W związku z nowelizacją ustawy o ochronie danych osobowych, jak powinna wyglądać umowa powierzenia danych osobowych i klauzula poufności z zakładzie leczniczym?
Ostatnia nowelizacja przepisów ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych - dalej u.o.d.o. pozostaje bez zasadniczego wpływu na zawartość umowy powierzenia oraz klauzuli poufności.
Umowa powierzenia uregulowana została w art. 31 u.o.d.o. Umowa, która jest zawierana na piśmie musi przede wszystkim określać zakres i cel przetwarzania danych osobowych. Niewątpliwie winna również wskazywać na prawa i obowiązki zarówno administratora danych, czyli powierzającego jak i instytucji czy podmiotu, któremu powierzono przetwarzanie. Należy pamiętać, iż zgodnie ze wskazanym wyżej przepisem podmiot, któremu powierzane są dane osobowy zobowiązany jest do podjęcia środków opisanych w art. 36-39 u.o.d.o., które w odpowiedni sposób zabezpieczą zbiór danych. Obejmują one między innymi: środki organizacyjne i techniczne zapewniające ochronę danych przed udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem, ewentualne powołanie Administratora Bezpieczeństwa Informacji który w sposób bezpośredni ma za zadanie czuwać nad zapewnieniem ochrony danych osobowych zgodnie z przepisami ustawy oraz rozporządzeń wykonawczych (zwłaszcza w przypadku posiadania dokumentacji zawierającej dane osobowe, w tym dane medyczne w postaci elektronicznej - art. 39a u.o.d.o.), przygotowanie upoważnień do przetwarzania danych dla konkretnych osób oraz prowadzenie ewidencji niniejszych upoważnień. W zakresie oświadczenia o zachowaniu w tajemnicy danych osobowych oraz informacji o sposobach ich zabezpieczenia (bo tak autor rozumie wskazaną przez pytającego "klauzulę poufności"), może ono zostać dodane do umowy o pracę lub umowy cywilnoprawnej zatrudnianego pracownika lub do upoważnienia do przetwarzania danych osobowych. W ocenie autora odpowiedzi, oświadczenie winno zawierać: samo zobowiązanie do zachowania w tajemnicy danych osobowych oraz informacji o sposobach ich zabezpieczania uzyskiwanych w związku z wykonywaniem obowiązków służbowych, zobowiązanie do przestrzegania instrukcji procedur wewnętrznych w danej jednostce, jeśli takie istnieją oraz oświadczenie o zapoznaniu z odpowiednimi przepisami prawa (ustawa o ochronie danych osobowych + rozporządzenia wykonawcze), ze szczególnym uwzględnieniem przepisów dotyczących odpowiedzialności karnej.