Temat: PESEL, imię i nazwisko pacjenta

Szymon, ja mam kolejne casusiki dla wielbicieli casusików.

Policja - zatrzymała gościa w charakterze podejrzanego. Imię i pierwsza litera jest znów - BEZSPORNIE daną osobową dla ADO - czyli dla Policji. Niemniej w komunikacie prasowym ujawnia ową daną osobową całemu światu (jak media elektroniczne) lub w Polsce (jak tradycyjne).

To samo robi prokuratura po skierowaniu aktu oskarżenia, czy sąd - po wyroku.

Przypomnę tylko, że w tym przypadku jest to świetnie pasujący casusik, bo istnieje procedura ujawnienia danych osobowych w każdej fazie zarówno postępowania przygotowawczego jak i sądowego. Ale imię i pierwsza litera nie są udostępniane w trybie tych regulacji, tylko ot tak po prostu.

Temat: PESEL, imię i nazwisko pacjenta

Piotr O.:

Dyskusja ciekawa!
Co do spłaszczania wypowiedzi....cóż chyba nie będziesz na siłę zdejmował komuś klapek z oczu?

Chyba muszę jak widzisz... ;-) Cóż...

Bo forum czytają też inni i wyrabiają sobie własne zdanie. Z wyjątkiem tych, którym zdanie jest przekazywane - z zakłamanym wprost przekazem. Co mam wrażenie, też jest gdzieś penalizowane... ;-)

Temat: PESEL, imię i nazwisko pacjenta

Paweł G.:
Rekapitulując, dyskusja pokazała, jak bardzo potrzebny jest ABI w organizacji.

Specjaliści od zarządzania ciągłością działania mają stałą tendencję do bagatelizowania ochrony prywatności i upraszczania związanych z tym problemów. Ich pierwszą reakcją jest zazwyczaj sarkastyczne:
-Jakie ryzyko jest ze spojrzenia na kopertę?
czy kategoryczne:
-To nie dane osobowe!
lub lekceważące (i fałszywe):
-Przecież [i tak] każda osoba z placówki ma dostęp i prawo do przetwarzania.

Spróbuję ci odpowiedzieć, bo jak widzę dalej mylisz pojęcia. Być może to jest problemem zrozumienia ludzi od ryzyka i ciągłości działania.

Otóż po raz kolejny przypominam - nie dotknęliśmy nawet ryzyka. Cały czas dyskutujemy o ZAGROŻENIU. Ryzyko jest wypadkową skutku i prawdopodobieństwa.

Jest jeszcze jedna kluczowa kwestia - otóż zagrożenie się analizuje, a ryzyko szacuje.

Ogólnie poniżej wyjaśnienie dlaczego należy to rozróżniać. W punktach:
1. Różnica między zagrożenie a ryzykiem i co w nich. I jaki fundamentalny błąd popełniają ABI skupiający się li tylko na ustawie, straszący odpowiedzialnością karną (łącznie).
2. Dlaczego we wszystkich ustawach "bezpiecznikowskich" mówi się o zagrożeniach, a nie ryzyku (a jeśli ryzyku to błędnie).
3. Jakie są implikacje dla niniejszej dyskusji.

Teraz jaki błąd robią ABI w zakresie oceny zagrożenia karą. Błędów jest klika. Zacznę od fundamentalnego.

ABI wykonuje zadania na rzecz ADO. ADO jak wiemy jest organizacją, podmiotem - w skrajnych przypadkach osobą. W tym przypadku ADO jest przychodnią. Natomiast odpowiedzialność za czyn niedozwolony (niezależnie który) jest przypisana OSOBIE. Innymi słowy, w tym konkretnym przypadku fundamentalny błąd polega na tym, że ADO jest tym, który zatrudnia ABI, a w dyskusji ciągle przewija się osoba kierująca (ten, co odpowiada). To tak pod rozwagę, ale ten wstęp jest ważny z zupełnie innego powodu. Opiszę go szczegółowo w pkt 1, 2 oraz 3.

1. Różnica między zagrożeniem a ryzykiem jest taka, że zagrożenie to coś, co nam zniszczy, uszkodzi, czy cokolwiek zrobi z danym zasobem. Katalog podstawowych zagrożeń omawialiśmy nie raz - art 36.

W tej dyskusji mówimy o zagrożeniu dla poufności danych osobowych. Poufność ma być utracona w wyniku zamieszczenia imienia, nazwiska i PESEL na kopercie. Większość osób patrzących przez pryzmat zagrożenia mówi że go nie ma, bo zidentyfikowanie osoby wymaga nadmiernych kosztów lub działań co do zasady bezprawnych (otwarcie koperty nie przeznaczonej), które musiałaby podjąć osoba, której zestaw jest udostępniony (nawet nieumyślnie).

O tym czy dane są ujawniane - poczekam na odpowiedź w casusikach - policyjnym i mundurowym.

Natomiast ryzyko - to to co może się wydarzyć w wyniku owego zniszczenia poufności. I tu jest kolejny błąd ABI - bo uważają, że sprawa karna to jest ryzyko. BŁĄD. To nawet nie jest materializacja zagrożenia, bo materializacją zagrożenia będzie wyrok sądu. I dopiero od wyroku skazującego można dalej szacować ryzyko dla organizacji, w kategoriach skutków prawnym, operacyjnym, finansowym etc.

Po drodze mamy jeszcze jedno zdarzenie szczytowe (top event) w analizie BOW-TIE. Wejście GIODO i stwierdzenie że dane są przetwarzane z naruszeniem ustawy. Niemniej tutaj w kategorii ryzyka, jeśli chcielibyśmy je jakkolwiek oceniać, zgodnie z art 18 nie występuje bezpośrednie ryzyko dla ciągłości organizacji.

I to tyle co do podstaw, wydawało mi się, zę ABI powinni choć trochę orientować się w różnicach, dlatego, że koniec pracy ABI w zakresie oceny zagrożeń i podjęcia działań - to początek pracy risk managerów czy innych ludzi, którzy robią ryzyko dla organizacji.

Jak ważnej pracy - za chwilę, bo to, że robią coś na ściśle zakreślonym obszarze nie znaczy, że ta praca nie jest ważna. Natomiast nie każdy musi byc managerem i nie każdy będzie organizacją kierował.

2. Bardzo ważna kwestia, która mnie osobiście śmieszy, jak ktoś mi próbuje przypisać działanie i myślenie, bez względu na obszar podstawowych dóbr i swobód. Ale o erystyce już pisałem.

Otóż dlaczego ustawy bezpiecznikowskie:
1. Mówią o zagrożeniach
2. Nie mówią o ryzyku

Ad 1 - bo odnoszą się do dóbr i swobód gwarantowanych konstytucyjnie. Innymi słowy - NIE DOPUSZCZAJĄ w założeniu materializacji zagrożenia, skutkującego naruszeniem tych dóbr. Po polsku - nie dopuszczają przetwarzania danych bez podstaw (i w sposób nie określony ustawą). Nie dopuszczają pozbawienia wolności bez podstaw (i w sposób nie określony ustawą). Nie dopuszczają do utraty zdrowia lub życia (kodeks pracy i BHP, ustawa o ochronie ppoż, ATEX i wiele innych regulacji) W założeniu jest bowiem pełna ochrona podstawowych dóbr i swobód.

To też powód dla którego nie ma w ogóle mowy o ryzyku (jako skutkach szacowanych), bo nie wolno dopuścić co do zasady do naruszenia. Ale nie hipotetycznego i wydumanego tylko realnego. Dlatego w całym tym wątku jest mowa o utracie poufności. Czyli realnym naruszeniu dóbr osobistych. A nie dywagacjach na poziomie organizacyjnym i definicyjnym.

Ad 2 - w związku z ad 1 chyba oczywiste. Natomiast rozwinięcie jest takie, że regulacje prawne nie mogą wkraczać w więcej niż tylko niezbędne do zapewnienia tego, co chronione Konstytucją. Szacowanie i ocena ryzyka - to domena świadomych organizacji (formalna) lub mniej świadomych i dojrzałych (nieformalna).

3. Implikacje dla dyskusji. Są naprawdę proste. Pkt 2 - UODO wprowadza regulacje chroniące poufność danych osobowych, ich integralność i rozliczalność. I znając ten cel należy oceniać wszystko co związane z ochroną danych osobowych. Związane jest to z pkt 2 - państwo nie może tworzyć regulacji wykraczających poza "to co potrzebne". Czyli regulacja nie może wkraczać w obszar funkcjonalności firmy (organizacji), ot tak sobie.

Z tego powodu, moje stanowisko jest jakie jest. Dla mnie nie zachodzi obawa naruszenia dobra jakim jest prawo do prywatności i ochrony informacji, bo imię i nazwisko + PESEL to za mało do tego, dla zwykłego obywatela.

Uznanie odrębnego stanowiska, prezentowanego przez moich adwersarzy oznacza, że przepis prawa wkraczać będzie już w obszary funkcjonalne organizacji (czyli bo to dla mnie są dane, więc już muszę), bez właściwego uzasadnienia (czyli nie służą ochronie informacji o osobie - art 51.1 Konstytucji - podstawy UODO).

Z tego też powodu wcześniej proponowałem zrozumieć Konstytucję oraz Dyrektywę. Oraz w niedługim czasie RODO/GDPR.

Temat: PESEL, imię i nazwisko pacjenta

Grzegorz K.:
Szymon, ja mam kolejne casusiki dla wielbicieli casusików.

Policja - zatrzymała gościa w charakterze podejrzanego. Imię i pierwsza litera jest znów - BEZSPORNIE daną osobową dla ADO - czyli dla Policji. Niemniej w komunikacie prasowym ujawnia ową daną osobową całemu światu (jak media elektroniczne) lub w Polsce (jak tradycyjne).

To samo robi prokuratura po skierowaniu aktu oskarżenia, czy sąd - po wyroku.

Przypomnę tylko, że w tym przypadku jest to świetnie pasujący casusik, bo istnieje procedura ujawnienia danych osobowych w każdej fazie zarówno postępowania przygotowawczego jak i sądowego. Ale imię i pierwsza litera nie są udostępniane w trybie tych regulacji, tylko ot tak po prostu.

czy ten casusik miał pokazać to o czym była mowa wcześniej czyli niejednoznaczność uznania czegoś za dane osobowe z punktu widzenia osoby, która dokonuje oceny (np. ADO a osoba trzecia odbiorca komunikatu prasowego itp.)?

a jeśli tak to mój casusik jako dodatek do zacytowoanego (żeby jeszcze zamotać):
czy w tym komunikacie prasowym Policja ujawniła światu dane osobowe podejrzanego, czy może dokonała anonimizacji lub pseudoanonimizacji danych osobowych i dopiero wypuściłą je w komunikacie?

Jak było wcześniej zaznaczane przez osoby w wątku w kontekście d.o. czym innym jest jak mamy pewność że ten gość to ten, a co innego jak możemy podejrzewać/domniemywać na podstawie wybranych dostępnych nam informacji np. określenie podejrzany Tomasz F. został zatrzymany ...

Temat: PESEL, imię i nazwisko pacjenta

Grzegorz K.:
Z tego też powodu wcześniej proponowałem zrozumieć Konstytucję oraz Dyrektywę. Oraz w niedługim czasie RODO/GDPR.

Zostałeś poproszony nie o protekcjonalne wywody teoretyczne, które totalnie nic tu nie wnoszą. Zostałeś poproszony o rozwiązanie drobnego problemu praktycznego:

25 maja 2018 r. do inspektora ochrony danych w przychodni wpływa skarga osoby, której dane dotyczą. Przedmiotem skargi jest umożliwienie dostępu do danych osobowych (imię, nazwisko, Pesel) osobom postronnym poprzez zapisanie tych danych na kopercie z dokumentacją medyczną i położenie tej koperty na biurku lekarza w taki sposób, że inni pacjenci z łatwością mają możliwość te dane odczytać. Inspektor ochrony danych powinien:

a/ zakwalifikować incydent jako naruszenie ochrony danych, sporządzić stosowną dokumentację (art. 33.5 Rodo) i rekomendować ADO bez zbędnej zwłoki dokonanie zgłoszenia naruszenia do organu nadzorczego (art. 33.1 Rodo);
b/ zakwalifikować incydent jako naruszenie ochrony danych, sporządzić stosowną dokumentację (art. 33.5 Rodo) i rekomendować ADO zaniechanie zgłoszenia do organu nadzorczego, uznając, iż jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych;
c/ nie podejmować żadnych działań, wyjaśniając osobie, której dane dotyczą, że dla innych pacjentów te informacje nie stanowią danych osobowych.

Drobny problem praktyczny - czy jego rozwiązanie przekracza twoje możliwości?

Temat: PESEL, imię i nazwisko pacjenta

Paweł G.:

Grzegorz K.:
Z tego też powodu wcześniej proponowałem zrozumieć Konstytucję oraz Dyrektywę. Oraz w niedługim czasie RODO/GDPR.

Zostałeś poproszony nie o protekcjonalne wywody teoretyczne, które totalnie nic tu nie wnoszą. Zostałeś poproszony o rozwiązanie drobnego problemu praktycznego:

Jaaaa??? O to zostałem poproszony??

A kiedy i przez kogo?

I nie drobnego w tym nie ma.

To odróżnia jak to kiedyś napisałeś - rasowego ABI od miernego ABI, który tylko czyta i straszy ludzi odpowiedzialnością.

I to nie są protekcjonalne wywody, tylko wskazanie, jak rozumieć przepisy ustaw. Nie są zawieszone w próżni. realizują Konstytucję. I tak je należy rozumieć. I w jej kontekście je tłumaczyć. A nie jak oddzielne byty.

Reszta poniżej krytyki. Do czego już jestem przyzwyczajony... ERYSTYKA wciąż. Wygrać dyskusję, a nie rozwiązać problem.

Temat: PESEL, imię i nazwisko pacjenta

Znów ogólniki. Jasnego stanowiska w sprawie konkretnego problemu praktycznego brak.

Temat: PESEL, imię i nazwisko pacjenta

Tomasz F.:

czy ten casusik miał pokazać to o czym była mowa wcześniej czyli niejednoznaczność uznania czegoś za dane osobowe z punktu widzenia osoby, która dokonuje oceny (np. ADO a osoba trzecia odbiorca komunikatu prasowego itp.)?

Prawie to miał pokazać. Natomiast najważniejsze jest to, że na przepisy ODO należy patrzeć tak, jaka jest ich idea i cel wydania. A nie tylko suchy zapis prawny, który można interpretować różnie.

a jeśli tak to mój casusik jako dodatek do zacytowoanego (żeby jeszcze zamotać):
czy w tym komunikacie prasowym Policja ujawniła światu dane osobowe podejrzanego, czy może dokonała anonimizacji lub pseudoanonimizacji danych osobowych i dopiero wypuściłą je w komunikacie?

A tu natykamy się na problem. Bo anonimizacja to coś nieodwracalnego. Przynajmniej co do zasady. Z technik anonimizacji - pasowałoby uogólnianie, ale niekoniecznie. Natomiast w świetle obecnych przepisów pseudonimizacja nie wchodzi w grę, bo mowa w nim jest o zamianie atrybutu. A tu nie ma.

Jak było wcześniej zaznaczane przez osoby w wątku w kontekście d.o. czym innym jest jak mamy pewność że ten gość to ten, a co innego jak możemy podejrzewać/domniemywać na podstawie wybranych dostępnych nam informacji np. określenie podejrzany Tomasz F. został zatrzymany ...

No to jest jedna z grup czynników ryzyka związanych z anonimizacją - czyli wnioskowanie. ;-)

Ja osobiście czekam na rozwiązanie casusików co do udostepnienia danych przez ADO - już mam kolejną listę 15 identyfikatorów, na co dzień stosowanych samodzielnie. Zgodnie z podejściem od ADO - są to dane osobowe, więc po rozwiązaniu obecnych będą kolejne.

Temat: PESEL, imię i nazwisko pacjenta

Paweł G.:
Znów ogólniki. Jasnego stanowiska w sprawie konkretnego problemu praktycznego brak.

No dobra. To masz konkret. Dziś jest 9 czerwca 2017 roku. Na dziś wywody jak wyżej wyczerpały w pełni odpowiedź na zadane pytanie.

25 maja, a dokładnie pewnie 26 maja 2018 zacznę się zastanawiać jak odpowiedzieć na pytanie jakie wpłynęło 25 maja 2018.

Temat: PESEL, imię i nazwisko pacjenta

Grzegorz K.:
25 maja, a dokładnie pewnie 26 maja 2018 zacznę się zastanawiać jak odpowiedzieć na pytanie jakie wpłynęło 25 maja 2018.

Unik.

Temat: PESEL, imię i nazwisko pacjenta

Grzegorz K.:
Szymon, ja mam kolejne casusiki dla wielbicieli casusików.

Policja - zatrzymała gościa w charakterze podejrzanego. Imię i pierwsza litera jest znów - BEZSPORNIE daną osobową dla ADO - czyli dla Policji. Niemniej w komunikacie prasowym ujawnia ową daną osobową całemu światu (jak media elektroniczne) lub w Polsce (jak tradycyjne).

To samo robi prokuratura po skierowaniu aktu oskarżenia, czy sąd - po wyroku.

Przypomnę tylko, że w tym przypadku jest to świetnie pasujący casusik, bo istnieje procedura ujawnienia danych osobowych w każdej fazie zarówno postępowania przygotowawczego jak i sądowego. Ale imię i pierwsza litera nie są udostępniane w trybie tych regulacji, tylko ot tak po prostu.

W obecnym stanie prawnym brak regulacji nakazującej publikowanie danych podejrzanych i oskarżonych przez podanie imienia i pierwszej litery nazwiska. Zostało to dość szczegółowo już wyjaśnione w odpowiedzi sekretarza stanu MS w odpowiedzi na jedną z interpelacji poselskich:

Problematyka dotycząca publikacji w środkach masowego przekazu danych osobowych i wizerunku osób, przeciwko którym toczy się postępowanie przygotowawcze lub sądowe, została uregulowana w art. 13 ustawy z dnia 26 stycznia 1984 r. Prawo prasowe (Dz. U. Nr 5, poz. 24, z późn. zm.). Zgodnie z ust. 2 tego artykułu nie wolno publikować w prasie danych osobowych i wizerunku osób, przeciwko którym toczy się postępowanie przygotowawcze lub sądowe, jak również danych osobowych i wizerunku świadków, pokrzywdzonych i poszkodowanych, chyba że osoby te wyrażą na to zgodę. Wyjątek od tej zasady przewidziano w ust. 3, który stanowi, że właściwy prokurator lub sąd może zezwolić, ze względu na ważny interes społeczny, na publikację tych danych.

Zauważyć należy, iż ratio legis przepisu art. 13 ust. 2 Prawa prasowego stanowi dążenie do ochrony dóbr osobistych osób w nim wymienionych. W odniesieniu do osób, przeciwko którym toczy się postępowanie przygotowawcze lub sądowe, jest to wyrazem poszanowania zasady domniemania niewinności wyrażonej w art. 42 ust. 3 Konstytucji RP.

W praktyce przyjęło się, że zadośćuczynienie wymienionemu obowiązkowi następuje w drodze anonimizacji w publikacji prasowej osoby stojącej pod zarzutem popełnienia przestępstwa polegającej na podawaniu jej pełnego imienia oraz pierwszej litery jej nazwiska.

Choć art. 13 ust. 2 Prawa prasowego stanowi samodzielną podstawę dla ochrony danych osobowych wskazanych w nim osób, to posiłkowo uzasadnione w tym zakresie jest stosowanie art. 6 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926, z późn. zm.), który za dane osobowe uważa wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej (zob. wyrok Sądu Najwyższego z dnia 18 marca 2008 r., IV CSK 474/07). W tym znaczeniu przez dane osobowe, o których mowa w art. 13 ust. 2 Prawa prasowego, należy rozumieć wszelkie informacje pozwalające na identyfikację osoby chronionej. Należą do nich nie tylko informacje o jej imieniu i nazwisku, dacie i miejscu urodzenia, miejscu zamieszkania, lecz także inne informacje dotyczące np. stosunków rodzinnych, wykonywanego zawodu czy miejsca pracy, które umożliwiają identyfikację osoby w danym środowisku. W orzecznictwie Sądu Najwyższego wyrażany jest pogląd o zakazie publikacji tak rozumianych danych osobowych osób, przeciwko którym toczy się postępowanie sądowe (zob. wyrok. Sądu Najwyższego z dnia 6 czerwca 2003 r., IV CKN 191/01).

Temat: PESEL, imię i nazwisko pacjenta

Czyli jednak przyjęta zostaje teza o tym, że mimo, że są to dane osobowe dla prowadzących postępowanie (w przypadku tego wątku - dane pacjentów), to jednak dla oceny, czy jest to OK przyjmuje się możliwość identyfikacji jako przesłankę zaistnienia danych osobowych, dla której jako mechanizm stosuje się anonimizację, która ma na celu pozbawienie cech identyfikujących osobę przez czytelnika (czyli tutaj - cech identyfikujących przez innych pacjentów i krwiożerczych przedstawicieli).

Czyli jakby podobnie?

Grzegorz K.:

I dlaczego trzeba to rozpatrywać z dwóch stron:
1. Przychodni i lekarza - dla którego są to dane osobowe
2. Pacjenta - dla które nie są to dane osobowe

Ad 1 - ma podjąć działania zmierzające do tego, aby dane osobowe nie utraciły swoich atrybutów. WSZYSTKICH. W tym poufności.
Ad 2 - ocena z punktu widzenia pacjenta pomaga ocenić, opierając się na definicji danych osobowych (tej - o możliwości identyfikacji) czy narażam dane na zagrożenie utraty poufności. Jeśli da pacjenta czy kogokolwiek nie będą to dane, albo dokładnie - aby zidentyfikować osobę po PESEL - musi mieć dostęp do innych (patrz wyżej parafraza GIODO i IP), oznaczało by to działanie niezgodne z prawem (otworzy kopertę albo zaloguje się do kompa, bo ktoś hasło zostawił). Dlatego, że wejście w posiadanie dodatkowych danych identyfikujących nie jest PRZEWIDZIANE dla pacjenta czy krwiożerczego handlowca.Ten post został edytowany przez Autora dnia 11.06.17 o godzinie 10:22

Temat: PESEL, imię i nazwisko pacjenta

Grzegorz K.:
Czyli jakby podobnie?

Zauważmy, że do działalności prasowej co do zasady nie stosuje się ustawy o ochronie danych osobowych, Kpk w praktyce też się przyjmuje, że określa odrębny tryb postępowania z informacjami zawartymi w aktach sprawy. Ustawa jest równa ustawie.

Kiedy Rodo zacznie być stosowane, wiele tutaj zmieni - jako akt prawny wyższego rzędu.

Temat: PESEL, imię i nazwisko pacjenta

Paweł G.:

Grzegorz K.:
Czyli jakby podobnie?

Zauważmy, że do działalności prasowej co do zasady nie stosuje się ustawy o ochronie danych osobowych, Kpk w praktyce też się przyjmuje, że określa odrębny tryb postępowania z informacjami zawartymi w aktach sprawy. Ustawa jest równa ustawie.

Wyraźnie napisane:
"Choć art. 13 ust. 2 Prawa prasowego stanowi samodzielną podstawę dla ochrony danych osobowych wskazanych w nim osób, to posiłkowo uzasadnione w tym zakresie jest stosowanie art. 6 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926, z późn. zm.), który za dane osobowe uważa wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej (zob. wyrok Sądu Najwyższego z dnia 18 marca 2008 r., IV CSK 474/07). W tym znaczeniu przez dane osobowe, o których mowa w art. 13 ust. 2 Prawa prasowego, należy rozumieć wszelkie informacje pozwalające na identyfikację osoby chronionej. "

Kiedy Rodo zacznie być stosowane, wiele tutaj zmieni - jako akt prawny wyższego rzędu.

A sorry, ale co mnie to obchodzi w dniu 12/06/2017?

Art. 1. § 1. Odpowiedzialności karnej podlega ten tylko, kto popełnia czyn zabroniony pod groźbą kary przez ustawę obowiązującą w czasie jego popełnienia.

Idźmy dalej. Już pisałem w tym wątku ale mogło umknąć w formach erystycznych i wycieczkach osobistych. Otóż reguła kolizyjna, brzmiąca "przepis szczególny wyłącza stosowanie przepisu ogólnego" odnosi się TYLKO I WYŁĄCZNIE do zapisów precyzujących reguły ogólne, a nie do wszystkiego. Innymi słowy KPK będzie stosowany TYLKO I WYŁĄCZNIE jako przepis szczególny do UODO, tylko wtedy, gdy będzie odnosił się do ochrony danych osobowych.

Mało tego - w UODO znajduje się zapis precyzujący stosowanie tej reguły kolizyjnej,

Art. 5. Jeżeli przepisy odrębnych ustaw, które odnoszą się do przetwarzania danych, przewidują dalej idącą ich ochronę, niż wynika to z niniejszej ustawy, stosuje się przepisy tych ustaw.

A więc KPK będzie się odnosił do UODO i ochrony danych osobowych spełniając łącznie dwa warunki:
1. precyzuje zapisy UODO (wyłącza je na rzecz zapisów bardziej precyzyjnych)
2. gwarantuje ochronę dalej idącą niż UODO.

Myślę, że już wszystko co miało być napisane w tym wątku zostało napisane.

Dzięki Mikołaj - ja nie śledzę orzeczeń, jestem praktykiem bardziej z praktyki nie z praktyki sądowej sądów w tej tematyce, także naprawdę bardzo pomogłeś. W sumie to chyba karnych i ciekawych jest stosunkowo niewiele. Ale mam wrażenie, że bez Twojej pomocy byśmy się dalej kopali.

Mam nadzieję, że ten wątek przyniósł nieco zrozumienia i wniósł pewne światełko, pomagające zrozumieć ABI - PO CO SĄ. A nie sa po to, aby ślepo wypełniać dość ogólnikowe zapisy ustaw, ale żeby stosować w praktyce prawo ochrony danych osobowych w dwóch celach (kolejność przypadkowa):
1. Ochrony danych osobowych i prywatności osób
2. realizacji celów statutowych/biznesowych ADO.

Temat: PESEL, imię i nazwisko pacjenta

Witam!
Widzę, że ciekawa dyskusja się rozwinęła w moim temacie :)
Jako ABI uznałam że trzeba zlikwidować ten PESEL pacjenta na kopertach i rozważam inne rozwiązanie, gdyż uważam ze PESEL + imię i nazwisko to jednak jest pewne ryzyko.

Temat: PESEL, imię i nazwisko pacjenta

Tylko dla przypomnienia - pozostałe atrybuty. Jeśli pesel imię i nazwisko służą temu, żeby trafiły do właściwych lekarzy, to jak skasujesz już PESEL (co uważam, że może być dobrym rozwiązaniem). to powinnaś mieć inny sposób na to, aby nie pomylić pacjentów.

Temat: PESEL, imię i nazwisko pacjenta

Ponieważ moderator został wezwany do działania, napiszę krótko.

Na szczęście, w ciągu wielu lat działania grupy, musiałem władzy moderatora użyć tylko kilka razy. Zawsze, gdy atak był prowadzony bezpośrednio na osobę. Nie uznaję za atak na osobę tekstów typu: „piszesz bzdury”, „to co piszesz to idiotyzm” itp. Tym bardziej, jeżeli wypowiedź jest poparta argumentami, bez względu na to, jak bezsensowne by one nie były. Uważam, że grupa świetnie radzi sobie z wyłapywaniem nietrafionych argumentów, a co najwyżej osoba usiłująca przekonać innych do swojej błędnej opinii popsuje sobie publicznie opinię.
Może się też zdarzyć, że inni nie będą chcieli dyskutować z osobą, która koniecznie chce żeby jej post był ostatni.

Jednak w związku z ze zgłoszeniami nieprawidłowości, usuwam ostatnie posty i apeluję do dyskutantów o:
-Zaniechanie udowadniania drugiej stronie, że się nie zna. Proponuję przedstawiać argumenty i obalać argumenty. Co do oceny wiedzy dyskutantów, czytelnicy z pewnością jej dokonają, nawet jeżeli nie podzielą się tym na forum grupy.
-Pogodzenie się z tym, że inni będą mieli w danym temacie odmienne zdanie, a czasami nawet powiedzą, że mijamy się z prawdą.
-Kontynuowanie merytorycznych dyskusji na forum. Bo choć brakuje mi ostatnio czasu na aktywny udział w dyskusjach, to z przyjemnością je śledzę i chciałbym żeby tak pozostało.

Temat: PESEL, imię i nazwisko pacjenta

Dzięki Jarku, będę zgłaszał szybciej, szanując Twój czas.

Temat: PESEL, imię i nazwisko pacjenta

A teraz kilka zdań w temacie dyskusji.

Czy nr PESEL jest daną osobową dla przychodni (ADO)? Z pewnością tak i jego udostępnienie będzie udostępnieniem danych osobowych. I jako ADO nie zastanawiam się, czy przypadkowa osoba na korytarzu może zidentyfikować osobę, do której należy ten numer, bo ja mam zapewnić, że nie zostanie on jej udostępniony.
Czy może się znaleźć na kopercie? W mojej ocenie, jego umieszczenie będzie uzasadnione, co nie zwalnia nas z obowiązku zabezpieczenia koperty i danych na niej się znajdujących przed dostępem osób nieupoważnionych i tych, którym ten dostęp nie jest w danym momencie niezbędny. Biorąc pod uwagę różne wypowiedzi GIODO, wydaje się, że korzystniejsze mogłoby być umieszczenie na kopercie nr dowodu tożsamości. Ale musielibyśmy dokładnie prześledzić proces i wiedzieć w jaki sposób nr PESEL jest wykorzystywany, tj. czy służy jedynie do identyfikacji osoby w rejestracji, czy też np. do wsadzania do koperty wyników badań.

Podsumowując, nr PESEL wpisujemy na kopercie, a koperty zabezpieczamy.
Oczywiście, gdyby na kopercie nie było nr PESEL, też musielibyśmy ją zabezpieczyć. Inni pacjenci w poczekalni i gabinecie nie powinny widzieć nazwisk, ani mieć dostępu do kopert.

Czy ABI zajmuje się ryzykiem? Nie, ale DPO już tak, więc ABI-emu takie rozważania o ryzyku nie zaszkodzą.
Na dzień dzisiejszy, ADO ma zastosować środki stosowne do zagrożeń, ale „zapewniające”. Czyli mam „zapewnić”, żeby osoby nieupoważnione się z nimi nie zapoznały.

Można się jeszcze zastanawiać, czy nr PESEL jest daną osobową dla podmiotów, które nie mają możliwości zidentyfikowania osoby, której on dotyczy, ale ponieważ nie mamy tu do czynienia z taka sytuacją (a w każdym razie nie powinniśmy mieć, bo ADO powinien zapewnić, że nr PESEL nie zostanie udostępniony), a temat był już na grupie poruszany, nie chciałbym rozwijać tego tematu

Temat: PESEL, imię i nazwisko pacjenta

Jarosław Ż.:
Czy nr PESEL jest daną osobową dla przychodni (ADO)? Z pewnością tak i jego udostępnienie będzie udostępnieniem danych osobowych. I jako ADO nie zastanawiam się, czy przypadkowa osoba na korytarzu może zidentyfikować osobę, do której należy ten numer, bo ja mam zapewnić, że nie zostanie on jej udostępniony.

Zgadzam się.

Czy może się znaleźć na kopercie? W mojej ocenie, jego umieszczenie będzie uzasadnione, co nie zwalnia nas z obowiązku zabezpieczenia koperty i danych na niej się znajdujących przed dostępem osób nieupoważnionych i tych, którym ten dostęp nie jest w danym momencie niezbędny.

Zgoda, choć gdy autorka wątku uznała, że umieszczenie na kopercie rodzi ryzyka niemożliwe w jej opinii do zaakceptowania, to też jest stanowisko, za którym przemawiają ważne racje.