Obsługa oprogramowania w podmiocie leczniczym – kogo upoważnić do przetwarzania danych

Maciej Lipka

Autor: Maciej Lipka

Dodano: 6 grudnia 2018
O urlopie zdrowotnym orzeka lekarz, ale dyrektor może się od jego decyzji odwołać.
Pytanie:  Podmiot leczniczy korzysta z oprogramowania firmy zewnętrznej. Czy wystarczająca jest sama umowa powierzenia przetwarzania danych zawarta z tą firmą, czy też konieczne jest wydanie upoważnień do przetwarzania danych osobom obsługującym oprogramowanie a także jego serwisantom?
Odpowiedź: 

Konieczne będzie wydanie upoważnień do przetwarzania danych osobom obsługującym program ale także serwisantom.

Konieczna zgoda rodziców uczniów na publikację ich zdjęć

Podmiot leczniczy jest administratorem danych osobowych przetwarzanych za pomocą używanego w niej oprogramowania. Oprogramowanie to ADO używa we własnej strukturze za pomocą własnych środków organizacyjnych. ADO zamierza udostępniać powyższe oprogramowanie:

  • firmie zewnętrznej, która je dostarczyła, w tym jej pracownikom – w celu monitorowania działania, konserwacji oraz dokonywania napraw i aktualizacji oprogramowania oraz
  • osobom zatrudnionym w placówce, które będą przetwarzać dane osobowe za pomocą tego oprogramowania.

Po pierwsze, podmiot który najpierw dostarczył ADO oprogramowanie, a następnie, przy pomocy osób w nim zatrudnionych, zamierza świadczyć usługi szeroko pojętego serwisowania tego oprogramowania, znajduje się poza strukturą ADO. Dlatego też możemy go określić jako podmiot przetwarzający, który w rozumieniu art. 28 ust. 1 RODO przetwarza dane osobowe w imieniu ADO. W przypadku zlecenia temu podmiotowi usług serwisowania, ADO powinien zatem podpisać z tym podmiotem umowę powierzenia, która powinna zawierać co najmniej wszystkie elementy opisane w art. 28 ust. 3 RODO.

Konieczne upoważnienie dla trzech kategorii osób

Po drugie, zgodnie z art. 29 RODO podmiot przetwarzający oraz każda osoba działająca z upoważnienia ADO lub podmiotu przetwarzającego i mająca dostęp do danych osobowych, przetwarzać je może wyłącznie na polecenie ADO, chyba że wymaga tego prawo Unii lub prawo państwa członkowskiego. Oznacza to, że:

  • ADO powinien upoważnić osoby u siebie zatrudnione (zarówno na podstawie umowy o pracę jak i na podstawie umowy cywilnoprawnej) do przetwarzania danych osobowych za pomocą dostarczonego mu oprogramowania, w przypadku gdy zamierza on dopuścić te osoby do takiego przetwarzania;
  • ADO powinien upoważnić każdą osobę działającą z upoważnienia podmiotu przetwarzającego (a więc np. jego pracowników) do przetwarzania danych w ramach serwisowanego oprogramowania używanego w strukturze ADO – upoważnienie powinno również dotyczyć przetwarzania zdalnego;
  • osoby pracujące dla podmiotu przetwarzającego również powinny mieć upoważnienie do przetwarzania danych osobowych wydane przez ten podmiot przetwarzający (obowiązku tego powinien we własnym zakresie dopełnić podmiot przetwarzający).
Maciej Lipka

Autor: Maciej Lipka

Jest ekspertem ds. ochrony danych osobowych. Specjalizuje się w problemach związanych z wdrażaniem obowiązujących przepisów w organizacji, wskazując zarówno na wymogi formalne, jak i na praktyczne rozwiązania ułatwiające przestrzeganie prawa.

Nasi partnerzy i zdobyte nagrody » 


Nagrody i wyróżnienia» 

Poznaj kluczowe zagadnienia, z jakimi możesz się zetknąć podczas codziennej pracy IODO.
E-kurs dla początkującego Inspektora Danych Osobowych. Rzetelna wiedza i praktyczne ćwiczenia.

24-h bezpłatny test portalu!
Zyskaj pełen dostęp do bazy porad i aktualności!

SPRAWDŹ »

x