Temat: Powierzenie danych przez Szpital innemu podmiotowi...

Witam.
Proszę o opinię czy Szpital, podpisując umowę na świadczenie usług diagnostycznych z zewnętrznym laboratorium, ma również obowiązek podpisać umowę powierzenia danych osobowych? W tym temacie opinie są podzielone i przychylam się do opinii że taka umowa nie jest potrzebna ze względu na to iż dane są przekazywane na podstawie art 26.3.1 ustawy o prawach pacjenta i Rzeczniku Praw Pacjenta (Podmiot udzielający świadczeń zdrowotnych udostępnia dokumentację medyczną również podmiotom udzielającym świadczeń zdrowotnych, jeżeli dokumentacja ta jest niezbędna do zapewnienia ciągłości świadczeń zdrowotnych) oraz na podstawie art 27.2.7 ustawy o ochronie danych osobowych (Przetwarzanie danych, o których mowa w ust. 1, jest jednak dopuszczalne, jeżeli przetwarzanie jest prowadzone w celu ochrony stanu zdrowia, świadczenia usług medycznych lub leczenia pacjentów przez osoby trudniące się zawodowo leczeniem lub świadczeniem innych usług medycznych, zarządzania udzielaniem usług medycznych i są stworzone pełne gwarancje ochrony danych osobowych).
Ponadto podmiot któremu przekazuje się dane jest zobowiązany prowadzić dokumentację we własnym zakresie zgodnie z art 24.1 ustawy o prawach pacjenta i Rzeczniku Praw Pacjenta oraz ją przechowywać zgodnie z art 29 ustawy o prawach pacjenta i Rzeczniku Praw Pacjenta.
Reasumując podmiot taki staje się administratorem tych danych osobowych, w związku z czym dla Szpitala jest to bezpieczniejsze rozwiązanie

Pozdrawiam

Temat: Powierzenie danych przez Szpital innemu podmiotowi...

Witam,

nie mam dużo styku z tą branżą, ale wydaje mi się, że to trochę zależy.

Jeśli zlecam laboratorium wykonanie dla mnie (dla szpitala) badań na dostarczonych przeze mnie próbkach, po czym zabieram wyniki do siebie to wygląda to na powierzenie przetwarzania danych osobowych.

Jeśli natomiast Laboratorium będzie w oparciu o przepisy musiało założyć kartotekę osobie badanej i świadczyć tę usługę niejako dla niej, to taka relacja bardziej przypomina udostępnienie.

Zastanawiam się jednocześnie co zrobić z obowiązkiem informacyjnym. W sytuacji udostępnienia pacjent powinien się o tym dowiedzieć.

W jednym z ośrodków mamy sytuację, gdzie świadczona jest dla nas usługa specjalistyczna przez zew. firmę w naszym budynku na naszym sprzęcie i lekarze tworzą dokumentację medyczną dla naszych pacjentów. Jednocześnie przechowują ją tylko i wyłącznie w naszym obszarze i nie zabierają jej ze sobą. Lekarze nie tworzą drugiej dokumentacji dla siebie.

Mamy tam zawartą umowę powierzenia.

Temat: Powierzenie danych przez Szpital innemu podmiotowi...

Zewnętrzne laboratorium przechowuje tę dokumentację (wyniki badań) zgodnie z przepisami, ale jednocześnie przekazuje nam te wyniki. Pacjent w momencie kiedy przychodzi do nas podpisuje klauzulę informacyjną, w której uzyskuje informację że jego dane mogą być przekazywane innym podmiotom na mocy przepisów prawa (w tym przypadku 26.3.1 ustawy o prawach pacjenta i Rzeczniku Praw Pacjenta). Ponadto jeżeli jest to pacjent któremu pobierane są próbki bezpośrednio w naszym laboratorium (nie na oddziale) to jest on informowany przez pracownika o fakcie wykonywania tych badań w innym ośrodku.

Temat: Powierzenie danych przez Szpital innemu podmiotowi...

Kiedyś był na tym forum podobny wątek.
Z tego, co pamiętam sprawa nie była do końca jednoznaczna. Wiele zależy od przepływu danych osobowych pacjentów.

Jeśli Szpital (Sz) daje skierowanie na badania lab. i pacjent (P) sam idzie je wykonać, to zewnętrzne lab. (L) będzie samodzielnym ADO. W takim przypadku zbędna jest umowa współpracy, a tym samym powierzenia.

Jeśli zaś Sz przekazuje L materiał i dane osobowe P, to L jest tylko wykonawcą usługi - ma wykonać ściśle określone badanie i zwrócić Sz. wyniki. Wówczas niezbędna jest umowa powierzenia, która może (i powinna) być wpleciona w umowę współpracy.

Jeśli Sz. przekazuje L materiał bez danych osobowych, to umowa współpracy winna być. Jednak niekoniecznie umowa powierzenia.

Żeby nie było za prosto - powyższe mogą ulec zmianie w zależności kto ma być uprawniony do odbioru wyników, w jaki sposób następuje rozliczenie za badanie lab.

Wszystko zależy od tego jaka jest organizacja pracy.

Temat: Powierzenie danych przez Szpital innemu podmiotowi...

Więc w moim przypadku zachodzi sytuacja 2, lecz z tą różnicą, że to laboratorium zewnętrzne również zachowuje wyniki badań i je musi przechowywać przez okres 20 lat (art 29 ustawy o prawach pacjenta i Rzeczniku Praw Pacjenta).
Podpisanie umowy powierzenia jest w takiej sytuacji sprzeczne z art 24.7 ustawy o prawach pacjenta i Rzeczniku Praw Pacjenta:

7. W przypadku zaprzestania przetwarzania danych osobowych zawartych w dokumentacji medycznej przez podmiot, któremu powierzono takie przetwarzanie, w szczególności w związku z jego likwidacją, jest on zobowiązany do przekazania danych osobowych zawartych w dokumentacji medycznej podmiotowi, o którym mowa w ust. 1, który powierzył przetwarzanie danych osobowych.

Temat: Powierzenie danych przez Szpital innemu podmiotowi...

Andrzej I.:
Więc w moim przypadku zachodzi sytuacja 2, lecz z tą różnicą, że to laboratorium zewnętrzne również zachowuje wyniki badań i je musi przechowywać przez okres 20 lat (art 29 ustawy o prawach pacjenta i Rzeczniku Praw Pacjenta).
Podpisanie umowy powierzenia jest w takiej sytuacji sprzeczne z art 24.7 ustawy o prawach pacjenta i Rzeczniku Praw Pacjenta:

Dlaczego miałoby być sprzeczne?

Jeśli występuje problem interpretacji przepisów prawa, to od tego zatrudnia się profesjonalnych prawników by w drodze opinii prawnej udzielili odpowiedzi.

Temat: Powierzenie danych przez Szpital innemu podmiotowi...

Andrzej I.:
że to laboratorium zewnętrzne również zachowuje wyniki badań i je musi przechowywać przez okres 20 lat (art 29 ustawy o prawach pacjenta i Rzeczniku Praw Pacjenta).

Czyli realizuje na tych danych własne cele przetwarzania, więc staje się odbiorcą danych.

Podpisanie umowy powierzenia jest w takiej sytuacji sprzeczne z art 24.7 ustawy o prawach pacjenta i Rzeczniku Praw Pacjenta:

Podzielam ten pogląd.

Temat: Powierzenie danych przez Szpital innemu podmiotowi...

Paweł G.:

Andrzej I.:
że to laboratorium zewnętrzne również zachowuje wyniki badań i je musi przechowywać przez okres 20 lat (art 29 ustawy o prawach pacjenta i Rzeczniku Praw Pacjenta).

Czyli realizuje na tych danych własne cele przetwarzania, więc staje się odbiorcą danych.

Przechowywanie przez prawnie wyznaczony okres nie należy do samodzielnych działań podmiotu. Jest związany przepisami prawa, czy tego chce, czy nie.

Podpisanie umowy powierzenia jest w takiej sytuacji sprzeczne z art 24.7 ustawy o prawach pacjenta i Rzeczniku Praw Pacjenta:

Podzielam ten pogląd.

Przepis tej samej ustawy w art. 24.4 dopuszcza możliwość zawierania umowy powierzenia w trybie art. 31 uodo.
"Podmiot udzielający świadczeń zdrowotnych może zawrzeć umowę, o której mowa w art. 31 ust. 1 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2016 r. poz. 922), pod warunkiem zapewnienia ochrony danych osobowych oraz prawa do kontroli przez podmiot udzielający świadczeń zdrowotnych zgodności przetwarzania danych osobowych z tą umową przez podmiot przyjmujący te dane." tym samym nie może być sprzeczny ze sobą (art.24.7).

Obawiam się, że przy czytaniu owych przepisów nastąpiła omyłka w rozumieniu pewnych ustawowych znaczeń.
Czym innym jest podmiot udzielający świadczeń zdrowotnych (24.1), a czym innym podmiot któremu powierzono przetwarzanie danych osobowych z art. 24.7 (patrz 24.6).
W omawianym przypadku tym pierwszym będzie szpital, a zewnętrzne lab. drugim.Ten post został edytowany przez Autora dnia 03.08.17 o godzinie 10:12

Temat: Powierzenie danych przez Szpital innemu podmiotowi...

Szpital udostępnia dane osobowe laboratorium, a laboratorium będzie miało status administratora danych, ponieważ zgodnie rozporządzeniem Ministra Zdrowia z dnia 23 marca 2006 r. w sprawie standardów jakości dla medycznych laboratoriów diagnostycznych i mikrobiologicznych (t.j. Dz. U. z 2016 r. poz. 1665) takie podmioty są zobowiązane przechowywać kopię sprawozdania z badania laboratoryjnego wraz z zapisami umożliwiającymi pełne odtworzenie przebiegu badania przez czas określony w przepisach dotyczących dokumentacji medycznej.

Ale trzeba wziąć pod uwagę, że szpital przekazuje laboratorium dane "ABC", a potem otrzymuje z laboratorium dane "ABC + wynik badania". Ciężko uznać, że laboratorium przekazując do szpitala większą ilość danych osobowych pacjenta udostępnia "zwrotnie" te dane. Z perspektywy laboratorium "zwrotne" przekazanie danych nie stanowi udostępnienia danych "niezbędnych do zapewnienia ciągłości świadczeń zdrowotnych" (art. 26 ust. 3 pkt 1 ustawy o o prawach pacjenta). Dlatego w takim przypadku opowiadam się za koniecznością zawarcia umowy powierzenia. W szczególności z uwagi na fakt, że zgodnie z ww. rozporządzeniem laboratorium przechowuje jedynie kopię sprawozdania z badania, a oryginał wraca do zlecającego badanie.

Temat: Powierzenie danych przez Szpital innemu podmiotowi...

Mikołaj C.:
Szpital udostępnia dane osobowe laboratorium,

Na jakiej podstawie ? Odpowiedź na to pytanie to podstawa do dalszych rozważań.

Temat: Powierzenie danych przez Szpital innemu podmiotowi...

Radosław Z.:

Mikołaj C.:
Szpital udostępnia dane osobowe laboratorium,

Na jakiej podstawie ? Odpowiedź na to pytanie to podstawa do dalszych rozważań.

W mojej ocenie niezbędne jest zawarcie umowy powierzenia z przyczyn, które wskazałem wcześniej, więc podstawa przekazania danych laboratorium będzie zawarta w umowie. W tym zdaniu zwrot "udostępnia" oznaczał przekazanie danych, może wyraziłem się nieprecyzyjnie. Ja nie szukam podstaw udostępnienia w jakimś przepisie prawnym (jedna z koncepcji).

Temat: Powierzenie danych przez Szpital innemu podmiotowi...

Pracuję w Szpitalu, który z jednej strony posiada swoje laboratorium i świadczy usługi dla podmiotów zewnętrznych, a z drugiej strony cześć badań zleca zewnętrznym laboratoriom. Więc można powiedzieć, że patrzę na problem z obu stron.

Uczestniczyłem w poprzednich dyskusjach i broniłem poglądu, że laboratoria i szpitale są omawianej tu sytuacji równorzędnymi, uprawnionymi administratorami danych, a dane mają prawo sobie przekazywać w związku z zapewnianiem ciągłości świadczeń zdrowotnych.

W związku z tym z zaintrygowaniem przeczytałem poniższą opinię:

Mikołaj C.:
dane "ABC", a potem otrzymuje z laboratorium dane "ABC + wynik badania". Ciężko uznać, że laboratorium przekazując do szpitala większą ilość danych osobowych pacjenta udostępnia "zwrotnie" te dane. Z perspektywy laboratorium "zwrotne" przekazanie danych nie stanowi udostępnienia danych "niezbędnych do zapewnienia ciągłości świadczeń zdrowotnych" (art. 26 ust. 3 pkt 1 ustawy o o prawach pacjenta). Dlatego w takim przypadku opowiadam się za koniecznością zawarcia umowy powierzenia.

Czy mogę prosić o szersze uzasadnienie?

Uważam, że laboratoriom ma prawo przekazywać "dane ABC + wynik" do Szpitala,
ale nie dlatego, że jest to udostępnienie "zwrotne", ale po prostu udostępnienie pomiędzy uprawnionymi podmiotami.
Lekarz który kierował pacjenta na badanie ma obowiązek zapoznać się wynikami badania żeby je zinterpretować i poinformować pacjenta o swoich wnioskach i ew. konieczności dalszego leczenia.
Dla mnie to właśnie jest zapewnianie ciągłości świadczeń zdrowotnych.Ten post został edytowany przez Autora dnia 03.08.17 o godzinie 14:26

Temat: Powierzenie danych przez Szpital innemu podmiotowi...

Radosław Z.:
Przechowywanie przez prawnie wyznaczony okres nie należy do samodzielnych działań podmiotu. Jest związany przepisami prawa,

Przechowywanie danych jest formą ich przetwarzania. O okresie przechowywania decyduje tutaj laboratorium (zobligowane przepisami prawa), więc jest odrębnym ADO.

Temat: Powierzenie danych przez Szpital innemu podmiotowi...

Mikołaj C.:
Ale trzeba wziąć pod uwagę, że szpital przekazuje laboratorium dane "ABC", a potem otrzymuje z laboratorium dane "ABC + wynik badania". Ciężko uznać, że laboratorium przekazując do szpitala większą ilość danych osobowych pacjenta udostępnia "zwrotnie" te dane. Z perspektywy laboratorium "zwrotne" przekazanie danych nie stanowi udostępnienia danych "niezbędnych do zapewnienia ciągłości świadczeń zdrowotnych" (art. 26 ust. 3 pkt 1 ustawy o o prawach pacjenta). Dlatego w takim przypadku opowiadam się za koniecznością zawarcia umowy powierzenia.

Absolutnie nie. Mamy do czynienia z dwoma równoprawnymi administratorami danych, z których każdy realizuje własne cele przetwarzania. Udostępnianie danych w obie strony ma przesłankę legalizującą w postaci przepisu ustawy sektorowej.

Temat: Powierzenie danych przez Szpital innemu podmiotowi...

Andrzej I.:
Zewnętrzne laboratorium przechowuje tę dokumentację (wyniki badań) zgodnie z przepisami, ale jednocześnie przekazuje nam te wyniki. Pacjent w momencie kiedy przychodzi do nas podpisuje klauzulę informacyjną, w której uzyskuje informację że jego dane mogą być przekazywane innym podmiotom na mocy przepisów prawa

Mnie tu interesuje aspekt organizacji ochrony. Czy i jak odnotowujecie w systemach IT fakt udostępnienia danych?

Temat: Powierzenie danych przez Szpital innemu podmiotowi...

Marku, jak sam wskazałeś, są dwie koncepcje. Ja opowiedziałem się za jedną z nich, Ty za drugą. W praktyce każdy wybiera sam, a potem broni swojej koncepcji w trakcie np. kontroli lub audytu. Nikt nie mówi, że jest jedna obowiązująca wszystkich. Ukształtowanie relacji szpital - laboratorium może być dwojakie. Ale uregulowanie procedury wymiany danych musi odpowiadać rygorom przepisów dot. ochrony danych osobowych.

Temat: Powierzenie danych przez Szpital innemu podmiotowi...

Paweł G.:

Radosław Z.:
Przechowywanie przez prawnie wyznaczony okres nie należy do samodzielnych działań podmiotu. Jest związany przepisami prawa,

Przechowywanie danych jest formą ich przetwarzania. O okresie przechowywania decyduje tutaj laboratorium (zobligowane przepisami prawa), więc jest odrębnym ADO.

Tworzysz nową definicję ADO. Zgodnie z art.7.4. ADO, to podmiot ... decydujący o celach.
W omawianej sprawie zawarto umowę, w której szpital zleca, a zew.lab. przyjmuje je do wykonania.
Po pierwsze, wykonanie badania lab. na zlecenie szpitala nie jest samodzielną decyzją o celu.
Po drugie, przechowywanie nakazane prawem również nie jest samodzielną decyzją o celu.
Po trzecie, warto zwrócić uwagę na zapis art.31.3. w której procesor odpowiada jak ADO za przestrzeganie u siebie art.36-39.

Udostępnianie danych w obie strony ma przesłankę legalizującą w postaci przepisu ustawy sektorowej.

Podeprzyj swoją wypowiedź odpowiednim przepisem.

Temat: Powierzenie danych przez Szpital innemu podmiotowi...

Marek P.:
Uczestniczyłem w poprzednich dyskusjach i broniłem poglądu, że laboratoria i szpitale są omawianej tu sytuacji równorzędnymi, uprawnionymi administratorami danych, a dane mają prawo sobie przekazywać w związku z zapewnianiem ciągłości świadczeń zdrowotnych.

Skoro są dwa odrębne podmioty: szpital i zewnętrzne lab. mogą sobie przekazywać dane osobowe pacjentów dla zapewnienia ciągłości świadczeń, to:
- po co ustawodawca stworzył art. 24.4. w ustawie o prawach pacjenta?
- co w przypadku gdyby szpital przekazywał dane osobowe do zewnętrznego lab. państwa trzeciego bez umowy powierzenia danych?

Temat: Powierzenie danych przez Szpital innemu podmiotowi...

Mikołaj C.:
Marku, jak sam wskazałeś, są dwie koncepcje. Ja opowiedziałem się za jedną z nich, Ty za drugą.

Ja na tym forum szukam nauki, a nie konfrontacji. Nie zamierzam budować barykady, ani się okopywać na swoich pozycjach ;-)
Raczej staram się zrozumieć argumenty padające w dyskusji, żeby wyciągnąć z niej jakąś naukę.
Nie wykluczam, że może powinienem zmienić podejście do omawianego tutaj problemu, ale zrobię to jeżeli zrozumiem argumenty i dam im się przekonać.

Stąd moja prośba o szersze wyjaśnienie opinii:

Z perspektywy laboratorium "zwrotne" przekazanie danych nie stanowi udostępnienia danych >"niezbędnych do zapewnienia ciągłości świadczeń zdrowotnych"

Czy chodzi o to, że laboratorium "oddaje" szpitalowi więcej danych niż otrzymało? Jeżeli tak - dla mnie to jest w dalszym ciągu efekt związany z zapewnianiem ciągłości świadczeń zdrowotnych. Przecież jest tak również w drugą stronę - kiedy laboratoriom dostaje zlecenie ze Szpitala, wtedy też dostaje więcej danych niż dotychczas miało. Po prostu dane przyrastają w miarę procesu udzielania świadczeń zdrowotnych.

Temat: Powierzenie danych przez Szpital innemu podmiotowi...

Radosław Z.:

Tworzysz nową definicję ADO. Zgodnie z art.7.4. ADO, to podmiot ... decydujący o celach.

Nie, ADO to podmiot, który decyduje o celach I ŚRODKACH przetwarzania.

Powiedzmy, że jeżeli chodzi o przechowywanie danych przez laboratorium (ale dotyczy to też szpitali) cel określił ustawodawca, ale kto dobrał środki?
Jeżeli zgadzamy się, że przetwarzający, to kto jest w tej sytuacji ADO?
Minister Zdrowia, laboratorium czy może oba podmioty?

Po pierwsze, wykonanie badania lab. na zlecenie szpitala nie jest samodzielną decyzją o celu.

Celem zasadniczym (określającym zbiór danych) nie jest zrobienie badania pojedynczego pacjenta, który znalazł się w określonej sytuacji zdrowotnej. Celem jest świadczenie usług polegających na przeprowadzaniu badań na zlecenie zewnętrznych podmiotów, a o tym decyduje samodzielnie podmiot prowadzący laboratorium po pierwsze decydując się na prowadzenie tego typu działalności, po drugie podpisując umowy na świadczenie usług z wybranymi podmiotami, dla którch zdecydował się pracować.

Po drugie, przechowywanie nakazane prawem również nie jest samodzielną decyzją o celu.

Prawo ustala pewne wymogi, ale nikt nikomu nie każe prowadzić działalności polegającej na przeprowadzaniu badań laboratoryjnych. To jednak przedsiębiorca lub inny podmiot, który zarządza laboratorium decyduje o tym, że będzie prowadził taką działalność.

Przez analogię - prawo reguluje jak długo firmy powinni przechowywać dokumentację pracowniczą. Czy to oznacza, że przedsiębiorcy nie są ADO w stosunku do tych danych, ponieważ to nie oni zdecydowali o celu jakim jest przechowywanie?Ten post został edytowany przez Autora dnia 04.08.17 o godzinie 09:23