Grzegorz Krzemiński

Grzegorz Krzemiński 600+ projektów w
bezpieczeństwie |
Trener | RODO | HSSE
|...

Temat: PESEL, imię i nazwisko pacjenta

Tomasz F.:
Grzegorz K.:
Ale przecież ten lekarz i każda osoba z placówki ma dostęp i prawo do przetwarzania.

Czy dla innego pacjenta to są dane osobowe? Albo dla przedstawiciela medycznego.

To zależy - generalnie te informacje mogą nie być danymi osobowymi dla innego pacjenta tak długo, jak nie ma możliwości identyfikacji. Nie można też wykluczyć, że ktoś spojrzy na tą kopertę imię nazwisko pesel i stwierdzi że zna/identyfikuję tą osobę na podst. obserwacji bo np. sąsiad czy teściowa /a zna przypadkiem ich pesel i pasują do nazwiska/.

Zaczniemy wydawać maski na wejściu? Tak, żeby nie zidentyfikować siedzących przed gabinetem? ;-) Wiem, przerysowuję, ale celowo.
A w sytuacji gdy ktoś/np. pacjent/ przywłaszczy sobie kopertę i zajrzy do środka to prawdopodobnie w karcie jest adres tel itp. - wtedy już są.

Jak to było? Ludwiku D i psie Sabo nie idźcie tą drogą. Po pierwsze pacjent popełni przestępstwo. Bo to nie dla niego. Warto tu o chwilę zastanowienia - czy zostawiasz swoje pióro, długopis, jakieś inne rzeczy na biurku i nagle ktoś wchodzi i sobie to zabiera?

Dlatego z tym ostrożnie. Ogólnie co do wymagań prawnych przypomnę "obszar przetwarzania". I restrykcje.
Jak napisał Paweł dla ADO i jego upoważnionych są to dane osobowe i ma obowiązek ich ochrony. co łączy się z wcześniejszymi kwestiami /czy może być oraz czy zostawiamy na biurku.

Ale nadal - w tym wątku nie chodzi o zostawianie na biurku, a o naniesienie numeru PESEL i imienia i nazwiska.

I druga rzecz - dyskusje w temacie - dane czy nie, to też zupełnie odrębny wątek. Innymi słowy - czy ja jako pacjent, w ten sposób stałem się przestępcą? ;-) Bo skoro to dane osobowe, do których nie przetwarzania nie mam żadnych uprawnień, a wszedłem w ich posiadanie, to co?

To tak pod rozwagę, bo temat wcale nie jest prosty i jednoznaczny. Może nagle okazać się, że 90% społeczeństwa powinno mieć postawione zarzuty. Np. ci, co sprawdzają wycieki z baz danych ;-)

A wracając do wątku. Pamiętając nadal, że nie o to chodzi. Krótka analiza, powtórzona po raz kolejny. Czy PESEL i imię i nazwisko - samo, bez innych rzeczy umożliwi mi identyfikację osoby?

I rozpatrując:
- ja jako pacjent, czy staję się przestępcą? Bo wszedłem w posiadanie danych osobowych?
- lekarz stał się przestępcą? udostępnił mi dane
- żadne z powyższych?
Jeśli dokonano zabezpieczenia tych danych przed udostępnieniem /oznaczenia koperty oraz zawartości koperty/ to nie widzę przesłanek zakazu nanoszenia tego numeru pesel. Z tym, że mam wątpliwości czy dokonano tego zabezpieczenia.

I tu się zgadzamy. Tego dotyczyło pytanie i jak już wyjaśniłem. Przypuszczam, ze ABI (proszę sprostować jak źle), za namową jednego lub kilku "doktrynistów" bez zrozumienia istoty uznał, że PESEL to dane osobowe umożliwiające identyfikację osoby każdemu, w tym osobie postronnej. I teraz nieco ciężko się wywinąć.

Imię, nazwisko i PESEL moim zdaniem MOGĄ być nanoszone na kopertę w celu uzyskania integralności danych. W tym w szczególności w celu właściwej dystrybucji kopert z kartami. Tak po polsku pisząc, jako ABI wolałbym aby dystrybucja szła na podstawie jednoznacznego oznaczenia koperty (właśnie np. PESEL), niż za pomocą sprawdzania wyciągając konkretna kartę, czy dokumentację medyczną i ryzykować utratą "świstka".

Warunek, dobry opis procesu. Bo nadal jak widzę doktoryzujemy się bez krótkiego nawet opisu.
Dla mnie wygląda tak:
1. rejestracja pacjenta (pacjent składa zapotrzebowanie na usługę).
Zagrożenia:
Utrata poufności - jak za blisko za nim ktoś stoi (zabezpieczenie magiczne żółte linie i info, że prosimy pojedynczo).
Utrata integralności - źle zrozumiane imię i nazwisko - wyciągnięta karta innego pacjenta. Zabezpieczenie... PESEL z dokumentu...
utrata rozliczalności: na kopercie podpis lub inne oznaczenie recepcjonistki czy jak to się nazywa.

Może warto w ten sposób opisać i wiele się wyjaśni? Polecam Xmind lub MindManager lub inne do mapowania, które mają wzorce "timeline". I na przejściach oznaczyć które atrybuty mogą być naruszone. Ja sobie na kartce zrobiłem ten proces jak go widziałem w przychodni i wychodzi mi, że PESEL jest jednym z lepszych zabezpieczeń dla pacjenta. Dorobić tylko zabezpieczenie przez zaborem, utratą i już. I dla świętego spokoju też przez odczytaniem przez krwiożerczych przedstawicieli i innych. Akurat tych innych to świetny przykład kontekstu zewnętrznego - analiza PESTLE, czynnik S - społecznościowy - wzorce kariery. Lubimy jako naród obrabiać innym d... więc ty zagrożenie z kategorii makro idealnie pomoże ;-)

No ale to ... analiza zagrożeń.
ps. zrobiłem rachunek sumienia - moje wizyty u lekarzy które pamiętam, tylko w jednej z przychodni te koperty były zabezpieczone /w sensie nie leżały na biurku/ ale tylko w sytuacji gdy lekarz przyjmował w swoim gabinecie, w innym pomieszczeniu czy inny rodzaj świadczeń tego samego lekarza - już nie.

Security awareness? Tylko na rany, nie w tak idiotyczny sposób jak to często się w Polsce robi. Nie chodzi o nastraszenie, zagrożenie karami i inne takie, bo mam wrażenie, że wielu z tych straszących nawet nie było przed obliczem śledczego (niezależnie czy proroka, czy policjanta), więc są po prostu niewiarygodni. Pominę już kwestię całkowitego braku wiedzy o procedurze karnej, co "uniewiarygadnia" ich dodatkowo.

To ma być świadomość...
Grzegorz Krzemiński

Grzegorz Krzemiński 600+ projektów w
bezpieczeństwie |
Trener | RODO | HSSE
|...

Temat: PESEL, imię i nazwisko pacjenta

Radosław Z.:
Grzegorz K.:
Ale przecież ten lekarz i każda osoba z placówki ma dostęp i prawo do przetwarzania.
Teza śmiała i odważna lecz chybiona. Nie każda osoba z placówki ma dostęp i prawo do przetwarzania.
Pominę, dobrze? ;-)

Czy dla innego pacjenta to są dane osobowe? Albo dla przedstawiciela medycznego.
To czy coś jest daną osobową podlega ocenie pod kątem możliwości ADO, a nie osób postronnych. To nie jest ważne czy pacjent/przedstawiciel medyczny może zidentyfikować innego pacjenta - ważny, że może to zrobić ADO.

Nie. Podlega ocenie w zależności od tego, kogo postępowanie analizujemy. Inaczej dojdzie do absurdu o którym piszę. Każde zapoznanie się z danymi, które dla mnie nic nie znaczą, ale dla ADO znaczą oznaczać będzie że jestem przestępcą. Dla przykładu:
1. Numer PESEL
2. Numer ID Policjanta czy jakiekolwiek inne służbowe
3. Numer parkingowy naklejony na szybę auta
4. Numer pracownika
5. Numer klienta
6. Numer telefonu.

Czy tak? Czy widząc i zapoznając się z tymi wszystkimi danymi osobowymi (danymi dotyczącymi zidentyfikowanej osoby) staję się automatycznie przestępcą? Bo uzyskuję dostęp do danych do których jestem nieupoważniony.
ps.
Kogoś z dyskutujących obchodzi jeszcze udzielenie wyczerpującej odpowiedzi Autorce wątku?

A nie widać?
Paweł G.

Paweł G. IOD, podmiot danych

Temat: PESEL, imię i nazwisko pacjenta

Grzegorz K.:
A w sytuacji gdy ktoś/np. pacjent/ przywłaszczy sobie kopertę i zajrzy do środka to prawdopodobnie w karcie jest adres tel itp. - wtedy już są.
Jak to było? Ludwiku D i psie Sabo nie idźcie tą drogą. Po pierwsze pacjent popełni przestępstwo. Bo to nie dla niego.
Jakie konkretnie?
A wracając do wątku. Pamiętając nadal, że nie o to chodzi. Krótka analiza, powtórzona po raz kolejny. Czy PESEL i imię i nazwisko - samo, bez innych rzeczy umożliwi mi identyfikację osoby?
W lokalnej przychodni samo imię i nazwisko z dużym prawdopodobieństwem umożliwi identyfikację osoby.
Security awareness? Tylko na rany, nie w tak idiotyczny sposób jak to często się w Polsce robi. Nie chodzi o nastraszenie, zagrożenie karami i inne takie
Jak budować świadomość u ludzi cynicznych? Co to z premedytacją lekceważą ochronę danych, bo "nic za to nie ma" albo "oni są od leczenia, a nie od jakichś pierdół"?
Paweł G.

Paweł G. IOD, podmiot danych

Temat: PESEL, imię i nazwisko pacjenta

Grzegorz K.:
Czy tak? Czy widząc i zapoznając się z tymi wszystkimi danymi osobowymi (danymi dotyczącymi zidentyfikowanej osoby) staję się automatycznie przestępcą? Bo uzyskuję dostęp do danych do których jestem nieupoważniony.
Od kiedy to jest przestępstwem?
Grzegorz Krzemiński

Grzegorz Krzemiński 600+ projektów w
bezpieczeństwie |
Trener | RODO | HSSE
|...

Temat: PESEL, imię i nazwisko pacjenta

Paweł G.:
Grzegorz K.:
A w sytuacji gdy ktoś/np. pacjent/ przywłaszczy sobie kopertę i zajrzy do środka to prawdopodobnie w karcie jest adres tel itp. - wtedy już są.
Jak to było? Ludwiku D i psie Sabo nie idźcie tą drogą. Po pierwsze pacjent popełni przestępstwo. Bo to nie dla niego.
Jakie konkretnie?

Zależy co zrobi. np. 267 KK
A wracając do wątku. Pamiętając nadal, że nie o to chodzi. Krótka analiza, powtórzona po raz kolejny. Czy PESEL i imię i nazwisko - samo, bez innych rzeczy umożliwi mi identyfikację osoby?
W lokalnej przychodni samo imię i nazwisko z dużym prawdopodobieństwem umożliwi identyfikację osoby.

Rekordem jest casus Gruchy z Chłopaki nie Płaczą. Ale po to są ABI, żeby wykonać analizę zagrożeń. A może nie wykonać? ;-)
Security awareness? Tylko na rany, nie w tak idiotyczny sposób jak to często się w Polsce robi. Nie chodzi o nastraszenie, zagrożenie karami i inne takie
Jak budować świadomość u ludzi cynicznych? Co to z premedytacją lekceważą ochronę danych, bo "nic za to nie ma" albo "oni są od leczenia, a nie od jakichś pierdół"?

Sorry, ale to nie tylko lekarze. Tak samo produkcja, technicy, informatycy i cała masa innych. Mało tego mają argument, którym nieźle szafują. Że bez nich ten biznes to się zawali. I mają rację...

Ale gdyby tak nie było to przecież security awareness też by nie istniało. Było by pięknie. Wszyscy by chronili informacje, stosowali środki ochrony indywidualnej, przestrzegali zasad BHP, PPOŻ. I mielibyśmy świetny i idealny świat bez wycieków informacji, wypadków, śmierci, wybuchów...

Tyle, że SA zaczyna się od.. lidera bezpieczeństwa. Czy to będzie ABI, czy to będzie służba BHP, czy to będzie inspektor ochrony ppoż. Każdy z tych liderów musi zrozumieć, że nieprzestrzeganie zasad to nie kwestia prokuratora, odpowiedzialności dyscyplinarnej, karnej, cywilnej. To kwestia tego, co się stanie i komu się stanie, jak nie będziemy przestrzegać.
Grzegorz Krzemiński

Grzegorz Krzemiński 600+ projektów w
bezpieczeństwie |
Trener | RODO | HSSE
|...

Temat: PESEL, imię i nazwisko pacjenta

I generalnie tym akcentem chcę się pożegnać z dyskusją. Myślę, że co było do wyjaśnienia zostało wyjaśnione i przedyskutowane. I jak wcześniej na ogólne rozważania i dyskusje o hipotetycznych sytuacjach nie mam czasu ani ochoty. Miłego dnia wszystkim.

PS jak się pojawi wypowiedź w temacie, ponownie się włączę.
Paweł G.

Paweł G. IOD, podmiot danych

Temat: PESEL, imię i nazwisko pacjenta

Grzegorz K.:
A w sytuacji gdy ktoś/np. pacjent/ przywłaszczy sobie kopertę i zajrzy do środka to prawdopodobnie w karcie jest adres tel itp. - wtedy już są.
Jak to było? Ludwiku D i psie Sabo nie idźcie tą drogą. Po pierwsze pacjent popełni przestępstwo. Bo to nie dla niego.
Jakie konkretnie?
Zależy co zrobi. np. 267 KK
Bezsporne jest tylko, że - jak to ująłeś - "to nie dla niego". Pozostałych znamion nie widzę.
Nie używaj półprawd lub manipulacji jako argumentów w poważnej dyskusji, bo nie będziesz słuchany nawet w tych kwestiach, w których masz rację i coś wnosisz.
Grzegorz Krzemiński

Grzegorz Krzemiński 600+ projektów w
bezpieczeństwie |
Trener | RODO | HSSE
|...

Temat: PESEL, imię i nazwisko pacjenta

Poniżej krytyki.

EOT
Paweł G.

Paweł G. IOD, podmiot danych

Temat: PESEL, imię i nazwisko pacjenta

Najpierw twierdziłeś, że to nie są dane osobowe. Okazało się, że są.
Potem - że każda osoba z placówki ma dostęp i prawo do przetwarzania. Okazało się, że jednak nie.
Próbowałeś też tezy, że gdy pacjent zajrzy do niezamkniętej koperty, leżącej luzem na biurku, popełnia niby jakieś przestępstwo - i że takie zabezpieczenie wystarczy. Okazało się, że przepisu na to przestępstwo nie znalazłeś.

Powyższe okrasiłeś oczywiście mnóstwem słusznych spostrzeżeń na temat analizy procesów i ich mapowania. Czyli jak w większości dyskusji z twoim udziałem - trzeba najpierw oddzielić sobie ziarno od plew, przebijając się przez zasłonę źle skrywanej agresji w kierunku środowiska ABI-ch i przekonania o własnej nieomylności, o tym, że i ziarno jest ziarnem, i plewy są ziarnem.
Grzegorz Krzemiński

Grzegorz Krzemiński 600+ projektów w
bezpieczeństwie |
Trener | RODO | HSSE
|...

Temat: PESEL, imię i nazwisko pacjenta

Uznałem, że ci odpisze, bo znów będziesz siał i powielał bzdury jak przy IKEA. Jakoby było inne stanowisko.

Więc:
1 - dane osobowe są wtedy, gdy spełniają przesłanki. Dla mnie pesel i imię i nazwisko nie są nimi.
2 - dyskusja dotyczy naniesienia na kopertę informacji - imię, nazwisko i PESEL. Dalsze wywody są po prostu trzepaniem piany. Nie wiem skąd się pojawiła kwestia dostępu do koperty - jak zwykle pozwoliłeś sobie rozwinąć (jak to ty - cóż, personalnie mi jedziesz, odpowiem tak samo). I jak zwykle mieszasz w wątku, piszesz jakieś swoje wywody, które nijak się mają do tematu. Jak rozumiem panie psycholog - w celu pokazania swojej wiedzy. Cóz.. nie działa.
3. Znów piszesz głupoty na podstawie swojej interpretacji co do 267 KK. Jakbyś zamiast wciskać innym swoje spostrzeżenia i z nimi walczył - przeczytał co ktoś napisał, byś zrozumiał (obawiam się że to nie jest możliwe - po raz kolejny). Każde otwarcie koperty oznacza dostęp NIEUPRAWNIONY. Bo gdyby był uprawniony nie byłby w kopercie.
4. Wykazujesz ciągły brak wiedzy z KPK. Pytanie - ile konkluzji w aktach oskarżenia sformułowałeś? Ja około 200, we wnioskach (KW) tak ze 3 razy więcej. Więc mnie nie pouczaj o KK i wyczerpywaniu znamion, tylko udowodnij. Na razie napisałeś, że coś jest oczywiste. W zeszłym miesiącu prokurator, co tak uznał dostał akta do poprawy... Razem z równie OCZYWISTĄ opinią. Więc sorry, ale to mi pokazuje, że nie masz pojęcia o postępowaniu karnym - co widać w pisaniu. W KK NIC NIE JEST OCZYWISTE. Normy prawne, to normy prawne. Ale nasz system prawny zbudowany jest na OCENIE. Niezawisłej. Sędziego - a nie anonima z forum na GL.
5. Nie do ABI mam żale, a do ich postawy - dokładnie tej, jaką prezentujesz. Nieomylności i ciągłego straszenia sankcjami. Sorry, dla mnie to jest nawet nie przedszkole. To żłobek.
6. Kulturalnie - odczep się ode mnie. Dyskutuj w temacie, nie o mnie.

I na koniec. Są granice. Ja tu występuję z imienia, nazwiska. Znane sa moje firmy. I po raz kolejny próbujesz podważyć zaufanie - bez podstaw, atakując mnie personalnie oraz skutkowo - moje firmy. Będąc specjalistą w KK i KPK - mam nadzieję, że rozumiesz. To był ostatni raz jak olewam twój atak personalny.

Dla informacji - jesteś 17 osobą, która tego próbuje. Tak, robię statystyki. Na razie 17 osób na pierwszym wezwaniu się uspokoiło.

I ode mnie. Skoro mi rad udzielasz. To ludzie ocenią, czy ktoś ma rację i argumentację. A nie ty. Wygraj na argumenty, a nie stwierdzenia autorytarne. Plus mityczne postaci w stylu - uznani eksperci... Uznani eksperci nie boją się swojego stanowiska. I wyrażają je pod swoim nazwiskiem.
Grzegorz Krzemiński

Grzegorz Krzemiński 600+ projektów w
bezpieczeństwie |
Trener | RODO | HSSE
|...

Temat: PESEL, imię i nazwisko pacjenta

I mała prośba i pytanie. Czy jest tu moderator, który mógłby wcześniej reagować i wycinać żenujące wycieczki? (tak, moja tez jest żenująca, ale są granice jak napisałem).
Paweł G.

Paweł G. IOD, podmiot danych

Temat: PESEL, imię i nazwisko pacjenta

Grzegorz K.:
1 - dane osobowe są wtedy, gdy spełniają przesłanki. Dla mnie pesel i imię i nazwisko nie są nimi.
Dla ciebie. A ja ci wykazałem, że w określonych kontekstach przetwarzania (lokalna przychodnia) mogą być, a nawet jest to bardzo prawdopodobne.
2 - dyskusja dotyczy naniesienia na kopertę informacji - imię, nazwisko i PESEL. Dalsze wywody są po prostu trzepaniem piany. Nie wiem skąd się pojawiła kwestia dostępu do koperty
Pisała o tym autorka wątku. Nie czytasz uważnie.
3. Znów piszesz głupoty na podstawie swojej interpretacji co do 267 KK. Jakbyś zamiast wciskać innym swoje spostrzeżenia i z nimi walczył - przeczytał co ktoś napisał, byś zrozumiał (obawiam się że to nie jest możliwe - po raz kolejny). Każde otwarcie koperty oznacza dostęp NIEUPRAWNIONY.
Te koperty nie są "zamkniętym pismem", nie ma tam co otwierać. Nigdy u lekarza nie byłeś?

Temat: PESEL, imię i nazwisko pacjenta

Grzegorz K.:
Pominę, dobrze? ;-)
Z chęcią poznam argumentację. Jeśli moje rozumowanie błądzi, to nigdy dość edukacji.

Nie. Podlega ocenie w zależności od tego, kogo postępowanie analizujemy. Inaczej dojdzie do absurdu o którym piszę. Każde zapoznanie się z danymi, które dla mnie nic nie znaczą, ale dla ADO znaczą oznaczać będzie że jestem przestępcą. Dla przykładu:
1. Numer PESEL
2. Numer ID Policjanta czy jakiekolwiek inne służbowe
3. Numer parkingowy naklejony na szybę auta
4. Numer pracownika
5. Numer klienta
6. Numer telefonu.
Polecam lekturę art. 6.2. uodo gdzie ekspresi verbis uznano numer identyfikacyjny jako ten, dzięki któremu można ustalić pośrednio osobę możliwą do zidentyfikowania.

Cytat z GIODO: Opinia Grupy Roboczej ds. Ochrony Danych, powołanej przez Parlament Europejski i Radę Europejską (rozdz. III pkt 3 przykład 15) uznała literalnie adres IP za dane dotyczące osoby możliwej do zidentyfikowania, stwierdzając, że: "dostawcy usług internetowych oraz menedżerowie lokalnych sieci mogą, stosując rozsądne środki, zidentyfikować użytkowników internetu, którym przypisali adresy ip ponieważ systematycznie zapisują w plikach daty, czas trwania oraz dynamiczny adres IP (czyli ulegający zmianie po każdym zalogowaniu) przypisany danej osobie. To samo odnosi się do dostawców usług internetowych, którzy prowadzą rejestr (logbook) na serwerze HTTP Nie ma wątpliwości, że w takich przypadkach można mówić o danych osobowych, w rozumieniu art. 2 Dyrektywy". więcej: http://www.giodo.gov.pl/319/id_art/2258/j/pl/

W przykładzie Autorki wątku, ADO ma wiedzę i możliwość by, bez nadmiernych kosztów, czasu lub działań, ustalić tożsamość osoby.

Czy tak? Czy widząc i zapoznając się z tymi wszystkimi danymi osobowymi (danymi dotyczącymi zidentyfikowanej osoby) staję się automatycznie przestępcą? Bo uzyskuję dostęp do danych do których jestem nieupoważniony.
Zapominasz o przesłankach odpowiedzialności z art. 49. uodo. Tam zapisano warunki penalizacji osób nie będących uprawnionymi.
Grzegorz Krzemiński

Grzegorz Krzemiński 600+ projektów w
bezpieczeństwie |
Trener | RODO | HSSE
|...

Temat: PESEL, imię i nazwisko pacjenta

Radosław Z.:
Polecam lekturę art. 6.2. uodo gdzie ekspresi verbis uznano numer identyfikacyjny jako ten, dzięki któremu można ustalić pośrednio osobę możliwą do zidentyfikowania.

Ja to mogę? Na podstawie twojego IP ustalę ciebie? Rozumiem, że ujawniają dane osobowe WSZYSTKIE portale, które mają fora i obok są nr IP komentującego.

Cały czas o tym jest dyskusja. To, że lekarz wie, kto jest pacjentem jest bezsporne. Mało tego - nadal uważam, że to jest wręcz mechanizm utrzymania integralności i w efekcie wpływający na bezpieczeństwo pacjenta.
W przykładzie Autorki wątku, ADO ma wiedzę i możliwość by, bez nadmiernych kosztów, czasu lub działań, ustalić tożsamość osoby.

Ja jako pacjent? Bo przecież tego dotyczyły pierwsze wypowiedzi w wątkach. Że straszną rzeczą jest, że ktoś zobaczy numer PESEL i imię i nazwisko i będzie wiedział. Zdaje się nawet przewinęło się coś o danych wrażliwych.

O tym, co mu to da lub nie da - już kilka wypowiedzi było.

Więc jeszcze raz.
Po pierwsze - jak widać w pierwszym poście dyskusja dotyczy NANIESIENIA numeru PESEL i imienia i nazwiska na kopertę.
Rozwiązanie problemu pozostawiania koperty na biurku już zostały dawno rozstrzygnięte (ot szuflada).
Pozostawianie pacjenta w obszarze przetwarzania danych - jest wprost naruszeniem zasad.

Jak pisałem wcześniej. Dla mnie dyskusja jest już zakończona. Będą nowe wątki W TYM KONKRETNYM TEMACIE - to się udzielę. Nie będzie - sorry. Ale kolejne dyskusje akademickie nie interesują mnie.Ten post został edytowany przez Autora dnia 07.06.17 o godzinie 07:48
Szymon S.

Szymon S. IOD / IBTI

Temat: PESEL, imię i nazwisko pacjenta

Moim zdaniem kwestia kiedy dane możemy nazwać osobowymi jest czasami dyskusyjna. Czy dla pacjenta imię, nazwisko i pesel są danymi osobowymi identyfikującymi osobę? Czy może po kopercie zidentyfikować konkretną osobę? Czy ewentualna identyfikacja przez takiego strasznego podglądacza nie wymagałaby nadmiernych kosztów, czasu i działań, aby dostać się do jakiejś bazy? Szedłbym drogą Grzegorza, że dla personelu to są dane osobowe i trzeba je chronić, ale wypisanie PESELa na kopercie właściwie nie identyfikuje innemu pacjentowi danej osoby. Chyba, że pani Zosia pielęgniarka wyjdzie z opisaną kopertą w ręku i krzyknie Kowalski marsz do gabinetu.Ten post został edytowany przez Autora dnia 07.06.17 o godzinie 09:12
Paweł G.

Paweł G. IOD, podmiot danych

Temat: PESEL, imię i nazwisko pacjenta

Grzegorz K.:
Rozumiem, że ujawniają dane osobowe WSZYSTKIE portale, które mają fora i obok są nr IP komentującego.
Dobrze rozumiesz.
Ja jako pacjent? Bo przecież tego dotyczyły pierwsze wypowiedzi w wątkach. Że straszną rzeczą jest, że ktoś zobaczy numer PESEL i imię i nazwisko i będzie wiedział.
Dla ADO te dane dotyczą zidentyfikowanej osoby fizycznej, tak więc umożliwienie dostępu do tych danych osobom nieupoważnionym stanowi naruszenie ochrony danych. Od 25 maja 2018 r. trzeba będzie notyfikować każdy taki incydent.

Dywagacje, na ile osoba nieupoważniona będzie w stanie (lub będzie chciała) rzeczywiście zidentyfikować osobę, której dane dotyczą, na podstawie ujawnionego zakresu danych, nie mają żadnego znaczenia dla stwierdzenia faktu naruszenia, mogą mieć co najwyżej znaczenie dla oceny wagi naruszenia, stopnia zawinienia pracownika oraz oceny stopnia naruszenia praw i wolności podmiotu danych.

Skoro jednak Grzegorz tak uparcie brnie w tezę, że imię, nazwisko i Pesel pacjenta to nie są dane osobowe dla osób postronnych, proponuję rozważyć taki kazus:
Kierownictwo przychodni lekarskiej postanowiło na przystankach autobusowych w rejonie działania poradni kardiologicznej rozwiesić ogłoszenia następującej treści:
"Uprasza się, aby następujący pacjenci:
[tu lista zawierająca imiona, nazwiska i Pesele]
zgłosili się do dr. X celem przeprowadzenia badań kontrolnych."


Rozwiązując kazus należy rozważyć, czy doszło do ujawnienia danych osobowych pacjentów osobom nieupoważnionym, przy założeniu, że żadna z osób, które mogły przeczytać ogłoszenie, nie ma dostępu do bazy PESEL.
Zdaje się nawet przewinęło się coś o danych wrażliwych.
I słusznie. Informacja o tym, że ktoś jest pacjentem danej przychodni, danego specjalisty, jest w doktrynie traktowana jako dana sensytywna.

konto usunięte

Temat: PESEL, imię i nazwisko pacjenta

Szymon S.:
Moim zdaniem kwestia kiedy dane możemy nazwać osobowymi jest czasami dyskusyjna. Czy dla pacjenta imię, nazwisko i pesel są danymi osobowymi identyfikującymi osobę? Czy może po kopercie zidentyfikować konkretną osobę? Czy ewentualna identyfikacja przez takiego strasznego podglądacza nie wymagałaby nadmiernych kosztów, czasu i działań, aby dostać się do jakiejś bazy? Szedłbym drogą Grzegorza, że dla personelu to są dane osobowe i trzeba je chronić, ale wypisanie PESELa na kopercie właściwie nie identyfikuje innemu pacjentowi danej osoby. Chyba, że pani Zosia pielęgniarka wyjdzie z opisaną kopertą w ręku i krzyknie Kowalski marsz do gabinetu.


Uważam podobnie. Granica pomiędzy tym, co jest daną osobową a co nie, jest bardzo cienka.
W UODO, Pesel jest daną osobową ale jeśli ktoś położyłby kartkę z numerem Pesel i niczym poza tym, to dla mnie to nic nie będzie oznaczało jak tylko to, że będę znała datę urodzin tego kogoś. Nadal nie będę w stanie powiązać tej informacji z konkretną osobą bo nie mam do tego po prostu narzędzi.

Tak samo z innymi informacjami, przytaczanymi wcześniej, typu:

Numer ID Policjanta czy jakiekolwiek inne służbowe
Numer parkingowy naklejony na szybę auta
Numer pracownika
Numer klienta
Numer telefonu (tutaj już jestem w stanie sobie wygooglować, chociaż nie mam nadal pewności że coś znajdę)

Nr rejestracyjny auta też podlega pod dane osobowe, ale zwykły przechodzień nic z tych informacji nie jest w stanie wyciągnąć. Ale Pani w wydziale komunikacji już tak.
Grzegorz Krzemiński

Grzegorz Krzemiński 600+ projektów w
bezpieczeństwie |
Trener | RODO | HSSE
|...

Temat: PESEL, imię i nazwisko pacjenta

Cóż...

Za cytatem z linka powyżej:
GIODO: Adres IP może być w pewnych przypadkach uznany za dane osobowe.

jeszcze raz wyraźniej. "Adres IP MOŻE być w pewnych przypadkach uznany za dane osobowe. "

I dalej:
"Niemniej adres IP będzie uznawany za dane osobowe jedynie wówczas, gdy podmiot przetwarzający adres IP ma jednocześnie dostęp do danych łączących adres IP z innymi danymi identyfikującymi osobę."

Mam wrażenie, że w języku polskim pomiędzy stwierdzeniem: "adres IP jest daną osobą" a "może być w pewnych przypadkach uznany za dane osobowe" jest ogromna różnica.

Analogicznie. PESEL może być w pewnych przypadkach uznany za dane osobowe. Pod tymi samymi warunkami - czyli parafrazując GIODO - gdy "podmiot przetwarzający PESEL (było IP) ma jednocześnie dostęp do danych łączących PESEL (było IP) z innymi danymi identyfikującymi osobę".

I dlaczego trzeba to rozpatrywać z dwóch stron:
1. Przychodni i lekarza - dla którego są to dane osobowe
2. Pacjenta - dla które nie są to dane osobowe

Ad 1 - ma podjąć działania zmierzające do tego, aby dane osobowe nie utraciły swoich atrybutów. WSZYSTKICH. W tym poufności.
Ad 2 - ocena z punktu widzenia pacjenta pomaga ocenić, opierając się na definicji danych osobowych (tej - o możliwości identyfikacji) czy narażam dane na zagrożenie utraty poufności. Jeśli da pacjenta czy kogokolwiek nie będą to dane, albo dokładnie - aby zidentyfikować osobę po PESEL - musi mieć dostęp do innych (patrz wyżej parafraza GIODO i IP), oznaczało by to działanie niezgodne z prawem (otworzy kopertę albo zaloguje się do kompa, bo ktoś hasło zostawił). Dlatego, że wejście w posiadanie dodatkowych danych identyfikujących nie jest PRZEWIDZIANE dla pacjenta czy krwiożerczego handlowca.

Ocena, czy zabezpieczenia są skuteczne czy nie - jest dalej.

Co do danych sensytywnych. Sorry, ale pierwsze słyszę, aby informacja do której przychodni jestem zapisany czy nawet - kto jest moim lekarzem pierwszego kontaktu była daną sensytywną. Choćby z tego powodu że nie korzystam ze swojej publicznej przychodni w Polsce - ale obowiązek wybrania miałem (chyba, nie wiem, ale zapisałem się). I jak się zastanowię, to jakoś tak nic nie mogę zidentyfikować po tym fakcie że jestem w przychodni XXX.
Paweł G.

Paweł G. IOD, podmiot danych

Temat: PESEL, imię i nazwisko pacjenta

Szymon S.:
Moim zdaniem kwestia kiedy dane możemy nazwać osobowymi jest czasami dyskusyjna. Czy dla pacjenta imię, nazwisko i pesel są danymi osobowymi identyfikującymi osobę? Czy może po kopercie zidentyfikować konkretną osobę?
Szymon, rozwiąż mój kazus.
Szymon S.

Szymon S. IOD / IBTI

Temat: PESEL, imię i nazwisko pacjenta

Kazus sprytnie chce podejść naszą inną ocenę. Szczerze mówiąc nie wiem co w takiej sytuacji. Zapytać się można czy jakiś przepis o ściąganiu pacjentów na badania nie zezwala na to. Można przyjrzeć się zgodzie jaką pacjent podpisuje bo być może pozwolił na klejenie przystanku jego peselem. Zapytać należy ADO czy jest jakiś szczególny cel takiego obwieszczenia bo być może zależy od tego czyjeś życie i zdrowie tych pacjentów, może są w stanach przedzawałowych i nie ma czasu do stracenia. Tak czy inaczej nadal nie identyfikuje nam to konkretnej osoby. Kowalski patrząc na listę rozpozna być może swój pesel lub żony, ale dla Nowaka będą to tylko pesele i nazwiska.

Ale skupiłbym się nad przyjrzeniem się zgodzie podpisanej przez pacjenta na co tam wyraził zgodę i od tego uzależniłbym to czy doszło do bezprawnego udostępnienia danych osobowych.

Następna dyskusja:

Imię+nazwisko+pesel+zarobek




Wyślij zaproszenie do