Cały artykuł dostępny na LEX Ochrona Zdrowia

Katarzyna Korulczyk w komentarzu praktycznym „RODO: Umowy powierzenia danych medycznych” dostępnym w LEX Ochrona Zdrowia podkreśla, że o ile instytucja umowy powierzenia jest już dobrze znana wszystkim podmiotom przetwarzającym dane (czy to w roli administratora, czy tzw. procesora), o tyle zmiany wprowadzane przez RODO w obszarze powierzenia są dziś problematyczne niemal dla wszystkich.

Zdaniem Korulczyk przepisy ustawy z 29.08.1997 r. o ochronie danych osobowych (Dz.U. z 2016 r. poz. 922 ze zm.) – dalej u.o.d.o. – wymagają obecnie, aby umowa powierzenia została zawarta na piśmie i określała cel oraz zakres powierzenia.

„Większość administratorów, bo to na nich ciąży obowiązek zadbania, aby taka umowa została zawarta, jest przyzwyczajona do krótkich umów, spełniających to absolutne minimum, i nie zadawała sobie trudu poszerzania umowy powierzenia o jakiekolwiek dodatkowe elementy” – podkreśla Korulczyk i dodaje, że z tego powodu art. 28 RODO, który poszerza katalog elementów obligatoryjnych umowy powierzenia (tzw. essentialia negotii), jest dla wielu podmiotów wręcz rewolucją.

Każdy podmiot to administrator danych

Korulczyk dodaje, że co do zasady każdy podmiot leczniczy przetwarzający dane pacjentów w związku z wykonywaną działalnością leczniczą jest administratorem danych osobowych, które przetwarza. Przypomina, że przetwarzanie danych może mieć miejsce, jeżeli celem tego przetwarzania jest profilaktyka zdrowotna lub medycyna pracy, ocena zdolności pracownika do pracy, diagnoza medyczna, zapewnienie opieki zdrowotnej lub zabezpieczenia społecznego, leczenie lub zarządzanie systemami i usługami opieki zdrowotnej lub zabezpieczenie społeczne na podstawie prawa Unii lub prawa państwa członkowskiego lub zgodnie z umową z pracownikiem służby zdrowia.

„Co prawda przepis ten dotyczy danych o stanie zdrowia, trzeba jednak pamiętać o motywie 35 RODO, zgodnie z którym przepis ten jest także podstawą prawną przetwarzania danych zbieranych podczas rejestracji do usług opieki zdrowotnych takich jakich jak numer, symbol czy oznaczenie przypisane do tej osoby, które pozwalają na jednoznaczne zidentyfikowanie tej osoby do celów zdrowotnych” – podkreśla Korulczyk.

Rola podmiotu leczniczego jako administratora danych wynika również z przepisów ustawy z 6.11.2008 r. o prawach pacjenta i Rzeczniku Praw Pacjenta (Dz.U. z 2017 r. poz. 1318 ze zm.) – dalej u.p.p. Przepis art. 24 ust. 1 u.p.p. nakłada na każdy podmiot udzielający świadczeń zdrowotnych bezwzględny obowiązek prowadzenia dokumentacji medycznej i jednocześnie daje możliwość powierzenia przetwarzania danych zawartych w tejże dokumentacji, jeżeli jest prowadzona w formie elektronicznej. Co więcej, przepis art. 24 ust. 4 u.p.p. odsyła wprost do przepisu art. 31 ust. 1 u.o.d.o., który nakłada na administratora danych obowiązek zawarcia umowy powierzenia przetwarzania danych. Warto w tym miejscu również podkreślić, że art. 9 ust. 2 lit. h RODO ma zastosowanie nie tylko w przypadku pozyskiwania danych bezpośrednio od osoby, której dane dotyczą (pacjenta), lecz także w przypadku pozyskiwania tych danych z innych źródeł.

 

Wiele sytuacji, w których potrzeba umowa powierzenia

Sytuacji, w których podmiot leczniczy będzie zobowiązany do zawarcia umowy powierzenia, jest wiele. Trzeba przecież pamiętać, że udzielanie świadczeń zdrowotnych to nie tylko diagnoza medyczna, lecz także odpowiednia organizacja podmiotu leczniczego jako przedsiębiorstwa, które musi także zarządzać udzielanymi świadczeniami.

Jako przykłady zastosowania konstrukcji powierzenia przetwarzania danych w relacji z innymi podmiotami można przedstawić: firmy wspierające podmiot leczniczy w obszarze IT (poczta elektroniczna, systemy informatyczne, wsparcie techniczne); serwis sprzętu medycznego.

Korulczyk podkreśla, że warto zasygnalizować, że istota powyższych usług może pociągać za sobą konieczność przekazywania danych do państw trzecich (poza teren Unii Europejskiej) i umowa powierzenia powinna uwzględniać tę okoliczność, w szczególności w zakresie warunków korzystania z usług innych podmiotów przetwarzających (tzw. podprocesorów).

Jaka forma umowy?

Poza poszerzeniem katalogu wymagań, jakie powinna spełniać umowa powierzenia, RODO wprowadza jeszcze jedną zmianę – zdejmuje z administratora obowiązek zawarcia umowy na piśmie. Powierzenie może być dokonane nie tylko w formie elektronicznej (przy czym nie chodzi tu o bezpieczny podpis elektroniczny tożsamy z formą pisemną), ale może też mieć formę umowy lub innego instrumentu prawnego.

„Co prawda umowa w formie pisemnej, do której jesteśmy dziś przyzwyczajeni, pozostanie najbardziej popularną formą uregulowania powierzenia, jednak w praktyce otwiera się wiele możliwości powierzenia: akceptacja regulaminu świadczenia usług czy wymiana dokumentów elektronicznych. Trzeba jednak pamiętać o zasadzie rozliczalności i konieczności dokumentowania wszystkich ustaleń stron, aby wykazać zgodność z art. 28 RODO. Na gruncie zarówno ustawy o ochronie danych osobowych z 1997 r., jak i RODO powierzenie nie musi być dokonane odrębnym dokumentem – może być także uregulowane w umowie o współpracy lub zleceniu” – podkreśla Korulczyk.