Serwisy Wolters Kluwer
Nasze strony:
Ochrona zdrowia Szybki dostęp do informacji prawnej

Zdrowie

RODO: Jak sporządzić umowy powierzenia danych medycznych?

Zawarcie umowy powierzenia – jest jednym z najbardziej widocznych obowiązków wynikających z wejścia w życie RODO. Wiele wątpliwości budzi kwestia, kiedy i w jakiej roli występuje podmiot leczniczy w procesie przetwarzania danych osobowych pacjentów.
W ramach topiku:
RODO

Cały artykuł dostępny na LEX Ochrona Zdrowia

Katarzyna Korulczyk w komentarzu praktycznym „RODO: Umowy powierzenia danych medycznych” dostępnym w LEX Ochrona Zdrowia podkreśla, że o ile instytucja umowy powierzenia jest już dobrze znana wszystkim podmiotom przetwarzającym dane (czy to w roli administratora, czy tzw. procesora), o tyle zmiany wprowadzane przez RODO w obszarze powierzenia są dziś problematyczne niemal dla wszystkich.

Zdaniem Korulczyk przepisy ustawy z 29.08.1997 r. o ochronie danych osobowych (Dz.U. z 2016 r. poz. 922 ze zm.) – dalej u.o.d.o. – wymagają obecnie, aby umowa powierzenia została zawarta na piśmie i określała cel oraz zakres powierzenia.

„Większość administratorów, bo to na nich ciąży obowiązek zadbania, aby taka umowa została zawarta, jest przyzwyczajona do krótkich umów, spełniających to absolutne minimum, i nie zadawała sobie trudu poszerzania umowy powierzenia o jakiekolwiek dodatkowe elementy” – podkreśla Korulczyk i dodaje, że z tego powodu art. 28 RODO, który poszerza katalog elementów obligatoryjnych umowy powierzenia (tzw. essentialia negotii), jest dla wielu podmiotów wręcz rewolucją.

Każdy podmiot to administrator danych

Korulczyk dodaje, że co do zasady każdy podmiot leczniczy przetwarzający dane pacjentów w związku z wykonywaną działalnością leczniczą jest administratorem danych osobowych, które przetwarza. Przypomina, że przetwarzanie danych może mieć miejsce, jeżeli celem tego przetwarzania jest profilaktyka zdrowotna lub medycyna pracy, ocena zdolności pracownika do pracy, diagnoza medyczna, zapewnienie opieki zdrowotnej lub zabezpieczenia społecznego, leczenie lub zarządzanie systemami i usługami opieki zdrowotnej lub zabezpieczenie społeczne na podstawie prawa Unii lub prawa państwa członkowskiego lub zgodnie z umową z pracownikiem służby zdrowia.

„Co prawda przepis ten dotyczy danych o stanie zdrowia, trzeba jednak pamiętać o motywie 35 RODO, zgodnie z którym przepis ten jest także podstawą prawną przetwarzania danych zbieranych podczas rejestracji do usług opieki zdrowotnych takich jakich jak numer, symbol czy oznaczenie przypisane do tej osoby, które pozwalają na jednoznaczne zidentyfikowanie tej osoby do celów zdrowotnych” – podkreśla Korulczyk.

Rola podmiotu leczniczego jako administratora danych wynika również z przepisów ustawy z 6.11.2008 r. o prawach pacjenta i Rzeczniku Praw Pacjenta (Dz.U. z 2017 r. poz. 1318 ze zm.) – dalej u.p.p. Przepis art. 24 ust. 1 u.p.p. nakłada na każdy podmiot udzielający świadczeń zdrowotnych bezwzględny obowiązek prowadzenia dokumentacji medycznej i jednocześnie daje możliwość powierzenia przetwarzania danych zawartych w tejże dokumentacji, jeżeli jest prowadzona w formie elektronicznej. Co więcej, przepis art. 24 ust. 4 u.p.p. odsyła wprost do przepisu art. 31 ust. 1 u.o.d.o., który nakłada na administratora danych obowiązek zawarcia umowy powierzenia przetwarzania danych. Warto w tym miejscu również podkreślić, że art. 9 ust. 2 lit. h RODO ma zastosowanie nie tylko w przypadku pozyskiwania danych bezpośrednio od osoby, której dane dotyczą (pacjenta), lecz także w przypadku pozyskiwania tych danych z innych źródeł.

  LEX Ochrona Zdrowia Więcej informacji i narzędzi znajdziesz w programie LEX Ochrona Zdrowia Bądź na bieżąco ze zmianami prawnymi i korzystaj z aktualnych materiałów Sprawdź 

Wiele sytuacji, w których potrzeba umowa powierzenia

Sytuacji, w których podmiot leczniczy będzie zobowiązany do zawarcia umowy powierzenia, jest wiele. Trzeba przecież pamiętać, że udzielanie świadczeń zdrowotnych to nie tylko diagnoza medyczna, lecz także odpowiednia organizacja podmiotu leczniczego jako przedsiębiorstwa, które musi także zarządzać udzielanymi świadczeniami.

Jako przykłady zastosowania konstrukcji powierzenia przetwarzania danych w relacji z innymi podmiotami można przedstawić: firmy wspierające podmiot leczniczy w obszarze IT (poczta elektroniczna, systemy informatyczne, wsparcie techniczne); serwis sprzętu medycznego.

Korulczyk podkreśla, że warto zasygnalizować, że istota powyższych usług może pociągać za sobą konieczność przekazywania danych do państw trzecich (poza teren Unii Europejskiej) i umowa powierzenia powinna uwzględniać tę okoliczność, w szczególności w zakresie warunków korzystania z usług innych podmiotów przetwarzających (tzw. podprocesorów).

Jaka forma umowy?

Poza poszerzeniem katalogu wymagań, jakie powinna spełniać umowa powierzenia, RODO wprowadza jeszcze jedną zmianę – zdejmuje z administratora obowiązek zawarcia umowy na piśmie. Powierzenie może być dokonane nie tylko w formie elektronicznej (przy czym nie chodzi tu o bezpieczny podpis elektroniczny tożsamy z formą pisemną), ale może też mieć formę umowy lub innego instrumentu prawnego.

„Co prawda umowa w formie pisemnej, do której jesteśmy dziś przyzwyczajeni, pozostanie najbardziej popularną formą uregulowania powierzenia, jednak w praktyce otwiera się wiele możliwości powierzenia: akceptacja regulaminu świadczenia usług czy wymiana dokumentów elektronicznych. Trzeba jednak pamiętać o zasadzie rozliczalności i konieczności dokumentowania wszystkich ustaleń stron, aby wykazać zgodność z art. 28 RODO. Na gruncie zarówno ustawy o ochronie danych osobowych z 1997 r., jak i RODO powierzenie nie musi być dokonane odrębnym dokumentem – może być także uregulowane w umowie o współpracy lub zleceniu” – podkreśla Korulczyk.

lista dokumentów
Komentarze

Produkty polecane

Ochrona danych medycznych. RODO w ochronie zdrowia [PRZEDSPRZEDAŻ]

W publikacji zostały omówione nowe standardy przetwarzania danych osobowych i medycznych w...
Cena: 119.00
Promocja: 107.10 zł

RODO. Ochrona danych osobowych w stosunkach pracy [PRZEDSPRZEDAŻ]

Publikacja stanowi kompendium wiedzy na temat ochrony danych osobowych w stosunkach pracy....
Cena: 129.00
Promocja: 116.10 zł

RODO. Ogólne rozporządzenie o ochronie danych. Komentarz

W komentarzu znajdziesz odpowiedzi, jak przygotować się do największych od wielu lat,...
Cena: 249.00
Promocja: 224.10 zł

Więcej na temat

RODO a obchód lekarski, czyli czy lekarz ma mówić szeptem i kiedy konieczny jest parawan?

22-05-2018
W obchodzie lekarskim biorą udział: lekarze, pielęgniarki i czasami studenci. Pojawia się pytanie jak rozmawiać z pacjentem o sprawach związanych z jego stanem zdrowia w sali, w której są jeszcze inni chorzy, z poszanowaniem jego prawa do intymności? Jak powinien wyglądać obchód, gdy zacznie obowiązywać RODO i w szczególny sposób trzeba będzie chronić wrażliwe dane opowiada Paweł Kaźmierczyk z Kancelarii Domański Zakrzewski Palinka.
Czytaj kolejny
artykuł

Ustawa o jawności życia publicznego ma dotyczyć także szpitali