KS-SOMED a RODO

[Sorn]

Zadam inne pytanie.
Na podstawie jakiej definicji przeglądanie danych osobowych jest traktowane jako ich przetwarzanie.
Definicja przetwarzania określa czynności tj. zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie.
Pod którą z tych czynności podchodzi zobaczenie danych osobowych?
Zupełnie nie rozumie przyczyny gwiazdkowania danych osobowych pacjentów.
Dane pracowników można przetwarzać już bez problemu, bo nigdzie nie są maskowane, a to też są dane osobowe.

[09061303]

No np tutaj
https://gdpr.pl/artykul-4-definicje
definicja jest taka, że przeglądanie to też przetwarzanie.

Ogólnie Kamsoft nie jest jedyny, który uznaje przeglądanie za przetwarzanie, ale w tym przypadku musi się tak samo pochodzić do danych papierowych jak i przechowywanych w systemach. To te same zbiory. To, że komputery cokolwiek ułatwiają nie znaczy, że powinno się zmieniać podejście do wersji papierowych.

Twoja wypowiedź potwierdziła jedynie, to co napisałem - każdy producent powinien dać decyzyjność w określeniu co jest dla niego przetwarzaniem (opcje) ewentualnie z zaleceniem czy sugestią, że wg ichnich prawników (zweryfikowane w 10alternatywnych kancelariach) powinno się logować nawet spojrzenie na ikonę programu. Wtedy wszyscy są szczęśliwi, a Administrator w razie W nie może mieć pretensji do producenta programu.

[Sorn]

Skupiłem się na definicji przetwarzania obecnym w polskim systemie prawnym.
Natomiast w samym Rozporządzeniu PE i Rady, przetwarzanie faktycznie jest ono bardzo szeroko rozumiane, także jako przeglądanie.

Na stronie UODO na szczęście jest dokument zawierający wskazówki i wyjaśnienia co do prowadzenia rejestru czynności przetwarzania (https://uodo.gov.pl/data/filemanager_pl/708.pdf)

W dokumencie czytamy taki przykład:
"w przypadku przetwarzania danych w celu obsługi umów sprzedaży określonych towarów i usług jako
?czynność przetwarzania? wskazać można ogólnie np. ?obsługa umów sprzedaży?, bez konieczności
wpisywania do rejestru cząstkowych operacji wykonywanych w ramach tego procesu, takich jak:
rejestrowanie danych nabywcy (klienta), wystawienie faktury, wydanie klientowi oryginału faktury,
przechowywanie kopii faktury w systemie sprzedaży, zapis danych z faktury w rejestrze VAT czy też po
zakończeniu każdego miesiąca generowanie pliku JPK-VAT, a po jego weryfikacji i podpisaniu - wysłanie do
urzędu skarbowego. "

Wydaje mi się, że szczegółowe i drobiazgowe zapisywanie "pracownik X zobaczył dane osobowe pacjenta Z" to rozminięcie się z tym czym rejestr czynności powinien być. W placówkach medycznych nic by nie robiono tylko zapisywano w wielkim zeszycie, że zaniosło się kartoteki pacjentów x,y,z,g,h,j do gabinetu, schowano je do szafy, itp. Stosowanie się do takiej interpretacji stanowiłoby paraliż pracy wielu firm, nie tylko medycznych.

Rejestr natomiast jest dokumentem statycznym. Opisuje ogólne procesy przetwarzania danych, które zachodzą w danym przedsiębiorstwie (link do przykładowego rejestru na przykładzie szkoły: https://uodo.gov.pl/data/filemanager_pl/735.xlsx). Jakie dane są zbierane, w jakim celu, kto nimi administruje, komu są przekazywane, itp.

Jeżeli się mylę w tym temacie, to proszę o wyjaśnienie.

[karolweksler]

Ja też rozumiem rejestr czynności przetwarzania jako jednorazowy dokument gdzie wpisujesz coś w stylu "prowadzenie dokumentacji medycznej pacjentów", a nie, że zapisujesz konkretnie którą historię choroby otworzyłeś itp. Przepis jest ogólny i dotyczy zarówno zbiorów papierowych, jak i elektronicznych, a nikt nie wyobraża sobie prowadzić szczegółowy rejestr czynności w odniesieniu do danych papierowych. Co nie znaczy, że system elektroniczny nie może rejestrować szczegółowych logów, żeby np. zbierać materiał dowodowy, który może się kiedyś przydać, gdy np. pracownik wykorzysta dane do własnych celów.

[Sorn]

Problem w tym, że te logi nie zbierają się jeżeli nie włączy się maskowania.
Nasz kontroling zaciera ręce, bo prosił o to już dawno jednak otrzymaliśmy odpowiedź, że za bardzo by baza puchła.