
Przetwarzanie danych osobowych pacjentów szpitala przez firmę zewnętrzną |
Opis Problemu: Szpital (powiatowy z przychodnią) zawiera umowę powierzenia przetwarzania danych osobowych z firmą zewnętrzną, która zobowiązuje się do wykonywania na zlecenie zleceniodawcy usług telefonicznej rejestracji pacjentów zleceniodawcy (różne badania). Danymi, którymi będzie dysponować, to adres, PESEL, nazwisko, nr tel. Nie będzie przetwarzała danych szczególnej kat. (zdrowia) – tylko rejestracja na konkretne badanie. Co będzie podstawą przetwarzania zawartą w umowie? Czy może to być art. 6 ust. 1 lit c lub e – wtedy w związku z jakim przepisem krajowym (jakiś dot. profilaktyki i promocji zdrowia)? Czy też może sam 6 ust. 1 lit f? Czy w tym przypadku ewentualnie należy dokonać dodatkowo oceny skutków dla ochrony danych? I co winno być w klauzuli w takim przypadku? |
![]() |
Rejestracja a RODOPodstawą przetwarzania danych osobowych będzie art. 6 ust. 1 litera f RODO, tj. uzasadniony interes administratora. Skoro dane dotyczące stanu zdrowia nie będą przetwarzane, to takowa podstawa jest wystraczająca. Można by rozważać również dodatkowo podstawę z art. 6 ust. 1 litera a, tj. zgodę, ale skoro jest to przychodnia / szpital powiatowy, nie prywatny, to nie można uzależniać od zgody świadczenia usług medycznych. Natomiast z uwagi na to, że mamy placówkę publiczną, prócz litery f ja rekomenduję wskazać c (szpital ma obowiązek przyjmować pacjentów) oraz e (podmiot publiczny, czyli realizacja zadań publicznych, a rejestracja jest niezbędna by je realizować).
Zgodnie z wyrokiem Trybunału Sprawiedliwości z 17 czerwca 2021 r., sygn. akt C -597/19: „Art. 6 ust. 1 akapit pierwszy lit. f rozporządzenia 2016/679 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych należy interpretować w ten sposób, że nie sprzeciwia się on co do zasady ani systematycznej rejestracji przez podmiot praw własności intelektualnej oraz dla niego przez osobę trzecią adresów IP użytkowników sieci równorzędnych (peer-to-peer), których łącza internetowe miały być wykorzystywane do działań naruszających prawa własności intelektualnej, ani udostępnieniu temu podmiotowi praw własności intelektualnej czy też osobie trzeciej nazwisk i adresów pocztowych tych użytkowników celem wniesienia do sądu cywilnego powództwa o odszkodowanie za szkodę, jaka miała zostać wyrządzona przez tych użytkowników, pod warunkiem jednak, że żądania i wnioski kierowane w tym względzie przez ten podmiot czy też osobę trzecią są uzasadnione, proporcjonalne i nie mają znamion nadużycia oraz znajdują podstawę prawną w krajowym środku ustawodawczym w rozumieniu art. 15 ust. 1 dyrektywy 2002/58 zmienionej dyrektywą 2009/136, który ogranicza zakres zastosowania zasad ustanowionych w art. 5 i 6 tej dyrektywy po zmianach”. Dane pacjentów a firma zewnętrznaMożna ów wyrok zastosować na zasadzie analogii. Skoro szpital może zawierać umowy outsourcingu w kwestiach związanych z rejestracją na wizyty, gdyż żaden przepis mu tego nie zabrania, to art. 6 ust. 1 litera f) może być podstawą przetwarzania danych pacjentów (poza danymi szczególnymi dot. stanu zdrowia) przez ową firmę celem umówienia wizyty lekarskiej.
W klauzuli informacyjnej dla pacjentów musi znaleźć się jednak informacja, że dane osobowe będą przetwarzane przez administratora z podmiotem przetwarzającym, jakim jest firma obsługująca rejestrację na mocy art. 6 ust. 1 litera f oraz c i e RODO, tj. z uwagi na prawnie uzasadniony interes administratora, jakim jest zlecenie rejestracji podmiotowi trzeciemu (chociażby po to, by odciążyć personel medyczny z tych zadań, czyli generalnie tym uzasadnionym interesem jest wsparcie personelu medycznego). Nadto trzeba wskazać, jakie dane będą powierzane na mocy tegoż artykuły temu podmiotowi trzeciemu: imię, nazwisko PESEL, nr tel. Pacjent musi o tym wiedzieć. Zastanowiłabym się czy PESEL jest niezbędny, by dokonać rejestracji, wszak mamy zasadę minimalizmu. Jeśli jednak jest niezbędny, trzeba to wskazać.
Ocena skutków dla ochrony danych jest wymagana w każdym przypadku, gdy operacje przetwarzania mogą powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych. Przeprowadzenie oceny skutków winno mieć miejsce przynajmniej w przypadkach, gdy:
Dane wrażliweDane dotyczące stanu zdrowia są danymi wrażliwymi. Gdyby były przetwarzane, ocena byłaby konieczna. PESEL zaś nie stanowi danych wrażliwych, zaliczamy go do zbioru danych zwykłych, zatem jego przetwarzanie nie wymaga oceny. Jeśli firma zewnętrzna nie profile danych osobowych, to co do zasady ocena nie jest obligatoryjna, ale oczywiście można ją przeprowadzić. W klauzuli informacyjnej trzeba jednak wskazać, że dane pacjentów nie będą profilowane, w tym przez podmiot przetwarzający.
Nie znalazłeś odpowiedzi na swoje pytania? Opisz nam swoją sprawę, wypełniając formularz poniżej ▼▼▼. Zadanie pytania do niczego nie zobowiązuje.
Zapytaj prawnika - porady prawne online ![]() O autorze: Radca prawny Paulina Olejniczak-Suchodolska Radca prawny, absolwentka Wydziału Prawa na Uniwersytecie Mikołaja Kopernika w Toruniu. Ukończyła aplikację radcowską przy Okręgowej Izbie Radców Prawnych w Warszawie. Doświadczenie zawodowe zdobywała współpracując z kancelariami prawnymi. Specjalizuje się głównie w prawie gospodarczym, prawie pracy, prawie zamówień publicznych, a także w prawie konsumenckim i prawie administracyjnym. Obecnie prowadzi własną kancelarię radcowską oraz obsługuje spółki i instytucje państwowe. |
|
Zapytaj prawnika
Najnowsze pytania w dziale
Komentarze (0):
Uwaga!
Szanowni Państwo!
Nasi prawnicy nie odpowiadają na pytania zadawane w formie komentarza pod tekstem. Jeśli chcą Państwo powierzyć swój problem naszym prawnikom, prosimy kliknąć tutaj >>