Logo biura

Infolinia Urzędu 606-950-000

Infolinia Urzędu 606-950-000

Czy lekarzom należy nadawać upoważnienia?

Czy lekarzom należy nadawać upoważnienia do przetwarzania danych osobowych? Czy takie same zasady w zakresie nadawania upoważnień będą obowiązywać lekarzy współpracującym z przychodnią na podstawie umowy cywilno-prawnej? Czy w związku z brzmieniem art. 24 ust. 2 pkt 1 ustawy o prawach pacjenta i Rzeczniku Praw Pacjenta,  który stanowi, że do przetwarzania danych zawartych w dokumentacji medycznej w celu ochrony zdrowia, udzielania oraz zarządzania udzielaniem świadczeń zdrowotnych, utrzymania systemu teleinformatycznego, w którym przetwarzana jest dokumentacja medyczna, i zapewnienia bezpieczeństwa tego systemu, są uprawnione osoby wykonujące zawód medyczny, konieczne jest dodatkowo nadawanie upoważnień przez administratora, czy wystarczy, że uprawnienie dla lekarza ― w tym lekarza wykonującego swoją pracę na podstawie umowy cywilno-prawnej ― do przetwarzania danych osobowych, znajdujących się w dokumentacji medycznej pacjenta, wynika z przywołanego powyżej przepisu.

Przepisy RODO (art 29 oraz art. 32 ust. 4) zobowiązują administratora, aby miał kontrolę (władztwo) nad tym kto, w jakim zakresie ma dostęp do danych osobowych oraz na jakich zasadach i w jaki sposób je przetwarza. Innymi słowy dane osobowe mogą być przetwarzane wyłącznie na polecenie administratora przez osoby działające z upoważnienia administratora lub podmiotu przetwarzającego. Przyjmowane przez administratora i podmiot przetwarzający środki (działania) powinny służyć m.in. zapobieganiu nieuprawnionemu wprowadzaniu danych osobowych oraz nieuprawnionemu oglądaniu, zmienianiu lub usuwaniu przechowywanych danych osobowych oraz zapewnieniu, że osoby uprawnione do korzystania z systemu zautomatyzowanego przetwarzania będą mieć dostęp wyłącznie do danych osobowych objętych posiadanym przez siebie uprawnieniem. Dzięki tym środkom osoby, które zostały dopuszczone do przetwarzania danych zostają poinformowane, jaki jest zakres ich uprawnień co do przetwarzania danych osobowych.

Wydawanie upoważnień może być jednym z takich środków organizacyjnych, którego celem jest zapewnienie odpowiedniej ochrony danych i kontroli nad procesem ich przetwarzania.

Dzięki takiemu rozwiązaniu administrator zapewnia kontrolę nad tym kto, z jakich powodów i w jaki sposób ma dostęp do przetwarzanych danych osobowych oraz jakich czynności na danych może dokonywać.

W powyższym pytaniu pojawiła się opinia, że nie ma potrzeby nadawania upoważnień do danych osobowych pacjenta osobom wykonującym zawód medyczny (np. lekarz, pielęgniarka, stomatolog), bowiem do przetwarzania tych danych osoby te uprawnia art. 24 ust. 2 pkt 1 ustawy o prawach pacjenta i Rzeczniku Praw Pacjenta. Zgodnie z tym przepisem do przetwarzania danych zawartych w dokumentacji medycznej w celu ochrony zdrowia, udzielania oraz zarządzania udzielaniem świadczeń zdrowotnych, utrzymania systemu teleinformatycznego, w którym przetwarzana jest dokumentacja medyczna, i zapewnienia bezpieczeństwa tego systemu, są uprawnione osoby wykonujące zawód medyczny.

Odnosząc się do tego zagadnienia wskazać należy, że w przypadku nadawania upoważnień do przetwarzania danych osobowych osobom, których uprawnienia do przetwarzania danych osobowych wynikają z odrębnych przepisów, należy mieć na względzie cel, w jakim takie upoważnienia się nadaje. Jak wyżej wskazano wydawanie upoważnień może być bowiem jednym ze środków organizacyjnych, którego celem jest zapewnienie odpowiedniej ochrony danych i kontroli nad procesem ich przetwarzania zgodnie z art. 29 i art. 32 ust. 4 RODO i dlatego należy go odróżnić od uprawnienia do dostępu do danych osobowych przyznanego określonym funkcjom czy zawodom przez przepisy prawa w związku z wykonywanymi przez nich obowiązkami lub zadaniami.

Zatem jeśli administrator decyduje się na zastosowanie środka organizacyjnego, jakim jest nadawanie upoważnień, wówczas również wobec np. lekarzy może być podjęty taki środek, niezależnie od tego, że uprawnienie tych osób do dostępu do danych osobowych pacjenta gwarantują im właściwe ustawy.

Wskazany w art. 29 oraz art. 32 ust. 4 RODO wyjątek od związania poleceniem administratora (wynikający z przepisów prawa Unii lub prawa państwa członkowskiego) dotyczy przypadków zobowiązania do przetwarzania płynącego z przepisów unijnych lub krajowych, nie zaś upoważnienia z nich wynikającego,  np. udzielenia określonej informacji na żądanie sądu w ramach prowadzonego postępowania sądowego czy organom nadzoru w ramach postępowań kontrolnych. 

Podsumowując należy stwierdzić, że w przypadku lekarzy (tak jak w przypadku sędziów i innych grup zawodowych, których uprawnienia do przetwarzania danych wynikają z odrębnych przepisów) mogą być nadawane upoważnienia do przetwarzania danych osobowych, jeśli administrator decyduje się właśnie w ten sposób realizować swoje obowiązki z art. 29 i 32 ust 4 RODO.

W związku z powyższym należy przyjąć, że w odniesieniu do osób wykonujących zawody medyczne administrator nie musi nadawać upoważnienia tylko wtedy, gdy jest w stanie wykazać, że w inny skuteczny sposób zapewnia, że dane osobowe są przetwarzane wyłącznie na polecenie administratora przez osoby działające z upoważnienia administratora (zgodnie z art 29 i art 32 ust 4 RODO). Niezależnie jaki środek organizacyjny obierze administrator musi być bowiem w stanie wykazać, że realizuje wskazane powyżej obowiązki z art 29 i 32 ust 4 RODO.

Odnosząc się zaś do drugiej kwestii, tj. czy wyżej wskazane zasady odnoszą się również do lekarzy współpracujących z administratorem, np. szpitalem na podstawie umowy cywilno-prawnej wskazać należy, że w kontekście tego pytania istotne jest, że zakres zadań osób wykonujących zawody medyczne, prowadzących działalność gospodarczą i pozostającej z podmiotem leczniczym w stosunku współpracy, jest najczęściej tożsamy z zakresem zadań  pracowników zatrudnionych przez placówkę na innej podstawie (np. na podstawie umowy o pracę). W szczególności osoby wykonujące zawód w tej formie nie prowadzą własnej dokumentacji medycznej, lecz prowadzą ją w imieniu administratora. Umowa z podmiotem leczniczym zwykle zobowiązuje je do przestrzegania regulaminów podmiotu leczniczego i jego wewnętrznych procedur.

Jednym z warunków kwalifikowania danej relacji jako relacji administrator - podmiot przetwarzający jest to posiadanie przez podmiot przetwarzający statusu odrębnego (zewnętrznego) podmiotu od administratora. Dlatego pracownicy i inne osoby, które działają pod bezpośrednim zwierzchnictwem administratora (na przykład tymczasowo zatrudnieni pracownicy) nie są podmiotami przetwarzającymi, ponieważ przetwarzają dane będąc częścią organizacji administratora. Zgodnie z art. 29 RODO są one również związane instrukcjami administratora.

W przypadku, gdy działalność jest wykonywana przez lekarza w siedzibie podmiotu leczniczego i jest to swego rodzaju quasi zatrudnienie, to lekarz taki nie ma statusu podmiotu odrębnego od administratora danych. Jako że działalność ta może być wykonywana wyłącznie w zakładzie leczniczym na podstawie umowy z  podmiotem leczniczym,  stanowi ona substytut  zatrudnienia. Inny słowy w przypadku lekarza zatrudnionego na kontrakcie tj. umowie cywilnej mamy do czynienia niejako z sytuacją pracodawca – pracownik i nie należy takiego lekarza traktować ani jako osobnego administratora ani jako podmiotu przetwarzającego.

Również w piśmiennictwie wskazuje się1, że „na podmiocie leczniczym może ciążyć prawny obowiązek prowadzenia i przechowywania dokumentacji medycznej, nie zawsze jednak będzie on administratorem danych. Za administratora nie należy uważać osoby wykonującej zawód medyczny, prowadzącej działalność gospodarczą i pozostającej z podmiotem leczniczym w stosunku współpracy. Lekarze oraz pielęgniarki prowadzący indywidualną praktykę lekarską, wykonują zawód medyczny i mają prawny obowiązek prowadzenia dokumentacji medycznej, ale robią to w imieniu i na rzecz podmiotu leczniczego, który kieruje ruchem pacjentów i nierzadko zapewnia też odpowiednie zasoby techniczne i organizacyjne do udzielania świadczeń zdrowotnych. W takim przypadku nie mamy do czynienia ani z administratorem, ani z podmiotem przetwarzającym dane (procesorem). Osoby te powinny zostać potraktowane jako personel administratora i upoważnione do przetwarzania danych (ponieważ na tych osobach ciąży ustawowy obowiązek zachowania danych w tajemnicy, nie ma konieczności składania oświadczeń o zachowaniu poufności).”

A zatem - wprawdzie w każdym konkretnym stanie faktycznym należy starannie analizować podstawy, cele i poszczególne obowiązki podmiotów w danym procesie przetwarzania danych, ale są zasadne podstawy do uznania, że osoba wykonująca zawód medyczny, prowadząca jednoosobową działalność gospodarczą, pozostająca w stosunku prawnym z placówką medyczną, w zakresie w jakim wykonuje swoje zadania w ramach działalności leczniczej prowadzonej przez tą placówkę, nie jest ani innym administratorem ani podmiotem przetwarzającym. Co daje podstawy, aby stosować w stosunku do takiej osoby zasady przedstawione w pierwszej części odpowiedzi.

Zastrzec jednak należy, że w określonych sytuacjach możliwa będzie inna ocena statusu osoby wykonującej zawód medyczny. Zdarzyć się bowiem może, że np. osoba taka realizuje cele danego szpitala, ale również własne cele prowadząc za zgodą szpitala i na jego terenie indywidualną praktykę jako osobny podmiot wykonujący działalność leczniczą w rozumieniu art. 2 ust. 1 pkt 5, art. 4 i 5 ustawy o działalności leczniczej. Podmiotem wykonującym działalność leczniczą mogą być m.in. lekarz, pielęgniarka lub fizjoterapeuta wykonujący zawód w ramach działalności leczniczej jako praktykę zawodową. W każdej sytuacji koniecznie zatem brać trzeba pod uwagę konkretne okoliczności mające wpływ na ocenę charakteru działalności i celów realizowanych przez osobę wykonującą zawód medyczny, a tym samym jej statusu w świetle przepisów o ochronie danych osobowych.

 

Więcej informacji na temat upoważnień do przetwarzania danych w świetle przepisów RODO, można znaleźć na naszej stronie internetowej w zakładce Inspektor Ochrony Danych w pytaniach:

Czy administrator powinien udzielać upoważnień do przetwarzania danych?

Czy administrator powinien nadawać upoważnienia np. sędziom?

Czy IOD może nadawać upoważnienia?

Czy elektroniczna postać upoważnienia spełnia wymogi „pisemnego upoważnienia”?

 

Przypisy:

[1] Korulczyk Katarzyna, Umowy powierzenia danych medycznych, Opublikowano: LEX/el. 2018 

2020-06-30 Metadane artykułu
Podmiot udostępniający: Departament Orzecznictwa i Legislacji
Wytworzył informację: Monika Młotkiewicz 2020-06-30
Wprowadził‚ informację: Edyta Madziar 2020-06-30 12:06:12
Ostatnio modyfikował: Edyta Madziar 2020-06-30 12:15:29