Przetwarzanie danych osobowych pacjentów szpitala przez firmę zewnętrzną

Rejestracja a RODO

Podstawą przetwarzania danych osobowych będzie art. 6 ust. 1 litera f RODO, tj. uzasadniony interes administratora. Skoro dane dotyczące stanu zdrowia nie będą przetwarzane, to takowa podstawa jest wystraczająca. Można by rozważać również dodatkowo podstawę z art. 6 ust. 1 litera a, tj. zgodę, ale skoro jest to przychodnia / szpital powiatowy, nie prywatny, to nie można uzależniać od zgody świadczenia usług medycznych. Natomiast z uwagi na to, że mamy placówkę publiczną, prócz litery f ja rekomenduję wskazać c (szpital ma obowiązek przyjmować pacjentów) oraz e (podmiot publiczny, czyli realizacja zadań publicznych, a rejestracja jest niezbędna by je realizować).

Zgodnie z wyrokiem Trybunału Sprawiedliwości z 17 czerwca 2021 r., sygn. akt C -597/19:

„Art. 6 ust. 1 akapit pierwszy lit. f rozporządzenia 2016/679 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych należy interpretować w ten sposób, że nie sprzeciwia się on co do zasady ani systematycznej rejestracji przez podmiot praw własności intelektualnej oraz dla niego przez osobę trzecią adresów IP użytkowników sieci równorzędnych (peer-to-peer), których łącza internetowe miały być wykorzystywane do działań naruszających prawa własności intelektualnej, ani udostępnieniu temu podmiotowi praw własności intelektualnej czy też osobie trzeciej nazwisk i adresów pocztowych tych użytkowników celem wniesienia do sądu cywilnego powództwa o odszkodowanie za szkodę, jaka miała zostać wyrządzona przez tych użytkowników, pod warunkiem jednak, że żądania i wnioski kierowane w tym względzie przez ten podmiot czy też osobę trzecią są uzasadnione, proporcjonalne i nie mają znamion nadużycia oraz znajdują podstawę prawną w krajowym środku ustawodawczym w rozumieniu art. 15 ust. 1 dyrektywy 2002/58 zmienionej dyrektywą 2009/136, który ogranicza zakres zastosowania zasad ustanowionych w art. 5 i 6 tej dyrektywy po zmianach”.

Dane pacjentów a firma zewnętrzna

Można ów wyrok zastosować na zasadzie analogii. Skoro szpital może zawierać umowy outsourcingu w kwestiach związanych z rejestracją na wizyty, gdyż żaden przepis mu tego nie zabrania, to art. 6 ust. 1 litera f) może być podstawą przetwarzania danych pacjentów (poza danymi szczególnymi dot. stanu zdrowia) przez ową firmę celem umówienia wizyty lekarskiej.

W klauzuli informacyjnej dla pacjentów musi znaleźć się jednak informacja, że dane osobowe będą przetwarzane przez administratora z podmiotem przetwarzającym, jakim jest firma obsługująca rejestrację na mocy art. 6 ust. 1 litera f oraz c i e RODO, tj. z uwagi na prawnie uzasadniony interes administratora, jakim jest zlecenie rejestracji podmiotowi trzeciemu (chociażby po to, by odciążyć personel medyczny z tych zadań, czyli generalnie tym uzasadnionym interesem jest wsparcie personelu medycznego). Nadto trzeba wskazać, jakie dane będą powierzane na mocy tegoż artykuły temu podmiotowi trzeciemu: imię, nazwisko PESEL, nr tel. Pacjent musi o tym wiedzieć. Zastanowiłabym się czy PESEL jest niezbędny, by dokonać rejestracji, wszak mamy zasadę minimalizmu. Jeśli jednak jest niezbędny, trzeba to wskazać.

Ocena skutków dla ochrony danych jest wymagana w każdym przypadku, gdy operacje przetwarzania mogą powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych. Przeprowadzenie oceny skutków winno mieć miejsce przynajmniej w przypadkach, gdy:

• mamy do czynienia z dokonywaniem systematycznej, kompleksowej oceny czynników osobowych osób fizycznych, między innymi na podstawie profilowania,
• mamy do czynienia z przetwarzaniem danych wrażliwych na dużą skalę,
• mamy systematyczne monitorowanie na dużą skalę miejsc publicznie dostępnych.

Dane wrażliwe

Dane dotyczące stanu zdrowia są danymi wrażliwymi. Gdyby były przetwarzane, ocena byłaby konieczna. PESEL zaś nie stanowi danych wrażliwych, zaliczamy go do zbioru danych zwykłych, zatem jego przetwarzanie nie wymaga oceny. Jeśli firma zewnętrzna nie profile danych osobowych, to co do zasady ocena nie jest obligatoryjna, ale oczywiście można ją przeprowadzić. W klauzuli informacyjnej trzeba jednak wskazać, że dane pacjentów nie będą profilowane, w tym przez podmiot przetwarzający.