RODO a zawarcie umów powierzenia przetwarzania danych osobowych

ms
04-10-2018, 10:00
W praktyce lekarskiej stale dochodzi do przekazywania danych osobowych podmiotom trzecim. Prowadzenie na szeroką skalę działalności leczniczej łączy się bowiem z szeregiem czynności, które mogą powodować konieczność chociażby zawarcia umów powierzenia przetwarzania danych osobowych z podmiotami przetwarzającymi - wyjaśnia mecenas Michał Grabiec.

   Michał Grabiec, radca prawny

Kim są podmioty przetwarzające?

Rozporządzenie unijne posługuje się tą definicją, na gruncie praktyki krajowej często spotykamy się z pojęciem „procesorów”. Zgodnie z RODO, podmiotem przetwarzającym jest osoba fizyczna, osoba prawna lub jednostka organizacyjna nieposiadająca osobowości prawnej przetwarzająca dane osobowe w imieniu administratora.

W praktyce oznacza to, że jeżeli dentysta przy prowadzeniu gabinetu korzysta z pomocy osób trzecich, wówczas taka współpraca może mieć charakter przetwarzania danych osobowych. Przykład? Wyobraźmy sobie sytuację, że ortodonta leczy wadliwy zgryz pacjenta i potrzebuje dla celów diagnostycznych wykonania  badania cefalometrycznego. Ortodonta nie posiada aparatury do wykonania badania obrazowego, ale współpracuje przy wykonywaniu tego typu zdjęć z pracownią radiologii stomatologicznej kierując do niej swoich pacjentów.

W takiej sytuacji najczęściej pracownia radiologii nie będzie posiadała statusu administratora (bo nie decyduje o celach przetwarzania danych), ale właśnie podmiotu przetwarzającego, czyli procesora. Podobnie sytuacja wygląda w sytuacji przekazywania pobranych materiałów do badań patomorfologicznych. Także instytucja dokonująca badania wycinka będzie miała status podmiotu przetwarzającymi.

Jednak procesorami nie są wyłącznie podmioty wykonujący czynności ściśle medyczne. Podmiotem przetwarzającym będzie także agencja ochrony dokonująca monitoringu wizyjnego przychodni, firma sprzątająca, odbierająca odpady medyczne czy prowadząca hosting strony internetowej placówki.

Podobna umowa powinna zostać zawarta z dystrybutorem oprogramowania obsługującego elektroniczną dokumentację medyczną pacjentów gabinetu lub przychodni.

Ustalenie katalogu podmiotów przetwarzających jest bardzo ważne, gdyż z każdym z procesorów administrator powinien zawrzeć w formie pisemnej umowę powierzenia przetwarzania danych osobowych. Zawarcie prawidłowej umowy powierzenia ma kluczowe znaczenie przy dokonywaniu przez Prezesa Urzędu Ochrony Danych Osobowych analizy naruszenia zasad ochrony danych osobowych tj. oceny kto odpowiada za zawiniony błąd przy przetwarzaniu danych pacjentów.

Z kolei samo uchybienie polegające na niezawieraniu prawidłowych umów powierzenia przetwarzania z procesami może skutkować wysokimi karami dla administratorów danych. Kary nakładane są w wyniku przeprowadzenia postępowania administracyjnego przez Prezesa Urzędu Ochrony Danych.

Czytaj także:
Przetwarzanie danych w świetle RODO
Czy potrzebny inspektor ochrony danych w gabinecie dentystycznym?
Dane medyczne - pod szczególną ochroną

***
Michał Grabiec, partner w kancelarii GW Legal Grabiec & Wójcik, radca prawny specjalizujący się w tematyce prawa medycznego. Zajmuje się obsługą prawną podmiotów leczniczych i reprezentacją procesową w procesach medycznych.

Autor bloga blogoprawachpacjenta.com.pl i e-booka „Prawa pacjenta dla lekarzy". Wprowadził RODO w kilkunastu podmiotach z branży medycznej. Pełni funkcję inspektora ochrony danych w kilku szpitalach.