Obsługa oprogramowania w podmiocie leczniczym – kogo upoważnić do przetwarzania danych

Podmiot leczniczy jest administratorem danych osobowych przetwarzanych za pomocą używanego w niej oprogramowania. Oprogramowanie to ADO używa we własnej strukturze za pomocą własnych środków organizacyjnych. ADO zamierza udostępniać powyższe oprogramowanie:

• firmie zewnętrznej, która je dostarczyła, w tym jej pracownikom – w celu monitorowania działania, konserwacji oraz dokonywania napraw i aktualizacji oprogramowania oraz
• osobom zatrudnionym w placówce, które będą przetwarzać dane osobowe za pomocą tego oprogramowania.

Po pierwsze, podmiot który najpierw dostarczył ADO oprogramowanie, a następnie, przy pomocy osób w nim zatrudnionych, zamierza świadczyć usługi szeroko pojętego serwisowania tego oprogramowania, znajduje się poza strukturą ADO. Dlatego też możemy go określić jako podmiot przetwarzający, który w rozumieniu art. 28 ust. 1 RODO przetwarza dane osobowe w imieniu ADO. W przypadku zlecenia temu podmiotowi usług serwisowania, ADO powinien zatem podpisać z tym podmiotem umowę powierzenia, która powinna zawierać co najmniej wszystkie elementy opisane w art. 28 ust. 3 RODO.

Po drugie, zgodnie z art. 29 RODO podmiot przetwarzający oraz każda osoba działająca z upoważnienia ADO lub podmiotu przetwarzającego i mająca dostęp do danych osobowych, przetwarzać je może wyłącznie na polecenie ADO, chyba że wymaga tego prawo Unii lub prawo państwa członkowskiego. Oznacza to, że:

• ADO powinien upoważnić osoby u siebie zatrudnione (zarówno na podstawie umowy o pracę jak i na podstawie umowy cywilnoprawnej) do przetwarzania danych osobowych za pomocą dostarczonego mu oprogramowania, w przypadku gdy zamierza on dopuścić te osoby do takiego przetwarzania;
• ADO powinien upoważnić każdą osobę działającą z upoważnienia podmiotu przetwarzającego (a więc np. jego pracowników) do przetwarzania danych w ramach serwisowanego oprogramowania używanego w strukturze ADO – upoważnienie powinno również dotyczyć przetwarzania zdalnego;
• osoby pracujące dla podmiotu przetwarzającego również powinny mieć upoważnienie do przetwarzania danych osobowych wydane przez ten podmiot przetwarzający (obowiązku tego powinien we własnym zakresie dopełnić podmiot przetwarzający).