GoldenLine
Zaloguj się
Marek Popiel

Marek Popiel ochroniarz danych

Temat: czy to jest powierzenie?

Mam następujący dylemat:

ZOZ podpisał ze szpitalem umowę, na podstawie której szpital ten będzie wykonywał badania diagnostyczne pacjentom ZOZu, a potem na przedstawiał miesięczne zestawienia wykonanych badań i fakturował ZOZ.

Fizycznie przekazywanie danych osobowych będzie odbywało się w 3 sytuacjach:
sytuacja nr 1 - pacjent zgłasza się do szpitala ze skierowaniem wystawionym przez zoz i na tej podstawie jest rejestrowany itd.
sytuacja nr 2 - szpital wydaje wynik badań pacjentowi (który z tym wynikiem powinien stawić się z powrotem
sytuacja nr 3 - szpital sporządza wykaz w którym jest lista pacjentów (z danymi identyfikującymi) oraz nazwa badania (wykaz jest podstawą do wystawienia faktury, której wysokość zależy od ilości i rodzaju wykonanych badań) i przesyła ten wykaz wraz z fakturą do ZOZu

Mój dylemat polega na tym, że do faktury na wykonywanie badań ZOZ zaproponował umowę powierzenia,
a ja nie jestem przekonany, że w tym przypadku powierzenie jest dobrym rozwiązaniem.

W sytuacjach 1 i 2 dane są przekazywane pomiędzy pacjentem a szpitalem i to, że skierowanie wystawił ZOZ jest moim zdaniem sprawą drugorzędną, szpital ma prawo przetwarzać dane pacjentów, którzy się do niego zgłaszają i nie potrzebuje na to dodatkowego uprawomocnienia w postaci powierzenia od zlecających badania.
Dodam, że dane pacjentów zgłaszających się ze skierowaniem ZUZu są wpisywane do ogólnego zbioru pacjentów szpitala, a więc nie ma osobnego zbioru, osobnych upoważnień itd.

Sytuacja nr 3 - przekazywanie danych w związku z rozliczeniami pomiędzy ZOZem i szpitalem można podciągnąć moim zdaniem na uzasadnione udostępnianie danych pomiędzy dwoma administratorami danych na podstawie zawartej umowy o świadczenie usług.
Trzeba tu zauważyć, że oba podmioty nawet bez przekazywania danych w ramach rozliczeń i tak posiadają dane pacjenta oraz informacje o tym jakie badanie mu zlecono. Wykaz jest de facto wyłącznie potwierdzeniem wykonania tych badań w raportowanym okresie czasu.

Nad rozstrzygnięciem dylematu zastanawiam się od dłuższego czasu.
Dogrzebałem się m.in opinii Piotra Glena, który w książce pt. Ochrona danych medycznych i osobowych pacjenta (praca zbiorowa) stwierdza, że w takich sytuacjach można (ale nie napisał, że bezwzględnie trzeba) zastosować powierzenie.
Nie jestem przekonany, że w moim przypadku ma to sens, zwłaszcza, że tak jak napisałem dane pacjentów są wpisywane do zbioru danych administratora (fizycznie są w tej samej bazie danych co dane pozostałych pacjentów) i nie da się wydzielić tego podzbioru w celu zapewnienia osobnej kontroli (dostępu, zabezpieczeń itp.) nad nimi.

Jeżeli komuś chciało się przebić przez ten długaśny opis powyżej - będę wdzięczny za wszelkie Wasze opinie na ten temat.
Link do wypowiedziLink
Paweł G.

Paweł G. IOD, podmiot danych

Temat: czy to jest powierzenie?

Uważam, że masz rację. Czemu powierzenie, skoro ZOZ nie może zażądać oddania lub zniszczenia danych?
Link do wypowiedziLink
Radosław Zieliński

Radosław Zieliński

Temat: czy to jest powierzenie?

Moim zdaniem sytuacja 1 i 2 to tylko techniczna strona realizacji umowy pomiędzy ZOZ (ADO), a szpitalem (procesor). To, że pacjent przynosi skierowanie i odbiera wyniki, to tylko sposób realizacji umowy. Jak sprawa wyglądałaby gdyby ZOZ przesyłał drogą elektroniczną skierowanie i tą samą otrzymywał wyniki. Może też być sytuacja gdy od pacjenta pobiera się materiał do badań w ZOZ i zawozi do szpitala. Co wówczas?

Może patrząc z pozycji pacjenta się rozjaśni.
Pacjent przychodzi ze skierowaniem do szpitala na badania diagnostyczne. Co by się stało gdyby ZOZ nie miał podpisanej umowy? Zapewne pacjent dowiedziałby się, że badanie oczywiście będzie wykonane ale odpłatnie. Wówczas szpital wykonałby usługę na rzecz pacjenta. Jednak badanie wykonuje, a kosztami obciąża ZOZ. Czyli szpital wykonał usługę na rzecz ZOZ.

Szpital prowadzi zbiór klientów ZOZ, którym wykonał badania diagnostyczne. Inaczej na jakiej podstawie wystawiałby comiesięczne zestawienie i fakturę?
Link do wypowiedziLink
Paweł G.

Paweł G. IOD, podmiot danych

Temat: czy to jest powierzenie?

Radosław Z.:
Moim zdaniem sytuacja 1 i 2 to tylko techniczna strona realizacji umowy pomiędzy ZOZ (ADO), a szpitalem (procesor). To, że pacjent przynosi skierowanie i odbiera wyniki, to tylko sposób realizacji umowy.
Ale przecież przetwarzanie odbywa się na podstawie przepisów prawa. Realizacja umowy nie jest wyłącznym celem przetwarzania, a ZOZ nie decyduje o środkach i celach przetwarzania.
Link do wypowiedziLink
Marek Popiel

Marek Popiel ochroniarz danych

Temat: czy to jest powierzenie?

Radosław.

Dziękuję za opinię, ale mam pewne kontrargumenty:

Moim zdaniem sytuacja 1 i 2 to tylko techniczna strona realizacji umowy pomiędzy ZOZ (ADO), a szpitalem (procesor).
No właśnie nie jestem przekonany. Wykonywanie badań dla pacjentów i wydawanie im wyników odbywa się na podstawie przepisów odnoszących się do prowadzenia działalności leczniczej. Szpital ma prawo to robić bez żadnej umowy, dobrym przykładem jest to właśnie sytuacja, którą opisałeś, tzn. kiedy pacjent przychodzi ze skierowaniem, a szpital nie ma umowy na wykonywanie badań z ZOZem, który wystawił skierowanie. Nie mamy umowy ... i w dalszym ciągu szpital może przetwarzać dane tego pacjenta, ponieważ pozwalają na to przepisy prawa.
Zasadniczym przedmiotem umowy jest właśnie kwestia uregulowania przepływu pieniądza, a jedyną regulacją odnoszącą się do przekazywania danych osobowych, którą ustalili autorzy umowy jest sposób raportowania wykonanych świadczeń. Przekazywaniu danych dot zlecania i przekazywaniu wyników nie poświęcono ani słowa.
(To jak się faktycznie odbywa dowiedziałem się od ludzi, którzy zajmują się rejestrowaniem zleceń i wydawaniem wyników).

Jak sprawa wyglądałaby gdyby ZOZ przesyłał drogą elektroniczną skierowanie i tą samą otrzymywał wyniki.
To byłby inny przypadek ;-)
A na poważnie - wbrew pozorom to niekoniecznie zmienia mój punkt widzenia ponieważ w Ustawie o Prawach Pacjenta itd. jest coś takiego:
"Art. 26.
...
3. Podmiot udzielający świadczeń zdrowotnych udostępnia dokumentację medyczną również:
1) podmiotom udzielającym świadczeń zdrowotnych, jeżeli dokumentacja ta jest niezbędna do zapewnienia ciągłości świadczeń zdrowotnych;
..."
To jest podstawa, która jak rozumiem uprawomocnia przekazywanie tych danych pomiędzy podmiotami udzielający świadczeń zdrowotnych. W dodatku zauważ, że użyto tu słowa "udostępnia".

Szpital prowadzi zbiór klientów ZOZ, którym wykonał badania diagnostyczne.
Szpital nie prowadzi wydzielonego zbioru. Jest jeden zbiór pacjentów, a przy rejestracji odnotowywane są informacje dot. zlecenia. Dzięki temu można wygenerować raport o pacjentach których skierował ZOZ. Równie dobrze można zrobić raport dot. zleceń od konkretnego lekarza lub z danej miejscowości, co nie oznacza, że to są osobne zbiory danych (ani w sensie technicznym, ani w sensie formalnym).
Można sobie wyobrazić, że dla pacjentów ZOZu szpital prowadzi osobną bazę danych, ale techniczny problem z tym jest taki, że szpital ma wiele takich umów, więc idąc w tym kierunku musiałby mieć wiele instancji bazy danych z osobnymi uprawnieniami itd. Obsługa pacjentów, realizacja zleceń i zarządzanie tym zrobiłyby się nieco bardziej skomplikowane, szczególnie przy większej ilości takich oddzielonych zbiorów.

Najważniejsze jednak, że moim zdaniem ani z przepisów prawa ani z zapisów umowy z ZOZem nie wynika konieczność prowadzenia osobnego zbioru danych osobowych.
Dlatego zresztą mam największy dylemat z tą umową powierzenia. Powiedzmy, że dla "świętego spokoju" szpital podpisuje tą umowę - oznaczałoby to, że szpital uznaje, że dane tych pacjentów faktycznie stanowią osobny zbiór którego administratorem jest ZOZ. Wtedy szpital faktycznie musiałby zainwestować w rozwiązania techniczne i przyjąć rozwiązania organizacyjne, które umożliwiałyby oddzielne zarządzanie tym zbiorem danych. W praktyce oznaczałoby to prawdopodobnie, że w przypadku mniejszych zleceniodawców szpital nie byłby zainteresowany podpisywaniem takiej umowy.

Co do kwestii przekazywania danych w związku z rozliczeniami: Zauważ, że obie strony umowy posiadają dane pacjenta i informacje o tym co mu zlecono jeszcze przed przekazaniem raportu przez szpital. Przekazanie danych służy tylko wykazaniu, że zlecenia wykonano w rozliczanym okresie czasu. Wydaje mi się, że udostępnienie jest tu dopuszczalne na podstawie:
"Art. 23. 1. Przetwarzanie danych jest dopuszczalne tylko wtedy, gdy:
...
5)jest to niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą."Ten post został edytowany przez Autora dnia 02.09.16 o godzinie 09:54
Link do wypowiedziLink
Paweł G.

Paweł G. IOD, podmiot danych

Temat: czy to jest powierzenie?

Marek P.:
Wydaje mi się, że udostępnienie jest tu dopuszczalne na podstawie:
"Art. 23. 1. Przetwarzanie danych jest dopuszczalne tylko wtedy, gdy:
...
5)jest to niezbędne dla wypełnienia prawnie usprawiedliwionych celów
Ja bym raczej przyjął art. 27 ust. 2 pkt 7 uodo. Zwracam też uwagę na obowiązek informacyjny dot. odbiorców danych.
Link do wypowiedziLink
Marek Popiel

Marek Popiel ochroniarz danych

Temat: czy to jest powierzenie?

Paweł G.:
Ja bym raczej przyjął art. 27 ust. 2 pkt 7 uodo.

To jest przepis uprawniający do przetwarzania danych pacjentów w celu ochrony zdrowia itd.,
a ja chciałem tu wskazać podstawę do przekazywania danych w celu realizacji rozliczeń pomiędzy podmiotami. No chyba żeby uznać, że to też w jakimś ogólnym sensie wiąże się ochroną zdrowia...
Link do wypowiedziLink
Paweł G.

Paweł G. IOD, podmiot danych

Temat: czy to jest powierzenie?

Marek P.:
a ja chciałem tu wskazać podstawę do przekazywania danych w celu realizacji rozliczeń pomiędzy podmiotami.
Moim zdaniem niepotrzebnie. Udzielacie pacjentowi świadczenia medycznego. Dla osiągnięcia tego celu niezbędne jest udostępnienie niektórych danych pacjenta podmiotowi, z którym współpracujecie.
No chyba żeby uznać, że to też w jakimś ogólnym sensie wiąże się ochroną zdrowia...
Ja bym właśnie tak uznał. I nie że pośrednio, w ogólnym sensie, a wprost się wiąże.
Link do wypowiedziLink
Piotr Osóbka

Piotr Osóbka Audytor, Point

Temat: czy to jest powierzenie?

Jeśli UODO nie reguluje to proponuję zajrzeć tutaj...
Ustawa z dnia 27 sierpnia 2004 r. o świadczeniach opieki zdrowotnej finansowanych ze środków publicznych
A jeśli nadal są wątpliwości to niech zadecyduje DSOZ centrali NFZ.
Link do wypowiedziLink
Paweł G.

Paweł G. IOD, podmiot danych

Temat: czy to jest powierzenie?

Piotr O.:
niech zadecyduje DSOZ centrali NFZ.
O czym i dlaczego?
Link do wypowiedziLink
Piotr Osóbka

Piotr Osóbka Audytor, Point

Temat: czy to jest powierzenie?

O wątpliwościami które poruszanie w wątku.Ten dep. może wydać wiążącą opinie.
Link do wypowiedziLink
Paweł G.

Paweł G. IOD, podmiot danych

Temat: czy to jest powierzenie?

Zbiory danych osobowych wyodrębnia ADO, nie departament NFZ. To ADO w wykazie zbiorów opisuje strukturę zbioru i cele przetwarzania. Nie widzę roli NFZ.
Link do wypowiedziLink
Piotr Osóbka

Piotr Osóbka Audytor, Point

Temat: czy to jest powierzenie?

Co do tego to nikt nie ma wątpliwości.
Chodziło mi tutaj o inne opisane sytuacje np:

Szpital ma prawo to robić bez żadnej umowy, dobrym przykładem jest to właśnie sytuacja, którą opisałeś, tzn. kiedy pacjent przychodzi ze skierowaniem, a szpital nie ma umowy na wykonywanie badań z ZOZem, który wystawił skierowanie. Nie mamy umowy ... i w dalszym ciągu szpital może przetwarzać dane tego pacjenta, ponieważ pozwalają na to przepisy prawa.
Zasadniczym przedmiotem umowy jest właśnie kwestia uregulowania przepływu pieniądza, a jedyną regulacją odnoszącą się do przekazywania danych osobowych, którą ustalili autorzy umowy jest sposób raportowania wykonanych świadczeń. Przekazywaniu danych dot zlecania i przekazywaniu wyników nie poświęcono ani słowa.
(To jak się faktycznie odbywa dowiedziałem się od ludzi, którzy zajmują się rejestrowaniem zleceń i wydawaniem wyników).

i kilka innych...
Link do wypowiedziLink
Paweł G.

Paweł G. IOD, podmiot danych

Temat: czy to jest powierzenie?

Piotr O.:
Zasadniczym przedmiotem umowy jest właśnie kwestia uregulowania przepływu pieniądza, a jedyną regulacją odnoszącą się do przekazywania danych osobowych, którą ustalili autorzy umowy jest sposób raportowania wykonanych świadczeń. Przekazywaniu danych dot zlecania i przekazywaniu wyników nie poświęcono ani słowa.
Teraz rozumiem. Zwróciłeś uwagę na ważną kwestię.
Link do wypowiedziLink
Marek Popiel

Marek Popiel ochroniarz danych

Temat: czy to jest powierzenie?

Przepraszam, ale teraz ja nie rozumiem :-(
O jakiej ważnej kwestii tu mowa?
Link do wypowiedziLink
Radosław Zieliński

Radosław Zieliński

Temat: czy to jest powierzenie?

Marek

To czy szpital musiałby tworzyć zbiór (zbiory) nie powinno kłaść się cieniem na rozważania. To prawo kształtuje organizację pracy, a nie odwrotnie (Szpital może stworzyć zbiór 'usługi zewnętrzne').

Może się zdarzyć, że ZOZ ma podpisane umowy na badania i z innymi laboratoriami; pacjent może nie wykonać badań. Skoro następują rozliczenia za wykonaną usługę pomiędzy ZOZ i Szpitalem, to ten drugi musi mieć wiedzę i bazę danych wykonanych zleceń. Zleceniodawca musi mieć możliwość weryfikacji poprawności wystawionej faktury (zestawienie).

Przytoczony przez Ciebie przepis ustawy o prawach pacjenta mógłby być stosowany ale wówczas podstawą byłby art.27.2.2 uodo .

ps.
W razie wątpliwości ABI ma prawo wystąpić do prawnika obsługującego jednostkę o opinię prawną ;) Będzie wiążąca w danej sprawie .
Link do wypowiedziLink
Paweł G.

Paweł G. IOD, podmiot danych

Temat: czy to jest powierzenie?

Radosław Z.:
To czy szpital musiałby tworzyć zbiór (zbiory) nie powinno kłaść się cieniem na rozważania. To prawo kształtuje organizację pracy, a nie odwrotnie (Szpital może stworzyć zbiór 'usługi zewnętrzne').
Równie zgodnie z prawem szpital może stworzyć zbiór "Pacjenci", z którego w pewnych przypadkach będzie udostępniać niektóre informacje o pacjentach podmiotom współpracującym (na podstawie i w granicach prawa) w leczeniu danego pacjenta.

Ustawa o ochronie danych osobowych nie zmusza ADO do wyodrębnienia zbioru "Usługi zewnętrzne"; ten cel można realizować przez dodanie odpowiednich rekordów do zbioru "Pacjenci".
Przytoczony przez Ciebie przepis ustawy o prawach pacjenta mógłby być stosowany ale wówczas podstawą byłby art.27.2.2 uodo .
Otóż to właśnie. Z tym że ja przyjąłbym art.27.2.7.Ten post został edytowany przez Autora dnia 06.09.16 o godzinie 07:57
Link do wypowiedziLink
Radosław Zieliński

Radosław Zieliński

Temat: czy to jest powierzenie?

Paweł G.:
Ustawa o ochronie danych osobowych nie zmusza ADO do wyodrębnienia zbioru "Usługi zewnętrzne"; ten cel można realizować przez dodanie odpowiednich rekordów do zbioru "Pacjenci".
Ustawa również nie nakazuje tworzenia zbioru o nazwie "Pacjenci" ani żadnej innej konkretnej nazwie. To jak zostanie nazwany określony zbiór leży w kompetencji ADO.

Jeśli ze wszystkich danych osobowych gromadzonych przez szpital, da się wyodrębnić zestaw danych wg kryterium rozliczenie z jednostkami zewnętrznymi (z ZOZ), to taki zestaw jest zbiorem danych. Nie ważne jak zbiór zostanie nazwany. Ważne by mieć na uwadze, że jest zbiorem wg ustawy.
Link do wypowiedziLink
Marek Popiel

Marek Popiel ochroniarz danych

Temat: czy to jest powierzenie?

Dlaczego Szpital miałby dzielić zbiór Pacjenci na mniejsze zbiory?
Z bazy danych da się wygenerować raport dot. badań zleconych przez określony ZOZ, ale równie dobrze da się wygenerować raport badań odpłatnych, albo badań wykonywanych dla pacjentów nieubezpieczonych w polskim systemie ubezpieczeń społecznych., albo wiele innych. Nie mówiąc o tym, że takich ZOZów z którymi szpital ma umowę na realizację badań może być dużo. Jeżeli to wszystko miałyby być osobne zbiory to okazałoby się, że Szpital ma ich mnóstwo..., a przecież jest to jeden spójny zestaw danych i zasadniczy cel prowadzenia zbioru jest jeden - świadczenie usług zdrowotnych.
Link do wypowiedziLink
Paweł G.

Paweł G. IOD, podmiot danych

Temat: czy to jest powierzenie?

Marek P.:
Dlaczego Szpital miałby dzielić zbiór Pacjenci na mniejsze zbiory?
Moim zdaniem nie musi. Podtrzymuję swoje stanowisko.
Link do wypowiedziLink
« Wróć do tematów
Odpowiedz

Podobne tematy





Wyślij zaproszenie do
Anuluj