GoldenLine
Zaloguj się
Jakub B.

Jakub B. IOD (DPO)

Temat: Powierzenie - medycyna pracy

Dotarłem do stanowiska z książki wydanej przez Wolters Kluwer, Ochrona Danych Osobowych w szkole i przedszkolu, wyd. 2 (stan prawny na 1 lipca 2018)
i na stronie 116 stoi napisane:
"W przypadku świadczeń z zakresu profilaktycznej ochrony zdrowia pracowników, lekarz medycyny pracy realizuje swoje własne zadania, określone przepisami ustawy z 27.06.1997 o służbie medycyny pracy (Dz.U. z 2018 r. poz. 1155) oraz aktów wykonawczych wydanych na jej podstawie.
lekarz mp działa więc niezależnie od pracodawcy - nie realizuje zadań pracodawcy, ale własne zadania określone przepisami prawa. A zatem lekarz nie jest podmiotem przetwarzającym w rozumieniu art. 28 w zw. z art. 4 pkt 8 RODO. (...)
Lekarz udzielający świadczeń z zakresu medycyny pracy jest odbiorcą danych w rozumieniu art. 4 pkt. 9 RODO.
Udostępnienie przez pracodawcę lekarzowi medycyny pracy danych osobowych pracowników odbywa się na podstawie art. 6 i 9 RODO. Podstawę przekazania danych stanowią przepisy prawa, a nie zawarta umowa powierzenia danych"

Wobec powyższego, moim zdaniem, podpisywanie umów powierzenia jest nadmiarowe.
Link do wypowiedziLink
Grzegorz Krzemiński

Grzegorz Krzemiński 600+ projektów w
bezpieczeństwie |
Trener | RODO | HSSE
|...

Temat: Powierzenie - medycyna pracy

To jest trzecia strona dyskusji, więc nie będę powtarzał argumentów. Proponuję jednak przejść przez całość dyskusji oraz procesu o którym ona była. Bo już samo przebadanie to jest dwa czy trzy ostatnie kroki procesu.
Link do wypowiedziLink
Jakub B.

Jakub B. IOD (DPO)

Temat: Powierzenie - medycyna pracy

Grzegorz, proszę mnie poprawić, jeśli jestem w błędzie

Wybór podmiotu, który będzie realizować MP to decyzja "biznesowa" - realizujemy na podstawie ustalonych kryteriów i podpisanej umowy.
Przekazanie danych - pracodawca z mocy prawa musi skierować pracownika na badanie okresowe lub kandydata na badanie wstępne.
Zakres danych jaki jest konieczny do przekazania jest również ustalony aktami prawnymi.
Pozostałe konieczne dane, przekazuje sam pracownik przy rejestracji na badanie.
Po badaniu zaświadczenie zdolny/nie zdolny + ewentualnie praca w okularach itp.

Co pracodawca miałby zawrzeć w ewentualnej umowie powierzenia?
Link do wypowiedziLink
Grzegorz Krzemiński

Grzegorz Krzemiński 600+ projektów w
bezpieczeństwie |
Trener | RODO | HSSE
|...

Temat: Powierzenie - medycyna pracy

Zawarłeś treść - przekazanie. Spojrzyj co oznacza termin medycyna pracy i profilaktyka zdrowotna. Nie wiem dlaczego wszyscy skupiają się tylko i wyłącznie na badaniach jako takich. Tak, tutaj nie mam żadnej wątpliwości, że są adminem. Ale reszta?

Było w wątku. Sorry, nie chce mi się powtarzać.
Link do wypowiedziLink
Jacek Perkowski

Jacek Perkowski

Temat: Powierzenie - medycyna pracy

Grzegorz K.:
Jacek P.:
Grzegorz K.:
W zakresie całego procesu i wszystkich danych?
Jeżeli ten proces i zakres tych danych mieszczą się granicach ustawowych dot. konkretnego podmiotu to tak :)

Ale się nie mieszczą, co już w tym wątku szeroko opisane.

Posłużę się przykładem żeby nie abstrahować za bardzo ;)
1) Operator pocztowy jest administratorem danych zgodnie z ustawą i wszystko co wykonuje w ramach tej działalności na podstawie umów z klientami nie wymaga powierzenia (niezależnie czy rozpisze to co sobie wewnętrznie na 1, 5 czy 120 procesów).[ Podobnie medycyna pracy:)]

2) Jeśli jednak będzie wykonywał inne zadania - wykraczające poza swoją podstawową działalność wynikającą z przepisów - np. na zlecenie klienta będzie niszczył dane - to wtedy - nie będąc administratorem powinien robić to na podstawie powierzenia.
Link do wypowiedziLink
Grzegorz Krzemiński

Grzegorz Krzemiński 600+ projektów w
bezpieczeństwie |
Trener | RODO | HSSE
|...

Temat: Powierzenie - medycyna pracy

No a o czym była mowa wcześniej? ;-)

Np. o tym, jak zorganizowana jest praca w danej firmie. O tym, jak stanowiska sa ze sobą połączone. I wiele innych.

Nareszcie jakiś konsensus. Że medycyna nie jest od początku do końca adminem, ale adminem w WĄSKIM zakresie profilaktyki i medycyny pracy.
Link do wypowiedziLink
Jacek Perkowski

Jacek Perkowski

Temat: Powierzenie - medycyna pracy

Grzegorz K.:
No a o czym była mowa wcześniej? ;-)

Np. o tym, jak zorganizowana jest praca w danej firmie. O tym, jak stanowiska sa ze sobą połączone. I wiele innych.

Nareszcie jakiś konsensus. Że medycyna nie jest od początku do końca adminem, ale adminem w WĄSKIM zakresie profilaktyki i medycyny pracy.

Generalnie każdy podmiot prowadzący jakąkolwiek działalność - w zakresie wykraczającym poza określony w konkretnych dotyczących go przepisach - "nie jest od początku do końca adminem" albo przynajmniej może nie być tym adminem.
Ale żeby to rozstrzygnąć - należy w pierwszym rzędzie przeanalizować przepisy, a dopiero później ujmować te zagadnienia w inny sposób - np. od strony procesowej :)
Link do wypowiedziLink
Grzegorz Krzemiński

Grzegorz Krzemiński 600+ projektów w
bezpieczeństwie |
Trener | RODO | HSSE
|...

Temat: Powierzenie - medycyna pracy

Najpierw to trzeba przeanalizować proces. ;-) A potem zobaczyć, które przepisy mają zastosowanie. Nigdy odwrotnie, sorry.

Proces ma być zgodny z przepisem, a nie przepis z procesem ;-)
Link do wypowiedziLink
Jacek Perkowski

Jacek Perkowski

Temat: Powierzenie - medycyna pracy

Prawdopodobnie mówimy o tym samym (albo czymś b. podobnym), tylko trochę inaczej akcentując :)

Proces ma być zgodny z przepisem, a nie przepis z procesem ;-)
Niczego innego bym nie napisał, to w sumie oczywista oczywistość ;)
zgadzam się, priorytet ma przepis przed procesem :)
Link do wypowiedziLink
Michał Sadowski

Michał Sadowski IOD/ADO/ASI/IT
Administrator @
IODInspektor.pl

Temat: Powierzenie - medycyna pracy

Update. Ostatecznie udało mi się uzyskać zgodę od dużego podmiotu świadczącego uslugi medyczne co do tego że w relacjach Firma - Med oba podmioty występują jako niezależni administratorzy i powierzenia w ogóle nie ma. Podpisujemy porozumienie w tej sprawie i temat zamykamy :)
Link do wypowiedziLink
Jakub B.

Jakub B. IOD (DPO)

Temat: Powierzenie - medycyna pracy

Świadomość rośnie jak widać
Link do wypowiedziLink

konto usunięte

Temat: Powierzenie - medycyna pracy

Michał S.:
Update. Ostatecznie udało mi się uzyskać zgodę od dużego podmiotu świadczącego uslugi medyczne co do tego że w relacjach Firma - Med oba podmioty występują jako niezależni administratorzy i powierzenia w ogóle nie ma. Podpisujemy porozumienie w tej sprawie i temat zamykamy :)

Gratuluję. My jesteśmy jeszcze w trakcie walki ale u benefita sportowego udało mi się wymusić, aby w ich panelu nie były widoczne dane osób towarzyszących, a tylko imiona i nazwiska pracownika plus kwota, jaką kadrowa musi odjąć od wypłaty ( w zależności, czy osoba towarzysząca od pracownika też korzysta, czy nie). Sami pracownicy i ich osoby towarzyszące rejestrują się przez swoje konta, więc nawet nie dotykamy tych danych.
Czyli u jednego benefita mam spokój.

Przede mną Med i Ubezpieczyciel jeszcze.
Link do wypowiedziLink
Michał Sadowski

Michał Sadowski IOD/ADO/ASI/IT
Administrator @
IODInspektor.pl

Temat: Powierzenie - medycyna pracy

Karolina K.:

Przede mną Med i Ubezpieczyciel jeszcze.

W moim przypadku rozmowa z ubezpieczycielem była jak kopanie się z koniem. Odpuściłem i zawarliśmy umowę powierzenia z brokerem który wziął na siebie relacje z ubezpieczycielem. W sumie okazało się to najlepszym wyjściem :)
Link do wypowiedziLink
Paweł G.

Paweł G. IOD, podmiot danych

Temat: Powierzenie - medycyna pracy

Brokerzy to też raczej odrębni administratorzy danych.
Link do wypowiedziLink
Michał Sadowski

Michał Sadowski IOD/ADO/ASI/IT
Administrator @
IODInspektor.pl

Temat: Powierzenie - medycyna pracy

Paweł G.:
Brokerzy to też raczej odrębni administratorzy danych.

W swoim zakresie. W zakresie danych które zostały im powierzone działają w imieniu i na polecenie administratora.
Link do wypowiedziLink
Paweł G.

Paweł G. IOD, podmiot danych

Temat: Powierzenie - medycyna pracy

I będziesz przeprowadzać kontrole u brokera?
Link do wypowiedziLink
Michał Sadowski

Michał Sadowski IOD/ADO/ASI/IT
Administrator @
IODInspektor.pl

Temat: Powierzenie - medycyna pracy

Paweł G.:
I będziesz przeprowadzać kontrole u brokera?

A tak naprawdę to do czego zmierzasz? Odpowiadając na pytanie: tak, będę przeprowadzał zgodnie z warunkami zawartej umowy powierzenia.
Link do wypowiedziLink
Paweł G.

Paweł G. IOD, podmiot danych

Temat: Powierzenie - medycyna pracy

Tu dość jasno:
https://www.insly.com/pl/blog/agent-ubezpieczeniowy-pro...

"Często spotykamy się z pytaniem o rolę pośredników ubezpieczeniowych w procesie przetwarzania danych osobowych. O ile obowiązki brokera ubezpieczeniowego możemy określić dość jasno i występuje on jako administrator danych osobowych, to w przypadku agenta ubezpieczeniowego nierzadko pojawiają się wątpliwości." Podkr. moje.

Ciekaw jestem, czy jeżeli taki broker, będący faktycznie administratorem danych, dopuszcza do danych kontrolera ze strony rzekomego powierzającego, to jest to incydent naruszenia bezpieczeństwa danych?
Link do wypowiedziLink
Michał Sadowski

Michał Sadowski IOD/ADO/ASI/IT
Administrator @
IODInspektor.pl

Temat: Powierzenie - medycyna pracy

Paweł G.:
Ciekaw jestem, czy jeżeli taki broker, będący faktycznie administratorem danych, dopuszcza do danych kontrolera ze strony rzekomego powierzającego, to jest to incydent naruszenia bezpieczeństwa danych?

Nie no chyba popłynąłeś myślami w nieznanym mi kierunku :) Broker jest ADO dla swoich danych oraz procesorem dla danych mu powierzonych (RCP/RKP), Analogicznie jak np. biuro rachunkowe prowadzące obsługę księgowo-kadrową na rzecz podmiotów trzecich. Proponuję nie ciągnąć dalej tego wątku bo odbiega on od głównego tematu. Jeśli masz jakieś dalsze pytania w tej sprawie to zapraszam na priv. Chętnie odpowiem. EOT
Link do wypowiedziLink
Paweł G.

Paweł G. IOD, podmiot danych

Temat: Powierzenie - medycyna pracy

Michał S.:
Broker jest ADO dla swoich danych oraz procesorem dla danych mu powierzonych
Powierzenie nie wynika z tego, jak się strony umówią, lecz jest faktem obiektywnym. Tu od początku broker wobec tych danych realizuje własne cele przetwarzania, sam też określa sposoby przetwarzania, tak więc jest administratorem. Na przykład broker podlega nadzorowi, musi zatem udostępniać dane na własną rękę, broker samodzielnie pozyskuje od różnych ubezpieczycieli dane o przebiegu ubezpieczenia klienta itd.
Analogicznie jak np. biuro rachunkowe prowadzące obsługę księgowo-kadrową na rzecz podmiotów trzecich.
Wątpię, czy to trafna analogia.Ten post został edytowany przez Autora dnia 27.09.18 o godzinie 09:29
Link do wypowiedziLink
« Wróć do tematów
Odpowiedz

Podobne tematy


Następna dyskusja:

Dane osobowe a medycyna pracy




Wyślij zaproszenie do
Anuluj