Temat: Czy muszę prowadzić rejestr kategorii przetwarzania...
Monika K.:
Moim zdaniem, wykonując zadania z ustawy o służbie medycynie pracy ( wszystkie badania profilaktyczne) jednostka służby medycyny pracy jest ADO danych pacjenta/ pracownika. Gdyby była tylko przetwarzającym badania wykonywane byłyby w imieniu zakładu pracy ( art 4 pkt 8 rodo) - a przecież wykonuje je we własnym imieniu . Ma także dostęp do wyników badań kt są w żadnym wypadku nie jawne dla pracodawcy .
W tym kontekście jednak zastanawiałam się nad obowiązkiem informacyjnym z art. 14 - jeśli przyjmiemy ze jest Adm. ma przecież własny obowiązek INF - ale może go spełniać w momencie zgłaszania się pracowników ze skierowaniami na badania.
przyjęcie koncepcji współadministrowania ( art. 26 rodo)pozwala na ustaleniu w porozumieniu kto ( zakład pracy) spełni obowiązek informacyjny wobec pracowników - to pozwoliłoby odciążyć w tym zakresie zakłady medycyny pracy a jednocześnie nie stawiałoby ich w roli procesorów .
Wokół ochrony zdrowia pewnie jeszcze długo będą toczyć się dyskusje typu "wyższości świąt bożego narodzenia nad wielkanocnymi".
Moim zdaniem warto pochylić się nad każdym przypadkiem indywidualnie i sprawdzić jakie zachodzą interakcje.
Drugą sprawą jest fakt, że dane osobowe mają tendencje przyrostowe tj. Organizacja otrzymująca d.o. często zwiększa ich zakres. We wzorze można to wykazać: X+1 gdzie X to dane otrzymane z zewnątrz, a +1 to dane wytworzone w Organizacji.
Zaprezentowany przez Ciebie pogląd dobrze wpisuje się do sytuacji gdzie pracodawca poleca wykonać pracownikowi badania okresowe bez wskazania konkretnego lekarza medycyny pracy.
Inaczej powinno być oceniane gdy pracodawca wskazuje, że badania można wykonywać w tym i tylko w tym gabinecie, gdyż została podpisana umowa o świadczenie usług z zakresu medycyny pracy wobec pracowników. W celu realizacji tej umowy gabinet otrzyma od pracodawcy informację: dane pracownika, nazwa zakładu pracy, grupa zawodowa, specyficzne warunki pracy. I to są dane osobowe powierzone. Gabinet przyjmuje owe dane do przetworzenia (4.2.) wykonuje zakres badań na zlecenie pracodawcy (to znaczy, że sam nie określa zakresu - nie może robić dowolnych badań); powiększa przetwarzane d.o. o wartość +1 wobec której jest na mocy odrębnych przepisów samodzielnym ADO. Zwraca pracodawcy X + informacja o możliwości podjęcia przez pracownika wskazanej pracy.
Można zastanawiać się czy nie ma zastosowania współadministrowanie. Trudnością może być wspólne ustalanie celów. Pracodawca ma inny - zatrudnienie pracownika, gabinet inny - wykonywanie badań.