Czy podmiot medyczny zatrudniając lekarza na podstawie umowy cywilnoprawnej w celu udzielania świadczeń medycznych w ramach realizowanego przez tę placówkę kontraktu z NFZ powinien zawrzeć z nim umowę powierzenia danych osobowych?

Autorka uważa, że zawieranie z lekarzami czy innymi podmiotami leczniczymi umów powierzenia przetwarzania danych jest niepotrzebne co do zasady albowiem każdy z tych podmiotów ma własne uprawnienie ustawowe do przetwarzania tych danych. Niemniej jednak warto także poddać ocenie konkretny stan faktyczny. Jeżeli umowa jest zawarta w celu udzielania świadczeń zdrowotnych na rzecz podmiotu zlecającego, czyli:

1) pacjenci są pacjentami podmiotu;
2) pacjent uważa, że był przyjęty przez lekarza zatrudnionego przez podmiot, a nie w prywatnej praktyce zawodowej.
3) dokumentacja medyczna jest dokumentacją podmiotu nie zaś podwykonawcy,

nie ma żadnego powodu do zawierania umowy o przetwarzanie danych osobowych.

Takiego lekarza należy, zgodnie z art. 37 i art. 39 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych - dalej u.o.d.o. upoważnić do dostępu do danych osobowych przetwarzanych przez administratora.

Gdyby zaś umowa polegała na tym, że pacjent jest przyjęty w praktyce lekarskiej wskutek skierowania przez podmiot zlecający. Czyli:

1) pacjent znajduje w ofercie podmiotu konkretną usługę medyczną;
2) jej realizacją następuje w praktyce lekarskiej poza podmiotem;
3) pacjent uważa, że podmiot zorganizował mu wizytę w innym podmiocie (w tym wypadku praktyce lekarskiej);
4) dokumentacja medyczna jest dokumentacje praktyki lekarskiej,

to podmiot leczniczy w umowie zobowiązuje podwykonawcę do rzetelnego prowadzenia dokumentacji medycznej pacjentów podmiotu.

W żadnym, z podanych stanów faktycznych nie dochodzi do transferu danych osobowych poza podmiot. Odmienna sytuacja może wyniknąć w przypadku wysyłania materiału pobranego od pacjenta (fragmenty tkanek lub wydzielin organizmu) do wykonania analiza poza podmiotem lub wysyłania obrazów celem wykonania opisów. W tych dwóch wypadkach dochodzi do transferu danych osobowych (chociaż można je zanonimizować i wysyłać tylko materiały lub obrazy zakodowane). W takiej sytuacji zawarcie umowy powierzenia danych osobowych może być uzasadnione. Wystarczające jest wówczas wpisanie do umowy, że zlecający powierza zleceniobiorcy przetwarzanie danych osobowych pacjentów w trybie art. 31 u.o.d.o. w zakresie i celu koniecznym do należytego wykonania przedmiotu umowy. Zleceniobiorca oświadcza, że spełnia wszelkie wymagania formalne w trybie art. 31 ust. 3 u.o.d.o. Taka klauzula może się znaleźć we wszystkich umowach jeżeli autor pytania ma wątpliwości. Lepiej bowiem wpisać więcej do umowy, nawet jeżeli zapisy są zbyteczne, niż zaniedbać jakąś powinność.