GoldenLine
Zaloguj się
Jarosław Kwiatkowski

Jarosław Kwiatkowski

Temat: Kto jest ADO

Dzień dobry. Pracuje w Szpitalu jako ABI i mam problem z jednym tematem. Firma X z zewnątrz zleca Szpitalowi usługi z zakresu Poradnii Medycyny Pracy ( tj. realizacja badań wstępnych, kontrolnych i okresowych dla osób przyjmowanych do pracy ). W umowie powierzenia, którą nadesłała firma X wskazuje ona , że Szpital przetwarzając dane osobowe pracowników firmy X staję się ich Admisnitratorem z uwagi na obowiązek prowadzenia dokumentacji medycznej Pacjentów. Zastanawiam się czy w tej sytuacji Szpital będzie podmiotem przetwarzającym czy Administratorem danych z uwagi na to, że to firma X zleca badania . Proszę o pomoc i pozdrawiam
Link do wypowiedziLink
Marek Popiel

Marek Popiel ochroniarz danych

Temat: Kto jest ADO

Ja jestem zwolennikiem rozwiązania, że podmioty medyczne takie jak szpitale czy poradnie są niezależnymi administratorami danych. Wynika to moim zdaniem z tego, że podmioty medyczne mają swoje przepisy określające m.in. wymogi co do przechowywania i ochrony danych, a więc świadcząc usługę medyczną realizują swoje (określone przepisami) cele.

Zwykle, w sytuacji takiej jak opisujesz uważam, że nie ma podstaw do umowy powierzenia.
Komunikacja pomiędzy klientem (firmą przysyłającą pracowników na badania) a poradnią odbywa się za pośrednictwem samego pacjenta, wyjątkiem jest przekazywanie danych rozliczniowych.
Typowo takie przetwarzanie wygląda następująco:
1) Przyjęcie pacjenta odbywa się na podstawie skierowania, z którym pacjent stawił się pacjent (czyli pomimo, że skierowanie wystawił zakład pracy to dane przekazuje nam pacjent).
2) Badanie pacjenta - wiadomo, na podstawie danych od pacjenta/o pacjencie.
3) Przekazanie potwierdzenia o zdatności do pracy - zwykle otrzymuje je pacjent i sam przekazuje (udostępnia je) swojemu pracodawcy.
4) W celu udokumentowania podstaw do wystawienia faktury (którą zwykle poradnie wystawiają zbiorczo za miesiąc i przesyłają bezpośrednio klientowi - zakładowi pracy) poradnia dołącza do faktury zestawienie wykonanych badań (w sensie jakie badania i ile, NIE przekazuje wyników).
W zależności od uzgodnień zestawienie może zawierać listę osób, którym wykonywano te badania.
Ja podchodzę do tego tak, że jest to uprawnione udostępnianie informacji pomiędzy dwoma uprawnionymi podmiotami (administratorami). Przesłanką przetwarzania są prawnie uzasadnione interesy poradni i klienta (oba podmioty mają podstawy do przetwarzania informacji o ilości i rodzaju wykonanych pacjentowi badań).

Podsumowując - całą sytuację traktuję jako przekazywanie danych pomiędzy uprawnionym administratorem, a pacjentem oraz - w przypadku rozliczeń - pomiędzy dwoma niezależnymi administratorami danych. Nie ma tu więc sytuacji uzasadniającej podpisania umowy powierzenia.Ten post został edytowany przez Autora dnia 04.05.18 o godzinie 09:22
Link do wypowiedziLink
Jarosław Kwiatkowski

Jarosław Kwiatkowski

Temat: Kto jest ADO

A co w sytuacji gdy Przychodnie na bazie zawartych umów ze Szpitalem zlecają Szpitalowi wykonywanie badań laboratoryjnych i mikrobiologicznych i pobierają wyniki badań swoich pacjentów ze strony, która udostępnia Szpital . Czy Szpital jest podmiotem przetwarzającym czy Administratorem danych ?
Link do wypowiedziLink
Jarosław Kwiatkowski

Jarosław Kwiatkowski

Temat: Kto jest ADO

A co w sytuacji gdy Przychodnie na bazie zawartych umów ze Szpitalem zlecają Szpitalowi wykonywanie badań laboratoryjnych i mikrobiologicznych i pobierają wyniki badań swoich pacjentów ze strony, która udostępnia Szpital . Czy Szpital jest podmiotem przetwarzającym czy Administratorem danych ?
Link do wypowiedziLink
Marek Popiel

Marek Popiel ochroniarz danych

Temat: Kto jest ADO

Tu już ciężej o jednoznaczną odpowiedź. Generalnie przyjęła się praktyka (przynajmniej tam gdzie ja pracuję, tj. w Opolu i okolicach), że zlecający uważają się za administratorów. Większość podmiotów wykonujących badania laboratoryjne podpisuje takie umowy. Również wyszukane przeze mnie komentarze różnych specjalistów od ODO najczęściej idą w tym kierunku (ale nie wszystkie).

Oczywiście w takiej sytuacji system do pobierania wyników (strona WWW) musi zapewnić, że wyniki badań są wydawane tylko osobom reprezentującym podmiot zlecający te badania.

Problem może być taki, że o ile jeżeli wykonawcą jest podmiot laboratoryjny to można sobie wyobrazić, że dane powierzone przez administratora przetwarza wyłącznie w zakresie określonym umową, ale jeżeli wykonawcą jest posiadający własne laboratorium szpital to pojawia się pytanie, czy nie wykorzystuje on wyników badań również do własnych celów... Spotkałem się z przypadkiem kiedy szpital uważa siebie za niezależnego administratora, zachowuje sobie wyniki badań i wykorzystuje je do własnych celów (kiedy pacjent trafia do tego szpitala, w historii jego badań widać też wyniki wykonane na zlecenie innych podmiotów). Uzasadnieniem dla takiego postępowania ma być fakt, że szpital jako centralna jednostka obsługująca pacjentów w całym regionie zapewnia sobie w ten sposób pełniejszy obraz historii badań klienta, co ma poprawiać możliwości oceny stanu pacjenta i diagnozowania, a także w niektórych przypadkach unika się w ten sposób niepotrzebnego powtarzania badań, które nie zawsze są obojętne dla zdrowia badanych osób.
Link do wypowiedziLink
Paweł G.

Paweł G. IOD, podmiot danych

Temat: Kto jest ADO

Marek P.:
Ja jestem zwolennikiem rozwiązania, że podmioty medyczne takie jak szpitale czy poradnie są niezależnymi administratorami danych.
Podzielam.
W zależności od uzgodnień zestawienie może zawierać listę osób, którym wykonywano te badania.
Uważam to za nieuzasadnione.
Link do wypowiedziLink
Paweł G.

Paweł G. IOD, podmiot danych

Temat: Kto jest ADO

Marek P.:
historii jego badań widać też wyniki wykonane na zlecenie innych podmiotów).
Uzasadnieniem dla takiego postępowania ma być fakt, że szpital jako centralna jednostka obsługująca pacjentów w całym regionie zapewnia sobie w ten sposób pełniejszy obraz historii badań klienta
Uważam to za scalanie danych przetwarzanych w różnych celach i przez różne podmioty. Zaleciłbym wykonanie DPIA.
Link do wypowiedziLink
Marek Popiel

Marek Popiel ochroniarz danych

Temat: Kto jest ADO

Paweł G.:
W zależności od uzgodnień zestawienie może zawierać listę osób, którym wykonywano te badania.
Uważam to za nieuzasadnione.

Klient chce mieć możliwość weryfikacji z czego wynika kwota na zbiorczych comiesięcznych fakturach. W tym celu chce być informowany za jakie badania płaci i komu były wykonane.
Link do wypowiedziLink
Paweł G.

Paweł G. IOD, podmiot danych

Temat: Kto jest ADO

Marek P.:
Klient chce mieć możliwość weryfikacji z czego wynika kwota na zbiorczych comiesięcznych fakturach. W tym celu chce być informowany za jakie badania płaci i komu były wykonane.
To klient nie wie, kogo kierował na badania?
Link do wypowiedziLink
Szymon S.

Szymon S. IOD / IBTI

Temat: Kto jest ADO

Podłącze się pod temat... przy rejestracji pacjent może wskazać osobę upoważnioną do przekazania jej danych... pobierane są dane tej osoby. Czy wymagana jest zgoda? Jak najsprawniej to rozwiązaliście w swoich podmiotach?
Link do wypowiedziLink
Paweł G.

Paweł G. IOD, podmiot danych

Temat: Kto jest ADO

Szymon S.:
Podłącze się pod temat... przy rejestracji pacjent może wskazać osobę upoważnioną do przekazania jej danych... pobierane są dane tej osoby. Czy wymagana jest zgoda?
M. zd. nie, bo podstawą jest art. 6 ust. 1 lit. c Rodo. Gorzej będzie z obowiązkiem informacyjnym.
Link do wypowiedziLink
« Wróć do tematów
Odpowiedz

Podobne tematy


Następna dyskusja:

Kto jest ADO w tym przypadku.




Wyślij zaproszenie do
Anuluj