Temat: Powierzenie danych przez Szpital innemu podmiotowi...

Radosław Z.:
- po co ustawodawca stworzył art. 24.4. w ustawie o prawach pacjenta?

Po to, żeby Szpitale i inne jednostki ochrony zdrowia miały wreszcie klarowną podstawę prawną do zawierania umów z różnymi podmiotami wspomagającymi ich działanie, ale nie będącymi podmiotami świadczącymi usługi zdrowotne. Jakie to podmioty?
Na przykład:
- świadczące różnego rodzaju usługi informatyczne,
- świadczące usługi serwisu urządzeń elektromedycznych,
- świadczące usługi obsługi prawnej,
- świadczące usługi archiwizacji lub niszczenia danych,
- świadczące usługi controllingu lub wykonujące różnego rodzaju audyty,
itd. itp.
Wyobraź sobie, że zanim pojawił się ten zapis w ustawie, część prawników kwestionowała możliwość outsourcingu obsługi informatycznej przez szpitale. Tymczasem większość szpitali, które się zinformatyzowały (a istnieją przepisy, które je do tego zmuszają) jest wręcz uzależniona od obsługi przez serwis dostawców oprogramowania HIS (Hospital Information System - podstawowy system do obsługi pacjentów - tzw. ruchu chorych - w szpitalach).
Dodam, że informatycy serwisujący HIS, z racji koniecznych posiadancyh uprawnień, (które są konieczne do wykonywanych przez nich zadań) mają dostąp do praktycznie wszystkich danych pacjentów...

- co w przypadku gdyby szpital przekazywał dane osobowe do zewnętrznego lab. państwa trzeciego bez umowy powierzenia danych?

Moim zdaniem nic, pod warunkiem spełnienia wymogów rozdziału 7 UODO.Ten post został edytowany przez Autora dnia 04.08.17 o godzinie 09:52

Temat: Powierzenie danych przez Szpital innemu podmiotowi...

Marek P.:

Powiedzmy, że jeżeli chodzi o przechowywanie danych przez laboratorium (ale dotyczy to też szpitali) cel określił ustawodawca, ale kto dobrał środki?
Jeżeli zgadzamy się, że przetwarzający, to kto jest w tej sytuacji ADO?
Minister Zdrowia, laboratorium czy może oba podmioty?

Dyspozycja art. 31.3. uodo rozwiązuje tą sprawę.

po drugie podpisując umowy na świadczenie usług z wybranymi podmiotami, dla którch zdecydował się pracować.

i w tym przypadku, skoro podpisuje umowy (co wyklucza przekazywanie danych z przepisu ustawy), to zobowiązany jest do ochrony danych osobowych dostarczonych przez zlecającego, w sposób i na warunkach zapisanych w powierzeniu. W innym przypadku (zew. lab. jako samodzielny ADO w stosunku do danych pacjentów szpitala) zlecający szpital nie mógłby wykazać się przestrzeganiem art. 36 uodo w stosunku do przekazanych danych.

Po drugie, przechowywanie nakazane prawem również nie jest samodzielną decyzją o celu.

Prawo ustala pewne wymogi, ale nikt nikomu nie każe prowadzić działalności polegającej na przeprowadzaniu badań laboratoryjnych. To jednak przedsiębiorca lub inny podmiot, który zarządza laboratorium decyduje o tym, że będzie prowadził taką działalność.

Ktokolwiek prowadzi jakąkolwiek działalność jest zobowiązany przestrzegać prawa. Łaski nie robi.

Przez analogię - prawo reguluje jak długo firmy powinni przechowywać dokumentację pracowniczą. Czy to oznacza, że przedsiębiorcy nie są ADO w stosunku do tych danych, ponieważ to nie oni zdecydowali o celu jakim jest przechowywanie?

Pudło. Analogia nie trafiona. Jeśli Szpital oddeleguje swojego pracownika do pracy w zewnętrznym laboratorium, a zew.lab. będzie mu określało zakres czynności i wypłacało wynagrodzenie, to konieczna jest umowa powierzenia danych osobowych. W tym zakresie zew.lab jako procesor będzie zobowiązane przechowywać dokumentację pracowniczą tak jak macierzysty ADO. - to obowiązek wynikający wprost z art. 31.3. uodo zdanie ostatnie.

ps.
(treść usunięta - odniosłeś się do poruszanych wątków.)Ten post został edytowany przez Autora dnia 04.08.17 o godzinie 10:10

Temat: Powierzenie danych przez Szpital innemu podmiotowi...

Marek P.:

Radosław Z.:
- po co ustawodawca stworzył art. 24.4. w ustawie o prawach pacjenta?

Po to, żeby Szpitale i inne jednostki ochrony zdrowia miały wreszcie klarowną podstawę prawną do zawierania umów z różnymi podmiotami wspomagającymi ich działanie, ale nie będącymi podmiotami świadczącymi usługi zdrowotne. Jakie to podmioty?
Na przykład:
- świadczące różnego rodzaju usługi informatyczne,
- świadczące usługi serwisu urządzeń elektromedycznych,
- świadczące usługi obsługi prawnej,
- świadczące usługi archiwizacji lub niszczenia danych,
- świadczące usługi controllingu lub wykonujące różnego rodzaju audyty,
itd. itp.
Wyobraź sobie, że zanim pojawił się ten zapis w ustawie, część prawników kwestionowała możliwość outsourcingu obsługi informatycznej przez szpitale. Tymczasem większość szpitali, które się zinformatyzowały (a istnieją przepisy, które je do tego zmuszają) jest wręcz uzależniona od obsługi przez serwis dostawców oprogramowania HIS (Hospital Information System - podstawowy system do obsługi pacjentów - tzw. ruchu chorych - w szpitalach).
Dodam, że informatycy serwisujący HIS, z racji koniecznych posiadancyh uprawnień, (które są konieczne do wykonywanych przez nich zadań) mają dostąp do praktycznie wszystkich danych pacjentów...

w takim razie po co ustawodawca ustanowił art. 24.2.2
Do przetwarzania danych zawartych w dokumentacji medycznej, o której mowa w art. 25 ust. 1, w celu ochrony zdrowia, udzielania oraz zarządzania udzielaniem świadczeń zdrowotnych, utrzymania systemu teleinformatycznego, w którym przetwarzana jest dokumentacja medyczna, i zapewnienia bezpieczeństwa tego systemu, są uprawnione:
1) osoby wykonujące zawód medyczny;
2) inne osoby wykonujące czynności pomocnicze przy udzielaniu świadczeń zdrowotnych, a także czynności związane z utrzymaniem systemu teleinformatycznego, w którym przetwarzana jest dokumentacja medyczna, i zapewnieniem bezpieczeństwa tego systemu, na podstawie upoważnienia administratora danych.

- co w przypadku gdyby szpital przekazywał dane osobowe do zewnętrznego lab. państwa trzeciego bez umowy powierzenia danych?

Moim zdaniem nic, pod warunkiem spełnienia wymogów rozdziału 7 UODO.

Skoro przekazywanie danych pacjentów odbywa się na podstawie przepisu prawa, to działa wyłączenie z art.47.2. uodo. A to oznaczałoby, że szpital mógłby rozsyłać do dowolnego kraju dane wrażliwe swoich pacjentów i nie groziłaby za to żadna sankcja.

Temat: Powierzenie danych przez Szpital innemu podmiotowi...

Radosław Z.:

Marek P.:

Powiedzmy, że jeżeli chodzi o przechowywanie danych przez laboratorium (ale dotyczy to też szpitali) cel określił ustawodawca, ale kto dobrał środki?
Jeżeli zgadzamy się, że przetwarzający, to kto jest w tej sytuacji ADO?
Minister Zdrowia, laboratorium czy może oba podmioty?

Dyspozycja art. 31.3. uodo rozwiązuje tą sprawę.

W jaki sposób art. 31.3 pomaga ustalić czy ktoś jest ADO czy procesorem?
Bo to, ze jak ktoś jest procesorem to jest zobowiązany do ochrony danych nikogo chyba na tym forum nie zaskakuje...

po drugie podpisując umowy na świadczenie usług z wybranymi podmiotami, dla którch zdecydował się pracować.

i w tym przypadku, skoro podpisuje umowy (co wyklucza przekazywanie danych z przepisu ustawy), to zobowiązany jest do ochrony danych osobowych dostarczonych przez zlecającego, w sposób i na warunkach zapisanych w powierzeniu. W innym przypadku (zew. lab. jako samodzielny ADO w stosunku do danych pacjentów szpitala) zlecający szpital nie mógłby wykazać się przestrzeganiem art. 36 uodo w stosunku do przekazanych danych.

Po drugie, przechowywanie nakazane prawem również nie jest samodzielną decyzją o celu.

Prawo ustala pewne wymogi, ale nikt nikomu nie każe prowadzić działalności polegającej na przeprowadzaniu badań laboratoryjnych. To jednak przedsiębiorca lub inny podmiot, który zarządza laboratorium decyduje o tym, że będzie prowadził taką działalność.

Ktokolwiek prowadzi jakąkolwiek działalność jest zobowiązany przestrzegać prawa. Łaski nie robi.

Przeczytaj jeszcze raz mój wpis, nie chodzi o to czy trzeba przestrzegać prawa czy nie (to chyba jest oczywiste), tylko o to, że prowadzenie określonej działalności jest aktem woli, nikt nie jest przymuszany do prowadzenia laboratorium, a więc to jednak przedsiębiorca decyduje jakie cele będzie realizował, a przepisy mówią mu tylko jakie warunki musi spełnić podejmując daną działalność.

Przez analogię - prawo reguluje jak długo firmy powinni przechowywać dokumentację pracowniczą. Czy to oznacza, że przedsiębiorcy nie są ADO w stosunku do tych danych, ponieważ to nie oni zdecydowali o celu jakim jest przechowywanie?

Pudło. Analogia nie trafiona. Jeśli Szpital oddeleguje swojego pracownika do pracy w zewnętrznym laboratorium....

Nie o tym napisałem. Odrywam się teraz zupełnie od sektora medycznego.
Zakładasz własną firmę, zatrudniasz ludzi, a potem ich zwalniasz. Musisz przechowywać ich dokumentację pracowniczą bo tak Ci każą przepisy. Jesteś ADO w stosunku do tych danych czy nie?

Temat: Powierzenie danych przez Szpital innemu podmiotowi...

Radosław Z.:

Marek P.:

Radosław Z.:
- po co ustawodawca stworzył art. 24.4. w ustawie o prawach pacjenta?

Po to, żeby Szpitale i inne jednostki ochrony zdrowia miały wreszcie klarowną podstawę prawną do zawierania umów z różnymi podmiotami wspomagającymi ich działanie, ale nie będącymi podmiotami świadczącymi usługi zdrowotne. Jakie to podmioty?
Na przykład:
- świadczące różnego rodzaju usługi informatyczne,
- świadczące usługi serwisu urządzeń elektromedycznych,
- świadczące usługi obsługi prawnej,
- świadczące usługi archiwizacji lub niszczenia danych,
- świadczące usługi controllingu lub wykonujące różnego rodzaju audyty,
itd. itp.
Wyobraź sobie, że zanim pojawił się ten zapis w ustawie, część prawników kwestionowała możliwość outsourcingu obsługi informatycznej przez szpitale. Tymczasem większość szpitali, które się zinformatyzowały (a istnieją przepisy, które je do tego zmuszają) jest wręcz uzależniona od obsługi przez serwis dostawców oprogramowania HIS (Hospital Information System - podstawowy system do obsługi pacjentów - tzw. ruchu chorych - w szpitalach).
Dodam, że informatycy serwisujący HIS, z racji koniecznych posiadancyh uprawnień, (które są konieczne do wykonywanych przez nich zadań) mają dostąp do praktycznie wszystkich danych pacjentów...

w takim razie po co ustawodawca ustanowił art. 24.2.2
Do przetwarzania danych zawartych w dokumentacji medycznej, o której mowa w art. 25 ust. 1, w celu ochrony zdrowia, udzielania oraz zarządzania udzielaniem świadczeń zdrowotnych, utrzymania systemu teleinformatycznego, w którym przetwarzana jest dokumentacja medyczna, i zapewnienia bezpieczeństwa tego systemu, są uprawnione:
1) osoby wykonujące zawód medyczny;
2) inne osoby wykonujące czynności pomocnicze przy udzielaniu świadczeń zdrowotnych, a także czynności związane z utrzymaniem systemu teleinformatycznego, w którym przetwarzana jest dokumentacja medyczna, i zapewnieniem bezpieczeństwa tego systemu, na podstawie upoważnienia administratora danych.

Po to, żeby szpital miał prawo upoważnić do dostępu do dokumentacji medycznej pracowników medycznych i nie medycznych, tj infomatyków, archiwistki itd.itp.

Prawo do upoważnienia to nie to samo co prawo do powierzenia.
Bez art 24.4 szpitale mogłyby upoważniać wyłącznie osoby przez siebie zatrudnione.

- co w przypadku gdyby szpital przekazywał dane osobowe do zewnętrznego lab. państwa trzeciego bez umowy powierzenia danych?

Moim zdaniem nic, pod warunkiem spełnienia wymogów rozdziału 7 UODO.

Skoro przekazywanie danych pacjentów odbywa się na podstawie przepisu prawa, to działa wyłączenie z art.47.2. uodo. A to oznaczałoby, że szpital mógłby rozsyłać do dowolnego kraju dane wrażliwe swoich pacjentów i nie groziłaby za to żadna sankcja.

A dlaczego miałyby grozić sankcje prawne skoro spełniony byłby art.47.2. uodo ?

Temat: Powierzenie danych przez Szpital innemu podmiotowi...

Marek P.:

Po to, żeby szpital miał prawo upoważnić do dostępu do dokumentacji medycznej pracowników medycznych i nie medycznych, tj infomatyków, archiwistki itd.itp.

to nie wystarcza już art. 37 uodo?

Prawo do upoważnienia to nie to samo co prawo do powierzenia.
Bez art 24.4 szpitale mogłyby upoważniać wyłącznie osoby przez siebie zatrudnione.

Z czego to wynika? Żaden przepis nie ogranicza ADO w nadawaniu upoważnień wyłącznie osobom zatrudnionym. Mogę się mylić ale art.37 uodo jest precyzyjny w tym względzie. Nie zawiera ograniczenia podmiotowego w udzielaniu upoważnień.

Temat: Powierzenie danych przez Szpital innemu podmiotowi...

Radosław Z.:

Marek P.:
Po to, żeby szpital miał prawo upoważnić do dostępu do dokumentacji medycznej pracowników medycznych i nie medycznych, tj infomatyków, archiwistki itd.itp.

to nie wystarcza już art. 37 uodo?

Nie. Dlatego, że ustawa o prawach pacjenta art 24.2 nie odnosi się do danych osobowych, a do danych medycznych. Różnica może finezyjna, ale dane medyczne traktowane są jako osobna kategoria obejmująca nie tylko dane osobowe, ale też tzw. zbiorczą dokumentacje medyczną i inne dokumenty nie zawierające danych osobowych. W dodatku jest to kategoria, która zakłada szczególną ochronę danych, objęta różnego rodzaju tajemnicami zawodowymi (lekarską, pielęgniarską itd.). Bez art 24.2 szpitale w zasadzie nie powinny dopuszczać do danych medycznych osób nie wykonujących zawodów medycznych.

Art 37 UODO wystarcza do upoważnienia do przetwarzania danych osobowych,
ale 24.2 jest potrzebny, żeby upoważnić ludzi do przetwarzania danych medycznych.

Prawo do upoważnienia to nie to samo co prawo do powierzenia.
Bez art 24.4 szpitale mogłyby upoważniać wyłącznie osoby przez siebie zatrudnione.

Z czego to wynika? Żaden przepis nie ogranicza ADO w nadawaniu upoważnień wyłącznie osobom zatrudnionym. Mogę się mylić ale art.37 uodo jest precyzyjny w tym względzie. Nie zawiera ograniczenia podmiotowego w udzielaniu upoważnień.

Przepraszam za to uproszczenie myślowe, ale chodziło mi o to, że w bez artykułu 24.4. szpitale nie mogłyby stosować powierzenia, mogłyby tylko stosować upoważnianie. Ale jeżeli uważasz, że upoważnianie wystarcza na każdą sytuację - to po co dyskutujemy tu o powierzeniach???

Temat: Powierzenie danych przez Szpital innemu podmiotowi...

Radosław Z.:

Po drugie, przechowywanie nakazane prawem również nie jest samodzielną decyzją o celu

Jest. Celem przetwarzania jest dopełnienie obowiązków nałożonych przepisami prawa.
Cel ten dotyczy laboratorium, więc realizowane są jednocześnie cele obu podmiotów - i szpitala, i laboratorium.
Dlatego nie ma mowy o powierzeniu.

Temat: Powierzenie danych przez Szpital innemu podmiotowi...

Panowie, przenalizujcie temat w świetle RODO.

Temat: Powierzenie danych przez Szpital innemu podmiotowi...

Czyli podpisujemy umowę powierzenia czy stosunek na płaszczyźnie admin-admin (za tym optuję)?Ten post został edytowany przez Autora dnia 14.10.19 o godzinie 08:51