umowa powierzenia

wytyczne EROD

Administrator czy podmiot przetwarzający – analizujemy wytyczne EROD

służba zdrowia

Powierzenie przetwarzania danych w służbie zdrowia

Jeżeli placówka medyczna zamierza przekazać dane osobowe pacjenta innemu podmiotowi, wówczas staje przed dylematem – czy zawrzeć umowę powierzenia, czy też nie jest to konieczne? Zależy to oczywiście od konkretnych okoliczności, ale także przepisów regulujących działalność podmiotów leczniczych.

Powierzenie a udostępnienie danych – jak rozróżnić

Przetwarzanie w imieniu administratora powinno się odbywać z udziałem procesora. Podstawą jest tu najczęściej umowa powierzenia przetwarzania danych, ewentualnie inny instrument prawny. Jeśli placówka medyczna przekazuje dane osobowe innemu podmiotowi, musi ustalić, czy dochodzi do takiego powierzenia.

W pierwszej kolejności warto upewnić się, czym różni się powierzenie przetwarzania danych od ich udostępnienia a także upoważnienia do przetwarzania. W rozróżnieniu pomoże odpowiednie zestawienie – kliknij tutaj>>

Następnie analiza stanu faktycznego

Placówka medyczna powinna poddać indywidualnej analizie każdy przypadek. W analizie tej należy uwzględniać:

  • przepisy regulujące działalność podmiotów leczniczych oraz
  • stan faktyczny, w którym funkcjonują podmioty, między którymi dochodzić ma do przepływu danych.

Analiza ta powinna pomóc uzyskać odpowiedzi na pytania:

  • kto i jakie dane osobowe przetwarza oraz
  • kto i jakie zadania (cele) realizuje.

Dzięki temu będzie można ustalić:

  • do którego z podmiotów należą poszczególne czynności,
  • który podmiot decyduje o celach przetwarzania,
  • czy któryś z podmiotów działa na zlecenia administratora i realizuje jego cele,,
  • czy podmioty wspólnie ustalają cele i sposoby przetwarzania.
Korzyści 

Z artykułu dowiesz się m.in.:

  • jakie kryteria decydują o statusie administratora i podmiotu przetwarzającego w służbie zdrowia,
  • jakie wnioski można wysnuć z wytycznych EROD,
  • w jakich konkretnych przypadkach należy zawrzeć umowę powierzenia przetwarzania,
  • jakie dodatkowe obowiązki spoczywają na procesorze w sektorze medycznym.
umowa powierzenia przetwarzania

Kiedy rozwiązać umowę powierzenia przetwarzania danych

W niektórych przypadkach zachodzi konieczność zakończenia współpracy z podmiotem przetwarzającym. Rodzi to konieczność rozwiązania umowy powierzenia przetwarzania. Sprawdź, w jakich przypadkach rozwiązać umowę powierzenia i czy samo rozwiązanie jest wystarczające.

Administrator ponosi odpowiedzialność za procesora

Za poczynania podmiotu przetwarzającego odpowiada administrator danych osobowych. Dlatego ADO powinien weryfikować:

  • czy podmiot przetwarzający daje gwarancję działania zgodnie z RODO jeszcze przed powierzeniem mu danych osobowych do przetwarzania;
  • czy działania podmiotu przetwarzającego są zgodne z przepisami RODO tj. podmiot przetwarzający prawidłowo realizuje swoje obowiązki (w tym celu warto przeprowadzać okresowo audyty u procesora z celu weryfikacji, czy postępuje on zgodnie z umową).

ADO może rozważać rozwiązanie umowy powierzenia

Jeżeli wyniki audytu przeprowadzonego u procesora nie zadowalają administratora, wówczas warto rozważyć zaprzestanie korzystania z usług podmiotu przetwarzającego. Aby doprowadzić do tego, by procesor zaprzestał przetwarzania danych osobowych przekazywanych przez administratora, należy zaś rozwiązać umowę powierzenia przetwarzania danych.

Jeżeli administrator uzna, że podmiot przetwarzający nie spełnia standardów dotyczących przetwarzania danych osobowych, to powinien doprowadzić do zatrzymania ich przetwarzania przez procesora.

Zwykle umowy powierzenia przetwarzania danych są zawierane na okres trwania współpracy  pomiędzy stronami (wynikającej np. z odrębnej umowy o świadczenie usług). W praktyce w umowach powierzenia wskazuje się przypadki, w których możliwe jest wypowiedzenie.

Naruszenia ochrony danych powinny zaalarmować administratora

Przede wszystkim należy rozważyć rozwiązanie umowy powierzenia w sytuacji, w której procesor lub jego personel doprowadził do naruszenia ochrony danych objętych powierzeniem. Z drugiej strony nie każde naruszenie ochrony danych czyni zasadnym rozwiązanie umowy powierzenia. Może bowiem okazać się, że do naruszenia doszło nawet jeśli podmiot przetwarzający dochował należytej staranności i postępował zgodnie z umową. Innymi słowy, nie warto rozwiązywać umowy powierzenia przetwarzania danych, gdy podmiot przetwarzający działał prawidłowo i wdrożył wszystkie niezbędne zabezpieczenia, zaś zagrożenia nie można było przewidzieć i mu przeciwdziałać.

Po otrzymaniu informacji o naruszeniu administrator powinien ocenić jego istotność, zweryfikować przyczyny wystąpienia naruszenia oraz oszacować ewentualne skutki. W związku z tym powinien także zweryfikować prawidłowość działań podmiotu przetwarzającego.

Korzyści 

W artykule przeczytasz m.in. o:

  • nakazaniu zaprzestania przetwarzania danych,
  • rozwiązaniu umowy powierzenia w związku z audytem,
  • rozwiązaniu umowy powierzenia w przypadku naruszenia ochrony danych,
  • konsekwencja nieprzestrzegania umowy przez procesora.
umowa podpowierzenia

Umowa podpowierzenia przetwarzania danych od podszewki

Umowa podpowierzenia czy też dalszego powierzenia danych osobowych nie powinna być bagatelizowana. Wszak w realiach biznesowych podpowierzenie danych jest powszechnym zjawiskiem, nawet jeśli nie zdajemy sobie z tego sprawy. Jej właściwe uregulowanie gwarantuje bezpieczeństwo danych osobowych, za co odpowiada nie tylko procesor, ale i administrator tych danych. Sprawdź, jak zawrzeć właściwą umowę powierzenia, w szczególności zabezpieczyć powierzane dane osobowe.

Czym jest podpowierzenie

Podpowierzenie to inaczej dalsze powierzenie przetwarzania danych osobowych przez procesora innym procesorom (a właściwie podprocesorom). W efekcie pomiędzy procesorem a podprocesorem powstaje relacja analogiczna do tej, która istnieje pomiędzy administratorem a procesorem. Podprocesor może korzystać z powierzonych mu danych osobowych jedynie w celu wykonania umowy wiążącej go z procesorem. Absolutnie nie wchodzi w grę wykorzystywanie tych danych przez podprocesora we własnych celach

Przykład: Firma B świadczy usługi w zakresie IT. Nie zajmuje się jednak tworzeniem stron internetowych. Firma A chce skorzystać z usług firmy B w zakresie IT, ale też tworzenia stron WWW. W efekcie firma B nawiązuje współpracę z firmą C, której zleca wykonanie tej strony. Działania te wiążą się z przekazaniem danych osobowych z firmy A do firmy B, a następnie z firmy B do firmy C. Relacja pomiędzy firmą B a firmą C to właśnie podpowierzenie przetwarzania danych. Co istotne, firma C nie może wykorzystywać przekazanych jej danych np. w celu promowania własnych usług względem podmiotów tych danych.

W takim przypadku konieczne jest zawarcie umowy podpowierzenia przetwarzania danych. Stroną takiej umowy nie jest jednak administrator, lecz procesor i podprocesor (dalszy procesor). Tak właśnie należy określić strony umowy powierzenia.

Korzyści 

Z artykułu dowiesz się:

  • czym jest podpowierzenie przetwarzania danych,
  • jakie elementy powinna zawierać umowa podpowierzenia,
  • jak zabezpieczyć interes administratora w umowie podpowierzenia,
  • kto odpowiada za podpowierzane dane. 

Nasi partnerzy i zdobyte nagrody » 


Nagrody i wyróżnienia» 

Poznaj kluczowe zagadnienia, z jakimi możesz się zetknąć podczas codziennej pracy IODO.
E-kurs dla początkującego Inspektora Danych Osobowych. Rzetelna wiedza i praktyczne ćwiczenia.

24-h bezpłatny test portalu!
Zyskaj pełen dostęp do bazy porad i aktualności!

SPRAWDŹ »

x