Powierzenie przetwarzania danych osobowych w sektorze medycznym

W ostatnim newsletterze dla Inspektorów Ochrony Danych, Prezes Urzędu Ochrony Danych Osobowych (PUODO) przeprowadził analizę dwóch problemów, z jakimi stykają się podmioty medyczne w kontekście przetwarzania danych osobowych: po pierwsze – czy z lekarzami należy zawierać umowy powierzenia przetwarzania danych osobowych i po drugie – czy takie powierzenie przetwarzania powinno odpowiadać dodatkowym warunkom wynikającym z ustawy o prawach pacjenta i Rzeczniku Praw Pacjenta.

Zgodnie z Ogólnym Rozporządzeniem o Ochronie Danych (dalej: RODO) powierzenie przetwarzania danych osobowych ma miejsce wówczas, jeśli zewnętrzny podmiot przetwarza dane w imieniu administratora, w celach określonych przez administratora i zgodnie z jego poleceniami oraz instrukcjami. Ponadto, jednym z warunków kwalifikowania danej relacji jako relacji administrator – podmiot przetwarzający jest posiadanie przez podmiot przetwarzający statusu odrębnego (zewnętrznego) podmiotu od administratora. Między innymi dlatego pracownicy i inne osoby, które działają pod bezpośrednim zwierzchnictwem administratora (na przykład pracownicy) nie są podmiotami przetwarzającymi, ponieważ przetwarzają dane, będąc częścią organizacji administratora (związane są instrukcjami administratora).

Dlatego ustalenie, czy w danej sytuacji należy skorzystać z powierzenia przetwarzania danych wymaga przeprowadzenia analizy uwzględniającej przepisy prawa regulujące działalność podmiotów leczniczych oraz stan faktyczny tj. zatrudnienie lekarzy w podmiocie medycznym w charakterze pracowników lub na innej podstawie prawnej np. umowie cywilnoprawnej zawieranej pomiędzy odrębnymi podmiotami gospodarczymi. Wątpliwości budzi zwłaszcza druga z tych sytuacji.

Wg PUODO, gdy działalność jest wykonywana przez lekarza w siedzibie podmiotu leczniczego, na warunkach techniczno-organizacyjnych określonych przez ten podmiot i w związku z przetwarzaniem danych osobowych klientów (pacjentów) podmiotu leczniczego jako świadczeniodawcy, dochodzi do quasi-zatrudnienia. Ponieważ działalność ta może być wykonywana wyłącznie w zakładzie leczniczym na podstawie kontraktu z  podmiotem leczniczym, stanowi ona substytut zatrudnienia. Inny słowy w sytuacji lekarza zatrudnionego na kontrakcie, tj. na podstawie umowy cywilnej, gdy praca jest wykonywana na warunkach opisanych powyżej, mamy do czynienia z relacją podobną do tej, jaka występuje w przypadku pracodawcy i pracownika. Lekarz nie ma wówczas statusu podmiotu odrębnego od administratora i nie należy go traktować ani jako osobnego administratora, ani jako podmiotu przetwarzającego.

Niemniej w praktyce podmiotów leczniczych mogą występować również inne modele współpracy. Dlatego ustalenie wzajemnych relacji pomiędzy podmiotami zawierającymi kontrakt powinno następować na podstawie analizy każdego konkretnego przypadku. Umowy cywilnoprawne, w zależności od uregulowań, mogą różnić się od siebie zarówno zakresem obowiązków, jak i stopniem zależności od podmiotu leczniczego.

Jeżeli chodzi natomiast o dodatkowe wymagania wynikające z prawa medycznego, należy mieć na uwadze, że zgodnie z przepisami ustawy o prawach pacjenta i Rzeczniku Praw Pacjenta (art. 24 ust. 5-7) w przypadku powierzenia przetwarzania danych osobowych zawartych w dokumentacji medycznej, poza warunkami przewidzianymi w art. 28 ust. 3 RODO muszą być spełnione dodatkowe wymagania wskazane w ww. ustawie, a mianowicie:

1. realizacja tej umowy nie może powodować zakłócenia udzielania świadczeń zdrowotnych, w szczególności w zakresie zapewnienia, bez zbędnej zwłoki, dostępu do danych zawartych w dokumentacji medycznej,
2. podmiot, któremu powierzono przetwarzanie danych osobowych w związku z realizacją umowy o powierzeniu przetwarzania danych osobowych jest obowiązany do zachowania w tajemnicy informacji związanych z pacjentem uzyskanych w związku z realizacją tej umowy. Podmiot ten jest związany tajemnicą także po śmierci pacjenta,
3. w przypadku zaprzestania przetwarzania danych osobowych zawartych w dokumentacji medycznej przez podmiot, któremu powierzono takie przetwarzanie, w szczególności w związku z jego likwidacją, jest on zobowiązany do przekazania danych osobowych zawartych w dokumentacji medycznej podmiotowi, o którym mowa w ust. 1, który powierzył przetwarzanie danych osobowych.

W uzasadnieniu do wprowadzenia powyższych przepisów do ustawy o prawach pacjenta i Rzeczniku Praw Pacjenta wskazano: „w art. 24 ust. 4-6 wprowadzone zostały przepisy umożliwiające podmiotom udzielającym świadczeń zdrowotnych zawieranie umów z podmiotami zajmującymi się przechowywaniem i archiwizacją dokumentacji medycznej. W wielu przypadkach przechowywanie i archiwizowanie elektronicznej dokumentacji medycznej będzie wiązało się z dużymi nakładami inwestycyjnymi i technicznymi. W przypadku małych podmiotów wykonujących działalność leczniczą zlecenie ww. usług może być uzasadnione względami bezpieczeństwa i efektywności finansowej. Przechowywanie dokumentacji przez podmiot zewnętrzny nie będzie mogło wpływać na ograniczenie prawa pacjenta do dostępu do jego dokumentacji. Ponadto wprowadzono przepis regulujący postępowanie w przypadku zaprzestania, w tym także nagłego, działalności\ przez podmiot, który przetwarzał dane osobowe zawarte w dokumentacji medycznej, na podstawie umowy zawartej z podmiotem udzielającym świadczeń zdrowotnych.”