Informacje o numerach telefonów    59 86-35-202
088799
Liczba odwiedzin

INFORMACJA W ZWIĄZKU POWTARZAJĄCYMI SIĘ ŻĄDANIAMI PODPISYWANIA UMÓW POWIERZENIA DANYCH Z MEDYCYNĄ PRACY

Menu

INFORMACJA W ZWIĄZKU POWTARZAJĄCYMI SIĘ ŻĄDANIAMI PODPISYWANIA UMÓW POWIERZENIA DANYCH Z MEDYCYNĄ PRACY

 

W związku z powtarzającymi się żądaniami podpisywania umów powierzenia danych przez podmioty z którymi SPS ZOZ w Lęborku zawarł umowy na wykonywanie badań wstępnych, okresowych i kontrolnych informuję, że pomiędzy SPS ZOZ w Lęborku a ww. podmiotami nie zachodzi relacja powierzenia danych. Są to odrębne podmioty i odrębni administratorzy.

 

Uzasadnienie:

Art. 28 RODO, reguluje znaną już na gruncie art. 31 UODO instytucję powierzenia przetwarzania danych osobowych. Zgodnie z art. 28 ust. 1 RODO, w ramach powierzenia przetwarzania danych, tj. przetwarzania w imieniu administratora przez inny podmiot, administrator może korzystać wyłącznie z usług takich podmiotów przetwarzających, które zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych. Z przepisu tego wynika, że przetwarzanie ma miejsce wówczas, gdy administrator zleca wykonanie swoich zadań innemu podmiotowi, zatem taka jest idea powierzenia danych, a co za tym idzie, zawierania pomiędzy podmiotami umów powierzenia przetwarzania danych.

Obowiązek poddawania pracowników zarówno wstępnym jak i okresowym badaniom lekarskim, wynika z art. 229 Kodeksu pracy. Zatem w związku z powyższym pracodawca, wypełniając obowiązek płynący z przepisów prawa pracy, kieruje pracowników na badania do określonej placówki medycznej, zaś ta, na mocy zawartej z pracodawcą umowy, świadczy te usługi, zgodnie ze swoim zakresem działania. Zatem każdy podmiot, zarówno pracodawca jak i placówka medyczna, wykonuje swoje zadania.

Przenosząc powyższe na kanwę współpracy pomiędzy podmiotami wskazać należy, że w kontekście art. 28 RODO, ani pracodawca, ani lekarz medycyny pracy poprzez umowę o świadczenie usług medycznych, nie przenosi na podmiot leczniczy wykonywania swoich zadań. Idąc dalej, pomimo zawartych umów o świadczenie usług medycznych, każdy z podmiotów wykonuje w dalszym ciągu swoje zadania. Usługi medyczne, które są świadczone przez lekarza medycyny pracy na rzecz innych podmiotów reguluje art. 11 ust. 1 ustawy o służbie medycyny pracy, który obliguje jednostkę służby medycyny pracy do prowadzenia dokumentacji medycznej, a ta z kolei jest uregulowana przepisami odrębnymi.

Dokumentacja ta zawiera w części dane, które przekazuje jednostce pracodawca (m.in. na skierowaniach na badania), ale zawiera też inne dane, w zakresie szerszym niż dostarczone przez pracodawcę. Pracodawca nie może mieć nawet do nich dostępu. Gdyby więc przyjąć, że jednostka służby medycyny pracy jest procesorem, to wiązałoby się to m.in. z uprawnieniem pracodawcy żądania usunięcia danych lub ich zwrotu po zakończeniu obowiązywania umowy. Jednostka tego zrobić nie może - musi przechowywać dokumentację medyczną zgodnie z przepisami prawa (zazwyczaj 20, choć w pewnych przypadkach 30 lat) i jedynie ma obowiązek przekazać dokumentację innej, wskazanej przez pracodawcę jednostce, jeżeli ulegnie ona zmianie. Żadne z tych danych nie trafiają natomiast w ręce pracodawcy, a już na pewno nie mogą być usunięte na jego żądanie.

Nawiązując do zapisów art. 28 RODO pragnę zauważyć, iż określa on wymogi, które musi zawierać umowa powierzenia. Art. 28 ust. 3 zd. 2 RODO określa minimalny zakres obowiązków podmiotu przetwarzającego, który powinien zostać określony w umowie. Jednym z obowiązków podmiotu przetwarzającego, wymienionym w art. 28 ust. 3 punkt g) RODO jest obowiązek usunięcia bądź zwrotu, zależnie od decyzji administratora, wszelkich danych osobowych, jak również usunięcie wszelkich ich istniejących kopii. Powyższy zapis stoi w sprzeczności z art. 29 ustawy o prawach pacjenta, który nakazuje, ażeby podmiot udzielający świadczeń zdrowotnych, przechowywał dokumentację medyczną przez wskazane w tym przepisie okresy.

SPS ZOZ w Lęborku jest więc administratorem danych, co oznacza, że ma obowiązek chronić dane osobowe swoich pacjentów jako administrator, a nie jako podmiot przetwarzający.

Przejdź do góry strony