Jeżeli placówka medyczna zamierza przekazać dane osobowe pacjenta innemu podmiotowi, wówczas staje przed dylematem – czy zawrzeć umowę powierzenia, czy też nie jest to konieczne? Zależy to oczywiście od konkretnych okoliczności, ale także przepisów regulujących działalność podmiotów leczniczych.
Powierzenie a udostępnienie danych – jak rozróżnić
Przetwarzanie w imieniu administratora powinno się odbywać z udziałem procesora. Podstawą jest tu najczęściej umowa powierzenia przetwarzania danych, ewentualnie inny instrument prawny. Jeśli placówka medyczna przekazuje dane osobowe innemu podmiotowi, musi ustalić, czy dochodzi do takiego powierzenia.
W pierwszej kolejności warto upewnić się, czym różni się powierzenie przetwarzania danych od ich udostępnienia a także upoważnienia do przetwarzania. W rozróżnieniu pomoże odpowiednie zestawienie – kliknij tutaj>>
Następnie analiza stanu faktycznego
Placówka medyczna powinna poddać indywidualnej analizie każdy przypadek. W analizie tej należy uwzględniać:
Analiza ta powinna pomóc uzyskać odpowiedzi na pytania:
Dzięki temu będzie można ustalić:
Z artykułu dowiesz się m.in.:
W niektórych przypadkach zachodzi konieczność zakończenia współpracy z podmiotem przetwarzającym. Rodzi to konieczność rozwiązania umowy powierzenia przetwarzania. Sprawdź, w jakich przypadkach rozwiązać umowę powierzenia i czy samo rozwiązanie jest wystarczające.
Administrator ponosi odpowiedzialność za procesora
Za poczynania podmiotu przetwarzającego odpowiada administrator danych osobowych. Dlatego ADO powinien weryfikować:
ADO może rozważać rozwiązanie umowy powierzenia
Jeżeli wyniki audytu przeprowadzonego u procesora nie zadowalają administratora, wówczas warto rozważyć zaprzestanie korzystania z usług podmiotu przetwarzającego. Aby doprowadzić do tego, by procesor zaprzestał przetwarzania danych osobowych przekazywanych przez administratora, należy zaś rozwiązać umowę powierzenia przetwarzania danych.
Jeżeli administrator uzna, że podmiot przetwarzający nie spełnia standardów dotyczących przetwarzania danych osobowych, to powinien doprowadzić do zatrzymania ich przetwarzania przez procesora.
Zwykle umowy powierzenia przetwarzania danych są zawierane na okres trwania współpracy pomiędzy stronami (wynikającej np. z odrębnej umowy o świadczenie usług). W praktyce w umowach powierzenia wskazuje się przypadki, w których możliwe jest wypowiedzenie.
Naruszenia ochrony danych powinny zaalarmować administratora
Przede wszystkim należy rozważyć rozwiązanie umowy powierzenia w sytuacji, w której procesor lub jego personel doprowadził do naruszenia ochrony danych objętych powierzeniem. Z drugiej strony nie każde naruszenie ochrony danych czyni zasadnym rozwiązanie umowy powierzenia. Może bowiem okazać się, że do naruszenia doszło nawet jeśli podmiot przetwarzający dochował należytej staranności i postępował zgodnie z umową. Innymi słowy, nie warto rozwiązywać umowy powierzenia przetwarzania danych, gdy podmiot przetwarzający działał prawidłowo i wdrożył wszystkie niezbędne zabezpieczenia, zaś zagrożenia nie można było przewidzieć i mu przeciwdziałać.
Po otrzymaniu informacji o naruszeniu administrator powinien ocenić jego istotność, zweryfikować przyczyny wystąpienia naruszenia oraz oszacować ewentualne skutki. W związku z tym powinien także zweryfikować prawidłowość działań podmiotu przetwarzającego.
W artykule przeczytasz m.in. o:
© Portal Poradyodo.pl