Branża medyczna z RODO w pytaniach i odpowiedziach – cz. I

Pytanie:

Czy szpital samorządowy musi zawrzeć umowę powierzenia przetwarzania danych w związku ze świadczeniem ogólnie pojmowanych usług medycznych dla pracowników urzędu jednostki samorządu terytorialnego?

Odpowiedź:

Tak. Szpital samorządowy mimo statusu podmiotu publicznego może być uznany za administratora danych osobowych bądź procesora. Dlatego w przedstawionym przypadku powinien zawrzeć umowę powierzenia przetwarzania danych.

Na gruncie starej ustawy o ochronie danych osobowych nie było wymagane zawarcie umowy powierzenia przetwarzania danych osobowych między administratorem a procesorem, jeżeli to powierzenie przetwarzania danych, w tym przekazywanie danych, miało miejsce między organami państwowymi, organami samorządu terytorialnego oraz państwowymi i komunalnymi jednostkami organizacyjnymi. Podmioty te uważano za jednego administratora danych, jeżeli przetwarzanie danych służyło temu samemu interesowi publicznemu.

Art. 175 nowej ustawy o ochronie danych osobowych tymczasowo utrzymał w mocy te regulacje, ale wyłącznie w odniesieniu do przetwarzania danych osobowych w celu rozpoznawania, zapobiegania, wykrywania i zwalczania czynów zabronionych, prowadzenia postępowań w sprawach dotyczących tych czynów oraz wykonywania orzeczeń w nich wydanych, kar porządkowych i środków przymusu w zakresie określonym w przepisach stanowiących podstawę działania służb i organów uprawnionych do realizacji zadań w tym zakresie.

Z kolei art. 4 pkt 8 RODO wyraźnie definiuje podmiot przetwarzający jako osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który przetwarza dane osobowe w imieniu administratora. Oznacza to, że także w relacjach pomiędzy organami publicznymi konieczne jest zawarcie umowy powierzenia przetwarzania danych osobowych zawsze, gdy inny podmiot ma być uprawniony do przetwarzania danych osobowych znajdujących się w posiadaniu konkretnego administratora danych.

Pytanie:

Podmiot leczniczy udziela świadczeń z zakresu medycyny pracy na rzecz pracodawcy. Zgodnie z obowiązującymi przepisami ustawy o służbie medycyny pracy badania skierowanych przez pracodawcę pracowników przeprowadza się na mocy umowy zawartej pomiędzy pracodawcą a podstawowa jednostką służby medycyny pracy. Administrator danych wydaje pracownikowi skierowanie na badania profilaktyczne, a pracownik zgłasza się na badania zgodnie ze skierowanie. Czy dochodzi do powierzenia przetwarzania, czy też do udostępnienia danych osobowych?

Odpowiedź:

Podmiot leczniczy wykonujący badania z zakresu medycyny pracy należy uznać za odrębnego administratora danych osobowych, co oznacza że dochodzi w tym przypadku do udostępnienia danych.

Zgodnie z zapisami kodeksu branżowego dla podmiotów leczniczych (rozdział 4.6) w zakresie wykonywania badań z zakresu medycyny pracy podmiot leczniczy uznaje się za odrębnego administratora danych osobowych. Podmiot leczniczy wykonuje bowiem badania w imieniu własnym a nie pracodawcy – tworząc własną dokumentację medyczną i pobierając samodzielnie dane osobowe od pacjentów. Oznacza to, że z jednostką medycyny pracy nie jest zawierana umowa o powierzeniu przetwarzania danych, lecz dane te są jej udostępniane jako odrębnemu administratorowi.

Pytanie:

Po zakończeniu badania profilaktycznego pracodawcy wystawiana jest zbiorcza faktura za badania skierowanych w danym miesiącu pracowników, która zawiera imię, nazwisko pracownika któremu przeprowadzono badanie oraz kwotę do zapłaty za poszczególnego pracownika. Pracodawca wymaga wyszczególnienia, za jakie konkretnie badania płaca (np. badania analityczne, konsultację neurologiczna, okulistyczną itp. Czy umieszczenie takich informacji na załączniku do faktury jest dopuszczalne, czy też należy je traktować w kategorii informacji o stanie zdrowia, których pracodawca nie powinien poznać?

Odpowiedź:

Dane osobowe o stanie zdrowia pacjentów nie powinny być przetwarzane na fakturze przekazywanej pracodawcy.

„Dane dotyczące zdrowia” oznaczają dane osobowe o zdrowiu fizycznym lub psychicznym osoby fizycznej – w tym o korzystaniu z usług opieki zdrowotnej – ujawniające informacje o stanie jej zdrowia." (art. 4 RODO). Bardziej szczegółowe wyjaśnienia znajdziemy jednak w motywie 35 do preambuły RODO, zgodnie z którym do danych osobowych dotyczących zdrowia należy zaliczyć wszystkie dane o stanie zdrowia osoby, której dane dotyczą, ujawniające informacje o przeszłym, obecnym lub przyszłym stanie fizycznego lub psychicznego zdrowia osoby, której dane dotyczą. Do danych takich należą informacje o danej osobie fizycznej zbierane podczas jej rejestracji do usług opieki zdrowotnej lub podczas świadczenia jej usług opieki zdrowotnej:

• numer, symbol lub oznaczenie przypisane danej osobie fizycznej w celu jednoznacznego zidentyfikowania tej osoby fizycznej do celów zdrowotnych,
• informacje pochodzące z badań laboratoryjnych lub lekarskich części ciała lub płynów ustrojowych, w tym danych genetycznych i próbek biologicznych,
• wszelkie informacje, na przykład o chorobie, niepełnosprawności, ryzyku choroby, historii medycznej, leczeniu klinicznym lub stanie fizjologicznym lub biomedycznym osoby, której dane dotyczą, niezależnie od ich źródła, którym może być na przykład lekarz lub inny pracownik służby zdrowia, szpital, urządzenie medyczne lub badanie diagnostyczne in vitro."

Dane, które zostały przytoczone w pytaniu, mogą być uznane za dane o stanie zdrowia, jeśli dane oznaczenie wiąże się z potencjalną identyfikacją schorzenia, problemu pracownika, czy ryzykiem wystąpienia choroby. Ich przetwarzanie na fakturze nie jest więc dopuszczalne, jako że mamy do czynienia z danymi ze szczególnej kategorii.

Pytanie:

Czy szpital zlecający wykonanie badań specjalistycznych pacjentów innemu podmiotowi leczniczemu musi z takim podmiotem zawrzeć umowę powierzenia przetwarzania danych?

Odpowiedź:

Upoważnienie do przetwarzania danych powinno być wydane każdemu pracownikowi, który przetwarza te dane a nie tylko osobom wykonującym czynności pozamedyczne.

W związku z faktem, że każdy podmiot leczniczy prowadzi swoją dokumentację medyczną i realizuje własne cele - nie działając w imieniu administratora - nie można uznać takiego podmiotu za procesora. Z podmiotem, który wykonuje na zlecenie szpitala badania specjalistyczne na rzecz pacjentów szpitala, nie podpisuje się zatem umowy powierzenia przetwarzania danych, który wykonuje na zlecenie szpitala badania na rzecz swoich pacjentów.  Potwierdzają to również przytoczone wyżej zapisy kodeksu branżowego.

Pytanie:

Czy podmiot leczniczy, w którym pobierany jest materiał biologiczny do badań i wysyłany do innych podmiotów w celu przeprowadzenia diagnostyki powinien mieć podpisane z tymi firmami umowy powierzenia przetwarzania danych?

Odpowiedź:

Upoważnienie do przetwarzania danych powinno być wydane każdemu pracownikowi, który przetwarza te dane a nie tylko osobom wykonującym czynności pozamedyczne.

Zgodnie z projektem kodeksu branżowego dla podmiotów medycznych w zakresie ochrony danych osobowych  - www.rodowzdrowiu.pl (pkt 4.6.2.): „(…) nie jest zasadne na potrzeby realizacji celów zdrowotnych zawieranie z tym podmiotem jako przetwarzającym umowy powierzenia przetwarzania danych osobowych  udostępnianych np. przez: (…) Inny PWDL udostępniający dane na potrzeby zachowania ciągłości usług medycznych, w tym ramach podwykonawstwa udzielania świadczeń, w tym wykonywania badań diagnostyki laboratoryjnej i obrazowej".  Innymi słowy podmiot leczniczy, o którym mowa w pytaniu, nie powinien zawierać umowy o powierzenie przetwarzania danych, jeśli dane są przekazywane na potrzeby realizacji celów zdrowotnych, np. szpital chce uzyskać wyniki badań krwi swojego pacjenta w celu wyleczenia go.

Pytanie:

Zainstalowany w szpitalu wpłatomat posiada kamery monitorujące korzystanie z tego urządzenia. Czy w takiej sytuacji szpital musi mieć podpisaną umowę powierzenia przetwarzania danych z firmą obsługującą wpłatomat?

Odpowiedź:

Nie, ponieważ szpital w tym zakresie nie przetwarza danych osobowych pacjentów.

Jak wynika z pytania, szpital zawarł z firmą zewnętrzną umowę o zainstalowanie wpłatomatu za telewizję. Podczas wpłacania firma ta zbiera dane osobowe osób wpłacających podczas ich wizerunku.

Należy jednocześnie zauważyć, że szpital w ogóle nie przetwarza danych osobowych osób wpłacających, których wizerunek został uwieczniony przez wpłatomat. Tym samym nie ma potrzeby zawierania przez firmę zewnętrzną ze szpitalem umowy powierzenia. Zgodnie z art. 4 pkt 7 RODO administrator oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych. Skoro więc to firma zewnętrzna zbiera dane osobowe i decyduje o celach i sposobach ich przetwarzania to ta firma jest administratorem danych osobowych i to na niej ciąży obowiązek informacyjny z art. 13 RODO.

Pytanie:

Kto z pracowników szpitala musi otrzymać upoważnienie do przetwarzania danych osobowych? Czy tylko osoby niewykonujące zawodów medycznych?

Odpowiedź:

Upoważnienie do przetwarzania danych powinno być wydane każdemu pracownikowi, który przetwarza te dane a nie tylko osobom wykonującym czynności pozamedyczne.

Zgodnie z art. 29 RODO każdy podmiot przetwarzający oraz każda osoba działająca z upoważnienia administratora lub podmiotu przetwarzającego i mająca dostęp do danych osobowych może je przetwarzać wyłącznie na polecenie administratora – a więc z jego umocowania. Tym samym każda osoba pracująca w placówce medycznej powinna mieć stosowne upoważnienie, aby móc pracować z danymi, które pozyskuje placówka medyczna. Nie ma tu znaczenia, czy dana osoba wykonuje obowiązki medyczne, czy też innego rodzaju.

Pytania:

Czy na tablicy ogłoszeń w szpitalu może wisieć informacja z imieniem i nazwiskiem lekarza oraz jego specjalizacją?

Odpowiedź:

Tak, ponieważ jest to niezbędne do realizacji obowiązków przez szpital.

Podstawą udostępnienia danych osobowych lekarza, a mianowicie jego imienia i nazwiska, a także specjalizacji jest art. 6 ust. 1 lit. c RODO. Udostępnienie imienia, nazwiska oraz specjalizacji lekarza jest dla szpitala niezbędne, aby mógł wypełnić swoje obowiązki, jakie nakłada na niego prawo – pacjent musi bowiem wiedzieć, do jakiego lekarza może się zapisać, jest zapisany lub w którym pokoju może go znaleźć. Udostępnienie takich danych nie narusza więc przepisów RODO.

Pytania:

Jakie dane osobowe mogą znaleźć się na opasce identyfikującej umieszczanej na nadgarstku noworodka?

Odpowiedź:

Nie ma żadnej podstawy do tego, aby w sposób widoczny umieszczać na nadgarstku pacjenta - noworodka jakiekolwiek dane osobowe, jeżeli nie jest to potrzebne do identyfikacji pacjenta.

Dane osobowe można przetwarzać tylko w celu w jakim zostały one pozyskane. Co więcej, umieszczenie tych danych na nadgarstku pacjenta nie służy celowi, jakim jest identyfikacja pacjenta, bo dane te nie mają żadnego znaczenia dla możliwości zidentyfikowania pacjenta (równie dobrze można to zrobić z użyciem losowo wygenerowanego numeru, innego ciągu znaków czy symbolu). Oznacza to, że dane osobowe byłyby użyte w ogóle bez jakiegokolwiek celu a to już stanowi w sposób oczywisty naruszenie zasad ochrony danych osobowych.

Reasumując, podawanie na nadgarstku pacjenta jego imienia, nazwiska czy innych jego danych osobowych nie jest potrzebne do identyfikacji osoby. Najlepiej świadczy o tym fakt, że noworodki nie mają nadanych imion, nazwiska mogą się powtarzać a mimo to szpitale identyfikują i rozróżniają noworodki bez korzystania z ich danych osobowych.