjnych pracowników na stronie firmy nie wynika z przepisów prawa, takie przetwarzanie nie jest też niezbędne do realizacji umowy z pracownikiem.

W zbiorze "Pracownicy" mogę mieć niekiedy ich wizerunki. Oczywiście raczej nie na podstawie przepisów prawa, a dodatkowej zgody (w szczególnych przypadkach bez zgody).

To przykłady tylko. W jednym zbiorze dane realizujące różne cele przetwarzania, dla których przesłanką legalizującą będą różne punkty spośród wymienionych w art. 23 ust. 1 uodo.

Temat: czy to jest powierzenie?

Paweł G.:

Grzegorz K.:
Jakie inne cele jeszcze mogą być w pracownikach?

Na przykład cel publikowania danych identyfikacyjnych pracowników na stronie firmy nie wynika z przepisów prawa, takie przetwarzanie nie jest też niezbędne do realizacji umowy z pracownikiem.

Jeśli jest przedstawicielem - JEST. Jest osobą odpowiedzialną za kontakt z zewnątrz.

W zbiorze "Pracownicy" mogę mieć niekiedy ich wizerunki. Oczywiście raczej nie na podstawie przepisów prawa, a dodatkowej zgody (w szczególnych przypadkach bez zgody).

Mylenie dwóch spraw. Wizerunek - to ustawa o prawach autorskich i pokrewnych - w okolicach 81-83. Nie pamiętam.

Ale cechy fizyczne osoby, której dane sa już w zbiorze - są bezwzględnie danymi osobowymi. Bo dotyczą danych osobowych. Niemniej - jeśli osoba jest przedstawicielem firmy, jej wizerunek jest jej "narzędziem pracy"

To przykłady tylko. W jednym zbiorze dane realizujące różne cele przetwarzania, dla których przesłanką legalizującą będą różne punkty spośród wymienionych w art. 23 ust. 1 uodo.

Mowa o zbiorze pracownicy i jego zakresie. A nie o przesłankach przetwarzanych danych.

Temat: czy to jest powierzenie?

Grzegorz K.:

Na przykład cel publikowania danych identyfikacyjnych pracowników na stronie firmy nie wynika z przepisów prawa, takie przetwarzanie nie jest też niezbędne do realizacji umowy z pracownikiem.

Jeśli jest przedstawicielem - JEST. Jest osobą odpowiedzialną za kontakt z zewnątrz.

Ale może nie być przedstawicielem, a mimo to GIODO uznawał do tej pory, że publikowanie danych na stronie firmy jest usprawiedliwionym celem.

W zbiorze "Pracownicy" mogę mieć niekiedy ich wizerunki.

Mylenie dwóch spraw. Wizerunek - to ustawa o prawach autorskich i pokrewnych - w okolicach 81-83. Nie pamiętam.

Raczej się nie mylę. Wizerunek to zarówno ustawa o prawach autorskich, jak i uodo.

Temat: czy to jest powierzenie?

Jako osoba, która rozpoczęła wątek pozwolę sobie zaingerować w zajadłą dyskusję, która się tu rozpętała ;-)

Jeżeli chodzi o to co decyduje czy coś jest osobnym zbiorem czy nie to ogólnie rzecz biorąc uważam, że temat nie jest w prosty sposób rozstrzygalny. Szukając odpowiedzi natrafiłem na krótki, ale konkretny artykuł, który chyba dość przyzwoicie opisuje temat:
http://www.regulaminywsieci.pl/a/10-ile-zbiorow-danych...

Po jego lekturze w pierwszym momencie uznałem, że wygrywa pogląd, że każdy pojedynczy cel przetwarzania jest podstawą do zidentyfikowania osobnego zbioru danych (natomiast na pewno różne kryteria dostępności danych nie są podstawą do uznania, że mamy do czynienia z wieloma zbiorami).

Nawet jednak jeżeli uznamy zasadę, że jeden cel przetwarzania = jeden zbiór, to w dalszym ciągu pozostaje nam jeden drobny dylemat - jak szczegółowy powinien być określony cel przetwarzania?
Przecież każdy cel ogólny dałoby się pewnie podzielić na wiele celów szczegółowych i w ten sposób ilość zbiorów danych można by mnożyć niemal w nieskończoność...

Ja jestem zwolennikiem podejścia praktycznego i nie mnożenia bytów na daremno. Jeżeli w opisywanym przeze mnie na początku wątku przypadku świadczenie usług zdrowotnych i prowadzenie z tego tytułu rozliczeń z płatnikami daje się podciągnąć pod jeden ogólny cel to ja jestem za tym.

Wracając jednak do moich początkowych pytań o to czy mamy tu powierzenie - nawet jeżeli jednak uznać, że szpital prowadzi dwa zbiory danych - "Pacjenci - dane związane ze świadczeniem usług medycznych" oraz "Pacjenci - dane gromadzone w celu rozliczeń z płatnikami" to w dalszym ciągu nie mam poczucia, że szpital jest procesorem danych pacjentów powierzonych przez płatników. Dla mnie bardzie jest to przetwarzanie danych, do których szpital jest uprawniony przepisami prawa, a przekazywanie danych pomiędzy szpitalem a płatnikami jest usprawiedliwionym prawnie udostępnieniem danych osobowych.

Temat: czy to jest powierzenie?

Marek P.:
Dla mnie bardzie jest to przetwarzanie danych, do których szpital
jest uprawniony przepisami prawa, a przekazywanie danych
pomiędzy szpitalem a płatnikami jest usprawiedliwionym prawnie udostępnieniem danych osobowych.

Podzielam pogląd pierwszy. Nie szedłbym w prawnie usprawiedliwiony cel, bo zbiór zawiera dane sensytywne.

Temat: czy to jest powierzenie?

Paweł G.:

Grzegorz K.:

Na przykład cel publikowania danych identyfikacyjnych pracowników na stronie firmy nie wynika z przepisów prawa, takie przetwarzanie nie jest też niezbędne do realizacji umowy z pracownikiem.

Jeśli jest przedstawicielem - JEST. Jest osobą odpowiedzialną za kontakt z zewnątrz.

Ale może nie być przedstawicielem, a mimo to GIODO uznawał do tej pory, że publikowanie danych na stronie firmy jest usprawiedliwionym celem.

GIODO wiele uznawał. Np. to że konkursy wpadają pod tymczasowe zbiory. Niemniej to nie GIODO stanowi prawo, a parlament.

W zbiorze "Pracownicy" mogę mieć niekiedy ich wizerunki.

Mylenie dwóch spraw. Wizerunek - to ustawa o prawach autorskich i pokrewnych - w okolicach 81-83. Nie pamiętam.

Raczej się nie mylę. Wizerunek to zarówno ustawa o prawach autorskich, jak i uodo.

A ja raczej więcej napisałem:
Mylenie dwóch spraw. Wizerunek - to ustawa o prawach autorskich i pokrewnych - w okolicach 81-83. Nie pamiętam.

Ale cechy fizyczne osoby, której dane sa już w zbiorze - są bezwzględnie danymi osobowymi. Bo dotyczą danych osobowych. Niemniej - jeśli osoba jest przedstawicielem firmy, jej wizerunek jest jej "narzędziem pracy"

Dla zrozumienia z tymi cechami fizycznymi i wizerunkiem. Nie wizerunek jest przedmiotem ochrony z UODO - bo ten jest chroniony z innego przepisu. Wizerunek w kontekście UODO jest zbiorem cech fizycznych dotyczących osoby i dlatego jest chroniony. Więc mówienie o wizerunku jako takim to uproszczenie, które nie do końca jest prawidłowe.

Temat: czy to jest powierzenie?

Marek P.:
opisuje temat:
http://www.regulaminywsieci.pl/a/10-ile-zbiorow-danych...

Po jego lekturze w pierwszym momencie uznałem, że wygrywa pogląd, że każdy pojedynczy cel przetwarzania jest podstawą do zidentyfikowania osobnego zbioru danych (natomiast na pewno różne kryteria dostępności danych nie są podstawą do uznania, że mamy do czynienia z wieloma zbiorami).

Być może pomocnym będzie Rozporządzenie MAiC z 11 maja 2015 w sprawie sposobu prowadzenia przez ABI rejestru zbiorów danych (Dz.U.2015.719) W §3.1. zapisano: "W rejestrze znajdują się następujące informacje dotyczące każdego zbioru danych"
a w ppkt 6) "cel przetwarzania danych w zbiorze; " - liczba pojedyncza. Rozporządzenie nie daje możliwości wpisywania do rejestru zbiorów realizujących więcej niż jeden cel.

Nawet jednak jeżeli uznamy zasadę, że jeden cel przetwarzania = jeden zbiór, to w dalszym ciągu pozostaje nam jeden drobny dylemat - jak szczegółowy powinien być określony cel przetwarzania?
Przecież każdy cel ogólny dałoby się pewnie podzielić na wiele celów szczegółowych i w ten sposób ilość zbiorów danych można by mnożyć niemal w nieskończoność...

Można by gdyby nie zapis art.7.4. To ADO decyduje o celach i środkach przetwarzania danych osobowych. Jeśli ADO zdecydował że realizuje badania diagnostyczne w celu realizacji umowy z ZOZ ... to ABI ma obowiązek wykonać jego decyzję.

Ja jestem zwolennikiem podejścia praktycznego i nie mnożenia bytów na daremno.

Jeśli ADO chce mieć pierdyliard zbiorów, to kto mu zabroni ? ;)

Wracając jednak do moich początkowych pytań ...

Jeśli odpowiesz na przedstawione na początku dyskusji moje założenia: "Jak sprawa wyglądałaby gdyby ZOZ przesyłał drogą elektroniczną skierowanie i tą samą otrzymywał wyniki. Może też być sytuacja gdy od pacjenta pobiera się materiał do badań w ZOZ i zawozi do szpitala. Co wówczas?"
Sprawa będzie klarowniejsza.

Dla mnie bardzie jest to przetwarzanie danych, do których szpital jest uprawniony przepisami prawa,

Uprawnienie do przetwarzania danych to nie cel. Badania diagnostyczne w szpitalu wykonuje się:
1. W celu prowadzenia leczenia pacjentów własnych - jak najbardziej zbiór Pacjenci.
2. W celu realizacji umowy zewnętrznej (szpital nie leczy takich osób, więc nie są jego pacjentami) - zbiór Pacjenci - wątpliwe.

Temat: czy to jest powierzenie?

Paweł G.:

Doktryna uznaje (i to nie podlega dyskusji), że do przetwarzania danych osobowych może mieć zastosowanie więcej niż jedna przesłanka legalizująca. Do danych, ale nie do zbioru danych.

No właśnie. Dlatego w zbiorze "Pracownicy" mogę mieć dane o różnych celach przetwarzania. Analogicznie w zbiorze "Pacjenci".

Będziemy się pięknie różnić.
Odróżniam dane osobowe (art.6.1) od zbioru danych (art.7.1) i podstawy prawne ich używania.

ps.
Nadal nie ma odpowiedzi:

Na Twoje: "Wobec jednego zbioru może być więcej niż jeden cel przetwarzania. Może też być więcej niż jedna ustawowa przesłanka legalizująca przetwarzanie danych."
Podeprzesz te twierdzenia przepisami uodo?

oraz

"Przytocz, proszę, z jakich opracowań doktryny korzystasz, w której zawarto, że do jednego zbioru danych osobowych można, zgodnie z art. 23.1. stosować więcej niż jedną przesłankę."

Temat: czy to jest powierzenie?

Radosław Z.:

Być może pomocnym będzie Rozporządzenie

Po co korzystać z rozporządzenia skoro jest ustawa, która reguluje co powinno być w rejestrze (i cel jest tam w liczbie pojedynczej)?

Teoria teorią, a w praktyce... w odnośniku który załączyłem w poprzednim wpisie znajdziesz informację, że w rejestrze GIODO znajdują się zbiory dla których podano wiele celów przetwarzania.

Jeśli ADO zdecydował że realizuje badania diagnostyczne w celu realizacji umowy z ZOZ ... to ABI ma obowiązek wykonać jego decyzję.

Gdyby ADO zdecydował, że wyróżnia dwa zbiory to bym nie miał wątpliwości, ale ADO tak nie zdecydował...

Jeśli ADO chce mieć pierdyliard zbiorów, to kto mu zabroni ? ;)

ADO, o którym mówimy ma praktyczne podejście i chce mieć rozwiązany temat o.d.o. jak najprościej (oczywiście w granicach prawa), a tworzenie pierdyliarda zbiorów raczej temu nie służy

Jeśli odpowiesz na przedstawione na początku dyskusji moje założenia: "Jak sprawa wyglądałaby gdyby ZOZ przesyłał drogą elektroniczną skierowanie i tą samą otrzymywał wyniki.

Omawiamy teraz przypadek, który opisałem zakładając ten wątek czy jakiś inny?
Do "gdyby" odniosłem się już wcześniej - gdyby ZOZ przesyłał skierowanie drogą elektroniczną ... to:
po pierwsze - byłby to inny przypadek
po drugie - to nie koniecznie by coś zmieniło, przepisy umożliwiają przekazywanie danych pomiędzy podmiotami świadczącymi usługi zdrowotne, więc w tym aspekcie sytuacji nie widzę powodów do uznania, że to musi być powierzenie, może to być udostępnienie

Uprawnienie do przetwarzania danych to nie cel.

Nie, ale to argument że w omawianym przypadku podmiot może -moim zdaniem - zebrać te dane bez konieczności korzystania z powierzenia, a jedynie na zasadzie udostępniania danych przez jednego administratora drugiemu .

Badania diagnostyczne w szpitalu wykonuje się:
1. W celu prowadzenia leczenia pacjentów własnych - jak najbardziej zbiór Pacjenci.
2. W celu realizacji umowy zewnętrznej (szpital nie leczy takich osób, więc nie są jego pacjentami) - zbiór Pacjenci - wątpliwe.

Każdy cel można podzielić na więcej celów szczegółowych, gdzieś jednak trzeba znaleźć rozsądną granicę mnożenia bytów...
Zauważ też, że szpital praktycznie wszystkie swoje badania robi na podstawie umowy zewnętrznej, większość z NFZ, a część z innymi podmiotami. więc praktycznie wszyscy pacjenci powinni należeć do dwóch zbiorów - "zwykłego", nazwijmy go Pacjenci i drugiego nazwijmy go Pacjenci-rozliczenia.
Pytanie tylko czemu w praktyce ten podział zbioru na podzbiory miałby służyć?