Logo biura

Infolinia Urzędu 606-950-000

Infolinia Urzędu 606-950-000

Na co zwrócić szczególną uwagę przy powierzeniu danych osobowych w sektorze medycznym?

W działalności podmiotów leczniczych, z którymi współpracuję jako IOD, zdarzają się wątpliwości co do potrzeby zawierania umowy powierzenia przetwarzania danych osobowych. Ponadto wątpliwości budzi, czy takie powierzenie przetwarzania powinno odpowiadać dodatkowym warunkom, skoro mamy do czynienia z sektorem medycznym.

Powierzenie przetwarzania danych osobowych powinno mieć miejsce wówczas, jeśli zewnętrzny podmiot przetwarza dane w imieniu administratora, w celach określonych przez administratora i zgodnie z jego poleceniami i instrukcjami. W przypadku powierzenia przetwarzania danych to administrator musi legitymować się podstawą prawną do przetwarzania wynikającą z art. 6 lub art. 9 RODO oraz ponosi odpowiedzialność za zgodność tego przetwarzania z przepisami o ochronie danych osobowych, również w zakresie przetwarzania, które powierzył innemu podmiotowi. W motywie 79 RODO podkreślono, że ochrona praw i wolności osób, których dane dotyczą, oraz obowiązki i odpowiedzialność prawna administratorów i podmiotów przetwarzających – także w odniesieniu do monitorowania ze strony organów nadzorczych i do środków przez nie stosowanych – wymagają dokonania w ramach niniejszego rozporządzenia jasnego podziału obowiązków, także w sytuacji, gdy administrator określa cele i sposoby przetwarzania wspólnie z innymi administratorami lub gdy operacji przetwarzania dokonuje się w imieniu administratora.

To, czy w danej sytuacji należy skorzystać z powierzenia przetwarzania danych wymaga przeprowadzenia analizy uwzględniającej przepisy prawa regulujące działalność podmiotów leczniczych oraz o stan faktyczny, w którym funkcjonują podmioty, pomiędzy którymi dochodzić będzie do przepływu danych. Na tej podstawie należy ustalić, jakie dane osobowe są przetwarzane, jakie zadania/cele są realizowane, do którego z podmiotów one należą, a w związku z tym, który podmiot decyduje o celach przetwarzania, a także, czy któryś z nich działa na zlecenie administratora i realizuje jego cele, czy też wspólnie ustalają cele i sposoby przetwarzania.

Ponadto, tak jak wskazujemy w odpowiedzi na pytanie Czy lekarzom należy nadawać upoważnienia?, jednym z warunków kwalifikowania danej relacji jako relacji administrator - podmiot przetwarzający jest posiadanie przez podmiot przetwarzający statusu odrębnego (zewnętrznego) podmiotu od administratora. Między innymi dlatego pracownicy i inne osoby, które działają pod bezpośrednim zwierzchnictwem administratora (na przykład tymczasowo zatrudnieni pracownicy) nie są podmiotami przetwarzającymi, ponieważ przetwarzają dane, będąc częścią organizacji administratora. Zgodnie z art. 29 RODO są one również związane instrukcjami administratora.

Gdy działalność jest wykonywana przez lekarza w siedzibie podmiotu leczniczego, na warunkach techniczno-organizacyjnych określonych przez ten podmiot i w związku z przetwarzaniem danych osobowych klientów podmiotu leczniczego jako świadczeniodawcy, dochodzi do quasi-zatrudnienia. Ponieważ działalność ta może być wykonywana wyłącznie w zakładzie leczniczym na podstawie kontraktu umowy z  podmiotem leczniczym, stanowi ona substytut zatrudnienia. Inny słowy w sytuacji lekarza zatrudnionego na kontrakcie, tj. na podstawie umowy cywilnej, mamy do czynienia z relacją podobną do tej, jaka występuje w przypadku pracodawcy i pracownika. Lekarz nie ma wówczas statusu podmiotu odrębnego od administratora i nie należy go traktować ani jako osobnego administratora, ani jako podmiotu przetwarzającego. Niemniej w praktyce podmiotów leczniczych mogą występować również inne modele współpracy. Dlatego ustalenie wzajemnych relacji pomiędzy podmiotami zawierającymi kontrakt powinno następować na podstawie analizy danego przypadku. Umowy cywilnoprawne, w zależności od uregulowań, mogą różnić się od siebie zarówno zakresem obowiązków, jak i stopniem zależności od podmiotu leczniczego.

Pytanie dotyczy podmiotów leczniczych, a zatem dodatkowo należy mieć na uwadze, że zgodnie z przepisami ustawy o prawach pacjenta i Rzeczniku Praw Pacjenta (art. 24 ust. 5-7) w przypadku powierzenia przetwarzania danych osobowych zawartych w dokumentacji medycznej, poza warunkami przewidzianymi w art. 28 ust. 3 RODO muszą być spełnione dodatkowe wymagania wskazane w ww. ustawie:

  1. realizacja tej umowy nie może powodować zakłócenia udzielania świadczeń zdrowotnych, w szczególności w zakresie zapewnienia, bez zbędnej zwłoki, dostępu do danych zawartych w dokumentacji medycznej,
  2. podmiot, któremu powierzono przetwarzanie danych osobowych w związku z realizacją umowy o powierzeniu przetwarzania danych osobowych jest obowiązany do zachowania w tajemnicy informacji związanych z pacjentem uzyskanych w związku z realizacją tej umowy. Podmiot ten jest związany tajemnicą także po śmierci pacjenta,
  3. w przypadku zaprzestania przetwarzania danych osobowych zawartych w dokumentacji medycznej przez podmiot, któremu powierzono takie przetwarzanie, w szczególności w związku z jego likwidacją, jest on zobowiązany do przekazania danych osobowych zawartych w dokumentacji medycznej podmiotowi, o którym mowa w ust. 1, który powierzył przetwarzanie danych osobowych.

W uzasadnieniu do wprowadzenia powyższych przepisów do ustawy o prawach pacjenta i Rzeczniku Praw Pacjenta wskazano: „w art. 24 ust. 4-6 wprowadzone zostały przepisy umożliwiające podmiotom udzielającym świadczeń zdrowotnych zawieranie umów z podmiotami zajmującymi się przechowywaniem i archiwizacją dokumentacji medycznej. W wielu przypadkach przechowywanie i archiwizowanie elektronicznej dokumentacji medycznej będzie wiązało się z dużymi nakładami inwestycyjnymi i technicznymi. W przypadku małych podmiotów wykonujących działalność leczniczą zlecenie ww. usług może być uzasadnione względami bezpieczeństwa i efektywności finansowej. Przechowywanie dokumentacji przez podmiot zewnętrzny nie będzie mogło wpływać na ograniczenie prawa pacjenta do dostępu do jego dokumentacji. Ponadto wprowadzono przepis regulujący postępowanie w przypadku zaprzestania, w tym także nagłego, działalności przez podmiot, który przetwarzał dane osobowe zawarte w dokumentacji medycznej, na podstawie umowy zawartej z podmiotem udzielającym świadczeń zdrowotnych.”

Dodać należy, że wiele pomocnych wskazówek w zakresie rozstrzygania kwestii statusu podmiotów zawierają Wytyczne Europejskiej Rady Ochrony Danych w sprawie pojęć administratora i podmiotu przetwarzającego na gruncie RODO. Szczególnie pomocny może okazać się schemat zamieszczony w załączniku nr 1, zawierający pytania ułatwiające dokonywanie tej oceny (robocze tłumaczenie Wytycznych).

2022-05-12 Metadane artykułu
Podmiot udostępniający: Departament Orzecznictwa i Legislacji
Wytworzył informację: Monika Młotkiewicz 2022-05-12
Wprowadził‚ informację: Ewelina Janczylik-Foryś 2022-05-12 10:05:10
Ostatnio modyfikował: Ewelina Janczylik-Foryś 2022-05-12 10:10:21