.
Udzieliliśmy ponad 123,6 tys. porad prawnych i mamy 14 119 opinii Klientów
Zadaj pytanie » Zadaj pytanie »

Przetwarzanie danych osobowych pacjentów szpitala przez firmę zewnętrzną

Opis Problemu:

Szpital (powiatowy z przychodnią) zawiera umowę powierzenia przetwarzania danych osobowych z firmą zewnętrzną, która zobowiązuje się do wykonywania na zlecenie zleceniodawcy usług telefonicznej rejestracji pacjentów zleceniodawcy (różne badania). Danymi, którymi będzie dysponować, to adres, PESEL, nazwisko, nr tel. Nie będzie przetwarzała danych szczególnej kat. (zdrowia) – tylko rejestracja na konkretne badanie. Co będzie podstawą przetwarzania zawartą w umowie? Czy może to być art. 6 ust. 1 lit c lub e – wtedy w związku z jakim przepisem krajowym (jakiś dot. profilaktyki i promocji zdrowia)? Czy też może sam 6 ust. 1 lit f? Czy w tym przypadku ewentualnie należy dokonać dodatkowo oceny skutków dla ochrony danych? I co winno być w klauzuli w takim przypadku?


Masz podobny problem? Kliknij tutaj i zadaj pytanie. Pomagamy w podobnych sprawach.

Przetwarzanie danych osobowych pacjentów szpitala przez firmę zewnętrzną

Rejestracja a RODO

Podstawą przetwarzania danych osobowych będzie art. 6 ust. 1 litera f RODO, tj. uzasadniony interes administratora. Skoro dane dotyczące stanu zdrowia nie będą przetwarzane, to takowa podstawa jest wystraczająca. Można by rozważać również dodatkowo podstawę z art. 6 ust. 1 litera a, tj. zgodę, ale skoro jest to przychodnia / szpital powiatowy, nie prywatny, to nie można uzależniać od zgody świadczenia usług medycznych. Natomiast z uwagi na to, że mamy placówkę publiczną, prócz litery f ja rekomenduję wskazać c (szpital ma obowiązek przyjmować pacjentów) oraz e (podmiot publiczny, czyli realizacja zadań publicznych, a rejestracja jest niezbędna by je realizować).

 

Zgodnie z wyrokiem Trybunału Sprawiedliwości z 17 czerwca 2021 r., sygn. akt C -597/19:

„Art. 6 ust. 1 akapit pierwszy lit. f rozporządzenia 2016/679 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych należy interpretować w ten sposób, że nie sprzeciwia się on co do zasady ani systematycznej rejestracji przez podmiot praw własności intelektualnej oraz dla niego przez osobę trzecią adresów IP użytkowników sieci równorzędnych (peer-to-peer), których łącza internetowe miały być wykorzystywane do działań naruszających prawa własności intelektualnej, ani udostępnieniu temu podmiotowi praw własności intelektualnej czy też osobie trzeciej nazwisk i adresów pocztowych tych użytkowników celem wniesienia do sądu cywilnego powództwa o odszkodowanie za szkodę, jaka miała zostać wyrządzona przez tych użytkowników, pod warunkiem jednak, że żądania i wnioski kierowane w tym względzie przez ten podmiot czy też osobę trzecią są uzasadnione, proporcjonalne i nie mają znamion nadużycia oraz znajdują podstawę prawną w krajowym środku ustawodawczym w rozumieniu art. 15 ust. 1 dyrektywy 2002/58 zmienionej dyrektywą 2009/136, który ogranicza zakres zastosowania zasad ustanowionych w art. 5 i 6 tej dyrektywy po zmianach”.

Masz problem prawny? Kliknij tutaj i zapytaj prawnika ›

Dane pacjentów a firma zewnętrzna

Można ów wyrok zastosować na zasadzie analogii. Skoro szpital może zawierać umowy outsourcingu w kwestiach związanych z rejestracją na wizyty, gdyż żaden przepis mu tego nie zabrania, to art. 6 ust. 1 litera f) może być podstawą przetwarzania danych pacjentów (poza danymi szczególnymi dot. stanu zdrowia) przez ową firmę celem umówienia wizyty lekarskiej.

 

W klauzuli informacyjnej dla pacjentów musi znaleźć się jednak informacja, że dane osobowe będą przetwarzane przez administratora z podmiotem przetwarzającym, jakim jest firma obsługująca rejestrację na mocy art. 6 ust. 1 litera f oraz c i e RODO, tj. z uwagi na prawnie uzasadniony interes administratora, jakim jest zlecenie rejestracji podmiotowi trzeciemu (chociażby po to, by odciążyć personel medyczny z tych zadań, czyli generalnie tym uzasadnionym interesem jest wsparcie personelu medycznego). Nadto trzeba wskazać, jakie dane będą powierzane na mocy tegoż artykuły temu podmiotowi trzeciemu: imię, nazwisko PESEL, nr tel. Pacjent musi o tym wiedzieć. Zastanowiłabym się czy PESEL jest niezbędny, by dokonać rejestracji, wszak mamy zasadę minimalizmu. Jeśli jednak jest niezbędny, trzeba to wskazać.

 

Ocena skutków dla ochrony danych jest wymagana w każdym przypadku, gdy operacje przetwarzania mogą powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych. Przeprowadzenie oceny skutków winno mieć miejsce przynajmniej w przypadkach, gdy:

 

  • mamy do czynienia z dokonywaniem systematycznej, kompleksowej oceny czynników osobowych osób fizycznych, między innymi na podstawie profilowania,
  • mamy do czynienia z przetwarzaniem danych wrażliwych na dużą skalę,
  • mamy systematyczne monitorowanie na dużą skalę miejsc publicznie dostępnych.

 

Dane wrażliwe

Dane dotyczące stanu zdrowia są danymi wrażliwymi. Gdyby były przetwarzane, ocena byłaby konieczna. PESEL zaś nie stanowi danych wrażliwych, zaliczamy go do zbioru danych zwykłych, zatem jego przetwarzanie nie wymaga oceny. Jeśli firma zewnętrzna nie profile danych osobowych, to co do zasady ocena nie jest obligatoryjna, ale oczywiście można ją przeprowadzić. W klauzuli informacyjnej trzeba jednak wskazać, że dane pacjentów nie będą profilowane, w tym przez podmiot przetwarzający.

Nie znalazłeś odpowiedzi na swoje pytania? Opisz nam swoją sprawę, wypełniając  formularz poniżej  ▼▼▼. Zadanie pytania do niczego nie zobowiązuje.

Zapytaj prawnika - porady prawne online

Zadanie pytania do niczego nie zobowiązuje!
Wycenę wyślemy do 1 godziny

O autorze: Radca prawny Paulina Olejniczak-Suchodolska

Radca prawny, absolwentka Wydziału Prawa na Uniwersytecie Mikołaja Kopernika w Toruniu. Ukończyła aplikację radcowską przy Okręgowej Izbie Radców Prawnych w Warszawie. Doświadczenie zawodowe zdobywała współpracując z kancelariami prawnymi. Specjalizuje się głównie w prawie gospodarczym, prawie pracy, prawie zamówień publicznych, a także w prawie konsumenckim i prawie administracyjnym. Obecnie prowadzi własną kancelarię radcowską oraz obsługuje spółki i instytucje państwowe.


Komentarze (0):

Uwaga!
Szanowni Państwo!
Nasi prawnicy nie odpowiadają na pytania zadawane w formie komentarza pod tekstem. Jeśli chcą Państwo powierzyć swój problem naszym prawnikom, prosimy kliknąć tutaj >>

  • 9 - VI =
.
Porad przez Internet udzielają
prawnicy z dużym doświadczeniem:
Prawnicy

Zapytaj prawnika

Zadanie pytania do niczego nie zobowiązuje!
Wycenę wyślemy do 1 godziny
Szukamy ambitnego prawnika »

spadek.info

prawo-budowlane.info

odpowiedziprawne.pl