Czy zlecenie wykonania badań to powierzenie przetwarzania danych?
Od kilku miesięcy, a dokładniej od daty rozpoczęcia obowiązywania RODO, niczym bumerang wraca pytanie: z kim należy zawrzeć umowę powierzenia przetwarzania danych osobowych? Jedni stoją na stanowisku, że zlecenie badań nie jest powierzeniem przetwarzania danych, a inni twierdzą wręcz odwrotnie.
Które z powyższych rozwiązań należy uznać za prawidłowe? Jak zazwyczaj w tego typu przypadkach bywa, wszystko zależy od konkretnej sytuacji. Jednak gdy szpital zleca innemu podmiotowi leczniczemu, na podstawie skierowania, wykonanie specjalistycznych badań, to w tej sytuacji nie dochodzi do powierzenia przetwarzania danych osobowych. Dane są wyłącznie udostępnianie. Nie ma także konieczności zawarcia przez szpitale umowy o współadministrowanie danymi.
Różnica pomiędzy administratorem, współadministratorem a podmiotem przetwarzającym
Ustawodawca w RODO, w bardzo precyzyjny sposób określił definicje oraz zakresy uprawnień administratora i podmiotu przetwarzającego dane osobowe. Zgodnie z art. 4 pkt 7) RODO:
Administratorem jest osoba fizyczna lub prawna, organ publiczny, jednostka lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych.
Istotne jest zatem, że administrator danych osobowych samodzielnie ustala cel i sposób w jaki dane mają być przetwarzane. Gdy dwóch administratorów wspólnie decyduje o celach i sposobach przetwarzania danych, mamy do czynienia ze współadministrowaniem.
Przykładowo, współadministrowanie zachodzi gdy dwa lub więcej podmiotów leczniczych prowadzi wspólny projekt badawczy.
Natomiast zgodnie z art. 4 pkt 8) RODO:
Podmiotem przetwarzającym jest osoba fizyczna lub prawna, organ publiczny, jednostka lub inny podmiot, który przetwarza dane osobowe w imieniu administratora.
W tym przypadku podmiot przetwarzający nie działa samodzielnie, a jedynie wykonuje polecenia administratora, który powierzając przetwarzanie danych w sposób wyraźny określa cele i sposoby ich przetwarzania. Natomiast po zakończeniu przetwarzania, podmiot musi bądź trwale usunąć lub zwrócić administratorowi danych.
Specyfika podmiotów leczniczych
Podmioty lecznicze należy każdorazowo traktować jako odrębnych administratorów danych. Każdy z nich samodzielnie przetwarza dane osobowe pacjentów w celu udzielenia świadczeń zdrowotnych. Każdy podmiot leczniczy obowiązany jest do prowadzenia dokumentacji medycznej pacjentów, którym udziela świadczeń zdrowotnych. Dokumentację podmiot następnie przechowuje przez wymagany obowiązującymi przepisami okres.
Rozróżnienie powyższego nie nastręcza trudności. Co jednak z sytuacją, gdy lekarz wypisuje skierowanie, które następnie jest przekazywane do innego szpitala, w którym mają zostać przeprowadzone badania? Wyraźnie przecież następuje przejście danych osobowych z jednej jednostki do drugiej.
Nie jest to jednak powierzenie przetwarzania danych osobowych, a ich udostępnienie. Oznacza to, że szpital jako administrator przekazuje dane osobowe, jednakże nie czyni tego w konkretnym celu. A następcze przetwarzanie danych nie jest dokonywane w imieniu pierwotnego podmiotu leczniczego, który wystawił skierowanie.
Zlecenie badań nie jest powierzeniem danych
Rozpatrując powyższe pytanie, należy pamiętać, że skierowanie stanowi część dokumentacji medycznej. A sposób prowadzenia dokumentacji medycznej określają obowiązujące przepisy. Informacje, które muszą zostać zawarte w skierowaniu określa § 9 ust. 2 Rozporządzenia Ministra Zdrowia z dnia 9 listopada 2015 r. w sprawie rodzajów, zakresu i wzorów dokumentacji medycznej oraz sposobu jej przetwarzania (Dz. U. z 2015 r. poz. 2069 ze zm.). Zatem podstawą do udostępnienia tych danych jest przepis prawa.
Spotkałam się też z pytaniem czy przekazanie szpitalowi, który wystawił skierowanie wyników badań jest powierzeniem ich przetwarzania. Otóż nie. Podstawą do takiego twierdzenia jest przepis § 9 ust. 5 wspomnianego Rozporządzenia. Stanowi on wprost, że podmiot wykonujący badanie przekazuje wyniki podmiotowi, który wystawił skierowanie.
Potwierdzenie w Kodeksie branżowym
Także Kodeks postępowania dla sektora ochrony zdrowia, złożony do Urzędu Ochrony Danych Osobowych potwierdza powyższe stanowisko. W Rozdziale 4.6. wskazane jest, że każdy podmiot wykonujący działalność leczniczą jest odrębnym administratorem danych pacjentów. Dane te przetwarza w celach zdrowotnych.
Co więcej jednoznacznie napisano, że z uwagi na powyższe nie jest konieczne zawieranie z takim podmiotem umowy przetwarzania danych. Podsumowując zatem: zlecenie badań nie jest powierzeniem danych osobowych innemu podmiotowi leczniczemu.