Paweł G.

Paweł G. IOD, podmiot danych

Temat: PESEL, imię i nazwisko pacjenta

Szymon S.:
Tak czy inaczej nadal nie identyfikuje nam to konkretnej osoby. Kowalski patrząc na listę rozpozna być może swój pesel lub żony, ale dla Nowaka będą to tylko pesele i nazwiska.
Czyli nie są to dane osobowe?
Ale skupiłbym się nad przyjrzeniem się zgodzie podpisanej przez pacjenta na co tam wyraził zgodę i od tego uzależniłbym to czy doszło do bezprawnego udostępnienia danych osobowych.
Czyli są to dane osobowe?
Grzegorz Krzemiński

Grzegorz Krzemiński 600+ projektów w
bezpieczeństwie |
Trener | RODO | HSSE
|...

Temat: PESEL, imię i nazwisko pacjenta

Szymon to nie spryt tylko erystyka. Czyli wygrywanie sporów i dyskusji za wszelką cenę. Z rozwiązywaniem problemów nie ma nic wspólnego.

Z cytatu z wikipedii:
Erystyka – sztuka doprowadzania sporów do korzystnego rozwiązania bez względu na prawdę materialną.

https://pl.wikipedia.org/wiki/Erystyka

Jak widzisz okazuje się, że to jest moje "brnięcie". I jak również widzisz nagle z gabinetu lekarza przenieśliśmy się na ulicę. Z niedbałości na celowe działanie. A i zakres podanych informacji też się poszerzył bo już mamy w ogólnodostępnym miejscu informacje wcześniej ograniczone do pacjentów konkretnego lekarza. A do tego mamy równiez konkretną informację - o badaniach.

I nagle cudownie zostanie to obalone jako bzdura.. bo działa pierwsza z brzegu zasada erystyczna - na dole w cytacie z wikipedii. Już wielokrotnie pisałem, że w takich dyskusjach nie będę uczestniczył bo po raz forum ma czemuś służyć. A po drugie nie lubię erystyki. ;-)

Powtórzę jak przy IKEA i innych, ŻENADA.
Szymon S.

Szymon S. IOD / IBTI

Temat: PESEL, imię i nazwisko pacjenta

Czy są to dane osobowe to zależy komu są prezentowane i w jakim kontekście. Może twój przykład Pawle ukazuje, że definicja danych osobowych jest niekonkretna?

To tak jak z e-mailem. Jeśli dobrze kojarzę to GIODO uznał to za dane osobowe. A ja tego nie rozumiem. Jak e-mail jan.kowalski@tralalala.pl to dane osobowe? E-maila mogę sobie zakłądać jakiego tylko chce. Mogę jako Zdzisio Nowak posiadać konto jan.kowalski.
Paweł G.

Paweł G. IOD, podmiot danych

Temat: PESEL, imię i nazwisko pacjenta

Grzegorz K.:
Z niedbałości na celowe działanie.
W kazusie chodziło wyłącznie o rozstrzygnięcie, czy udostępniono dane osobowe.

Albo imię, nazwisko i Pesel są to dane osobowe - i wtedy nawet przypadkowe umożliwienie dostępu do nich innemu pacjentowi konkretnego lekarza stanowi naruszenie ochrony danych, albo imię, nazwisko i Pesel nie są to dane osobowe - i wtedy ustawa nie ma zastosowania, zatem można z tymi danymi robić wszystko, łącznie z ich udostępnianiem odbiorcom, w tym upublicznianiem.
Grzegorz Krzemiński

Grzegorz Krzemiński 600+ projektów w
bezpieczeństwie |
Trener | RODO | HSSE
|...

Temat: PESEL, imię i nazwisko pacjenta

Pytanie - kto to napisał?

Analogicznie. PESEL może być w pewnych przypadkach uznany za dane osobowe. Pod tymi samymi warunkami - czyli parafrazując GIODO - gdy "podmiot przetwarzający PESEL (było IP) ma jednocześnie dostęp do danych łączących PESEL (było IP) z innymi danymi identyfikującymi osobę".

I dlaczego trzeba to rozpatrywać z dwóch stron:
1. Przychodni i lekarza - dla którego są to dane osobowe
2. Pacjenta - dla które nie są to dane osobowe

Ad 1 - ma podjąć działania zmierzające do tego, aby dane osobowe nie utraciły swoich atrybutów. WSZYSTKICH. W tym poufności.
Ad 2 - ocena z punktu widzenia pacjenta pomaga ocenić, opierając się na definicji danych osobowych (tej - o możliwości identyfikacji) czy narażam dane na zagrożenie utraty poufności. Jeśli da pacjenta czy kogokolwiek nie będą to dane, albo dokładnie - aby zidentyfikować osobę po PESEL - musi mieć dostęp do innych (patrz wyżej parafraza GIODO i IP), oznaczało by to działanie niezgodne z prawem (otworzy kopertę albo zaloguje się do kompa, bo ktoś hasło zostawił). Dlatego, że wejście w posiadanie dodatkowych danych identyfikujących nie jest PRZEWIDZIANE dla pacjenta czy krwiożerczego handlowca.
Paweł G.

Paweł G. IOD, podmiot danych

Temat: PESEL, imię i nazwisko pacjenta

Grzegorz K.:
I dlaczego trzeba to rozpatrywać z dwóch stron:
1. Przychodni i lekarza - dla którego są to dane osobowe
Czyli nie wolno umożliwić przypadkowego dostępu do imienia, nazwiska i Peselu zapisanego na kopercie, bo są to dane osobowe?
2. Pacjenta - dla które nie są to dane osobowe
Czyli umożliwienie przypadkowego dostępu do imienia, nazwiska i Peselu zapisanego na kopercie nie jest naruszeniem ustawy, bo nie są to dane osobowe?

Który wariant wybierasz, bo twoja argumentacja jest jak do tej pory wewnętrznie sprzeczna?
Szymon S.

Szymon S. IOD / IBTI

Temat: PESEL, imię i nazwisko pacjenta

Generalnie jeśli ktoś otworzy jakoś tam zamkniętą kopertę lub dostanie się na kompa z hasłem 123 to można ryzykować stwierdzenie, że dokonał włamania poprzez złamanie zabezpieczeń (słabych bo słabych ale jednak). Tak przynajmniej Prokuratura podciąga włamania. Tak więc działanie przestępcze wyłączył bym z dyskusji.
Grzegorz Krzemiński

Grzegorz Krzemiński 600+ projektów w
bezpieczeństwie |
Trener | RODO | HSSE
|...

Temat: PESEL, imię i nazwisko pacjenta

Paweł G.:
Grzegorz K.:
I dlaczego trzeba to rozpatrywać z dwóch stron:
1. Przychodni i lekarza - dla którego są to dane osobowe
Czyli nie wolno umożliwić przypadkowego dostępu do imienia, nazwiska i Peselu zapisanego na kopercie, bo są to dane osobowe?
2. Pacjenta - dla które nie są to dane osobowe
Czyli umożliwienie przypadkowego dostępu do imienia, nazwiska i Peselu zapisanego na kopercie nie jest naruszeniem ustawy, bo nie są to dane osobowe?

Który wariant wybierasz, bo twoja argumentacja jest jak do tej pory wewnętrznie sprzeczna?

Dalej nie rozumiesz wypowiedzi. Co powoduje, że doszukujesz się sprzeczności tam gdzie jej nie ma. To nie są WARIANTY. To jest jedna sytuacja. Postrzegana z dwóch stron. Ale zakładam, że koleżanka dostała już odpowiedzi na swoje zagadnienia, a forum ma cel edukacyjny, jak również mam chwilę i kwity pod ręką, bo właśnie nam weszło zlecenie na GDPR i BS 10012 dla firmy z oddziałami w UK i PL - to rozwinę. Mam nadzieję, że pożytkiem. Przynajmniej dla innych uczestników (nieco mniej erystycznych - wybacz, ale personalnie jedziesz, to ja też, mamy demokrację).

Jak nie rozumiesz przepisu ustawy - sięgnij do Konstytucji. Oraz dyrektywy. Ważne jest aby zrozumieć - jaki jest cel wydania regulacji. O tym już wielokrotnie pisałem, nie tylko w kontekście danych osobowych, ale dawałem też przykłady z innych przepisów prawa, które do polskiego prawa są transponowane ustawami i rozporządzeniami.

Pomocą też są standardy krajowe i międzynarodowe.

Aby ci nieco ułatwić, to w kilku krokach. Zakładam, że już zajrzałeś do Konstytucji RP - art 51, plus spojrzałeś na kwity związane z dyrektywą. I jak zapewne rozumiesz, że podstawowym atrybutem z art 51 ust 1 Konstytucji jest ochrona poufności. Dalej jest też integralność, ale na poufności się skupmy, bo to jest clou całej dyskusji i niezrozumienia pewnych fundamentów.

Poufność - niestety, nasze przepisy są nieco niespójne, ponieważ UODO zawiera część definicji a drugą część - dość kluczową zawiera rozporządzenie wydane na podstawie art 39. Zanim zacytuję - mała dygresja. Otóż ustawa jest aktem prawodawczym, który mówi w skrócie (i uproszczeniu) CO NALEŻY ROBIĆ. Rozporządzenie - mówi JAK należy robić. Jako akt wykonawczy. Niestety, w UODO też tego nie do końca przestrzegano, bo w samej ustawie znajduje się kilka rozwiązań technicznych - które mówią jak. Ale o (byle)jakości procesu legislacyjnego w Polsce można książki pisać.

W związku z tym sięgnijmy do definicji poufności:
poufności danych – rozumie się przez to właściwość zapewniającą, że dane nie są udostępniane nieupoważnionym podmiotom;

I rodzi się pytanie - WSZYSTKIE DANE? W sensie, jeśli ADO w zbiorze przetwarza imię, nazwisko, PESEL właściciela pojazdu i jednocześnie - numer rejestracyjny tegoż pojazdu, to oznaczałoby to, że naklejka na szybę oraz tafle poprzez nakaz prawny są ujawnieniem danych osobowych. Wszak numer rejestracyjny mojego pojazdu jest w CEPIK (centralna ewidencja pojazdów i kierowców) jest zbiorem danych osobowych. Innymi słowy - ujawnienie nr rejestracyjnego jest de facto ujawnieniem jednej z danych osobowych ze zbioru CEPIK. Wolno czy nie?

Aby na to odpowiedzieć i wprost powiedzieć - że wolno, należy zrozumieć mechanizmy ochronne dla atrybutów danych osobowych. Innymi słowy - należy ocenić, czy sam numer rejestracyjny - z jednej strony (ADO CEPIK-u) jest daną osobą, ale mi jako potencjalnemu odbiorcy NIC NIE MÓWI.

I jako taki NIE IDENTYFIKUJE MNIE, czyli nie narusza poufności moich danych osobowych. Innymi słowy zachowana jest i ochrona moich danych osobowych, a co więcej - również prywatność. Bo ktoś wie, że pojazd jest zarejestrowany pod numerem rejestracyjnym XXX-8888, ale nie wie czyj to pojazd - czyli nie wie na co mnie stać i jakie mam preferencje (to już na zasadzie bardziej domysłów).

Z tego powodu ocena czy dany zestaw danych (masło maślane) będzie identyfikował konkretną osobę u "odbiorcy" czy nie? Bo dla mnie każdy element będzie daną osobową. Ale nie każdy zestaw dostępny publicznie będzie naruszał poufność, czyli naruszał prawa osoby, której dane dotyczą.

W związku z tym nie ma sprzeczności w tym co jest powyżej. Bo dla przychodni PESEL imię i nazwisko (przypuszczam, że nawet sam PESEL) będzie już identyfikował wprost. Nawet w pojedynkę - będzie identyfikował osobę, na podstawie dostępu do pozostałych danych. Natomiast mi nic nie powie.

Reasumując wątek - na wszelki wypadek i tak zalecałbym chowanie kopert mimo wszystko. Ale uznawać, że jest to obowiązek - to jestem daleki. raczej dobra praktyka, na podstawie doświadczenia. A żeby jednoznacznie się wypowiedzieć - sorry, ale analiza zagrożeń. W tym - analiza zagrożeń dla utraty poufności.
Paweł G.

Paweł G. IOD, podmiot danych

Temat: PESEL, imię i nazwisko pacjenta

Wszystkie te teoretyczne wywody są zbędne. W praktyce jesteś proszony, aby nie hamletyzować, lecz zająć jednoznaczne stanowisko:

a/ Umożliwienie dostępu innemu pacjentowi do imienia, nazwiska i Peselu zapisanego na kopercie jest naruszeniem ochrony danych, bo imię, nazwisko i Pesel są to dane osobowe;

b/ Umożliwienie dostępu innemu pacjentowi do imienia, nazwiska i Peselu zapisanego na kopercie nie jest naruszeniem ochrony danych, bo imię, nazwisko i Pesel nie są to dane osobowe.

Temat: PESEL, imię i nazwisko pacjenta

Paweł G.:
Grzegorz K.:
Szymon Sz.:

Dyskusja miała się zakończyć, a trwa w najlepsze. Co ciekawsze, o coś, co jest kamieniem węgielnym ochrony danych osobowych - o definicję "dane osobowe" i zakres podmiotowy. Jak w większości akademickich dyskusji występują dwie szkoły - otwocka i falenicka. Może zatem pora oddać głos przepisom prawa.

Na początek zakres podmiotowy:
Art. 3.
1. Ustawę stosuje się do organów państwowych, organów samorządu terytorialnego oraz do państwowych i komunalnych jednostek organizacyjnych.
2. Ustawę stosuje się również do:
1) podmiotów niepublicznych realizujących zadania publiczne,
2) osób fizycznych i osób prawnych oraz jednostek organizacyjnych niebędących osobami prawnymi, jeżeli przetwarzają dane osobowe w związku z działalnością zarobkową, zawodową lub dla realizacji celów statutowych.
- które mają siedzibę albo miejsce zamieszkania na terytorium Rzeczypospolitej Polskiej, albo w państwie trzecim, o ile przetwarzają dane osobowe przy wykorzystaniu środków technicznych znajdujących się na terytorium Rzeczypospolitej Polskiej.

Wymienione podmioty, jeśli przetwarzają dane osobowe, to mają bezwzględny obowiązek stosowania uodo. Teza, że coś może dla Kowalskiego nie być daną osobową i z tego powodu podmiot z art.3 nie musi stosować uodo jest chybiony.

Czas na krok drugi. Co to są dane osobowe.
Art. 6.
1. W rozumieniu ustawy za dane osobowe uważa się wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej.
Wszelkie, czyli takie, które podmiot z art. 3 ma u siebie lub może bez nadmiernych kosztów, czasu działań (ust.3) mieć.
Jeśli nie masz pewności czy coś jest daną osobową, to przyjmij, że jest. Ryzykujesz nałożeniem na siebie więcej pracy. Bagatelizując sprawę, możesz osobiście mieć więcej czasu na rozmyślania w odosobnieniu (art.51, 52 uodo). Wybór należy do ciebie. Jednak namawianie innych do bagatelizowania jest cokolwiek moralnie wątpliwe. W skrajnym przypadku, to namówiona osoba, będzie miała więcej czasu na rozmyślania.

2. Osobą możliwą do zidentyfikowania jest osoba, której tożsamość można określić bezpośrednio lub pośrednio, w szczególności przez powołanie się na numer identyfikacyjny albo jeden lub kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne.
Jeśli podmioty z art. 3 tożsamość osoby mogą określić bezpośrednio lub pośrednio, to posiadają dane osobowe. Ktoś może się z tym nie zgadzać. Bagatelizować sprawę - czytaj j.w.

3. Informacji nie uważa się za umożliwiającą określenie tożsamości osoby, jeżeli wymagałoby to nadmiernych kosztów, czasu lub działań.

Po wstępie czas na odpowiedź dla Joanny - krok trzeci.
Dla szpitala imię i nazwisko oraz PESEL na kopercie danymi osobowymi i obowiązują rygory uodo przy ich przetwarzaniu (wpisywanie tych danych na kopertę wyczerpuje art.7.2 uodo).
Paweł G.

Paweł G. IOD, podmiot danych

Temat: PESEL, imię i nazwisko pacjenta

Radosław Z.:
Teza, że coś może dla Kowalskiego nie być daną osobową i z tego powodu podmiot z art.3 nie musi stosować uodo, jest chybiona.
O to, to.

I jeszcze kazusik do rozwiązania:
25 maja 2018 r. do inspektora ochrony danych w przychodni wpływa skarga osoby, której dane dotyczą. Przedmiotem skargi jest umożliwienie dostępu do danych osobowych (imię, nazwisko, Pesel) osobom postronnym poprzez zapisanie tych danych na kopercie z dokumentacją medyczną i położenie tej koperty na biurku lekarza w taki sposób, że inni pacjenci z łatwością mają możliwość te dane odczytać. Inspektor ochrony danych powinien:

a/ zakwalifikować incydent jako naruszenie ochrony danych, sporządzić stosowną dokumentację (art. 33.5 Rodo) i rekomendować ADO bez zbędnej zwłoki dokonanie zgłoszenia naruszenia do organu nadzorczego (art. 33.1 Rodo);

b/ zakwalifikować incydent jako naruszenie ochrony danych, sporządzić stosowną dokumentację (art. 33.5 Rodo) i rekomendować ADO zaniechanie zgłoszenia do organu nadzorczego, uznając, iż jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych;

c/ nie podejmować żadnych działań, wyjaśniając osobie, której dane dotyczą, że dla innych pacjentów te informacje nie stanowią danych osobowych.
Ten post został edytowany przez Autora dnia 08.06.17 o godzinie 08:12
Piotr Osóbka

Piotr Osóbka Audytor, Point

Temat: PESEL, imię i nazwisko pacjenta

Joanna M.:
Witam!
Jestem Abi w szpitalu gdzie mieszczą się tam również przychodnie. Panie rejestratorki na kopertach z dokumentacją piszą imię i nazwisko oraz PESEL, (uważają ze łatwiej im znaleźć jest pacjenta). ja uważam że to niedopuszczalne i jest teraz walka. Mam tylko pytanie do doświadczonych Abi: czy mam racje nie zgadzając się na umieszczeniu dodatkowo numer PESEL przy imieniu i nazwisku na kopertach z dokumentacją?


A Joanna przeczytała wywody i nadal nic nie wie...albo jeszcze mniej niż przed zadaniem pytania.
Chyba należy się spotkać przy okienku rejestracji i dokonać ostatecznej analizy...
Panowie jesteście ekspertami /wykładowcami itp id to jest miejsce gdzie można zasięgnąć z doświadczenia. Zaśmieciliście wątek a odpowiedzi brak.
miłego dnia
Paweł G.

Paweł G. IOD, podmiot danych

Temat: PESEL, imię i nazwisko pacjenta

To bardzo źle, że uważasz, iż ta dyskusja nic nie wniosła, i że nie wpłynęła ona na stan Twojej wiedzy w zakresie ochrony danych. Autorka wątku dostała wędkę, nie rybę.

Każdy ABI samodzielnie musi ocenić, czy dane przetwarzanie, uwzględniając jego charakter, zakres, kontekst i cele, powoduje ryzyko naruszenia praw i wolności osób, których dane dotyczą. Uczestnictwo w tego typu dyskusjach ma olbrzymią wartość, bo pozwala poznać kryteria, jakie powinny być brane pod uwagę.
Grzegorz Krzemiński

Grzegorz Krzemiński 600+ projektów w
bezpieczeństwie |
Trener | RODO | HSSE
|...

Temat: PESEL, imię i nazwisko pacjenta

Jak tak lubicie casusiki.

Jestem tzw gaciowym w formacji mundurowej. Mam zakupić 2 komplety umundurowania:
1. Janek Kowalski, rozmiar buta 45 (a tak specjalnie), mundur na 210 cm
2. Franek Nowak, rozmiar buta 43, mundur na 175 cm.

Bezspornie (jak to lubicie używać takich określeń) są to dane osobowe, bo dotyczą zidentyfikowanej osoby oraz jej cech fizycznych.

Jadę do sklepu mundurowego i kupuję na fakturę. Sklep mundurowy wysyła zlecenie z danymi osobowymi moich funkcjonariuszy do producenta obuwia i szwalni. Przekazują nadal dane osobowe dalej.

Podobnie z danymi o:
dzieciach - jak zamawiam paczki na święta. Dane córki pani Jadzi z kadr - to też dane osobowe dotyczące pani Jadzi (że ma dziecko, córkę, 7 lat). Zamówiłem paczki...

Proponuję w formie testu i zabawy rozejrzeć się dookoła i zobaczyć jak wiele identyfikatorów, jak wiele elementów stanowiących dla ADO po prostu sobie "lata". Formalne - każde z nich powinno być zabezpieczone, bo to dane osobowe dla ADO.

Tylko jedno pytanie na koniec. PRZED czym chcecie zabezpieczać? Bo ja już napisałem...

Temat: PESEL, imię i nazwisko pacjenta

Piotr O.:
Panowie jesteście ekspertami /wykładowcami itp id to jest miejsce gdzie można zasięgnąć z doświadczenia. Zaśmieciliście wątek a odpowiedzi brak.
Polec się uważniej czytać wpisy. Choćby ostatni akapit dzisiejszego z 7:45.
Grzegorz Krzemiński

Grzegorz Krzemiński 600+ projektów w
bezpieczeństwie |
Trener | RODO | HSSE
|...

Temat: PESEL, imię i nazwisko pacjenta

Piotr O.:
Joanna M.:
Witam!
Jestem Abi w szpitalu gdzie mieszczą się tam również przychodnie. Panie rejestratorki na kopertach z dokumentacją piszą imię i nazwisko oraz PESEL, (uważają ze łatwiej im znaleźć jest pacjenta). ja uważam że to niedopuszczalne i jest teraz walka. Mam tylko pytanie do doświadczonych Abi: czy mam racje nie zgadzając się na umieszczeniu dodatkowo numer PESEL przy imieniu i nazwisku na kopertach z dokumentacją?


A Joanna przeczytała wywody i nadal nic nie wie...albo jeszcze mniej niż przed zadaniem pytania.
Chyba należy się spotkać przy okienku rejestracji i dokonać ostatecznej analizy...
Panowie jesteście ekspertami /wykładowcami itp id to jest miejsce gdzie można zasięgnąć z doświadczenia. Zaśmieciliście wątek a odpowiedzi brak.
miłego dnia

Witamy kolegę i dziękujemy za kolejną ocenę. Bardzo nam miło, że kolega przejrzał cały wątek, bardzo mi przykro że nie zauważył rozwiązań, czy też podpowiedzi.

Otóż w skrócie, bo po to jesteśmy żeby pomagać.Co zostało ustalone w wątku:
1. Niezależnie od stron, posiadających odmienne zdanie na temat punktu widzenia co do danych osobowych i celu ich zabezpieczenia, ustalono, że pozostawione koperty na biurku, zawierające dane medyczne, z naniesionym PESEL i imieniem i nazwiskiem raczej nie są właściwie zabezpieczone. Tu się zaczyna różnica:
- opcja nr 1 uważa, że nie są to dane umożliwiające zidentyfikowanie osoby, bez dostępu do pozostałych elementów systemu, niemniej zabezpieczenie w formie organizacyjnej (nieudzielony dostęp pacjentom i krwiożerczym handlowcom) oraz mizernego zabezpieczenia technicznego (w postaci li tylko papieru) jest zbyt poważnym zagrożeniem, w stosunku do prostych rozwiązań technicznych w postaci zamknięcia kopert w szufladzie.
- opcja nr 2 uważa, że są to dane osobowe, w związku z czym należy zabezpieczyć je (zdaje się też w szufladzie zamykanej).

A więc niezależnie od opcji porada została już udzielona. A więc niezależnie czy numer pesel i imię i nazwisko uznamy za naruszenie bezpieczeństwa czy nie, za dane osobowe czy nie - warto je zamknąć.

I również niezależnie od opcji - dla kogo są to dane osobowe i czy można przyjmować dwa różne stanowiska (punkt widzenia lekarza i pacjenta) rozwiązanie to wyczerpuje - czy to dobre praktyki i chroni przed zagrożeniem odpowiedzialności za nieumyślne niezabezpieczenie (np .poprzez uznanie sądu, że jednak koperta to za mało), czy to uznanie, że jednak są to dane które należy chronić - rozwiązanie to wyczerpuje oba przypadki. Mało tego - również nie przeciwstawia się nanoszeniu nr PESEL i imienia i nazwiska na koperty, bo jeśli nie są to informacje godzące w poufność, a jednak zabezpieczone (szuflada i odpowiedni transport) lub jeśli są to jednak dane osobowe (tu też zabezpieczenie i szuflada i transport) to w jednym i drugim przypadku nie ma przeciwwskazań dla stosowania tego zestawu danych.

Od siebie - proponowałbym zapisać sobie tą dyskusję z powodu, jaki często umyka wielu ABI, wielu konsultantom i o zgrozo - również audytorom. Otóż w całej dyskusji znalezione zostało rozwiązanie, które niezależnie od opcji i poglądów wyczerpuje potrzeby obu stron adwersarzy. takie rozwiązania stosują często doświadczeni specjaliści, w celu rozwiązania problemu, a nie wygrania dyskusji (o erystyce już było).

Innymi słowy, jeśli spojrzymy na dyskusję, zobaczymy rozwiązanie satysfakcjonujące, co nie zawsze udaje się uzyskać.

Dodam od siebie. Z racji tego, że wiele moich wypowiedzi jest spłaszczanych a potem nagle słyszę, że ktos mi coś udowodnił (vide IKEA) staram się nie dopuszczać do dalszych tego typu sytuacji.
Piotr Osóbka

Piotr Osóbka Audytor, Point

Temat: PESEL, imię i nazwisko pacjenta

Radosław Z.:
Piotr O.:
Panowie jesteście ekspertami /wykładowcami itp id to jest miejsce gdzie można zasięgnąć z doświadczenia. Zaśmieciliście wątek a odpowiedzi brak.
Polec się uważniej czytać wpisy. Choćby ostatni akapit dzisiejszego z 7:45.

Polecam się...
Piotr Osóbka

Piotr Osóbka Audytor, Point

Temat: PESEL, imię i nazwisko pacjenta

Grzegorz K.:
Piotr O.:
Joanna M.:
Witam!
Jestem Abi w szpitalu gdzie mieszczą się tam również przychodnie. Panie rejestratorki na kopertach z dokumentacją piszą imię i nazwisko oraz PESEL, (uważają ze łatwiej im znaleźć jest pacjenta). ja uważam że to niedopuszczalne i jest teraz walka. Mam tylko pytanie do doświadczonych Abi: czy mam racje nie zgadzając się na umieszczeniu dodatkowo numer PESEL przy imieniu i nazwisku na kopertach z dokumentacją?


A Joanna przeczytała wywody i nadal nic nie wie...albo jeszcze mniej niż przed zadaniem pytania.
Chyba należy się spotkać przy okienku rejestracji i dokonać ostatecznej analizy...
Panowie jesteście ekspertami /wykładowcami itp id to jest miejsce gdzie można zasięgnąć z doświadczenia. Zaśmieciliście wątek a odpowiedzi brak.
miłego dnia

Witamy kolegę i dziękujemy za kolejną ocenę. Bardzo nam miło, że kolega przejrzał cały wątek, bardzo mi przykro że nie zauważył rozwiązań, czy też podpowiedzi.

Otóż w skrócie, bo po to jesteśmy żeby pomagać.Co zostało ustalone w wątku:
1. Niezależnie od stron, posiadających odmienne zdanie na temat punktu widzenia co do danych osobowych i celu ich zabezpieczenia, ustalono, że pozostawione koperty na biurku, zawierające dane medyczne, z naniesionym PESEL i imieniem i nazwiskiem raczej nie są właściwie zabezpieczone. Tu się zaczyna różnica:
- opcja nr 1 uważa, że nie są to dane umożliwiające zidentyfikowanie osoby, bez dostępu do pozostałych elementów systemu, niemniej zabezpieczenie w formie organizacyjnej (nieudzielony dostęp pacjentom i krwiożerczym handlowcom) oraz mizernego zabezpieczenia technicznego (w postaci li tylko papieru) jest zbyt poważnym zagrożeniem, w stosunku do prostych rozwiązań technicznych w postaci zamknięcia kopert w szufladzie.
- opcja nr 2 uważa, że są to dane osobowe, w związku z czym należy zabezpieczyć je (zdaje się też w szufladzie zamykanej).

A więc niezależnie od opcji porada została już udzielona. A więc niezależnie czy numer pesel i imię i nazwisko uznamy za naruszenie bezpieczeństwa czy nie, za dane osobowe czy nie - warto je zamknąć.

I również niezależnie od opcji - dla kogo są to dane osobowe i czy można przyjmować dwa różne stanowiska (punkt widzenia lekarza i pacjenta) rozwiązanie to wyczerpuje - czy to dobre praktyki i chroni przed zagrożeniem odpowiedzialności za nieumyślne niezabezpieczenie (np .poprzez uznanie sądu, że jednak koperta to za mało), czy to uznanie, że jednak są to dane które należy chronić - rozwiązanie to wyczerpuje oba przypadki. Mało tego - również nie przeciwstawia się nanoszeniu nr PESEL i imienia i nazwiska na koperty, bo jeśli nie są to informacje godzące w poufność, a jednak zabezpieczone (szuflada i odpowiedni transport) lub jeśli są to jednak dane osobowe (tu też zabezpieczenie i szuflada i transport) to w jednym i drugim przypadku nie ma przeciwwskazań dla stosowania tego zestawu danych.

Od siebie - proponowałbym zapisać sobie tą dyskusję z powodu, jaki często umyka wielu ABI, wielu konsultantom i o zgrozo - również audytorom. Otóż w całej dyskusji znalezione zostało rozwiązanie, które niezależnie od opcji i poglądów wyczerpuje potrzeby obu stron adwersarzy. takie rozwiązania stosują często doświadczeni specjaliści, w celu rozwiązania problemu, a nie wygrania dyskusji (o erystyce już było).

Innymi słowy, jeśli spojrzymy na dyskusję, zobaczymy rozwiązanie satysfakcjonujące, co nie zawsze udaje się uzyskać.

Dodam od siebie. Z racji tego, że wiele moich wypowiedzi jest spłaszczanych a potem nagle słyszę, że ktos mi coś udowodnił (vide IKEA) staram się nie dopuszczać do dalszych tego typu sytuacji.


Dyskusja ciekawa!
Co do spłaszczania wypowiedzi....cóż chyba nie będziesz na siłę zdejmował komuś klapek z oczu?
Paweł G.

Paweł G. IOD, podmiot danych

Temat: PESEL, imię i nazwisko pacjenta

Rekapitulując, dyskusja pokazała, jak bardzo potrzebny jest ABI w organizacji.

Specjaliści od zarządzania ciągłością działania mają stałą tendencję do bagatelizowania ochrony prywatności i upraszczania związanych z tym problemów. Ich pierwszą reakcją jest zazwyczaj sarkastyczne:
-Jakie ryzyko jest ze spojrzenia na kopertę?
czy kategoryczne:
-To nie dane osobowe!
lub lekceważące (i fałszywe):
-Przecież [i tak] każda osoba z placówki ma dostęp i prawo do przetwarzania.

I nawet gdy konstrukcja psychiczna specjalisty nie pozwoli nigdy na przyznanie się, że pod wpływem argumentów administratora bezpieczeństwa informacji jego początkowe opinie wyewoluowały do poziomu możliwego do zaakceptowania, osiągamy pożądany efekt.
Nawet gdy specjalista nadal nie będzie do końca przekonany, że są to dane osobowe, w miarę upływu dyskusji zakłada już jednak, że w praktyce organ nadzorczy może podzielić zdanie ABI, nie jego, i że wszystkiego jednak zrobić z tymi danymi nie można (np. wywiesić na przystanku) oraz że na wszelki wypadek lepiej te dane chronić. W rezultacie de facto da się osiągnąć praktyczny poziom ochrony tych danych zgodny z przepisami i możliwy do zaakceptowania przez ABI, przy czym propozycję zasad tej ochrony formułuje ten sam specjalista, który początkowo nie widział tu żadnego ryzyka ;)

I jeszcze jedno, drodzy przyszli inspektorzy ochrony danych - ufajcie tylko sobie i swojej znajomości przepisów! To do was ostatecznie wpłynie skarga osoby, której dane dotyczą i to wy ostatecznie - w samotności - usiądziecie nad kartką opatrzoną magicznym tytułem "Zgłoszenie naruszenia ochrony danych". I to do was ostatecznie administrator danych będzie miał pretensje, gdy organ nadzorczy podważy waszą ocenę sytuacji. Specjaliści, ochoczy doradcy pochowają się wtedy po kątach, żaden nie powie: -To ja źle doradziłem, biorę całą winę na siebie.
Szymon S.

Szymon S. IOD / IBTI

Temat: PESEL, imię i nazwisko pacjenta

Nie wiem dlaczego cały czas w naszej dyskusji pomijamy: "Informacji nie uważa się za umożliwiającą określenie tożsamości osoby, jeżeli wymagałoby to nadmiernych kosztów, czasu lub działań". Dla jednostki leczniczej nie wymaga to niczego poza zajrzeniem do kartoteki lub aplikacji, ale dla innego pacjenta zdecydowanie wymaga to nadmiernych wysiłków.

Co do samej celowości naszej dyskusji... to jest to co rozwija każdego człowieka. Inny pogląd na sprawę jest zawsze cenny.Ten post został edytowany przez Autora dnia 09.06.17 o godzinie 09:06

Następna dyskusja:

Imię+nazwisko+pesel+zarobek




Wyślij zaproszenie do