RODO a przesyłanie danych osobowych do NFZ.

[kz]

Witam,

Czy ktoś wiedziałby, czy potrzebna będzie jakaś dodatkowa umowa/aneks z NFZ po wejściu w życie 25.V.18 RODO ? Przecież do bazy NFZ wysyłamy, można powiedzieć codziennie, pełne dane osobowe pacjentów z chorobami itp. Czy też należałoby to ująć jakoś w swojej Polityce Bezpieczeństwa Informacji placówki medycznej ?

pozdrawiam,
zwkrz

[Edward_B]

Raczej nie pełne dane, bo jeśli chodzi o pacjenta to w wysyłce jest tylko PESEL

[09061303]

Raczej nie pełne dane, bo jeśli chodzi o pacjenta to w wysyłce jest tylko PESEL

Pomijając inne przypadki - PESEL jest to dana osobowa, identyfikuje jednoznacznie osobę. Dodatkowo idą z nim dane wrażliwe, o stanie zdrowia pacjenta.
Ogólnie ciekawe pytanie - jakoś nikt o tym nic nie mówi. W tym przypadku wydawać się może, że powinno być to regulowane na podstawie ustawy i raczej umowy nie powinny być potrzebne. O ile RODO na takie coś pozwala.

[kz]

No tak, niepełne ale wrażliwe ale co na to RODO ? Z tego co wiem, to powinno wystarczyć wysyłanie drogą elektroniczną danych wrażliwych pacjenta, ponieważ używają do tego celu dwie strony https.

[kz]

Wymogi umowy zlecenia przetwarzania danych osobowych określa art. 28 RODO. Strony umowy zlecenia przetwarzania danych osobowych muszą określić:

Czas trwania zlecenia ? może to być czas określony (np. jeden rok) lub nieokreślony. Czas trwania zlecenia najczęściej będzie skorelowany z umową o współpracy zawartą przez administratora i podmiot przetwarzający.

Rodzaj danych, które obejmuje zlecenie ? oznacza to, że umowa powinna rozstrzygać jakie dane osobowe zostają objęte umową, np. imiona i nazwiska oraz numery telefonów.

Kategorie osób, których dane objęte są zleceniem ? mogą to być dane osobowe pracowników czy klientów firmy,

Cel przetwarzania ? cel przetwarzania najczęściej wynika z charakteru współpracy, jaka wiąże strony, np. usługi informatyczne.

Obowiązki i prawa administratora ? można określić, że administrator będzie mógł kontrolować sposób przetwarzania danych osobowych przez zleceniobiorcę.

Zobowiązanie sie zleceniobiorcy do zachowania w tajemnicy przetwarzanych danych osobowych.
Obowiązek zwrotu danych osobowych lub ich usunięcia po zakończeniu współpracy.
Umowa zlecenie przetwarzania danych osobowych może być częścią umowy ?głównej? łączącej administratora i zleceniobiorcę bądź może być osobnym dokumentem.
RODO przewiduje, że taka umowa może być zawarta w formie pisemnej lub elektronicznej.

[09061303]

No tak, niepełne ale wrażliwe ale co na to RODO ? Z tego co wiem, to powinno wystarczyć wysyłanie drogą elektroniczną danych wrażliwych pacjenta, ponieważ używają do tego celu dwie strony https.

Nie są niepełne - PESEL to już dana osobowa pełna.
Poruszyłeś dwie rzeczy. Pierwsza to forma i sposób komunikacji - to jest akurat pikuś, ponieważ w ten (SZOI) lub inny (mail na PŚ) sposób da się dane wysłać zaszyfrowane (SZOI, jak wspomniałeś, komunikacja szyfrowana, PŚ - szyfrowanie automatem raportu przez aplikację jak np.  w Somedzie, czy programik zewnętrzny kamsoftu, który robi to samo; nawiasem - ciekawe czy zaszyfrowany komunikat programikiem wspomnianym łyknięty może być przez SZOI - chyba tak, ale nikt pewnie tego nie sprawdzał). W ten sposób mamy zapewnioną bezpieczną komunikację.
Problem leży, gdzie indziej - na jakiej podstawie jako ADO udostępniamy dane NFZtowi? Poruszyłeś temat umowy - bardziej odnosi się to do sytuacji, gdzie masz firmę informatyczną serwisującą i dajesz im dostęp do danych (Ty wybierasz firmę, możesz ją mieć lub nie). Przy umowie z NFZ masz pewne rzeczy narzucone i dlatego zastanawiam się czy nie powinno być to jakoś inaczej uregulowane.
Aczkolwiek - masz umowę z NFZtem. Wystarczy, że w tej umowie zostaną zawarte odpowiednie zapisy (umowę przygotowuje NFZ, więc on powinien takie zapisy do niej dodać). Chyba, że NFZ będzie chciał oddzielną umowę - nie wiadomo. Artykuł w RODO na taką okoliczność (masz obowiązek sprawozdawania tych danych z góry na podstawie umowy z NFZ) pewnie by się znalazł. Według mnie NFZ powinien coś na ten temat w komunikacie napisać.
Spróbuj zapytać pisemnie w NFZ - ciekawe, co odpowiedzą.

[mpi]

Witam,

Czy ktoś wiedziałby, czy potrzebna będzie jakaś dodatkowa umowa/aneks z NFZ po wejściu w życie 25.V.18 RODO ? Przecież do bazy NFZ wysyłamy, można powiedzieć codziennie, pełne dane osobowe pacjentów z chorobami itp. Czy też należałoby to ująć jakoś w swojej Polityce Bezpieczeństwa Informacji placówki medycznej ?

pozdrawiam,
zwkrz

W polityce to powinno być już od dawna - w końcu jest to udostępnianie danych osobowych.
Podstawą jest art. 189 Ustawy o świadczeniach opieki zdrowotnej finansowanych ze środków publicznych. Na moja logikę RODO nic tu nie zmienia.
Jak to już zauważono nie ma pełnych/niepełnych danych osobowych. To tak jakby pełny/niepełny pacjent przyszedł do lekarza.

Wymogi umowy zlecenia przetwarzania danych osobowych określa art. 28 RODO. Strony umowy zlecenia przetwarzania danych osobowych muszą określić:

Nie czytałem RODO, ale podejrzewam, że mylisz pojęcia. Ty nie masz z NFZ umowy na przetwarzanie danych. Ty masz umowę na udzielanie świadczeń zdrowotnych, a udzielając tych świadczeń przetwarzasz dane osobowe. Ponadto przekazujesz część z tych danych do NFZ.
Przepis który przytoczyłeś prawdopodobnie dotyczy dawnego powierzenia przetwarzania danych. Takie coś występuje np. jeśli zlecasz do biura rachunkowego prowadzenie księgowości i spraw kadrowo-płacowych. Wtedy biuro przetwarza na zlecenie dane osobowe, których Ty jesteś Administratorem tj. dane klientów, dostawców, pracowników itd.

No tak, niepełne ale wrażliwe ale co na to RODO ? Z tego co wiem, to powinno wystarczyć wysyłanie drogą elektroniczną danych wrażliwych pacjenta, ponieważ używają do tego celu dwie strony https.

Proszę zleć to komuś - wyjdziesz na tym najlepiej. Jeśli jesteś lekarzem to wyobraź sobie, że ktoś bez nawet kilkugodzinnego przeszkolenia próbuje rozmawiać np. o neurochirurgii. Jego pytania będą własnie brzmiały tak jak zacytowany wyżej fragment.

[kz]

Witam,

Czy ktoś wiedziałby, czy potrzebna będzie jakaś dodatkowa umowa/aneks z NFZ po wejściu w życie 25.V.18 RODO ? Przecież do bazy NFZ wysyłamy, można powiedzieć codziennie, pełne dane osobowe pacjentów z chorobami itp. Czy też należałoby to ująć jakoś w swojej Polityce Bezpieczeństwa Informacji placówki medycznej ?

pozdrawiam,
zwkrz

W polityce to powinno być już od dawna - w końcu jest to udostępnianie danych osobowych.
Podstawą jest art. 189 Ustawy o świadczeniach opieki zdrowotnej finansowanych ze środków publicznych. Na moja logikę RODO nic tu nie zmienia.
Jak to już zauważono nie ma pełnych/niepełnych danych osobowych. To tak jakby pełny/niepełny pacjent przyszedł do lekarza.

Znalazłem taką oto odpowiedź na https://giodo.gov.pl/318/id_art/3423/j/pl :

"Czy Narodowy Fundusz Zdrowia ma prawo przetwarzać dane osobowe świadczeniobiorcy i świadczeniodawcy?

Tak, NFZ może przetwarzać dane osobowe świadczeniodawcy i świadczeniobiorcy ponieważ zezwalają na to przepisy ustawy o świadczeniach opieki zdrowotnej finansowanych ze środków publicznych.

Uzasadnienie:

Ustawa o ochronie danych osobowych określa jedynie ogólne zasady przetwarzania danych osobowych, zaś ich uszczegółowienie znajduje się w innych ? branżowych ? przepisach prawa. Tym samym ustawa o ochronie danych osobowych odsyła do przepisów szczególnych, regulujących działalność określonych podmiotów i instytucji, wskazujących w jakich przypadkach i w jakim zakresie mogą one przetwarzać dane osobowe, aby obowiązki i uprawnienia nałożone na nie mocą tych przepisów mogły być realizowane.

Narodowy Fundusz Zdrowia działając na podstawie przepisów ustawy z dnia 27 sierpnia 2004 r. o świadczeniach opieki zdrowotnej finansowanych ze środków publicznych, jest uprawniony do przetwarzania danych osobowych wskazanych w tej ustawie podmiotów (m.in. lekarzy ? świadczeniodawców i pacjentów - świadczeniobiorców). Przetwarzanie przez NFZ tych danych ma na celu m.in. kontrolę przestrzegania zasad legalności, gospodarności, rzetelności i celowości udzielania świadczeń zdrowotnych.

Zgodnie z art. 188 b ww. ustawy w celu realizacji zadań określonych w ustawie NFZ jest uprawniony do przetwarzania danych osobowych osób udzielających świadczeń (np. lekarza) na podstawie umów o udzielanie świadczeń opieki zdrowotnej obejmujący między innymi nazwisko i imię, numer prawa wykonywania zawodu.

Ponadto NFZ może zwrócić się bezpośrednio do świadczeniobiorcy (pacjenta) o informacje w zakresie udzielonych mu świadczeń opieki zdrowotnej (art. 192 a ww. ustawy).

Zatem, jak wynika z powyższego NFZ ma prawo przetwarzać dane osobowe zarówno świadczeniobiorcy jaki i świadczeniodawcy."

No tak, niepełne ale wrażliwe ale co na to RODO ? Z tego co wiem, to powinno wystarczyć wysyłanie drogą elektroniczną danych wrażliwych pacjenta, ponieważ używają do tego celu dwie strony https.

Proszę zleć to komuś - wyjdziesz na tym najlepiej. Jeśli jesteś lekarzem to wyobraź sobie, że ktoś bez nawet kilkugodzinnego przeszkolenia próbuje rozmawiać np. o neurochirurgii. Jego pytania będą własnie brzmiały tak jak zacytowany wyżej fragment.

Nie, dziękuję za taką pomoc. Zawsze sam staram się je rozwiązywać, takiego typu odpowiedzi nie są trafione na forum, gdzie ktoś szuka pomocy.

Dopiero wdrażam się w szczegóły RODO i sam przygotowuję infrastrukturę do nowych przepisów. Jestem na etapie dostosowania IT oraz sporządzania dokumentacji zgodnej z RODO.
Jakby ktoś potrzebował przykładów mogę wysłać.

pozdrawiam,
zwkrz

[karolweksler]

@do osób, które stoją na stanowisku, że PESEL to dane osobowe

Art. 6. 1. W rozumieniu ustawy za dane osobowe uważa się wszelkie informacje
dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej.
2. Osobą możliwą do zidentyfikowania jest osoba, której tożsamość można
określić bezpośrednio lub pośrednio, w szczególności przez powołanie się na numer
identyfikacyjny albo jeden lub kilka specyficznych czynników określających jej cechy
fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne.
3. Informacji nie uważa się za umożliwiającą określenie tożsamości osoby, jeżeli
wymagałoby to nadmiernych kosztów, czasu lub działań.
http://prawo.sejm.gov.pl/isap.nsf/DocDetails.xsp?id=wdu19971330883

Naprawdę bez "nadmiernych kosztów, czasu lub działań" jesteście w stanie określić do kogo należy pesel 56020605792 (to losowy pesel z generatora PESELi)?

@do autora tematu

Wydrukuj ten komunikat i włóż do teczki z dokumentacją ochrony danych osobowych

http://nfz.gov.pl/aktualnosci/aktualnosci-centrali/komunikat-dla-swiadczeniobiorcow,7102.html

[mpi]

(...) Znalazłem taką oto odpowiedź na https://giodo.gov.pl/318/id_art/3423/j/pl : (...)

Rozumiem, że zdajesz sobie sprawę iż podstawa do przetwarzania danych przez NFZ lub Ciebie oraz do ich udostępniania nie zwalnia Cię z pozostałych obowiązków?

(...) Nie, dziękuję za taką pomoc. Zawsze sam staram się je rozwiązywać, takiego typu odpowiedzi nie są trafione na forum, gdzie ktoś szuka pomocy. (...)

Krótka pomoc, odpowiedź na jakieś pytanie, rozwianie wątpliwości to jedno a nauka od podstaw to drugie. Forum nie uczy od podstaw. Naprawdę nie chcę Cię urazić, ale Twoje pytania wskazują na zerowy brak wiedzy w tym zakresie - informatycznej czy też prawnej.
Brawo za chęci i dążenie do samodzielnego poradzenia sobie w tym temacie, ale może Cię to kosztować. Więcej niż byś zapłacił specjaliście. Nie reklamuję swoich (nie zajmuję się tym tematem) ani kogokolwiek usług. Mało tego... w innym wątku kwestionuję jakość świadczonych usług w zakresie ODO przez firmy z którymi się spotkałem i radzę robić dokumentację samemu. Ale jeśli posiada się jakąkolwiek wiedzę i doświadczenie.
Co powiesz komuś kto postanawia się zacząć leczyć samodzielnie? Czyta w internecie dużo artykułów medycznych, pyta na forach i na tej podstawie stawia diagnozę, bierze leki itd?
W każdym razie co by nie było to życzę Ci dobrze. Mam nadzieję, że masz tyle samozaparcia i wolnego czasu i to zrobisz.

@do osób, które stoją na stanowisku, że PESEL to dane osobowe
(...)
Naprawdę bez "nadmiernych kosztów, czasu lub działań" jesteście w stanie określić do kogo należy pesel 56020605792 (to losowy pesel z generatora PESELi)?

http://curia.europa.eu/juris/liste.jsf?num=C-582/14&language=EN

Wydaje się zatem, że dostawca usług medialnych online dysponuje środkami, którymi może, racjonalnie rzecz biorąc, posłużyć się w celu zidentyfikowania - z pomocą innych osób, czyli właściwego organu i dostawcy dostępu do Internetu - osoby, której dane dotyczą, na podstawie przechowywanych adresów IP.

Najogólniej pisząc: obywatel Niemiec twierdził, że służby federalne prowadzące stronę internetową przetwarzają jego dane osobowe w postaci adresu IP. Powyżej przytoczyłem tylko fragment wyroku Trybunału Sprawiedliwości UE. Zwróć uwagę - nawet jeśli istnieje tylko teoretyczna możliwość zidentyfikowania danej osoby z pomocą właściwego organu zmienny adres IP jest daną osobową. Po nr PESEL chyba dużo łatwiej zidentyfikować konkretną osobę?

cytat ze strony GIODO:

W świetle powyższej definicji należy przyjąć, że danymi osobowymi nie będą pojedyncze informacje o dużym stopniu ogólności, np. nazwa ulicy i numer domu czy wysokość wynagrodzenia. Informacja ta będzie jednak stanowić daną osobową wówczas, gdy zostanie zestawiona z innymi dodatkowymi informacjami, które w konsekwencji można odnieść do konkretnej osoby. Przykładem pojedynczej informacji stanowiącej daną osobową jest natomiast numer PESEL, który zgodnie z art. 15 ust. 2 ustawy z dnia 24 września 2010 r. o ewidencji ludności (Dz.U. z 2015 r. poz. 388) jest 11-cyfrowym symbolem numerycznym, jednoznacznie identyfikującym osobę fizyczną, w którym sześć pierwszych cyfr oznacza datę urodzenia (rok, miesiąc, dzień), kolejne cztery - liczbę porządkową i płeć osoby, a ostatnia jest cyfrą kontrolną służącą do elektronicznej kontroli poprawności nadanego numeru ewidencyjnego. Można więc stwierdzić, że numer PESEL ex definitione stanowi daną osobową, a jej przetwarzanie podlega wszelkim rygorom przewidzianym w ustawie o ochronie danych osobowych.

Wydrukuj ten komunikat i włóż do teczki z dokumentacją ochrony danych osobowych
http://nfz.gov.pl/aktualnosci/aktualnosci-centrali/komunikat-dla-swiadczeniobiorcow,7102.html

W tym artykule jest mowa o przetwarzaniu danych osobowych przez NFZ a nie przez autora tematu. Nie ma też nic na temat udostępniania /przekazywania danych osobowych do NFZ przez świadczeniodawców.

[karolweksler]

@mpi ja przytoczyłem ustawę a nie interpretację.  Ustawa to obowiązujące prawo, interpretacja to interpretacja i może się ona różnić w zależności od interpretującego (również między sądami). Oczywiście że dostawca medialny nie musi stosować "nadmiernych kosztów, czasu lub działań" żeby zestawić IP z danymi osoby (zwłaszcza jeśli też oferuje internet), ale odwróciłeś kota ogonem zamiast odpowiedzieć "tak" lub "nie" ani nie podałeś do kogo należy ten pesel który podałem?

[mpi]

Miałem coś napisać, ale doszedłem do wniosku "Rób jak chcesz, skoro wiesz lepiej. Szkoda mojego czasu na pisanie".

Tak na marginesie najlepsze jest: zwłaszcza jeśli też oferuje internet...

Powodzenia.

[ndakota]

Tak jak @MPI napisał, podstawą przekazywania danych do NFZ jest art. 189 Ustawy o świadczeniach opieki zdrowotnej finansowanych ze środków publicznych. Nie jest wymagane podpisywanie jakiegoś porozumienia z NFZ, bo przekazywanie to jest wymuszone ustawowo. Tak samo nie podpisujemy porozumienia z Urzędem Skarbowym, ZUSem i innymi fajnymi instytucjami, gdzie przekazujemy dane pracowników (Płatnik itp), po prostu mamy obowiązek określone informacje przekazać i żadne RODO tego nie zmieni

Inna sprawa jest ze zbiorami "marketingowymi", przekazywanie ich gdzieś dalej wymaga jak najbardziej porozumień, umów powierzenia itp.

[kz]

Ja osobiście przestrzegam przed podawaniem pełnych PESEL-i. Jak ktoś już musi, to można podać początek 6 cyfr, tak jak się podaje tylko imię pacjenta wywołując go w przychodni z kolejki. Zawsze ktoś się znajdzie, kto wklepie ten PESEL do eWUŚ albo innej wyszukiwarki urzędowej. Po co robić sobie kłopot jeśli wiemy, że są tacy którzy chcą się wykazać swoją skutecznością w walce z "przestępcą".

pozdrawiam,

[zibi]

Miałem coś napisać, ale doszedłem do wniosku "Rób jak chcesz, skoro wiesz lepiej. Szkoda mojego czasu na pisanie".

Tak na marginesie najlepsze jest: zwłaszcza jeśli też oferuje internet...

Powodzenia.

Admin - dorób proszę "LUBIĘ TO"