GoldenLine
Zaloguj się
Paweł G.

Paweł G. IOD, podmiot danych

Temat: Ubezpieczenia, opieka medyczna – powierzenie – kto jest...

Michał S.:
Ale czy prawo do kontroli procesora jest równoznaczne z dostępem do dokumentacji medycznej?
A jakie to ma znaczenie? Kontrola sprawdza stan zabezpieczeń. Są to informacje poufne. Dlaczego ktoś miałby je udostępniać podmiotowi nieuprawnionemu, który nie jest administratorem danych?

Dlaczego ktoś w ogóle ma się poddawać kontroli - jakiejkolwiek? To każda firma ma prawo przyjść do mojej firmy i coś tam kontrolować? Do kontroli musi być PODSTAWA. Inaczej to możemy wam nasz folder reklamowy pokazać, może coś kupicie ;)
Reasumując, nadal stoję na stanowisku, że zarówno w tym przypadku, jak i poniżej opisanej sytuacji z firmą ubezpieczeniową, Administratorem jest Pracodawca a MED/UBEZP jest procesorem.
Wykaż, że MED/UBEZP nie realizuje na tych danych własnych celów przetwarzania.
Link do wypowiedziLink
Radosław Zieliński

Radosław Zieliński

Temat: Ubezpieczenia, opieka medyczna – powierzenie – kto jest...

Michał S.:
Umowa powierzenia dokładnie opisuje co i w jakim celu zostało przekazane (art.28).
Procesor w trakcie realizacji celów umowy może tworzyć kolejne elementy danych osobowych i wobec nich jest samodzielnym ADO.
Prawo wyrażone w art. 28.3.h. dotyczy tylko i wyłącznie danych opisanych w umowie powierzenia.

A tak na marginesie - ktoś brał udział od strony technicznej z ubezpieczeniami grupowymi? Czy dyskusja jest prowadzona na wyobrażeniu ;)
Link do wypowiedziLink
Michał Sadowski

Michał Sadowski IOD/ADO/ASI/IT
Administrator @
IODInspektor.pl

Temat: Ubezpieczenia, opieka medyczna – powierzenie – kto jest...

Radosław Z.:

A tak na marginesie - ktoś brał udział od strony technicznej z ubezpieczeniami grupowymi? Czy dyskusja jest prowadzona na wyobrażeniu ;)

Ja właśnie biorę. Przedstawiliśmy z mecenasem argumenty jak w/w i czekamy na odpowiedź. Na mój nos duże firmy MED i UBEZP odwracają role administrator-procesor, próbując przerzucić odpowiedzialność na drugą stronę.

Pismo poszło w tym tygodniu. Dam znać co się będzie działo :)
Link do wypowiedziLink
Michał Sadowski

Michał Sadowski IOD/ADO/ASI/IT
Administrator @
IODInspektor.pl

Temat: Ubezpieczenia, opieka medyczna – powierzenie – kto jest...

Paweł G.:
Michał S.:
Ale czy prawo do kontroli procesora jest równoznaczne z dostępem do dokumentacji medycznej?
A jakie to ma znaczenie? Kontrola sprawdza stan zabezpieczeń. Są to informacje poufne. Dlaczego ktoś miałby je udostępniać podmiotowi nieuprawnionemu, który nie jest administratorem danych?
Bo przyjął dane w powierzenie?
Link do wypowiedziLink
Paweł G.

Paweł G. IOD, podmiot danych

Temat: Ubezpieczenia, opieka medyczna – powierzenie – kto jest...

Michał S.:
A jakie to ma znaczenie? Kontrola sprawdza stan zabezpieczeń. Są to informacje poufne. Dlaczego ktoś miałby je udostępniać podmiotowi nieuprawnionemu, który nie jest administratorem danych?
Bo przyjął dane w powierzenie?
Nie, dane zostały mu udostępnione. Jest odrębnym ADO.
Link do wypowiedziLink
Michał Sadowski

Michał Sadowski IOD/ADO/ASI/IT
Administrator @
IODInspektor.pl

Temat: Ubezpieczenia, opieka medyczna – powierzenie – kto jest...

Paweł G.:
Michał S.:
A jakie to ma znaczenie? Kontrola sprawdza stan zabezpieczeń. Są to informacje poufne. Dlaczego ktoś miałby je udostępniać podmiotowi nieuprawnionemu, który nie jest administratorem danych?
Bo przyjął dane w powierzenie?
Nie, dane zostały mu udostępnione. Jest odrębnym ADO.

Chyba zgubiłeś wątek. Weźże się skup hehe
Link do wypowiedziLink
Paweł G.

Paweł G. IOD, podmiot danych

Temat: Ubezpieczenia, opieka medyczna – powierzenie – kto jest...

Wpadłeś w błędne koło. Założyłeś, że jest powierzenie, wywodzisz z tego uprawnienie do kontroli u rzekomego procesora - i udowadniasz tę tezę tym, że jest powierzenie.
Link do wypowiedziLink
Michał Sadowski

Michał Sadowski IOD/ADO/ASI/IT
Administrator @
IODInspektor.pl

Temat: Ubezpieczenia, opieka medyczna – powierzenie – kto jest...

Paweł G.:
Wpadłeś w błędne koło. Założyłeś, że jest powierzenie, wywodzisz z tego uprawnienie do kontroli u rzekomego procesora - i udowadniasz tę tezę tym, że jest powierzenie.

Na litość boską nie! Ja postawiłem pytanie na początku: Zakończ obserwację
Ubezpieczenia, opieka medyczna – powierzenie – kto jest administratorem?

I jeszcze raz stawiam tezę, jak poniżej i proszę się do niej odnieść :)

Mamy tu do czynienia z trzema relacjami:
Relacja #1 Pracownik - Pracodawca (ADO) cel: zatrudnienia, podst: prawo pracy
Relacja #2 Osoba - UBEZP (ADO) cel: objęcie ubezpieczeniem, podst: zgoda/umowa
Relacja #3 Pracodawca - UBEZP jako strony umowy ramowej na mocy, której UBEZP oferuje osobom usługę ubezpieczeniową na warunkach wynegocjowanych z Pracodawcą.

Bez tej umowy osoba/pracownik nie mogłaby zawrzeć umowy ubezpieczeniowej na takich warunkach (preferencyjnych), jakie wynegocjował Pracodawca. Aby UBEZP mógł świadczyć swoje usługi na w/w warunkach musi otrzymać od Pracodawcy informacje o statusie osoby/pracownika, czy nadal tam pracuje i przysługują mu te specjalne warunki. W tej sytuacji Pracodawca (ADO) przekazuje informacje o swoich pracownikach podmiotowi trzeciemu, aby ten mógł objąć ich świadczeniami, które dla swoich pracowników zapewnił im Pracodawca (ADO). Dla mnie zatem to Pracodawca jest ADO -> UBEZP jest procesorem.

I jeszcze jedno, z tego co się orientuję, to rzeczywiście pracownik wyraża zgodę na przetwarzanie, ale robi to na rzecz UBEZP, w praktyce zresztą odbywa się to na jego drukach.
Link do wypowiedziLink
Paweł G.

Paweł G. IOD, podmiot danych

Temat: Ubezpieczenia, opieka medyczna – powierzenie – kto jest...

Michał S.:
usługi na w/w warunkach musi otrzymać od Pracodawcy informacje o statusie osoby/pracownika, czy nadal tam pracuje i przysługują mu te specjalne warunki. W tej sytuacji Pracodawca (ADO) przekazuje informacje o swoich pracownikach podmiotowi trzeciemu
I dlaczego zakładasz, że to akurat przekazywanie jest powierzeniem, a nie udostępnieniem danych?
Link do wypowiedziLink
Grzegorz Krzemiński

Grzegorz Krzemiński 600+ projektów w
bezpieczeństwie |
Trener | RODO | HSSE
|...

Temat: Ubezpieczenia, opieka medyczna – powierzenie – kto jest...

My to robiliśmy na powierzeniu, nie udostępnieniu. Powierzenie danych - w zakresie osób pracujących lub objętych ubezpieczeniem. Zakres danych - imię, nazwisko identyfikator i status zatrudnienia (plus osoby z rodziny, jeśli były). I ten zakres tylko był powierzany.

Zakres usług ubezpieczeniowych - ADO była firma ubezpieczeniowa.

Uzasadnienie: ograniczenie wykorzystania danych osobowych pracowników do innych celów, w tym do marketingu usług własnych. Po pierwsze awanturze pracowników zmieniliśmy z udostępnienia na powierzenie i nagle się spięło.

Jak pracownik przestawał być pracownikiem, mógł wyrazić zgodę i był objęty ubezpieczeniem na nowych zasadach i już sobie ubezpieczyciel mógł szaleć z danymi.
Jeśli rezygnowaliśmy z firmy, na rzecz innej, ubezpieczyciel tracił tytuł do dysponowania danymi, zostawały tylko kwestie obowiązków.

Z medycznymi podobnie.

To ze przetwarzający wykonują swoje zadania i w tym zakresie są ADO - ich sprawa. I ich zabezpieczenie. Ale to, że mogą wykorzystać tylko w ramach grupowego lub tylko w ramach pakietów medycznych - to moja sprawa. I tu kontrolę wykorzystania danych mogłem robić jak najbardziej i robiłem (choć miałem prościej, bo to np. był punkt medyczny na fabryce).
Link do wypowiedziLink
Paweł G.

Paweł G. IOD, podmiot danych

Temat: Ubezpieczenia, opieka medyczna – powierzenie – kto jest...

Grzegorz K.:
My to robiliśmy na powierzeniu, nie udostępnieniu. Powierzenie danych - w zakresie osób pracujących lub objętych ubezpieczeniem. Zakres danych - imię, nazwisko identyfikator i status zatrudnienia (plus osoby z rodziny, jeśli były). I ten zakres tylko był powierzany.
I jaki określaliście cel przetwarzania w umowie powierzenia?
Link do wypowiedziLink
Michał Sadowski

Michał Sadowski IOD/ADO/ASI/IT
Administrator @
IODInspektor.pl

Temat: Ubezpieczenia, opieka medyczna – powierzenie – kto jest...

Paweł G.:
I dlaczego zakładasz, że to akurat przekazywanie jest powierzeniem, a nie udostępnieniem danych?

Cała ta sprawa rozpoczęła się od tego, że firma MED/UBEZP przysłała pracodawcy umowę powierzenia, w której to określiła siebie jako administratora a pracodawcę jako procesora, z czym się nie zgadzam. I stąd wziął się cały ten wątek dotyczący powierzenia.
Link do wypowiedziLink
Michał Sadowski

Michał Sadowski IOD/ADO/ASI/IT
Administrator @
IODInspektor.pl

Temat: Ubezpieczenia, opieka medyczna – powierzenie – kto jest...

Paweł G.:
I jaki określaliście cel przetwarzania w umowie powierzenia?

Celem jest objęcie pracownika świadczeniami medycznymi (lub ubezpieczeniem grupowym) na warunkach określonych w umowie zawartej pomiędzy Firmą X (pracodawcą) a Firmą MED (lub ubezpieczycielem.
Link do wypowiedziLink
Paweł G.

Paweł G. IOD, podmiot danych

Temat: Ubezpieczenia, opieka medyczna – powierzenie – kto jest...

Michał S.:
I jaki określaliście cel przetwarzania w umowie powierzenia?
Celem jest objęcie pracownika świadczeniami medycznymi (lub ubezpieczeniem grupowym) na warunkach określonych w umowie zawartej pomiędzy Firmą X (pracodawcą) a Firmą MED (lub ubezpieczycielem.
Czy pracownik ma prawo odmówić przystąpienia do tej umowy? Czy pracownik też jest stroną umowy?
Link do wypowiedziLink
Paweł G.

Paweł G. IOD, podmiot danych

Temat: Ubezpieczenia, opieka medyczna – powierzenie – kto jest...

Michał S.:
I dlaczego zakładasz, że to akurat przekazywanie jest powierzeniem, a nie udostępnieniem danych?
Cała ta sprawa rozpoczęła się od tego, że firma MED/UBEZP przysłała pracodawcy umowę powierzenia, w której to określiła siebie jako administratora a pracodawcę jako procesora
Nie ma powierzenia w żadną stronę.
Link do wypowiedziLink
Grzegorz Krzemiński

Grzegorz Krzemiński 600+ projektów w
bezpieczeństwie |
Trener | RODO | HSSE
|...

Temat: Ubezpieczenia, opieka medyczna – powierzenie – kto jest...

Paweł G.:
Grzegorz K.:
My to robiliśmy na powierzeniu, nie udostępnieniu. Powierzenie danych - w zakresie osób pracujących lub objętych ubezpieczeniem. Zakres danych - imię, nazwisko identyfikator i status zatrudnienia (plus osoby z rodziny, jeśli były). I ten zakres tylko był powierzany.
I jaki określaliście cel przetwarzania w umowie powierzenia?

Realizacja benefitów pracowniczych.
Link do wypowiedziLink
Grzegorz Krzemiński

Grzegorz Krzemiński 600+ projektów w
bezpieczeństwie |
Trener | RODO | HSSE
|...

Temat: Ubezpieczenia, opieka medyczna – powierzenie – kto jest...

Paweł, nie bądź taki ortodoks. Leczmy biznes biznesem ;-)

Miałem podobny przypadek. Wyleczyłem medyków i ubezpieczenia jedną prosta sprawą. Procent od przychodu medyków i ubezpieczycieli przekazywany jest na fundusz świadczeń socjalnych. Bo medycy i ubezpieczyciele dostają bazę nowych klentów. Chcą tak - OK. Dostarcze, postaram się o zgody... Na jednej fabryce było to szacunkowo około 78 tys PLN rocznie prowizji. ;-)

Ubezpieczyciel uznał jednak, że dostaje dane pracowników do realizacji celu PRACODAWCY, tam gdzie przesłanka realizacji przepisu prawnego - OK, robi on ale żadne inne.
Link do wypowiedziLink
Paweł G.

Paweł G. IOD, podmiot danych

Temat: Ubezpieczenia, opieka medyczna – powierzenie – kto jest...

Grzegorz K.:
I jaki określaliście cel przetwarzania w umowie powierzenia?
Realizacja benefitów pracowniczych.
Skoro powierzenie, to pracownik nie miał nic do powiedzenia, prawda? Jego dane obowiązkowo wędrowały na zewnątrz? ;)
Link do wypowiedziLink
Grzegorz Krzemiński

Grzegorz Krzemiński 600+ projektów w
bezpieczeństwie |
Trener | RODO | HSSE
|...

Temat: Ubezpieczenia, opieka medyczna – powierzenie – kto jest...

Nie rozwalaj systemu. ;-) bo inaczej ludzi nie ochronię przed krwiożerczymi handlowcami z ubezpieczeń (a to na domek, na autko, nnw, oc za dzieci).

A poważnie model w którym ADO był pracodawca się obronił (nawet kilka razy). Bo to jednak pracodawca organizuje, w ramach swojego działania, a dostawcami usług są ubezpieczyciel czy medyk.

Oczywiście przy kontrolach na dzień dobry słuchałem o zgodach wymuszonych i innych takich. Ale też dało się wyjaśnić niektórym badaczom pisma, że jeśli nie będzie zgody, to pracownik nie otrzyma elementów motywacji pozapłacowej, a to mi rozwala system motywacyjny.
Link do wypowiedziLink
Paweł G.

Paweł G. IOD, podmiot danych

Temat: Ubezpieczenia, opieka medyczna – powierzenie – kto jest...

Grzegorz K.:
Nie rozwalaj systemu. ;-) bo inaczej ludzi nie ochronię przed krwiożerczymi handlowcami z ubezpieczeń (a to na domek, na autko, nnw, oc za dzieci).
Przyjęliście błędną koncepcję. Jest to normalnie udostępnienie, ale za przesłankę przetwarzania należy przyjąć umowę. Wtedy wszystko będzie zgodnie z prawem, a pracownik nie będzie dostawał reklamowego śmiecia.
A poważnie model w którym ADO był pracodawca się obronił (nawet kilka razy). Bo to jednak pracodawca organizuje, w ramach swojego działania, a dostawcami usług są ubezpieczyciel czy medyk.
Widać kontrolujący byli niezbyt wnikliwi, bo faktem niezaprzeczalnym jest, że odbiorca danych z góry zakłada wykorzystywanie ich do własnych celów, więc to udostępnienie.
Drugim faktem jest, że powierzenie nie jest dobrowolne dla osoby, której dane dotyczą.

Jest to umowa zawierana przez pracodawcę na rzecz osoby trzeciej (art. 393 kc). Pracownik, przystępując do umowy, może żądać spełnienia przyrzeczonego świadczenia. Trzeba tylko dobrze skonstruować umowę i klauzule informacyjne dla pracownika. Przesłanką przetwarzania nie jest zgoda, lecz umowa, do której pracownik przystępuje.

I teraz się dopiero wszystko, ale naprawdę wszystko, spina.
Link do wypowiedziLink
« Wróć do tematów
Odpowiedz

Podobne tematy


Następna dyskusja:

Kto jest administratorem da...




Wyślij zaproszenie do
Anuluj