Logo biura

Infolinia Urzędu 606-950-000

Infolinia Urzędu 606-950-000

Czy z laboratorium należy zawrzeć umowę powierzenia?

Samodzielny Publiczny Zespół Zakładów Zdrowotnych (SPZZOZ) zawarł umowę na wykonywanie badań przez laboratorium. Badania obejmują próbki pobrane i dostarczone przez szpital i przychodnie SPZZOZ od osób przebywających na oddziałach szpitalnych oraz od osób kierowanych na badanie przez poradnie/przychodnie wchodzące w skład SPZZOZ (objęte ww. umową). Czy do takiej umowy głównej powinno się zawrzeć umowę powierzenia przetwarzania danych osobowych?

Żeby określić status danego podmiotu w procesie przetwarzania należy przede wszystkim kierować się definicjami administratora i podmiotu przetwarzającego zawartymi w RODO.

Zgodnie z art. 4 pkt 7 RODO, „administrator” oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych; jeżeli cele i sposoby takiego przetwarzania są określone w prawie Unii lub w prawie państwa członkowskiego, to również w prawie Unii lub w prawie państwa członkowskiego może zostać wyznaczony administrator lub mogą zostać określone konkretne kryteria jego wyznaczania. Natomiast podmiot przetwarzający, zgodnie z art. 4 pkt 8 RODO, oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który przetwarza dane osobowe w imieniu administratora.

Zatem w myśl przepisów RODO, konieczność zawarcia umowy powierzenia przetwarzania danych osobowych istnieje wówczas, gdy administrator zleca wykonywanie swoich zadań innemu podmiotowi (podmiotowi przetwarzającemu). Istotne jest podkreślenie, że podmiot przetwarzający przetwarza dane w imieniu administratora, a nie w imieniu własnym (tj. nie staje się administratorem tych danych). Podmiot przetwarzający nie decyduje bowiem o celach i sposobach przetwarzania, gdyż przetwarza dane osobowe wyłącznie na udokumentowane polecenie administratora (art. 28 ust. 3 lit. a RODO).

Inną kwestią jest udostępnienie danych osobowych innemu administratorowi. Do takiego udostępnienia danych dochodzi, jeśli dane te przekazywane są innemu podmiotowi w celu realizacji przez ten podmiot jego własnych zadań, wynikających np. z przepisów prawa. Staje się on wtedy odrębnym administratorem.

Regulacje dotyczące diagnostyki laboratoryjnej znaleźć można w szczególności w ustawie o działalności leczniczej, ustawie o prawach pacjenta i Rzeczniku Praw Pacjenta, ustawie o diagnostyce laboratoryjnej oraz w rozporządzeniu Ministra Zdrowia z dnia 23 marca 2006 r. w sprawie standardów jakości dla medycznych laboratoriów diagnostycznych i mikrobiologicznych.

Zgodnie z art. 11 ustawy o działalności leczniczej badania diagnostyczne zostały zaliczone do szczególnego rodzaju działalności leczniczej, jakim jest ambulatoryjne świadczenie zdrowotne. Bliższa charakterystyka tej działalności zawarta jest w ustawie o diagnostyce laboratoryjnej. Zgodnie z art. 1a tejże ustawy, medyczne laboratorium diagnostyczne wykonuje badania in vitro materiału biologicznego. Laboratorium diagnostyczne zazwyczaj jest zakładem leczniczym podmiotu leczniczego w rozumieniu przepisów ustawy o działalności leczniczej, ale może być także jednostką organizacyjną zakładu leczniczego podmiotu leczniczego, instytutu badawczego albo uczelni medycznej (art. 17 ustawy o diagnostyce laboratoryjnej).

W celu wykonywania badań diagnostycznych podmioty świadczące takie usługi przetwarzają dane osobowe osób, od których pochodzi materiał do tych badań. Dane te pozyskiwane są bezpośrednio od osób, których dotyczą lub też z innych źródeł, np. od szpitali, które zlecają tym podmiotom wykonywanie badań próbek pobranych od swoich pacjentów.

Przetwarzając powyższe dane osobowe, laboratorium diagnostyczne realizuje swoje własne zadania, związane chociażby z:

  • obowiązkiem prowadzenia, przechowywania i udostępniania dokumentacji medycznej pacjenta (art. 24 w zw. z art. 23 ustawy o prawach pacjenta i Rzeczniku Praw Pacjenta),
  • uprawnieniem diagnosty laboratoryjnego do zgłaszania Prezesowi Urzędu Rejestracji Produktów Leczniczych, Wyrobów Medycznych i Produktów Biobójczych lub podmiotowi odpowiedzialnemu za wprowadzenie produktu leczniczego do obrotu działania niepożądanego produktu leczniczego (art. 27a ustawy o diagnostyce laboratoryjnej),
  • obowiązkiem diagnosty laboratoryjnego zgłaszania wyniku określonych badań właściwemu państwowemu inspektorowi sanitarnemu  (art. 29 ust. 1 ustawy o zapobieganiu i zwalczania zakażeń i chorób zakaźnych u ludzi).

Ponadto zgodnie z art. 26 ust. 3 pkt 1 ustawy o prawach pacjenta i Rzeczniku Praw Pacjenta podmiot udzielający świadczeń zdrowotnych udostępnia dokumentację medyczną m.in. podmiotom udzielającym świadczeń zdrowotnych, jeżeli dokumentacja ta jest niezbędna do zapewnienia ciągłości świadczeń zdrowotnych. Z takim udostępnieniem, a więc w celu zapewnienia ciągłości leczenia, mamy do czynienia w sytuacji, w której dane osobowe pacjentów są przekazywane przez placówkę medyczną do zewnętrznego laboratorium diagnostycznego.

Powyższe pozwala zasadnie przyjąć, że w przypadku gdy np. szpital zleca przeprowadzenie badań podmiotowi świadczącemu usługi z zakresu diagnostyki laboratoryjnej, podmiot ten przetwarza pozyskane w tym celu dane osobowe dla realizacji własnych zadań. W takiej sytuacji mamy zatem do czynienia z udostępnieniem danych osobowych na rzecz odrębnego administratora.

Powyższe oznacza, że nie istnieje tutaj relacja administrator – podmiot przetwarzający. Tym samym nie ma podstaw do zawarcia umowy powierzenia przetwarzania danych osobowych.

 

2020-06-03 Metadane artykułu
Podmiot udostępniający: Departament Orzecznictwa i Legislacji
Wytworzył informację: Monika Młotkiewicz 2020-06-03
Wprowadził‚ informację: Edyta Madziar 2020-06-03 15:06:41
Ostatnio modyfikował: Edyta Madziar 2020-06-03 15:12:23