пропозиції роботи
Wypowiedzi
-
Część odpowiedzi wynika wprost z rozporządzenia MAiC.
Nie ma wymogów formalnych co do tego kiedy i jak często trzeba opracowywać plany sprawdzeń.
Jest jednak napisane, że "Zbiory danych oraz systemy informatyczne służące do przetwarzania lub zabezpieczania danych osobowych powinny być objęte sprawdzeniem co najmniej raz na pięć lat.".
Plan sprawdzeń opracowuje się na okres od 3 do 12 miesięcy i w takim planie musi być przynajmniej jedno sprawdzenia, ale nie ma obowiązku objęcia nim wszystkich zbiorów i systemów informatycznych (ważne jednak, żeby uwzględnić je wszystkie w planach które łącznie obejmują 5 kolejnych lat).
Czyli opracowując plan nie musisz od razu planować wszystkich zbiorów i systemów. Może to być nawet tylko jeden zbiór lub system. W dodatku w jednym sprawdzeniu nie masz obowiązku sprawdzania wszystkich wymogów i w odniesieniu do całej organizacji.
Możesz np. opracować plan, w którym będą następujące pozycje:
Sprawdzenie nr 1
Przedmiot: Zbiór danych osobowych Pacjenci
Zakres: Przychodnie - sprawdzenie zgodności przetwarzania d.o. z zasadami dotyczącymi zabezpieczenia danych osobowych, o których mowa w art. 36, art. 37–39 ustawy oraz przepisach wydanych na podstawie art. 39a ustawy
Termin:...
Sposób dokumentowania: ..
Sprawdzenie nr 2
Przedmiot: Zbiór danych osobowych Pacjenci
Zakres: Oddział Chorób Wewnętrznych - sprawdzenie zgodności przetwarzania d.o. z zasadami dotyczącymi zabezpieczenia danych osobowych, o których mowa w art. 36, art. 37–39 ustawy oraz przepisach wydanych na podstawie art. 39a ustawy
Termin:...
Sposób dokumentowania: ..
Sprawdzenie nr 3
Przedmiot: Zbiór danych osobowych Pacjenci
Zakres: Oddział Chirurgii Ogólnej - sprawdzenie zgodności przetwarzania d.o. z zasadami dotyczącymi zabezpieczenia danych osobowych, o których mowa w art. 36, art. 37–39 ustawy oraz przepisach wydanych na podstawie art. 39a ustawy
Termin:...
Sposób dokumentowania: ..
itd.
Czyli możesz sobie podzielić sprawdzenia na mniejsze, łatwiejsze do realizacji kawałki.
Musisz tylko przemyśleć jak bardzo chcesz dzielić temat na części, tak żeby miało to sens praktyczny, tzn. żeby z jednej strony pojedyncze sprawdzania nie były dla Ciebie zbyt dużym wyzwaniem, ale z drugiej żeby w wyniku tego dzielenia nie okazało się, że ciągu tych 5 lat będziesz musiała zrobić tych sprawdzeń bardzo dużo (pamiętaj, że przy każdym sprawdzeniu trzeba dopilnować pewnych procedur - zaplanować, powiadomić kierownictwo, udokumentować sprawdzenie, opracować raport ze sprawdzenia i przedstawić go administratorowi danych). -
Temat jest szeroki, zacznijmy od kilku pytań uzupełniających.
1) Skoro chodzi o sprawdzenia planowe, to rozumiem, że macie opracowany wcześniej i przedstawiony administratorowi danych (w Twoim przypadku prawdopodobnie dyrektorowi lub prezesowi) plan sprawdzeń?
Jeżeli tak to co tam jest wpisane?
Pytam o to dlatego, że w planie powinny być wpisane przedmiot i zakres sprawdzenia i to od nich będzie zależało jakimi zbiorami danych i w jakim zakresie musisz się zająć.
2) Co masz na myśli pytając "Jak wyodrębnić zbiory danych ?" ?
Zakładam, że macie opracowaną Politykę Bezpieczeństwa Informacji i tam wymienione są zbiory danych, którymi administrujecie.
Jeżeli chodzi Ci o to jak podzielić zbiory w celu przeprowadzenia osobnych sprawdzeń - to tutaj odpowiedź zależy od Twojej odpowiedzi na pytanie nr 1.
3) Przepraszam, ale dla pewności muszę o to spytać:
Czy znasz rozporządzenie MAiC z dnia 11 maja 2015 r. w sprawie trybu i sposobu realizacji zadań w celu zapewniania przestrzegania przepisów o ochronie danych osobowych przez administratora bezpieczeństwa informacji? -
Zapraszam :-)
-
https://abi.giodo.gov.pl/zadania-abi/inne-zadania-abi
- tutaj jest trochę o tym jak GIODO patrzy na nie wyliczone w ustawie zadania ABI -
Proponuję przestać karmić trolla...
-
Wakacje się powoli kończą, ale nie dla wszystkich ...
Przeglądając informacje na na stronie jednego z biur podróży natknąłem się na coś takiego:
Jaka ładna laurka i w dodatku przyznawana przez jakąś kapitułę!
Niestety na certyfikacie nie bardzo widać jaką :-(
Zaciekawiło mnie skąd coś takiego się bierze i trafiłem tu:
http://www.certyfikatbdo.pl/
Po przejrzeniu wychodzi na to, że ktoś miał pomysł na sprzedaż usług w zakresie ODO i po liście klientów wygląda na to, że całkiem nieźle mu idzie... -
Radosław Z.:
Jeśli podmiot chce zarabiać na polskim rynku, to winien znać prawo tego kraju.
Nie pisałem, że procesor to podmiot działający w Polsce.
Sytuacja, której dotyczyło pytanie jest taka:
ADO - to polska spółka,
potencjalny procesor - spółka działająca w jednym z krajów UE, która posiada u siebie własną serwerownię i personel IT, na serwerach spółki miałby być umieszczone część danych administrowanych przez ADO, czyli mówiąc inaczej - procesor nie działa na polskim terenie, a ADO jest prawdopodobnie jedynym klientem z Polski dla którego będą świadczyć usługi. -
Paweł G.:
Nie ma sensu. Odpisują, że GIODO nie udziela porad prawnych, a ustawę interpretuje tylko na użytek konkretnego postępowania kontrolnego.
W kwestii zapytań do GIODO nie mam żadnego doświadczenia. Wiem, że twierdzą, że nie udzielają porad prawnych, ale z drugiej strony w rocznym raporcie GIODO informują iż:
"Udzielanie odpowiedzi na pytania dotyczące legalności przetwarzania danych osobowych stanowi istotny element działalności informacyjnej i edukacyjnej Generalnego Inspektora Ochrony Danych Osobowych".
Po czym podają statystki z których wynika że corocznie obsługują kilka tysięcy takich zapytań.
Czyli gdybym zapytał, czy legalnym jest przetwarzanie w jednym zbiorze pacjentów Szpitala i pacjentów innych podmiotów leczniczych, dla których wykonywanie są badania laboratoryjne...
to rozumiem, że mogę liczyć na merytoryczną odpowiedź? -
Radosław Z.:
Można wnioskować, że ADO i Ty chcecie przetwarzać realizację umowy z ZOZ w jednym zbiorze. Skoro tak, to szukasz argumentów za takim rozwiązaniem.
To nie do końca tak. Decyduje ADO i jeżeli szuka prostych rozwiązań to nie mogę mu tego zabronić, chyba, że będę miał silne argumenty przeciwko.
Gdybym nie miał żadnych wątpliwości to nie rozpoczynałbym tego wątku i nie dyskutował na ten temat.
Żeby było jasne - jestem wdzięczny, że chciałeś poświęcić swój czas, podzieliłeś się wiedzą i zaangażowałeś w dyskusję. Wbrew pozorom to co napisałeś dało mi do myślenia.
Ale póki co nie mam poczucia, że mam wystarczająco silne argumenty, które przekonałyby mnie (a tym bardziej mojego ADO), że musimy te zbiory rozdzielić i uznać, że przetwarzamy dane powierzone. Tym niemniej widzę, że sytuacja nie jest w 100% czysta i nie wykluczam, że zwrócę się do GIODO z zapytaniem w tej sprawie. -
Radosław Z.:
Co zapisać w umowie? - przepisy art. 28-29 Dyrektywy PE 2016/679 z 27 kwietnia 2016r. wskazują minimum. Dobrze jest pamiętać o art. 79.2 (rozstrzyganie sporów przed sądem państwa ADO) choć rozporządzenie wejdzie w życie 25.05.2018r. - czyli niebawem.
Czy nie jest tak, że póki co w dalszym ciągu obowiązuje aktualna uodo i rozporządzenie MSWiA,
a co za tym idzie powierzając dane trzeba narzucić procesorowi wykonywanie tych przepisów?
W pytaniu chodziło mi o to w jaki sposób te obowiązki przekazać podmiotowi, który nie zna polskich przepisów uodo. Jak rozumiem odpada tłumaczenie przepisów, czyli jedyne rozwiązanie to to o którym napisał Paweł - przepisanie odpowiednich fragmentów przepisów do umowy. -
Radosław Z.:
Po co korzystać z rozporządzenia skoro jest ustawa, która reguluje co powinno być w rejestrze (i cel jest tam w liczbie pojedynczej)?
Być może pomocnym będzie Rozporządzenie
Teoria teorią, a w praktyce... w odnośniku który załączyłem w poprzednim wpisie znajdziesz informację, że w rejestrze GIODO znajdują się zbiory dla których podano wiele celów przetwarzania.
Jeśli ADO zdecydował że realizuje badania diagnostyczne w celu realizacji umowy z ZOZ ... to ABI ma obowiązek wykonać jego decyzję.
Gdyby ADO zdecydował, że wyróżnia dwa zbiory to bym nie miał wątpliwości, ale ADO tak nie zdecydował...
Jeśli ADO chce mieć pierdyliard zbiorów, to kto mu zabroni ? ;)
ADO, o którym mówimy ma praktyczne podejście i chce mieć rozwiązany temat o.d.o. jak najprościej (oczywiście w granicach prawa), a tworzenie pierdyliarda zbiorów raczej temu nie służy
Jeśli odpowiesz na przedstawione na początku dyskusji moje założenia: "Jak sprawa wyglądałaby gdyby ZOZ przesyłał drogą elektroniczną skierowanie i tą samą otrzymywał wyniki.
Omawiamy teraz przypadek, który opisałem zakładając ten wątek czy jakiś inny?
Do "gdyby" odniosłem się już wcześniej - gdyby ZOZ przesyłał skierowanie drogą elektroniczną ... to:
po pierwsze - byłby to inny przypadek
po drugie - to nie koniecznie by coś zmieniło, przepisy umożliwiają przekazywanie danych pomiędzy podmiotami świadczącymi usługi zdrowotne, więc w tym aspekcie sytuacji nie widzę powodów do uznania, że to musi być powierzenie, może to być udostępnienie
Uprawnienie do przetwarzania danych to nie cel.
Nie, ale to argument że w omawianym przypadku podmiot może -moim zdaniem - zebrać te dane bez konieczności korzystania z powierzenia, a jedynie na zasadzie udostępniania danych przez jednego administratora drugiemu .
Badania diagnostyczne w szpitalu wykonuje się:
Każdy cel można podzielić na więcej celów szczegółowych, gdzieś jednak trzeba znaleźć rozsądną granicę mnożenia bytów...
1. W celu prowadzenia leczenia pacjentów własnych - jak najbardziej zbiór Pacjenci.
2. W celu realizacji umowy zewnętrznej (szpital nie leczy takich osób, więc nie są jego pacjentami) - zbiór Pacjenci - wątpliwe.
Zauważ też, że szpital praktycznie wszystkie swoje badania robi na podstawie umowy zewnętrznej, większość z NFZ, a część z innymi podmiotami. więc praktycznie wszyscy pacjenci powinni należeć do dwóch zbiorów - "zwykłego", nazwijmy go Pacjenci i drugiego nazwijmy go Pacjenci-rozliczenia.
Pytanie tylko czemu w praktyce ten podział zbioru na podzbiory miałby służyć? -
OK, ale pytanie jak to się robi w praktyce?
Do umowy powierzenia dołączyć przetłumaczony tekst rozporządzeń (MSWiA oraz MAiC odnoszące sie do ABIego)?
Czy też wystarczy może jeżeli procesor zrobi to zgodnie z przepisami swojego kraju (w końcu wszyscy wdrożyli dyrektywę i teoretycznie uznaje sie, że wszystkie kraje EOG zapewniają porównywalny poziom zabezpieczenia danych osobowych)? -
Co w sytuacji gdybyśmy chcieli powierzyć przetwarzanie danych (a konkretnie obsługę systemów IT) firmie z Europejskiego Obszaru Gospodarczego. Czy w umowie powierzenia powinniśmy zobligować ten podmiot do wykonywania takich obowiązków jak:
- powołanie ABI lub wykonywanie jego obowiązków określonych w art 36a ust 2 pkt 1
- opracowanie polityki bezpieczeństwa i instrukcji zarządzania ,
??? -
Jako osoba, która rozpoczęła wątek pozwolę sobie zaingerować w zajadłą dyskusję, która się tu rozpętała ;-)
Jeżeli chodzi o to co decyduje czy coś jest osobnym zbiorem czy nie to ogólnie rzecz biorąc uważam, że temat nie jest w prosty sposób rozstrzygalny. Szukając odpowiedzi natrafiłem na krótki, ale konkretny artykuł, który chyba dość przyzwoicie opisuje temat:
http://www.regulaminywsieci.pl/a/10-ile-zbiorow-danych...
Po jego lekturze w pierwszym momencie uznałem, że wygrywa pogląd, że każdy pojedynczy cel przetwarzania jest podstawą do zidentyfikowania osobnego zbioru danych (natomiast na pewno różne kryteria dostępności danych nie są podstawą do uznania, że mamy do czynienia z wieloma zbiorami).
Nawet jednak jeżeli uznamy zasadę, że jeden cel przetwarzania = jeden zbiór, to w dalszym ciągu pozostaje nam jeden drobny dylemat - jak szczegółowy powinien być określony cel przetwarzania?
Przecież każdy cel ogólny dałoby się pewnie podzielić na wiele celów szczegółowych i w ten sposób ilość zbiorów danych można by mnożyć niemal w nieskończoność...
Ja jestem zwolennikiem podejścia praktycznego i nie mnożenia bytów na daremno. Jeżeli w opisywanym przeze mnie na początku wątku przypadku świadczenie usług zdrowotnych i prowadzenie z tego tytułu rozliczeń z płatnikami daje się podciągnąć pod jeden ogólny cel to ja jestem za tym.
Wracając jednak do moich początkowych pytań o to czy mamy tu powierzenie - nawet jeżeli jednak uznać, że szpital prowadzi dwa zbiory danych - "Pacjenci - dane związane ze świadczeniem usług medycznych" oraz "Pacjenci - dane gromadzone w celu rozliczeń z płatnikami" to w dalszym ciągu nie mam poczucia, że szpital jest procesorem danych pacjentów powierzonych przez płatników. Dla mnie bardzie jest to przetwarzanie danych, do których szpital jest uprawniony przepisami prawa, a przekazywanie danych pomiędzy szpitalem a płatnikami jest usprawiedliwionym prawnie udostępnieniem danych osobowych. -
Dlaczego Szpital miałby dzielić zbiór Pacjenci na mniejsze zbiory?
Z bazy danych da się wygenerować raport dot. badań zleconych przez określony ZOZ, ale równie dobrze da się wygenerować raport badań odpłatnych, albo badań wykonywanych dla pacjentów nieubezpieczonych w polskim systemie ubezpieczeń społecznych., albo wiele innych. Nie mówiąc o tym, że takich ZOZów z którymi szpital ma umowę na realizację badań może być dużo. Jeżeli to wszystko miałyby być osobne zbiory to okazałoby się, że Szpital ma ich mnóstwo..., a przecież jest to jeden spójny zestaw danych i zasadniczy cel prowadzenia zbioru jest jeden - świadczenie usług zdrowotnych. -
Przepraszam, ale teraz ja nie rozumiem :-(
O jakiej ważnej kwestii tu mowa? -
Paweł G.:
Ja bym raczej przyjął art. 27 ust. 2 pkt 7 uodo.
To jest przepis uprawniający do przetwarzania danych pacjentów w celu ochrony zdrowia itd.,
a ja chciałem tu wskazać podstawę do przekazywania danych w celu realizacji rozliczeń pomiędzy podmiotami. No chyba żeby uznać, że to też w jakimś ogólnym sensie wiąże się ochroną zdrowia... -
Radosław.
Dziękuję za opinię, ale mam pewne kontrargumenty:
Moim zdaniem sytuacja 1 i 2 to tylko techniczna strona realizacji umowy pomiędzy ZOZ (ADO), a szpitalem (procesor).
No właśnie nie jestem przekonany. Wykonywanie badań dla pacjentów i wydawanie im wyników odbywa się na podstawie przepisów odnoszących się do prowadzenia działalności leczniczej. Szpital ma prawo to robić bez żadnej umowy, dobrym przykładem jest to właśnie sytuacja, którą opisałeś, tzn. kiedy pacjent przychodzi ze skierowaniem, a szpital nie ma umowy na wykonywanie badań z ZOZem, który wystawił skierowanie. Nie mamy umowy ... i w dalszym ciągu szpital może przetwarzać dane tego pacjenta, ponieważ pozwalają na to przepisy prawa.
Zasadniczym przedmiotem umowy jest właśnie kwestia uregulowania przepływu pieniądza, a jedyną regulacją odnoszącą się do przekazywania danych osobowych, którą ustalili autorzy umowy jest sposób raportowania wykonanych świadczeń. Przekazywaniu danych dot zlecania i przekazywaniu wyników nie poświęcono ani słowa.
(To jak się faktycznie odbywa dowiedziałem się od ludzi, którzy zajmują się rejestrowaniem zleceń i wydawaniem wyników).
Jak sprawa wyglądałaby gdyby ZOZ przesyłał drogą elektroniczną skierowanie i tą samą otrzymywał wyniki.
To byłby inny przypadek ;-)
A na poważnie - wbrew pozorom to niekoniecznie zmienia mój punkt widzenia ponieważ w Ustawie o Prawach Pacjenta itd. jest coś takiego:
"Art. 26.
...
3. Podmiot udzielający świadczeń zdrowotnych udostępnia dokumentację medyczną również:
1) podmiotom udzielającym świadczeń zdrowotnych, jeżeli dokumentacja ta jest niezbędna do zapewnienia ciągłości świadczeń zdrowotnych;
..."
To jest podstawa, która jak rozumiem uprawomocnia przekazywanie tych danych pomiędzy podmiotami udzielający świadczeń zdrowotnych. W dodatku zauważ, że użyto tu słowa "udostępnia".
Szpital prowadzi zbiór klientów ZOZ, którym wykonał badania diagnostyczne.
Szpital nie prowadzi wydzielonego zbioru. Jest jeden zbiór pacjentów, a przy rejestracji odnotowywane są informacje dot. zlecenia. Dzięki temu można wygenerować raport o pacjentach których skierował ZOZ. Równie dobrze można zrobić raport dot. zleceń od konkretnego lekarza lub z danej miejscowości, co nie oznacza, że to są osobne zbiory danych (ani w sensie technicznym, ani w sensie formalnym).
Można sobie wyobrazić, że dla pacjentów ZOZu szpital prowadzi osobną bazę danych, ale techniczny problem z tym jest taki, że szpital ma wiele takich umów, więc idąc w tym kierunku musiałby mieć wiele instancji bazy danych z osobnymi uprawnieniami itd. Obsługa pacjentów, realizacja zleceń i zarządzanie tym zrobiłyby się nieco bardziej skomplikowane, szczególnie przy większej ilości takich oddzielonych zbiorów.
Najważniejsze jednak, że moim zdaniem ani z przepisów prawa ani z zapisów umowy z ZOZem nie wynika konieczność prowadzenia osobnego zbioru danych osobowych.
Dlatego zresztą mam największy dylemat z tą umową powierzenia. Powiedzmy, że dla "świętego spokoju" szpital podpisuje tą umowę - oznaczałoby to, że szpital uznaje, że dane tych pacjentów faktycznie stanowią osobny zbiór którego administratorem jest ZOZ. Wtedy szpital faktycznie musiałby zainwestować w rozwiązania techniczne i przyjąć rozwiązania organizacyjne, które umożliwiałyby oddzielne zarządzanie tym zbiorem danych. W praktyce oznaczałoby to prawdopodobnie, że w przypadku mniejszych zleceniodawców szpital nie byłby zainteresowany podpisywaniem takiej umowy.
Co do kwestii przekazywania danych w związku z rozliczeniami: Zauważ, że obie strony umowy posiadają dane pacjenta i informacje o tym co mu zlecono jeszcze przed przekazaniem raportu przez szpital. Przekazanie danych służy tylko wykazaniu, że zlecenia wykonano w rozliczanym okresie czasu. Wydaje mi się, że udostępnienie jest tu dopuszczalne na podstawie:
"Art. 23. 1. Przetwarzanie danych jest dopuszczalne tylko wtedy, gdy:
...
5)jest to niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą."Ten post został edytowany przez Autora dnia 02.09.16 o godzinie 09:54 -
Mam następujący dylemat:
ZOZ podpisał ze szpitalem umowę, na podstawie której szpital ten będzie wykonywał badania diagnostyczne pacjentom ZOZu, a potem na przedstawiał miesięczne zestawienia wykonanych badań i fakturował ZOZ.
Fizycznie przekazywanie danych osobowych będzie odbywało się w 3 sytuacjach:
sytuacja nr 1 - pacjent zgłasza się do szpitala ze skierowaniem wystawionym przez zoz i na tej podstawie jest rejestrowany itd.
sytuacja nr 2 - szpital wydaje wynik badań pacjentowi (który z tym wynikiem powinien stawić się z powrotem
sytuacja nr 3 - szpital sporządza wykaz w którym jest lista pacjentów (z danymi identyfikującymi) oraz nazwa badania (wykaz jest podstawą do wystawienia faktury, której wysokość zależy od ilości i rodzaju wykonanych badań) i przesyła ten wykaz wraz z fakturą do ZOZu
Mój dylemat polega na tym, że do faktury na wykonywanie badań ZOZ zaproponował umowę powierzenia,
a ja nie jestem przekonany, że w tym przypadku powierzenie jest dobrym rozwiązaniem.
W sytuacjach 1 i 2 dane są przekazywane pomiędzy pacjentem a szpitalem i to, że skierowanie wystawił ZOZ jest moim zdaniem sprawą drugorzędną, szpital ma prawo przetwarzać dane pacjentów, którzy się do niego zgłaszają i nie potrzebuje na to dodatkowego uprawomocnienia w postaci powierzenia od zlecających badania.
Dodam, że dane pacjentów zgłaszających się ze skierowaniem ZUZu są wpisywane do ogólnego zbioru pacjentów szpitala, a więc nie ma osobnego zbioru, osobnych upoważnień itd.
Sytuacja nr 3 - przekazywanie danych w związku z rozliczeniami pomiędzy ZOZem i szpitalem można podciągnąć moim zdaniem na uzasadnione udostępnianie danych pomiędzy dwoma administratorami danych na podstawie zawartej umowy o świadczenie usług.
Trzeba tu zauważyć, że oba podmioty nawet bez przekazywania danych w ramach rozliczeń i tak posiadają dane pacjenta oraz informacje o tym jakie badanie mu zlecono. Wykaz jest de facto wyłącznie potwierdzeniem wykonania tych badań w raportowanym okresie czasu.
Nad rozstrzygnięciem dylematu zastanawiam się od dłuższego czasu.
Dogrzebałem się m.in opinii Piotra Glena, który w książce pt. Ochrona danych medycznych i osobowych pacjenta (praca zbiorowa) stwierdza, że w takich sytuacjach można (ale nie napisał, że bezwzględnie trzeba) zastosować powierzenie.
Nie jestem przekonany, że w moim przypadku ma to sens, zwłaszcza, że tak jak napisałem dane pacjentów są wpisywane do zbioru danych administratora (fizycznie są w tej samej bazie danych co dane pozostałych pacjentów) i nie da się wydzielić tego podzbioru w celu zapewnienia osobnej kontroli (dostępu, zabezpieczeń itp.) nad nimi.
Jeżeli komuś chciało się przebić przez ten długaśny opis powyżej - będę wdzięczny za wszelkie Wasze opinie na ten temat. -
Grzegorz - Nie zamierzałem podważać Konstytucji RP :-)
chciałem tylko wskazać, że jest rozporządzenie do ustawy, które właśnie reguluje te "technikalia".
Emilia - problem zawartości wniosku o udostępnienie i zachowania pisemnej formy tego wniosku jest o tyle złożony, że od kilku lat przepisy uodo nie regulują szczegółowo zasad udostępniania i zasady te trzeba wyinterpretować z różnych ogólniejszych zasad.
Jest to dość przyzwoicie opisane w tych artykułach:
http://www.prawo.egospodarka.pl/68365,Nowe-zasady-udos...
http://nf.pl/manager/nowe-przepisy-a-zasady-udostepnia...
W skrócie i uproszczeniu - bezpieczniej jest dla administratora danych, żeby wniosek o udostępnienie był w formie papierowej, ale na tym forum było już na ten temat kilka dyskusji i chyba nie wszyscy się z tym zgadzają...
Dołącz do GoldenLine
Oferty pracy
Sprawdź aktualne oferty pracy
Aplikuj w łatwy sposób
Aplikuj jednym kliknięciem
