Zawieranie umów powierzenia przetwarzania z podwykonawcami kontynuującymi proces leczenia jest niepotrzebne. Podwykonawcy przetwarzają dane pacjentów we własnym imieniu i niezależnie od zleceniodawcy w ramach uprawnień przysługujących podmiotom leczniczym z mocy prawa.

W myśl przepisów RODO, umowa powierzenia jest konieczna wtedy, gdy przetwarzanie ma być dokonywane w imieniu administratora danych. Ma zastosowanie w sytuacji, w której administrator ceduje swoje obowiązki dotyczące przetwarzania danych na inny podmiot. Chodzi zatem o obowiązki związane z przechowywaniem i udostępnianiem dokumentacji medycznej oraz ochroną danych w niej zawartych. Podmiot przetwarzający wykonuje te obowiązki na polecenie i w imieniu administratora, pomagając mu wywiązać się z nich. Całkowicie odmienna sytuacja jest w przypadku kontynuacji procesu leczenia. Dane pacjenta nie są wówczas powierzane do przetwarzania, lecz udostępniane w celu zapewnienia ciągłości udzielanych świadczeń. Zlecenie udzielane innemu podmiotowi leczniczemu dotyczy wykonania określonych świadczeń zdrowotnych, a nie operacji przetwarzania danych. Nawet jeśli podwykonawca wykonuje świadczenia zdrowotne w imieniu zlecającego, to dane osobowe pacjenta przetwarza w imieniu własnym i na własne ryzyko. Krótko mówiąc, staje się administratorem danych, którego uprawnienia i obowiązki w tym zakresie są niezależne od uprawnień i obowiązków zlecającego.

Projekt kodeksu postępowania z danymi osobowymi w branży medycznej stanowi, że każdy podmiot wykonujący działalność leczniczą jest administratorem danych pacjentów, które przetwarza w celach zdrowotnych. Oznacza to, że nie jest zasadne zawieranie z nim umowy powierzenia przetwarzania danych. Takiej umowy nie musi zawierać ani pracodawca, który udostępnia dane pracowników w celu wykonywania badań okresowych lub objęcia ich opieką medyczną, ani zakład ubezpieczeń, ani inny organizator opieki zdrowotnej. Dotyczy to również podmiotów wykonujących działalność leczniczą, które udostępniają dane swoich pacjentów w ramach podwykonawstwa, np. wykonywania badań diagnostycznych. Projekt kodeksu potwierdza tym samym i egzemplifikuje zasady określone przez RODO.

W projekcie nie ma wprawdzie mowy o udostępnianiu danych do państwowych rejestrów ani Narodowemu Funduszowi Zdrowia, niemniej zasady pozostają analogiczne. Organy władzy oraz inne podmioty, które mają prawo dostępu do dokumentacji medycznej, stają się administratorami danych niezależnymi od podmiotów leczniczych. Udostępnianie im danych medycznych nie wymaga zatem zawierania z nimi umów powierzenia przetwarzania.

 

PODSTAWA PRAWNA

1. art. 2 ust. 1 i 2 lit. c, art. 4 pkt 1 i 8, art. 12, 15, 24, 28, 40 i 57 ust. 1 lit. d rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz.U.UE.L.2016.119.1 z 4 maja 2016 r.);
2. art. 27 i 166 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz.U. z 24 maja 2018 r., poz. 1000);
3. art. 26-28 ustawy z dnia 6 listopada 2008 r. o prawach pacjenta i Rzeczniku Praw Pacjenta (Dz.U. z 2017 r., poz. 1318);
4. art. 18, 20 i 208 ustawy z dnia 15 kwietnia 2011 r. o działalności leczniczej (Dz.U. z 2018 r., poz. 160);
5. § 55 ust. 2 rozporządzenia ministra zdrowia z dnia 9 listopada 2015 r. w sprawie rodzajów, zakresu i wzorów dokumentacji medycznej oraz sposobu jej przetwarzania (Dz.U. poz. 2069);
6. pkt 4.6. projektu z dnia 13 marca 2018 r. kodeksu postępowania dla podmiotów wykonujących działalność leczniczą (http://www.rodowzdrowiu.pl/).