Zgodnie z art. 29 oraz art. 32 ust 4 ogólnego rozporządzenia o ochronie danych osobowych z dnia 27 kwietnia 2016 r. (RODO) przetwarzać dane osobowe mogą jedynie osoby, które zostały do tego upoważnione przez administratora lub podmiot przetwarzający. Administrator jako tzw. właściciel danych osobowych, powinien doprecyzować kto, z jakich powodów, w jakim zakresie i na jakich zasadach przetwarza dane. Stosowanie upoważnień jest jednym ze środków organizacyjnych, który pozwala zapewnić ochronę danych osobowych i kontrolować proces ich przetwarzania.
Sporym dylematem okazała się kwestia nadawania upoważnienia do przetwarzania danych osobowych lekarzom. Urząd Ochrony Danych Osobowych opublikował na swojej stronie internetowej wytyczne, które być może pomogą rozwiązać wątpliwości.
1. Czy konieczne jest dodatkowo nadawanie przez administratora upoważnień do przetwarzania danych osobowych, znajdujących się w dokumentacji medycznej pacjenta dla lekarza wykonującego swoją pracę na podstawie umowy cywilno-prawnej skoro zgodnie z art. 24 ust. 2 pkt 1 ustawy o prawach pacjenta i Rzeczniku Praw Pacjenta do przetwarzania danych zawartych w dokumentacji medycznej w celu ochrony zdrowia, udzielania oraz zarządzania udzielaniem świadczeń zdrowotnych, utrzymania systemu teleinformatycznego, w którym przetwarzana jest dokumentacja medyczna, i zapewnienia bezpieczeństwa tego systemu, są uprawnione osoby wykonujące zawód medyczny?
W przypadku nadawania upoważnień do przetwarzania danych osobowych osobom, których uprawnienia do przetwarzania danych osobowych wynikają z odrębnych przepisów, należy mieć na względzie cel, w jakim takie upoważnienia się nadaje. Jeśli administrator decyduje się nadając upoważnienia realizować swoje obowiązki z art. 29 i 32 ust 4 RODO również wobec lekarzy- może być podjęty taki środek, niezależnie od tego, że uprawnienie tych osób do dostępu do danych osobowych pacjenta gwarantują im właściwe ustawy. Nie ma konieczności nadawania upoważnienia tylko wtedy, gdy administrator będzie w stanie wykazać, że w inny skuteczny sposób zapewnia, że dane osobowe są przetwarzane wyłącznie na jego polecenie.
2. Co w przypadku lekarzy współpracujących z administratorem, np. szpitalem na podstawie umowy cywilno-prawnej?
Zakres zadań osób wykonujących zawody medyczne, prowadzących działalność gospodarczą i pozostającej z podmiotem leczniczym w stosunku współpracy, jest najczęściej tożsamy z zakresem zadań pracowników zatrudnionych przez placówkę na innej podstawie (np. na podstawie umowy o pracę). W szczególności osoby wykonujące zawód w tej formie nie prowadzą własnej dokumentacji medycznej, lecz prowadzą ją w imieniu administratora. Umowa z podmiotem leczniczym zwykle zobowiązuje je do przestrzegania regulaminów podmiotu leczniczego i jego wewnętrznych procedur. Lekarze oraz pielęgniarki prowadzący indywidualną praktykę lekarską, wykonują zawód medyczny i mają prawny obowiązek prowadzenia dokumentacji medycznej, ale robią to w imieniu i na rzecz podmiotu leczniczego, który kieruje ruchem pacjentów i nierzadko zapewnia też odpowiednie zasoby techniczne i organizacyjne do udzielania świadczeń zdrowotnych. W takim przypadku nie mamy do czynienia ani z administratorem, ani z podmiotem przetwarzającym dane (procesorem). Osoby te powinny zostać potraktowane jako personel administratora i upoważnione do przetwarzania danych (ponieważ na tych osobach ciąży ustawowy obowiązek zachowania danych w tajemnicy, nie ma konieczności składania oświadczeń o zachowaniu poufności).
Zdarzyć się może, że np. osoba realizuje cele danego szpitala, ale również własne cele prowadząc za zgodą szpitala i na jego terenie indywidualną praktykę jako osobny podmiot wykonujący działalność leczniczą w rozumieniu art. 2 ust. 1 pkt 5, art. 4 i 5 ustawy o działalności leczniczej. Podmiotem wykonującym działalność leczniczą mogą być m.in. lekarz, pielęgniarka lub fizjoterapeuta wykonujący zawód w ramach działalności leczniczej jako praktykę zawodową. W każdej sytuacji koniecznie zatem brać trzeba pod uwagę konkretne okoliczności mające wpływ na ocenę charakteru działalności i celów realizowanych przez osobę wykonującą zawód medyczny, a tym samym jej statusu w świetle przepisów o ochronie danych osobowych.
K. Michalska
Wpis opracowany na podstawie komunikatu Urzędu Ochrony Danych Osobowych.