Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE

Udostępnianie podwykonawcy danych osobowych pacjentów w świetle RODO

Udostępnij:
Udostępnianie danych osobowych pacjentów innym podmiotom-podwykonawcom, budzi pytania w stosunku do Rozporządzenia Parlamentu Europejskiego i Rady (UE) – tzw. RODO. Jakie są wzajemne relacje podmiotów w świetle tego rozporządzenia? Czy podwykonawca powinien uzyskać zgody na przetwarzanie danych osobowych oraz poinformować klientów o administrowaniu nimi? Przedstawiamy kolejną odpowiedź naszego partnera w sprawie porad prawnych – Kancelarii KONDRAT i Partnerzy.
Pytanie:
„Niepubliczny podmiot leczniczy jest podwykonawcą innego niepublicznego podmiotu leczniczego realizującego program kliniczny i wykonuje na jego skierowania badania diagnostyczne w stosunku do zgłaszających się pacjentów. Podmiot kierujący pacjentów do podmiotu będącego podwykonawcą udostępnia ich dane osobowe, które podwykonawca przetwarza, gromadząc je w swojej bazie, jak również sporządzając wyniki badań, które są przekazywane zleceniodawcy (podmiotowi realizującemu program). W przedstawionej sytuacji powstają pytania:
  • Jaka w świetle RODO jest relacja tych podmiotów względem siebie, czy podwykonawca jest procesorem, czy też oddzielnym, samodzielnym administratorem danych pacjentów skierowanych przez zleceniodawcę?
  • Czy podmiot będący podwykonawcą powinien uzyskiwać od pacjentów zgłaszających się do badań odrębne zgody na wykonanie badania i przetwarzanie danych osobowych oraz informować, o tym że jest administratorem tych danych?
  • Czy zleceniodawca powinien zawrzeć z podwykonawcą umowę powierzenia przetwarzania danych osobowych kierowanych pacjentów?

Odpowiedź:
1. W przedstawionej sytuacji podmiot leczniczy będący podwykonawcą innego podmiotu leczniczego nie będzie podmiotem przetwarzającym (procesorem), a samodzielnym administratorem danych w przypadku przeprowadzania badań diagnostycznych w ramach podwykonawstwa.
2. Taki podmiot nie musi uzyskiwać od pacjentów odrębnych zgód na wykonanie badania i przetwarzanie danych osobowych, jeśli zgoda udzielona na udział w programie klinicznym i przetwarzanie danych obejmowała możliwość przeprowadzenia takich badań diagnostycznych w ramach programu. W związku z brzmieniem art. 14 ust. 5 lit. c i d RODO podmiot leczniczy będący podwykonawcą innego podmiotu leczniczego nie ma obowiązku informować o tym, że jest administratorem tych danych.
3. Zgodnie z odpowiedzią na pytanie nr 1, podmioty te jako samodzielni administratorzy danych nie zawierają umowy powierzenia przetwarzania danych.

Uzasadnienie:
W przedstawionej powyżej sytuacji podmiot leczniczy będący podwykonawcą innego podmiotu leczniczego będzie samodzielnym administratorem danych pacjentów, z zastrzeżeniem, że zgodnie z przepisami RODO może działać w roli administratora.

Stanowisko to zgodne jest z pojęciem administratora w RODO, za którego uznaje się osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych. Przyjęcie koncepcji, że podmiot leczniczy będący podwykonawcą występuje w roli „podmiotu przetwarzającego” prowadziłoby do wniosku, że podmiot taki przetwarza dane osobowe w imieniu administratora bez prawa do realizowania własnych celów przetwarzania danych, co pozostawałoby w sprzeczności z rolą i istotą działalności podmiotów leczniczych w ramach wykonywania przez nie badań diagnostycznych. Zwrócić należy uwagę, że „podstawowym kryterium odróżniającym administratora danych osobowych od innych podmiotów przetwarzających dane jest sprawowanie faktycznej kontroli and przetwarzaniem danych (…), a więc decydowanie o celach i sposobach przetwarzania”.

Należy uznać, że przeprowadzenie badań diagnostycznych przez podwykonawcę wpisuje się w definicję wykonywania świadczeń zdrowotnych. Należy również uznać, że w ramach przeprowadzania badań diagnostycznych przez podwykonawcę będącego podmiotem leczniczym powstaje dokumentacja medyczna. Zgodnie bowiem z ustawą o prawach pacjenta dokumentacja medyczna obejmuje opis stanu zdrowia pacjenta oraz udzielonych mu świadczeń zdrowotnych. A zatem występowanie w roli administratora przez podwykonawcę będzie w tej sytuacji determinowane również zobowiązaniem do prowadzenia, przechowywania i udostępnienia dokumentacji medycznej, a także do zapewnienia ochrony danych zawartych w tej dokumentacji. Obowiązek ten ma charakter samoistnego obowiązku prawnego nałożonego na każdy podmiot leczniczy.

W związku z powyższym brak jest podstawy do zawierania z innymi podmiotami leczniczymi dokonującymi przetwarzania danych na potrzeby realizacji celów zdrowotnych umowy powierzenia przetwarzania danych osobowych udostępnianych przez podmiot wykonujący działalność leczniczą.
Przyjmując dalej, że w związku z wykonywaniem w ramach „programu klinicznego” świadczeń zdrowotnych oraz powstaniem na etapie „programu klinicznego” dokumentacji medycznej uznać należy, że dane pacjenta zostają udostępnione na podstawie art. 26 ust. 3 pkt 1 ustawy o prawach pacjenta. Zgodnie z tym przepisem podmiot udzielający świadczeń zdrowotnych udostępnia dokumentację medyczną innym podmiotom udzielającym świadczeń zdrowotnych (podwykonawcom), jeżeli dokumentacja jest niezbędna do zapewnienia ciągłości świadczeń zdrowotnych. Z uwagi na szeroką definicję pojęcia świadczenia zdrowotnego w ustawie o działalności leczniczej (tj. „działania służące zachowaniu, ratowaniu, przywracaniu lub poprawie zdrowia oraz inne działania medyczne wynikające z procesu leczenia lub przepisów odrębnych regulujących zasady ich wykonywania”), a także przyjmując, że w „programie klinicznym” powstaje dokumentacja medyczna, uznać należy, że dojdzie do udostępnienia danych, a nie ich powierzenia na gruncie RODO. Sytuacja ta będzie dotyczyła m.in. właśnie wykonania badań diagnostycznych w ramach „programu klinicznego”.

W związku z powyższym podmiot leczniczy będący podwykonawcą nie musi uzyskiwać od pacjentów odrębnych zgód na wykonanie badania i przetwarzanie danych osobowych, jeśli zgoda udzielona na udział w programie klinicznym i przetwarzanie danych obejmowała możliwość przeprowadzenia takich badań diagnostycznych w ramach programu.

W takiej sytuacji nie jest również realizowany obowiązek informacyjny względem pacjenta zgodnie z wyłączeniem wynikającym z RODO, tj. w zakresie w jakim pozyskiwanie lub ujawnianie jest wyraźnie uregulowane prawem Unii lub prawem państwa członkowskiego, któremu podlega administrator, przewidującym odpowiednie środki chroniące prawnie uzasadnione interesy osoby, której dane dotyczą, a także w zakresie w jakim dane osobowe muszą pozostać poufne zgodnie z obowiązkiem zachowania tajemnicy zawodowej przewidzianym w prawie Unii lub w prawie państwa członkowskiego, w tym ustawowym obowiązkiem zachowania tajemnicy.

Podstawa prawna:
1. art. 4 pkt 7, art. 14 ust. 5 lit. c i d, art. 28 ust. 3 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia Dyrektywy 95/46/WE (tj. Dz. Urz. UE. L. nr 119, str. 1, „RODO”),
2. art. 23 ust. 1, art. 26 ust. 3 pkt 1 ustawy z dnia 6 listopada 2008 r. o prawach pacjenta i Rzeczniku Praw Pacjenta (tj. Dz. U. z 2017 r., poz. 1318 z późn.zm., „Ustawa i prawach pacjenta”),
3. art. 2 ust. 1 pkt 10 ustawy z dnia 15 kwietnia 2011 r. o działalności leczniczej (tj. Dz. U. z 2018 r., poz. 160 z późn. zm., „Ustawa o działalności leczniczej”).

Autorzy:
Krzysztof Bąk, prawnik, Kancelaria KONDRAT i Partnerzy
Roksana Strubel, prawnik, Kancelaria KONDRAT i Partnerzy
 
© 2024 Termedia Sp. z o.o. All rights reserved.
Developed by Bentus.