Temat: Umowa powierzenia

Witam. Mam pytanie dotyczące następującego stanu faktycznego. Pracodawca tworzy na podstawie Ustawy o zakładach opieki zdrowotnej (Dz. U. z 2007 r. Nr 14 poz. 89 z późn. zm.) przyzakładową przychodnię lekarską. (niepubliczny zakład opieki zdrowotnej, stworzony w celu udzielania świadczeń zdrowotnych pracownikom). Następnie pracodawca działając na podst. Ust. o służbie medycyny pracy (Dz. U. z 2004 r. Nr 125 poz. 1317 z poźn. zm. i Kodeksu pracy zawiera umowę o świadczenie usług z zakresu medycyny pracy z podmiotem X - uprawnionym do świadczenia tego rodzaju usług. Usługi będą świadczone we wspomnianej wyżej przychodni. Pracodawca kieruje swoich pracowników do podmiotu X na badania wstępne, okresowe i kontrolne. Pytanie: Czy w związku z tym, pracodawca jest zobowiązany zawrzeć z podmiotem X umowę powierzenia przetwarzania danych osobowych pracowników? Czy też podmiot X przetwarza dane na podstawie art. 27 ust. 2 pkt 2 Uodo i jest to zbędne? Czy pracodawca może przekazywać podmiotowi X dane w postaci imienia i nazwiska osoby kierowanej na badania wstępne (pierwszy raz styczność pracownika z podmiotem X w związku z tym brak jeszcze dokumentacji medycznej) bez zgody pracownika? Czy przed skierowaniem na badania wstępne należałoby najpierw pobrać zgodę od pracownika? Można oczywiście przyjąć zasadę, że pracodawca informuje podmiot X, że w konkretnym dniu o konkretnej godzinie zgłosi się osoba na badania wstępne bez podawania jej danych, ale wydaje się, że zawsze łatwiej jest podmiotowi X sporządzić grafik na dany dzień dysponując danymi w postaci imienia i nazwiska i dokonać ewentualnych zmian..

Temat: Umowa powierzenia

Zacząłbym od kilku sprostowań/wyjaśnień:
- Art. 27 ust. 2 stanowi o warunkach dopuszczalności przetwarzania tzw. "wrażliwych" danych osobowych i nie jest w żaden sposób związany z "obowiązkiem" zawarcia umowy powierzenia przetwarzania danych osobowych.
- UODO na nikogo nie nakłada obowiązku zawierania umów powierzenia przetwarzania danych osobowych; art 31 stanowi, że administrator danych może powierzyć przetwarzanie innemu podmiotowi na podstawie pisemnej umowy. Należy zatem rozważyć czy w opisanym przez Pana przypadku taka umowa jest uzasadniona - moim zdaniem jej podpisanie mogłoby być przydatne z punktu widzenia administratora danych, który dzięki tej umowie zyskuje pewną dozę pewności, iż dane pracowników będą przetwarzane zgodnie z przepisami.
- Co do przekazania przez pracodawcę danych pracownika podmiotowi świadczącemu usługi medyczne należałoby ustalić czy będzie to dotyczyło danych "wrażliwych" a jeśli tak to, czy zachodzi którakolwiek z przesłanek z art 27 ust. 2 UODO.
- A tak już zupełnie na koniec, to moim zdaniem wystawienie skierowania i umówienie się na wizytę lekarską nie wymaga przetwarzania danych "wrażliwych"; wystarczy podać imię, nazwisko i ewentualnie nr telefonu kontaktowego lub adres e-mail, można więc uznać, że dane "wrażliwe" nie będą przetwarzane przez pracodawcę tylko przez podmiot świadczący usługi medyczne.

PeOx ConsultingPrzemysław Osiak edytował(a) ten post dnia 16.11.10 o godzinie 12:04

Temat: Umowa powierzenia

Dziękuję za odpowiedź. Mam jeszcze pewne wątpliwości, kto w przytoczonym przeze mnie stanie faktycznym będzie administratorem danych w przychodni ? Pracodawca utworzył przyzakładową przychodnię. Jest to niepubliczny zakład opieki zdrowotnej, zgodnie z art. 2 ust. 2 pkt 1 lit. a Ust. o służbie medycyny pracy – utworzony i utrzymywany w celu sprawowania profilaktycznej opieki zdrowotnej nad pracującymi. Zgodnie z art. 18 Ustawy o zakładach opieki zdrowotnej – zakład opieki zdrowotnej jest obowiązany prowadzić dokumentację medyczną osób korzystających ze świadczeń zdrowotnych zakładu na zasadach określonych w ust. z dnia 6 listopada 2008 r. o prawach pacjenta i Rzeczniku Praw Pacjenta. Zakład opieki zdrowotnej zapewnia ochronę danych zawartych w tej dokumentacji. Z kolei art. 11 Ust. o służbie medycyny pracy mówi: jednostka służby medycyny pracy (w tym wypadku przychodnia) prowadzi dokumentację medyczną osób objętych zakresem jej działania. Z przepisów tych 2 ustaw wynika obowiązek prowadzenia dokumentacji medycznej, kto będzie administratorem danych osobowych w niej zawartych: osoba która utworzyła i finansuje przychodnię i kieruje do niej na badania swoich pracowników – pracodawca - odpowiedzialny za zakład opieki zdrowotnej, czy też podmiot X - lekarz z przychodni, który faktycznie zobowiązany jest do prowadzenia dokumentacji medycznej? Administratorem danych jest ten, kto decyduje o celach i środkach przetwarzania danych. Podmiot X legitymuje się przesłanką legalności przetwarzania danych wrażliwych art. 27 ust. 2 pkt. 2, pracodawca zaś może przetwarzać dane osobowe w zakresie i celu związanym z zatrudnieniem..
Wydaje się, że nie byłoby problemu gdyby podmiot X świadczył usługi z zakresu medycyny pracy w formie prywatnej praktyki lekarskiej i pracodawca podpisałby z nim umowę o świadczenie usług. Wówczas podmiot X byłby administratorem danych osobowych pracowników, którzy zostali skierowani do niego na badania. Podmiot X musiałby prowadzić dokumentację medyczną i byłby za to odpowiedzialny. Problem powstaje, w momencie gdy Podmiot X świadczy usługi z zakresu medycyny pracy w przychodni, która została utworzona przez pracodawcę.

Temat: Umowa powierzenia

Moim zdaniem będziemy tutaj mieli do czynienia ze zbiorem danych pracowników oraz ze zbiorem danych "pacjentów". To raczej nie będą te same zbiory danych.
W takiej sytuacji administratorem danych pracowników byłby pracodawca a administratorem danych pacjentów byłby zakład opieki zdrowotnej.
Zakładam, że "podmiot x" - nzoz, o którym pan pisze jest podmiotem niepublicznym realizującym zadania publiczne. Jeżeli tak, to należy zbadać, czy ten podmiot decyduje o celach i środkach przetwarzania danych osobowych pacjentów, czy też decyzje te leżą w gestii pracodawcy, który powołał go do życia.

Zastrzegam, że moje odpowiedzi opierają się wyłącznie na tym co napisał Pan w swoich postach, stąd mogą one nie być zgodne ze stanem faktycznym.