GoldenLine
Zaloguj się
Jakub B.

Jakub B. Kadra zarządzająca

Temat: Dane wrażliwe ?

Może pomożecie...otóż jeden z klientów zbiera dane:
- imię,
- nazwisko,
- data urodzenia,
- wzrost,
- waga,
- płeć,
- email,
- telefon.
I teraz rodzi się pytanie - czy takie dane stanowią już zbiór danych wrażliwych ?
Jakby na to nie patrzeć, to w powiązaniu dane wzrost+waga możemy określić podstawowy stan zdrowia. Ale nie jestem do końca pewny.
Link do wypowiedziLink
Wojciech Poślednicki

Wojciech Poślednicki Właściciel
bezpiecznyinteres.pl

Temat: Dane wrażliwe ?

niby można ale ustawa jasno definiuje dane wrażliwe więc bez przesady.
Bardziej mnie zastawiana inny temat- czy jeśli podajemy w szpitalu dane osoby która może uzyskiwać informacje o moim stanie zdrowia ilub wglądu do mojej dokumentacji medycznej to musi być zgody tej osoby na podanie jej danych w szpitalu?Ten post został edytowany przez Autora dnia 24.05.16 o godzinie 20:37
Link do wypowiedziLink
Paweł G.

Paweł G. IOD, podmiot danych

Temat: Dane wrażliwe ?

Wojciech P.:
Bardziej mnie zastawiana inny temat- czy jeśli podajemy w szpitalu dane osoby która może uzyskiwać informacje o moim stanie zdrowia ilub wglądu do mojej dokumentacji medycznej to musi być zgody tej osoby na podanie jej danych w szpitalu?
Nie, to są dane niezbędne dla osiągnięcia celu przetwarzania Twoich danych.
Link do wypowiedziLink
Jakub B.

Jakub B. Kadra zarządzająca

Temat: Dane wrażliwe ?

Właśnie nie jestem przekonany czy przesadzam. ;) Ustawa nie definiuje tak jasno danych wrażliwych jak piszesz. "Zabrania się przetwarzania danych..............jak również danych o stanie zdrowia,............................." I tu rodzi się pytanie. Posiadając dane waga/wiek/wzrost możemy spokojnie wyciągnąć wnioski, że dana osoba ma np. otyłość. A otyłość spokojnie można podciągnąć pod stan zdrowia. Zatem dane nie wskazują bezpośrednio na "stan zdrowia", ale w kontekście spokojnie mogą służyć do jego określenia.
Wiem, że ścieżka rozumowania jest trochę absurdalna...ustawodawcy pewnie chodziło o określenie stanu zdrowia na zasadzie podania dokładnej choroby, no ale....

Może ktoś miał już styczność z pobieraniem takich informacji ? Ten post został edytowany przez Autora dnia 24.05.16 o godzinie 22:54
Link do wypowiedziLink
Radosław Zieliński

Radosław Zieliński

Temat: Dane wrażliwe ?

W razie wątpliwości interpretacyjnych zaglądnąłbym do innych przepisów tj. Unijnej dyrektywy o ochronie danych osobowych. Tan w słowniku pojęć jest kilka rodzajów danych art.3:
1) "dane osobowe” oznaczają wszelkie informacje o zidentyfikowanej lub możliwej do
zidentyfikowania osobie fizycznej („osobie, której dane dotyczą”); możliwa do
zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio
zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko,
numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy bądź jeden lub kilka
szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną,
ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej;
12) „dane genetyczne” oznaczają dane osobowe dotyczące odziedziczonych lub nabytych cech genetycznych osoby fizycznej, które ujawniają niepowtarzalne informacje o fizjologii lub
zdrowiu tej osoby i które wynikają w szczególności z analizy próbki biologicznej
pochodzącej od tej osoby fizycznej;
13) „dane biometryczne” oznaczają dane osobowe, które wynikają ze specjalnego
przetwarzania technicznego, dotyczą cech fizycznych, fizjologicznych lub behawioralnych
osoby fizycznej oraz umożliwiają lub potwierdzają jednoznaczną identyfikację tej osoby
fizycznej, takie jak wizerunek twarzy lub dane daktyloskopijne;
14) „dane dotyczące zdrowia” oznaczają dane osobowe dotyczące zdrowia fizycznego lub
psychicznego osoby fizycznej, w tym o korzystaniu z usług opieki zdrowotnej, ujawniające
informacje o stanie jej zdrowia;

Wzrost i waga nie mieści się w tak zdefiniowanych kategorii danych dotyczących zdrowia, bowiem spełniają definicje danych biometrycznych. Patrząc jednak na art. 10
"Przetwarzanie szczególnych kategorii danych osobowych
Przetwarzanie danych osobowych ujawniających pochodzenie rasowe lub etniczne, poglądy
polityczne, przekonania religijne lub światopoglądowe lub przynależność do związków
zawodowych oraz przetwarzanie danych genetycznych, danych biometrycznych w celu
jednoznacznego zidentyfikowania osoby fizycznej, danych dotyczących zdrowia lub danych
dotyczących seksualności i orientacji seksualnej osoby fizycznej jest dozwolone wyłącznie wtedy,
(...)" dane biometryczne są danymi szczególnymi (wrażliwymi).
W naszym obowiązującym ustawodawstwie, wzrost i waga nie jest literalnie wymieniona. W publikacjach Barta Janusz, Ochrona danych osobowych. Komentarz, wyd. VI, Drozd Andrzej, Ustawa o ochronie danych osobowych. Komentarz. Wzory pism i przepisy, wyd. IV dane z art. 27 uznawane są za katalog taksatywny (zamknięty). Niemniej dostrzegają wątpliwości czy np. informacja o noszonych okularach nie jest informacją o stanie zdrowia. Autorzy stwierdzają, że używając metody typologicznej należy ocenić całokształt okoliczności.

Wracając do zagadnienia. Należy ustalić w jakim celu klient zbiera określone dane. W jaki sposób będzie wykorzystywał dane o wzroście i wadze (np. krawiec potrzebuje takie dane by określić ilość materiału potrzebnego na uszycie ubrania i to nie będą dane wrażliwe).
Link do wypowiedziLink
Radosław Zieliński

Radosław Zieliński

Temat: Dane wrażliwe ?

Odnalazłem jeszcze jedne ważne opracowanie (źródło, tak jak i w poprzednich, Lex):

"Wujczyk Marcin, Prawo pracownika do ochrony prywatności."
"Podkreślenia wymaga również okoliczność, że ustawodawca użył sformułowania „dane ujawniające”. Chodzi więc zarówno o dane, które bezpośrednio informują o cechach wskazanych w art. 27 ust. 1 u.o.d.o., jak i komunikaty, z których można wywnioskować posiadanie tego typu danych"
Link do wypowiedziLink
Paweł G.

Paweł G. IOD, podmiot danych

Temat: Dane wrażliwe ?

Jakub B.:
Posiadając dane waga/wiek/wzrost możemy spokojnie wyciągnąć wnioski, że dana osoba ma np. otyłość.
Szedłbym w kierunku rozważań nt. celu przetwarzania. Jeżeli takie dane zbiera apteka internetowa lub producent preparatów odchudzających, hm...
Link do wypowiedziLink
Jakub B.

Jakub B. Kadra zarządzająca

Temat: Dane wrażliwe ?

Dane są zbierane w celu określenia współczynników m.in. popularnego BMI, w celu wykonania badania analizy składu masy ciała. Oraz w celu weryfikacji czy dana osoba poprawnie się rozwija (według jakiś tam norm). Czyli określenie czy współczynnik wagi do wzrostu z uwzględnieniem wieku i płci spełnia (lub nie spełnia) jakiejś normy.

Dane takie jak wzrost/waga/płeć/wiek nie należą do danych biometrycznych które umożliwiają lub potwierdzają jednoznaczną identyfikację tej osoby. Na podstawie wzrostu/wagi/płci/wieku nie możemy stwierdzić, że ta osoba to np. Jan Kowalski. Możemy stwierdzić, że ta osoba ma np. nadwagę, niedożywienie, lub rozwija się niezgodne z jakąś tam normą.
Link do wypowiedziLink
Paweł G.

Paweł G. IOD, podmiot danych

Temat: Dane wrażliwe ?

Ja bym traktował jako dane wrażliwe.
Link do wypowiedziLink
Wojciech Poślednicki

Wojciech Poślednicki Właściciel
bezpiecznyinteres.pl

Temat: Dane wrażliwe ?

Paweł G.:
Wojciech P.:
Bardziej mnie zastawiana inny temat- czy jeśli podajemy w szpitalu dane osoby która może uzyskiwać informacje o moim stanie zdrowia ilub wglądu do mojej dokumentacji medycznej to musi być zgody tej osoby na podanie jej danych w szpitalu?
Nie, to są dane niezbędne dla osiągnięcia celu przetwarzania Twoich danych.

Chodzi mi o art. 25 ustawy ust. 1 czyli zbieranie danych osobowych od osoby trzeciej i obowiązek poinformowania tej osoby o fakcie przetwarzania jej danych osobowych?
Link do wypowiedziLink
Paweł G.

Paweł G. IOD, podmiot danych

Temat: Dane wrażliwe ?

Wojciech P.:
Chodzi mi o art. 25 ustawy ust. 1 czyli zbieranie danych osobowych od osoby trzeciej i obowiązek poinformowania tej osoby o fakcie przetwarzania jej danych osobowych?
Pracownik podaje do akt osobowych dane osoby, którą należy zawiadomić w razie wypadku. Art. 25 nie ma zastosowania. Taka jest wieloletnia wypracowana przez GIODO doktryna. Tu bym widział analogie.
Link do wypowiedziLink
Leszek K.

Leszek K. Zarządzanie
bezpieczeństwem
informacji. Dane
osobowe.

Temat: Dane wrażliwe ?

Jakub B.:
... otóż jeden z klientów zbiera dane:
- imię,
- nazwisko,
- data urodzenia,
- wzrost,
- waga,
- płeć,
- email,
- telefon.

Jeśli z podanych danych ktoś generuje nowe kategorie danych, to także do tej listy trzeba je dodać - oprócz tego, że BMI to informacja o stanie zdrowia, to jesteśmy blisko profilowania.

W Rekomendacji CM/Rec (2010) 13 podkreśla się, że "profile przypisane osobom, których dane dotyczą, umożliwiają tworzenie nowych danych osobowych, innych niż te, które sama osoba, której dane dotyczą podała administratorowi lub których znajomości przez administratora może w uzasadniony sposób się spodziewać" oraz że "brak przejrzystości, a nawet „niewidzialność” tworzenia profili oraz brak dokładności, mogące wynikać z automatycznego zastosowania przyjętych z góry reguł wnioskowania może powodować poważne zagrożenia dla praw i wolności obywateli" - http://www.giodo.gov.pl/plik/id_p/2155/j/pl/Ten post został edytowany przez Autora dnia 29.05.16 o godzinie 20:22
Link do wypowiedziLink
Rafał Kuta

Rafał Kuta Inspektor ds.
finansowych i
ochrony danych
osobowych, Spó...

Temat: Dane wrażliwe ?

Wg. mnie nadinterpretacja i to stanowcza. Równie dobrze można pokazać zdrową osobę mającą określoną wagę i wzrost jak i chorą. Te 2 parametry nie zależą wyłącznie od stanu zdrowia, więc nie można ich bezpośrednio z nim powiązać. To, że ktoś to sobie liczy i na podstawie tego twierdzi, że jest zdrowy, to jego problem... Odnośnie otyłości.... Tutaj by był potrzebny obwód pasa, a nie waga... Mięśnie, tłuszczowi nie równe... Prywatnie podając swój przykład- waga skoczyła mi od ostatnich kilku lat w górę, a obwód pasa zdecydowanie w dół :)
Link do wypowiedziLink
Damian D.

Damian D. Trener IT

Temat: Dane wrażliwe ?

Kolega Rafał ma rację. Sam BMI nic nie mówi o stanie zdrowia. Wskaźnik BMI ma pewne niedoskonałości: otóż to, że ktoś ma BMI powyżej normy to wcale nie oznacza, że jest gruby. Bo mięśnie są cięższe od tłuszczy i niby według wskaźnika BMI każdy kulturysta jest otyły ;-) No chyba, że w ankiecie są zbierane dodatkowe dane (rasa, to czy jesteś kulturystą itp.) wtedy można by było bardziej jednoznacznie wyciągnąć wnioski odnośnie stanu zdrowia.

Cytat z WIKI:
BMI jest bardzo prosty w użyciu, jest jednak dosyć niedokładnym wskaźnikiem niedowagi i nadwagi oraz ryzyk chorób z nimi związanych. Kulturyści mogą mieć BMI wskazujące na skrajną otyłość, posiadając jednocześnie bardzo mało tkanki tłuszczowej. Z drugiej strony, BMI zupełnie zdrowych, szczupłych i wysokich lekkoatletów może wskazywać na skrajną niedowagę (np. BMI Yohanna Diniza przy wzroście 185 cm i wadze 59 kg wyniesie 17,24). Związek między wielkością wskaźnika a ryzykiem chorób różni się między populacjami o różnych proporcjach ciała. I tak wśród Azjatów ryzyko cukrzycy jest znacząco wyższe przy niższych wartościach BMI[3]. Zawartość tłuszczu w organizmie jest też wyższa u kobiet, niż u mężczyzn przy normalnej masie ciała. W przypadku kobiet tkanka tłuszczowa odpowiada za płodność i dojrzewanie płciowe[5].

Dokładniejszym, ale trudniejszym do zmierzenia bez specjalistycznej aparatury wskaźnikiem zagrożeń wynikających z nadmiaru tkanki tłuszczowej jest procentowa zawartość tłuszczu w organizmie.

W praktyce klinicznej nie jest zalecane stosowanie wskaźnika BMI do oznaczania prawidłowej masy ciała dla dzieci do ok. 14 roku życia, służą do tego tabele centylowe i odpowiednia interpretacja danych dot. masy ciała i wzrostu – głównie bierze się pod uwagę jaka jest różnica w tzw. kanałach centylowych wzrostu i masy ciała dla danego dziecka.
Link do wypowiedziLink
Paweł G.

Paweł G. IOD, podmiot danych

Temat: Dane wrażliwe ?

Na ustawę trzeba patrzeć przede wszystkim przez pryzmat osoby, której dane dotyczą. Jeżeli ze zwykłego rozumowania i empatii wychodzi mi, że ktoś może uznawać dane dotyczące jego wzrostu, wagi oraz BMI za dane o szczególnym dla niego znaczeniu, mocno naruszające jego prywatność w razie nieuprawnionego ujawnienia, co mi szkodzi w swoich wewnętrznych procedurach potraktować je jako dane wrażliwe? Spadnie mi z głowy korona?

A w sensie formalnym gdybym chciał przetestować stanowisko GIODO w tej sprawie, po prostu zgłaszam zbiór do rejestracji jako zawierający dane wrażliwe. Zarejestrują - mam jasność. Odmówią - drugie dobrze.
Link do wypowiedziLink
Marta Zawieracz

Marta Zawieracz CISA, IOD

Temat: Dane wrażliwe ?

Paweł metoda sprawdzenia "na GIODO" wydaje mi się mało skuteczna. Zależnie od tego do kogo trafi różna może być interpretacja. Mało to było identycznych zbiorów, które różnie były wpisywane do rejestru GIODO? :)

W kontekście omawianego zagadnienia byłabym daleka od kwalifikowania wskazanych danych jako wrażliwe. Tak to sobie można domniemywać wszystko. Póki nie będzie wprost pokazanego, że w wyniku przetworzenia wytworzyły się dane medyczne, które wykorzystujemy, nie ma to sensu. Kontekst organizacji ma w tym wypadku strategiczne znaczenie.Ten post został edytowany przez Autora dnia 06.06.16 o godzinie 10:11
Link do wypowiedziLink
Leszek K.

Leszek K. Zarządzanie
bezpieczeństwem
informacji. Dane
osobowe.

Temat: Dane wrażliwe ?

Skoro o BMI mowa, to poczytajmy definicje pochodzące z różnych źródeł:

Na witrynie https://portal.abczdrowie.pl/jak-obliczyc-bmi
Wskaźnik BMI (z angielskiego Body Mass Index) to współczynnik, który pozwala obliczyć, czy proporcje naszej masy ciała w stosunku do wzrostu są właściwe. Jak obliczyć BMI? Obliczanie BMI jest niezwykle proste, musisz zastosować tylko prosty wzór BMI. Wskaźnik BMI nie mierzy zawartości tłuszczu w organizmie, jednak skutecznie pozwala stwierdzić, czy nie grozi nam otyłość, nadwaga lub niedowaga.

http://www.medonet.pl/kalkulatory/kalkulator-bmi-oblic...
Kalkulator BMI podaje wynik według podstawowej lub poszerzonej klasyfikacji dla osób dorosłych. Ta pierwsza wyróżnia trzy oceny: niedowagę (<18,5), wartość prawidłową (18,5-24,99) oraz nadwagę (>25). Drugi podział składa się z ośmiu typów, które stanowią rozszerzenie podstawowych, dając bardziej konkretne informacje o stanie tkanki tłuszczowej. (...) Kalkulatory służą jedynie osobom dorosłym, tj. od 18. roku życia. Wobec dzieci stosuje się siatki centylowe, które pomagają w ocenie prawidłowego rozwoju fizycznego u najmłodszych.

http://www.poradnikzdrowie.pl/sprawdz-sie/kalkulatory/...
Jeżeli nie wiesz, jaka jest Twoja prawidłowa waga, skorzystaj z naszego kalkulatora. Precyzyjnie obliczy on BMI (z ang. Body Mass Index), którego wynik pozwoli ci ocenić, czy Twoja waga utrzymuje się w normie, czy nie. To cenna wskazówka przy jakichkolwiek odchyleniach – gdy BMI oznacza niedowagę, warto zmienić dietę na bardziej kaloryczną. I odwrotnie - przy nadwadze przyda się ograniczenie spożywanych kalorii i zmiana trybu życia.

Moim zdaniem BMI mówi o stanie zdrowia - wszak nadwaga, waga w normie czy niedowaga to przecież informacje o zdrowiu. Nie ma znaczenia na ile są one precyzyjne. Ale są o zdrowiu.

Pamiętajmy, że bardzo często połączenie kilku danych "zwykłych" (niewrażliwych) może wygenerować informacje wrażliwe.

Wracając do tematu podejrzewam, że może chodzić o kluby fitnes (znam trochę temat z autopsji :). Takie kluby zbierają informacje o BMI (albo tę informację generują - co równa się profilowaniu), a dodatkowo także inne informacje o stanie zdrowia (przykładowo problemy z kręgosłupem, złamania, nadciśnienie). W takim klubie wydedukowanie sobie BMI z innych informacji stanowi wytworzenie nowej kategorii informacji i to wrażliwej.

A jeśli nie jest to klub fitnes, to zastanówmy się - komu jest potrzebna informacja o BMI i w jakim celu? Bo to jest istotne, przy rejestracji zbiorów GIODO analizuje adekwatność danych do celu.

Podtrzymuję też stanowisko, że jeśli z zebranych danych generuje się nowe kategorie danych, to trzeba je także uwzględnić np. we wniosku rejestracyjnym. Przykładowo jeśli zbiera się tylko numer PESEL, ale "wyciąga" się z niego datę urodzenia i płeć, to w zgłoszeniu zbioru należy podać że przetwarza się "PESEL, datę urodzenia, płeć" (a nie tylko "PESEL").
Link do wypowiedziLink
Karol Franus

Karol Franus Administrator
Bezpieczeństwa
Informacji

Temat: Dane wrażliwe ?

Czyli np biorąc pod uwagę średnią wagę i wzrost zawodników wagi ciężkiej np w mma, wychodzi nam że taki Mariusz Pudzianowski ma nadwagę kliniczną :)
Link do wypowiedziLink
Paweł G.

Paweł G. IOD, podmiot danych

Temat: Dane wrażliwe ?

Marta Z.:
Paweł metoda sprawdzenia "na GIODO" wydaje mi się mało skuteczna.
Ale doskonale chroni przed odpowiedzialnością karną za przetwarzanie danych o stanie zdrowia bez rejestracji zbioru w GIODO :)
Link do wypowiedziLink
Leszek K.

Leszek K. Zarządzanie
bezpieczeństwem
informacji. Dane
osobowe.

Temat: Dane wrażliwe ?

Karol F.:
Czyli np biorąc pod uwagę średnią wagę i wzrost zawodników wagi ciężkiej np w mma, wychodzi nam że taki Mariusz Pudzianowski ma nadwagę kliniczną :)

Nawet jeśli BMI sprawdza się w np. 80%, to wciąż stan zdrowia. To tak jak wyniki badania krwi, nie zawsze wyniki w normie oznaczają osobę zdrową, i nie zawsze odchylenia oznaczają chorobę, ale w obu przypadkach mamy pewne informacje o stanie zdrowia. Ich wiarygodność nie ma znaczenia, są to pewne informacje o parametrach organizmu, które dalej można interpretować, łączyć z innymi danymi, szacować prawdopodobieństwo. Weźmy np. informacje o tym jakie osoba ma ciśnienie - to dokładnie tak samo jak z BMI. Jeśli bym powiedział, że ktoś ma ciśnienie 150/100 to wiemy, że coś jest na rzeczy - bo jest to poza normą. Ale to przecież nie znaczy że osoba jest chora - może takie ciśnienie u niej jest normalne. I co? Nie uznawać to za dane wrażliwie, bo nie zawsze jest to informacja wiarygodna? Statystycznie wysokie ciśnienie jest niezbyt dobrą informacją o zdrowiu, tak jak statystycznie BMI znajdujące się poza normą mówi o niedowadze lub nadwadze (a to w normie z pewnym prawdopodobieństwem określa brak nadwagi lub niedowagi). Dlatego uważam, że jest to informacja dotycząca stanu zdrowia, a więc informacja wrażliwa.

Jeszcze raz podkreślę. Samodzielnie waga, wzrost i wiek - jeśli nie kalkuluje się z nich i nie używa BMI - są danymi zwykłymi. Ale jeśli wytwarza sie i używa inne dane - tutaj BMI - to pojawia się dodatkowa informacja, wrażliwa, jest nią BMI. Zaś waga, wzrost i wiek pozostają ciągle danymi zwykłymi.

Moim zdaniem jest to odpowiednik profilowania - bo z BMI później wyciągane są dalsze wnioski, które do czegoś pewnie służą. A służą, bo przecież autor wątku sam napisał, że:

Dane są zbierane w celu określenia współczynników m.in. popularnego BMI, w celu wykonania badania analizy składu masy ciała. Oraz w celu weryfikacji czy dana osoba poprawnie się rozwija (według jakiś tam norm). Czyli określenie czy współczynnik wagi do wzrostu z uwzględnieniem wieku i płci spełnia (lub nie spełnia) jakiejś normy. Ten post został edytowany przez Autora dnia 06.06.16 o godzinie 16:30
Link do wypowiedziLink
« Wróć do tematów
Odpowiedz

Podobne tematy





Wyślij zaproszenie do
Anuluj