RODO – UMOWA POWIERZENIA PRZETWARZANIA DANYCH

Data dodania: 08-06-18

Autor: radca prawny Maria Rachwał-Frankowska

RODO – UMOWA POWIERZENIA PRZETWARZANIA DANYCH

Każdy lekarz lub lekarz dentysta prowadzący swój gabinet korzysta z usług pomiotów trzecich. W wielu przypadkach kontrahenci gabinetu lekarskiego w celu należytego wykonania umowy muszą posiadać dostęp do danych osobowych, którymi administruje lekarz. Mowa tu zarówno o danych osobowych pacjentów, jak i danych osobowych pracowników gabinetu lub kontrahentów lekarza będących osobami fizycznymi.

Usługi, przy wykonywaniu których konieczne okazuje się powierzenie przetwarzanych przez lekarzy danych to przykładowo usługi informatyczne, księgowe i doradcze. Ponadto do powierzenia danych innemu podmiotowi może dochodzić przy okazji współpracy gabinetów z laboratoriami, technikami dentystycznymi, podwykonawcami świadczeń opieki zdrowotnej, serwisantami urządzeń medycznych, w których przetwarzane są dane pacjentów (np. aparaty RTG). Kontrahenci gabinetu, którym udostępnia się dane osobowe są tzw. procesorami danych.

Z podmiotami przetwarzającymi dane osobowe w imieniu podmiotu wykonującego działalność leczniczą konieczne jest zawarcie umów powierzenia przetwarzania danych osobowych. Obowiązek ten co prawda nie jest novum, niemniej stosowane w Polsce od 25 maja 2018 r. RODO, czyli Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE, reguluje tę kwestię o wiele bardziej rygorystycznie.

RODO określa przede wszystkim jakie podstawowe elementy powinna zawierać umowa powierzenia, są to : przedmiot przetwarzania, czas trwania przetwarzania, charakter i cel przetwarzania, rodzaj danych osobowych, kategorię osób, których dane dotyczą, obowiązki i prawa administratora, obowiązki podmiotu przetwarzającego. Zgodnie z art. 28 ust. 3 RODO, umowa lub inny instrument prawny stanowią w szczególności, że podmiot przetwarzający:

1. przetwarza dane osobowe wyłącznie na udokumentowane polecenie administratora – co dotyczy też przekazywania danych osobowych do państwa trzeciego lub organizacji międzynarodowej - chyba że obowiązek taki nakłada na niego prawo Unii lub prawo państwa członkowskiego, któremu podlega podmiot przetwarzający; w takim przypadku przed rozpoczęciem przetwarzania podmiot przetwarzający informuje administratora o tym obowiązku prawnym, o ile prawo to nie zabrania udzielania takiej informacji z uwagi na ważny interes publiczny;
2. zapewnia, by osoby upoważnione do przetwarzania danych osobowych zobowiązały się do zachowania tajemnicy lub by podlegały odpowiedniemu ustawowemu obowiązkowi zachowania tajemnicy;
3. podejmuje wszelkie środki wymagane na mocy art. 32;
4. przestrzega warunków korzystania z usług innego podmiotu przetwarzającego, o których mowa w ust. 2 i 4;
5. biorąc pod uwagę charakter przetwarzania, w miarę możliwości pomaga administratorowi poprzez odpowiednie środki techniczne i organizacyjne wywiązać się z obowiązku odpowiadania na żądania osoby, której dane dotyczą, w zakresie wykonywania jej praw określonych w rozdziale III;
6. uwzględniając charakter przetwarzania oraz dostępne mu informacje, pomaga administratorowi wywiązać się z obowiązków określonych w art. 32-36;
7. po zakończeniu świadczenia usług związanych z przetwarzaniem zależnie od decyzji administratora usuwa lub zwraca mu wszelkie dane osobowe oraz usuwa wszelkie ich istniejące kopie, chyba że prawo Unii lub prawo państwa członkowskiego nakazują przechowywanie danych osobowych;
8. udostępnia administratorowi wszelkie informacje niezbędne do wykazania spełnienia obowiązków określonych w niniejszym artykule oraz umożliwia administratorowi lub audytorowi upoważnionemu przez administratora przeprowadzanie audytów, w tym inspekcji, i przyczynia się do nich.

W praktyce, w odniesieniu do przedmiotu przetwarzania, jego celu i charakteru, najprościej odnieść się do postanowień umowy podstawowej wiążącej gabinet z danym kontrahentem, a także uzależnić okres związania umową powierzenia przetwarzania danych od okresu obowiązywania umowy podstawowej.

W tym miejscu warto jeszcze zwrócić uwagę na problematykę dostępu lekarzy „kontaktowców” do danych osobowych pacjentów podmiotu leczniczego. W mojej ocenie lekarze prowadzący praktyki zawodowe wyłącznie w siedzibie podmiotu leczniczego nie są procesorami danych, a co za tym idzie nie ma konieczności zawierania z nimi umów powierzenia przetwarzania danych osobowych. Należy bowiem zwrócić uwagę na postanowienia art. 24 ust. 2 ustawy z dnia 6 listopada 2008 r. o prawach pacjenta i Rzeczniku Praw Pacjenta, zgodnie z którymi, do przetwarzania danych zawartych w dokumentacji medycznej, o której mowa w art. 25 ust. 1, w celu ochrony zdrowia, udzielania oraz zarządzania udzielaniem świadczeń zdrowotnych, utrzymania systemu teleinformatycznego, w którym przetwarzana jest dokumentacja medyczna, i zapewnienia bezpieczeństwa tego systemu, są uprawnione: osoby wykonujące zawód medyczny; inne osoby wykonujące czynności pomocnicze przy udzielaniu świadczeń zdrowotnych, a także czynności związane z utrzymaniem systemu teleinformatycznego, w którym przetwarzana jest dokumentacja medyczna, i zapewnieniem bezpieczeństwa tego systemu, na podstawie upoważnienia administratora danych. Skoro więc uprawnienie do przetwarzania danych dla osób wykonujących wynika z samego przepisu prawa, nie ma więc potrzeby zawierania z takimi lekarzami umów powierzenia przetwarzania danych. Stanowisko to jest zresztą zbieżne z projektowaną treścią kodeksu branżowego w podmiotach wykonujących działalność leczniczą.

W końcu dodać należy, iż umów powierzenia przetwarzania danych osobowych nie zawiera się z osobami przetwarzającymi dane w ramach struktur organizacyjnych gabinetu, tj. z pracownikami lub zleceniobiorcami zatrudnionymi w gabinecie. Osobom tym należy natomiast nadać upoważnienia do przetwarzania danych osobowych.