Temat: PESEL, imię i nazwisko pacjenta
Paweł G.:
Grzegorz K.:
I dlaczego trzeba to rozpatrywać z dwóch stron:
1. Przychodni i lekarza - dla którego są to dane osobowe
Czyli nie wolno umożliwić przypadkowego dostępu do imienia, nazwiska i Peselu zapisanego na kopercie, bo są to dane osobowe?
2. Pacjenta - dla które nie są to dane osobowe
Czyli umożliwienie przypadkowego dostępu do imienia, nazwiska i Peselu zapisanego na kopercie nie jest naruszeniem ustawy, bo nie są to dane osobowe?
Który wariant wybierasz, bo twoja argumentacja jest jak do tej pory wewnętrznie sprzeczna?
Dalej nie rozumiesz wypowiedzi. Co powoduje, że doszukujesz się sprzeczności tam gdzie jej nie ma. To nie są WARIANTY. To jest jedna sytuacja. Postrzegana z dwóch stron. Ale zakładam, że koleżanka dostała już odpowiedzi na swoje zagadnienia, a forum ma cel edukacyjny, jak również mam chwilę i kwity pod ręką, bo właśnie nam weszło zlecenie na GDPR i BS 10012 dla firmy z oddziałami w UK i PL - to rozwinę. Mam nadzieję, że pożytkiem. Przynajmniej dla innych uczestników (nieco mniej erystycznych - wybacz, ale personalnie jedziesz, to ja też, mamy demokrację).
Jak nie rozumiesz przepisu ustawy - sięgnij do Konstytucji. Oraz dyrektywy. Ważne jest aby zrozumieć - jaki jest cel wydania regulacji. O tym już wielokrotnie pisałem, nie tylko w kontekście danych osobowych, ale dawałem też przykłady z innych przepisów prawa, które do polskiego prawa są transponowane ustawami i rozporządzeniami.
Pomocą też są standardy krajowe i międzynarodowe.
Aby ci nieco ułatwić, to w kilku krokach. Zakładam, że już zajrzałeś do Konstytucji RP - art 51, plus spojrzałeś na kwity związane z dyrektywą. I jak zapewne rozumiesz, że podstawowym atrybutem z art 51 ust 1 Konstytucji jest ochrona poufności. Dalej jest też integralność, ale na poufności się skupmy, bo to jest clou całej dyskusji i niezrozumienia pewnych fundamentów.
Poufność - niestety, nasze przepisy są nieco niespójne, ponieważ UODO zawiera część definicji a drugą część - dość kluczową zawiera rozporządzenie wydane na podstawie art 39. Zanim zacytuję - mała dygresja. Otóż ustawa jest aktem prawodawczym, który mówi w skrócie (i uproszczeniu) CO NALEŻY ROBIĆ. Rozporządzenie - mówi JAK należy robić. Jako akt wykonawczy. Niestety, w UODO też tego nie do końca przestrzegano, bo w samej ustawie znajduje się kilka rozwiązań technicznych - które mówią jak. Ale o (byle)jakości procesu legislacyjnego w Polsce można książki pisać.
W związku z tym sięgnijmy do definicji poufności:
poufności danych – rozumie się przez to właściwość zapewniającą, że dane nie są udostępniane nieupoważnionym podmiotom;
I rodzi się pytanie - WSZYSTKIE DANE? W sensie, jeśli ADO w zbiorze przetwarza imię, nazwisko, PESEL właściciela pojazdu i jednocześnie - numer rejestracyjny tegoż pojazdu, to oznaczałoby to, że naklejka na szybę oraz tafle poprzez nakaz prawny są ujawnieniem danych osobowych. Wszak numer rejestracyjny mojego pojazdu jest w CEPIK (centralna ewidencja pojazdów i kierowców) jest zbiorem danych osobowych. Innymi słowy - ujawnienie nr rejestracyjnego jest de facto ujawnieniem jednej z danych osobowych ze zbioru CEPIK. Wolno czy nie?
Aby na to odpowiedzieć i wprost powiedzieć - że wolno, należy zrozumieć mechanizmy ochronne dla atrybutów danych osobowych. Innymi słowy - należy ocenić, czy sam numer rejestracyjny - z jednej strony (ADO CEPIK-u) jest daną osobą, ale mi jako potencjalnemu odbiorcy NIC NIE MÓWI.
I jako taki NIE IDENTYFIKUJE MNIE, czyli nie narusza poufności moich danych osobowych. Innymi słowy zachowana jest i ochrona moich danych osobowych, a co więcej - również prywatność. Bo ktoś wie, że pojazd jest zarejestrowany pod numerem rejestracyjnym XXX-8888, ale nie wie czyj to pojazd - czyli nie wie na co mnie stać i jakie mam preferencje (to już na zasadzie bardziej domysłów).
Z tego powodu ocena czy dany zestaw danych (masło maślane) będzie identyfikował konkretną osobę u "odbiorcy" czy nie? Bo dla mnie każdy element będzie daną osobową. Ale nie każdy zestaw dostępny publicznie będzie naruszał poufność, czyli naruszał prawa osoby, której dane dotyczą.
W związku z tym nie ma sprzeczności w tym co jest powyżej. Bo dla przychodni PESEL imię i nazwisko (przypuszczam, że nawet sam PESEL) będzie już identyfikował wprost. Nawet w pojedynkę - będzie identyfikował osobę, na podstawie dostępu do pozostałych danych. Natomiast mi nic nie powie.
Reasumując wątek - na wszelki wypadek i tak zalecałbym chowanie kopert mimo wszystko. Ale uznawać, że jest to obowiązek - to jestem daleki. raczej dobra praktyka, na podstawie doświadczenia. A żeby jednoznacznie się wypowiedzieć - sorry, ale analiza zagrożeń. W tym - analiza zagrożeń dla utraty poufności.