Temat: Powierzenie danych i dostępu do systemu informatycznego...

W związku. Co to zmienia? Ma również własne cele określone przepisami, tak więc podmiot przekazujący dane nie może w pełni decydować o środkach i celach przetwarzania.

Temat: Powierzenie danych i dostępu do systemu informatycznego...

Paweł G.:
W związku. Co to zmienia? Ma również własne cele określone przepisami, tak więc podmiot przekazujący dane nie może w pełni decydować o środkach i celach przetwarzania.

Jeżeli wszystko co robi kontrahent robi w związku z umową (w to również zaliczam wykonywanie przepisów prawa odnoszących się do dokumentacji medycznej), tzn. że realizuje cele zlecającego, czyli mamy powierzenie.

Wskaż jedną konkretną czynność przetwarzania, którą kontrahent przeprowadza w celu innym niż realizacja umowy ze szpitalem zlecającym (ja takiej nie widzę). Wtedy będzie można uznać, że w jakimś zakresie jest to udostępnianie, a nie powierzenie.

Temat: Powierzenie danych i dostępu do systemu informatycznego...

Marek P.:
Jeżeli wszystko co robi kontrahent robi w związku z umową (w to również zaliczam wykonywanie przepisów prawa odnoszących się do dokumentacji medycznej), tzn. że realizuje cele zlecającego,

Nie. Dokumentacja medyczna to jego własny cel. Nie robi tego ani na polecenie kontrahenta, ani też ten nie może mu nakazać zaprzestania tego lub modyfikacji czynności przetwarzania. Podobnie nie może mu nakazać zwrotu lub usunięcia danych, ograniczenia przetwarzania itp.

Temat: Powierzenie danych i dostępu do systemu informatycznego...

Prowadzenie dokumentacji nie jest zasadniczym, samoistnym celem.
Tak samo jak celem prowadzenia sklepu nie jest wystawianie faktur, ale prowadzenie działalności handlowej, a faktury są jedynie jednym z wymaganych prawem elementów tej działalności.

Znów przytoczę przykład outsourcingu prowadzenia dokumentacji kadrowo-płacowej.
Czy to, że zleceniobiorca, który dla przedsiębiorcy prowadzi kadry i płace i gromadzi, a nawet wytwarza wymaganą przepisami prawa dokumentację oznacza, że staje się on administratorem tych danych? Moim zdaniem nie.

Celem w omawianym przypadku jest świadczenie usług medycznych. i rozliczenie tych usług z NFZ. Być może jest możliwe rozdzielenie go na dwa osobne cele, gdzie AD dokumentacji medycznej jest podwykonawca, a AD danych rozliczeniowych szpital, ale tylko pod warunkiem, że podwykonawca będzie prowadził dokumentację we własnym imieniu (a nie z nagłówkami szpitala).

Tak czy owak jestem przekonany, że przynajmniej jeżeli chodzi o dane rozliczeniowe właściwym rozwiązaniem byłoby powierzenie.

Niestety muszę na jakiś czas wypisać się z tej dyskusji, ponieważ na tydzień wyjeżdżam na wakacje i jedyne dane osobowe, którymi w tym czasie będę się interesował to dane moje i mojej rodziny :-)

Pozdrawiam i życzę owocnej dyskusji.

Temat: Powierzenie danych i dostępu do systemu informatycznego...

Marek P.:
Czy to, że zleceniobiorca, który dla przedsiębiorcy prowadzi kadry i płace i gromadzi, a nawet wytwarza wymaganą przepisami prawa dokumentację oznacza, że staje się on administratorem tych danych? Moim zdaniem nie.

Skoro zleceniodawca (podatnik), nie usługodawca decyduje o terminie i sposobie zwrotu lub zniszczenia tej dokumentacji, mamy do czynienia z powierzeniem.

W przypadku szpitali tak nie jest. Szpital zlecający nie może zażądać zwrotu lub zniszczenia dokumentacji medycznej prowadzonej przez podwykonawcę.

Temat: Powierzenie danych i dostępu do systemu informatycznego...

Cytat z serwisu Wolters Cluver (LEX):
"Czy SP ZOZ powierzający innemu SP ZOZ-owi wykonywanie świadczeń zdrowotnych może w
umowie powierzenia przetwarzania danych osobowych zamieścić zapis, zobowiązujący
kontrahenta do usunięcia wszelkich danych osobowych, których przetwarzanie zostało mu
powierzone?
Odpowiedź
W przypadku zlecenia udzielania świadczeń innemu podmiotowi leczniczemu nie dochodzi do powierzenia przetwarzania danych, każdy podmiot udzielający świadczeń zdrowotnych, prowadzi bowiem dokumentację medyczną we własnym imieniu.
Uzasadnienie
W przypadku zlecenia udzielania świadczeń innemu podmiotowi leczniczemu jako podwykonawcy w rozumieniu art. 26 ustawy z dnia 15 kwietnia 2011 r. o działalności leczniczej (tekst jedn.: Dz. U. z 2013 r. poz. 217 z późn. zm.) lub art. 133 ustawy z 27 sierpnia 2008 r. o świadczeniach opieki zdrowotnej finansowanych ze środków publicznych (tekst jedn.: Dz. U. z 2008 r. Nr 164, poz. 1027 z późn. zm.) świadczeniach nie dochodzi do powierzenia przetwarzania danych, w rozumieniu art.
31 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (tekst jedn.: Dz. U. z 2014 r. poz. 1182 z późn. zm.) o ile zaś dochodzi do przekazania dokumentacji medycznej w celu kontynuacji leczenia, podstawę prawną stanowi art. 26 ust. 3 pkt 1 ustawy z dnia 6 listopada 2008 r. o prawach pacjenta i Rzeczniku Praw Pacjenta (tekst jedn.: Dz. U. z 2012 r. poz. 159 z późn. zm.) - dalej u.p.p., każdy podmiot udzielający świadczeń zdrowotnych, w myśl art. 24 u.p.p. , prowadzi bowiem dokumentację medyczną we własnym imieniu i wskutek powyższego jest zobowiązany ją przechowywać przez okres wskazany w art. 29 u.p.p."

Kilka innych opinii na ten temat też tam znalazłem oraz jak wcześniej pisałem również prawnik mojego Szpital wypowiedział się w tym tonie.
Myślę że będę obstawał przy tym że umowa powierzenia jest niepotrzebna, ale umowa na usługę z określeniem m.in. odpowiedzialności konieczna.

Paweł G.:
Przemyślałbym działanie wyszukiwarki. Na pewno nie dostęp do całej bazy, na pewno wyłączone opcje autouzupełniania. Na pewno też podanie samego numeru Pesel pacjenta uznałbym za niewystarczające do wyszukania osoby w bazie.

Wyszukiwarka działa w ten sposób że jak wpiszę literkę „i” to wyskakują wszystkie nazwiska na literę „i” i wątpię aby firma informatyczna coś potrafiła z tym zrobić ale będę o to wnioskował (np. konieczność wpisania całego nazwiska i imienia lub PESEL’u). Ale nawet jeśli tego się na da zrobić, to w sytuacji gdy pracownicy podwykonawcy dostaną upoważnienia przez mojego Dyrektora do pozyskiwania danych z systemu informatycznego oraz oświadczenia do podpisania o zachowaniu poufności to powinno wszystko w porządku. Poza tym każdy pacjent uzyskuje informację że dane mogą być przekazywane innym podmiotom, upoważnionym na mocy przepisów prawa. Szpital będzie realizował świadczenia opieki bo tak przepisy nakazują, a w związku z tym że nie mamy możliwości samodzielnie tego realizować przekazujemy dane innemu podmiotowi. Więc myślę że obowiązek informacyjny również mamy spełniony.
Wątpliwość to : jeżeli, jak sugeruje Marek, nagłówek będzie musiał zawierać dane obydwu podmiotów, czyją dokumentacją jest dokumentacja stworzona na rzecz świadczeń, kto jest odpowiedzialny za jej przechowywanie, udostępnianie, brakowanie. Moim zdaniem te wszystkie procesy przetwarzania trzeba będzie opisać w umowie – kto za co odpowiada.

Temat: Powierzenie danych i dostępu do systemu informatycznego...

Andrzej I.:
Cytat z serwisu Wolters Cluver (LEX):

Czyli tak jak mi wyszło z logicznego rozumowania.

Wyszukiwarka działa w ten sposób że jak wpiszę literkę „i” to wyskakują wszystkie nazwiska na literę „i” i wątpię aby firma informatyczna coś potrafiła z tym zrobić

Dla mnie nie ulega wątpliwości, że muszą to zmienić i to biegiem. Sorry, ale zatrzymujesz się na bardzo powierzchownym poziomie ochrony, tj. zróbmy kwitologię, odfajkujmy obowiązek informacyjny, żeby formalnie było wszystko w porządku i szlus. Nie tędy droga.

Odbiorca danych może pozyskiwać dane z waszego systemu wyłącznie w zakresie adekwatnym do celu powierzenia (czytaj: tylko dane niezbędne). Absolutnie nie może być tak, że ich pacjentem jest Kowalski, a oni pod tym pretekstem uzyskają wgląd do danych Kwiatkowskiej, bo wasi informatycy nie potrafią sobie technicznie poradzić z dostosowaniem programu do wymogów prawa.

To IT jest dla człowieka i ma służyć człowiekowi, a nie człowiek ma służyć IT. Żaden system spełniający wymogi ODO nie może działać tak, jak opisałeś.

Temat: Powierzenie danych i dostępu do systemu informatycznego...

Ok. Zostawmy system informatyczny - będę się domagał od informatyków rozwiązania tego problemu.

Reasumując: mamy cel przetwarzania i podstawy prawne, mamy spełniony obowiązek informacyjny (który może być realizowany również bezpośrednio na gabinecie poprzez podpisanie odpowiedniego oświadczenia). Upoważnienia do uzyskiwania danych z systemu informatycznego, oświadczenia o poufności, ewidencja osób dopuszczonych – obowiązek mojego szpitala. W upoważnieniu dopisałbym również że obejmuje przetwarzanie danych osobowych w wersji „papierowej”, której współadministratorem jest podwykonawca (jeżeli będą dane dwóch szpitali na dokumentacji). Konta w naszym systemie na podstawie wniosków zakłada mój Szpital.
Podwykonawca ma również cel, podstawy prawne, obowiązek informacyjny spełniony (podpisanie na gabinecie, muszą wystawić upoważnienia, swoje oświadczenia o poufności oraz wpis do ich ewidencji (przetwarzania danych papierowych).

Co z obowiązkami dotyczącymi operacji na dokumentacji (przechowywanie, udostępnianie na mocy ustawy o prawach pacjenta i Rzeczniku Praw Pacjenta, brakowanie w przyszłości) , czyli z obowiązkami obydwu administratorów - myślę że dobrą drogą jest określenie tego w umowie i to wszystko powinno być obowiązkiem podwykonawcy bo nie wyobrażam sobie aby mój szpital miał odpowiadać za dokumentację, która jest przechowywana gdzie indziej.
Oczywiście pomieszczenie które będzie wyznaczone do przyjmowania pacjentów wprowadzę do obszaru przetwarzania i kontrole tego pomieszczenia przeprowadzę, także szkolenie (o ile będzie możliwość przeszkolenia lekarzy bo z tym jest zawsze problem). Przekazałbym również podstawowe zapisy polityki bezpieczeństwa do zapoznania się personelu – w końcu będą pracować na współadministrowanej dokumentacji papierowej i naszym systemie informatycznym.

Temat: Powierzenie danych i dostępu do systemu informatycznego...

Andrzej I.:
Ok. Zostawmy system informatyczny - będę się domagał od informatyków rozwiązania tego problemu.

Jasna sprawa.

ewidencja osób dopuszczonych – obowiązek mojego szpitala.

Obu.

Podwykonawca ma również cel, podstawy prawne, obowiązek informacyjny spełniony (podpisanie na gabinecie, muszą wystawić upoważnienia, swoje oświadczenia o poufności oraz wpis do ich ewidencji (przetwarzania danych papierowych).

Nie tylko papierowych, bo ich pracownik pozyskuje dane z systemu informatycznego. Może tez robić jakieś zestawienia w Excelu na przykład.

Co z obowiązkami dotyczącymi operacji na dokumentacji (przechowywanie, udostępnianie na mocy ustawy o prawach pacjenta i Rzeczniku Praw Pacjenta, brakowanie w przyszłości) , czyli z obowiązkami obydwu administratorów

Zgodnie z przepisami.

obowiązkiem podwykonawcy bo nie wyobrażam sobie aby mój szpital miał odpowiadać za dokumentację, która jest przechowywana gdzie indziej.

Słusznie.

Oczywiście pomieszczenie które będzie wyznaczone do przyjmowania pacjentów wprowadzę do obszaru przetwarzania i kontrole tego pomieszczenia przeprowadzę, także szkolenie (o ile będzie możliwość przeszkolenia lekarzy bo z tym jest zawsze problem). Przekazałbym również podstawowe zapisy polityki bezpieczeństwa do zapoznania się personelu – w końcu będą pracować na współadministrowanej dokumentacji papierowej i naszym systemie informatycznym.

Jeśli chodzi o podwykonawcę, to chyba za dużo. Skup się tylko na tym, aby pozyskiwanie danych przez nich było legalne (tryb nadawania uprawnień), bezpieczne (poufność, integralność, dostępność), adekwatne do celu (realizowanego wobec konkretnego pacjenta, nie hurtem wobec całej bazy danych) i niezaprzeczalne.

Temat: Powierzenie danych i dostępu do systemu informatycznego...

Po przekazaniu moich uwag informatykom będziemy chyba odstępować od udostępnienia naszego systemu informatycznego.
Narodziła się nowa koncepcja aby zaopatrzyć podwykonawcę w prosty system informatyczny z funkcjonalnością gabinetu (początkowo pusta baza danych). To powinno wszystko ułatwić.
Wtedy moim zdaniem administratorem danych będzie wyłącznie podwykonawca a w umowie wystarczy wpisać że zleceniodawca zaopatrzy podwykonawcę w system informatyczny, który spełnia wymogi ustawy ODO i rozporządzenia z 2004r.
Proszę o opinię

Temat: Powierzenie danych i dostępu do systemu informatycznego...

Kierunek właściwy ale....
Zaopatrzenie w system informatyczny odbędzie się w formie: darowizny, użyczenia, sprzedaży, odsprzedaży za 1 zł, wskazania zleceniobiorcy jaki powinien mieć SI do realizacji zlecenia?
Czy w warunkach licencji tego systemu jest możliwość darowizny, użyczenia, odsprzedaży poniżej ceny zakupu?
Jak rozliczycie darowiznę, odsprzedaż za 1zł jako budżetówka?

Wiedz, że użyczenie cofa was do początku wątku - nadal jesteście właścicielem SI.

Jeśli sprzedaż SI, to czy macie wpisaną taką działalność? Jak rozwiążecie sprawy gwarancji, rękojmi, serwisu posprzedażnego, aktualizacji SI (na czyj koszt)?

W jaki sposób, w przypadku użyczenia, ujmiecie los SI po zakończeniu zlecenia? (pamiętaj, że zleceniobiorca jako ADO ma obowiązek przechowywania danych osobowych i dostępu do nich w SI, nawet po zakończeniu zlecenia)

Dobrze by było, gdyby wasz prawnik, zaopiniował formę zaopatrzenia zanim zaczniecie negocjacje ze zleceniobiorcą.

Temat: Powierzenie danych i dostępu do systemu informatycznego...

Andrzej I.:
Po przekazaniu moich uwag informatykom będziemy chyba odstępować od udostępnienia naszego systemu informatycznego.
Narodziła się nowa koncepcja aby zaopatrzyć podwykonawcę w prosty system informatyczny z funkcjonalnością gabinetu (początkowo pusta baza danych). To powinno wszystko ułatwić.
Wtedy moim zdaniem administratorem danych będzie wyłącznie podwykonawca a w umowie wystarczy wpisać że zleceniodawca zaopatrzy podwykonawcę w system informatyczny, który spełnia wymogi ustawy ODO i rozporządzenia z 2004r.
Proszę o opinię

Ja jednak ponowię pytanie o szyld.
Czy lekarze opieki nocnej wystawiają dokumenty z nagłówkami Waszego Szpitala czy z nagłówkami firmy, która ich bezpośrednio zatrudnia?