Poznaj 8 obowiązków podmiotu przetwarzającego dane osobowe i zawrzyj je w umowie

/appFiles/site_102/images/autor/JHBOqYt0y9DAgvI.jpeg

Autor: Piotr Janiszewski

Dodano: 23 lutego 2017

Poznaj 8 obowiązków podmiotu przetwarzającego dane osobowe i zawrzyj je w umowie

Wprowadzenie elektronicznej dokumentacji medycznej spowodowało wzrost zainteresowania możliwością zlecania utrzymania tego systemu przez zewnętrznych podwykonawców. Jak to zrobić zgodnie z przepisami, biorąc pod uwagę, że w połowie 2018 roku wchodzą w życie nowe przepisy unijnego rozporządzenia o ochronie danych?

Legalizacja takiego modelu przechowywania danych nie jest trudna i sprowadza się przede wszystkim do zawarcia odpowiedniej umowy powierzenia przetwarzania danych osobowych, która spełnia wymogi określone w art. 31 ustawy o ochronie danych osobowych. Warto jednak pamiętać, że 25 maja 2018 r. wchodzą w życie nowe europejskie przepisy o ochronie danych osobowych (rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE). Będą one bezpośrednio stosowane przez kraje członkowskie Unii Europejskiej, a więc także Polskę. Czy przepisy te inaczej regulują wymogi dotyczące wykorzystywania podwykonawców w procesie przetwarzania danych osobowych?

Warto zwrócić uwagę na różnice między obecnie obowiązującymi przepisami a przepisami rozporządzenia. Instytucję powierzenia przetwarzania danych osobowych reguluje art. 28 rozporządzenia. Zgodnie z jego treścią, umowa powierzenia przetwarzania danych osobowych powinna określać, że procesor (podmiot przetwarzający):

1. Przetwarza dane osobowe wyłącznie na udokumentowane polecenie administratora.

2. Zapewnia, aby osoby upoważnione do przetwarzania danych zobowiązały się do zachowania tajemnicy lub by podlegały odpowiedniemu ustawowemu obowiązkowi zachowania tajemnicy – jest to o tyle istotne ponieważ, w branży medycznej podwykonawcy mogą uzyskiwać dostęp do informacji objętych tajemnicą lekarską.

3. Podejmuje wszelkie niezbędne środki dla ochrony danych.

4. Przestrzega warunków korzystania z usług innego podmiotu przetwarzającego.

5. Biorąc pod uwagę charakter przetwarzania, w miarę możliwości pomaga administratorowi przez odpowiednie środki techniczne i organizacyjne wywiązać się z obowiązku odpowiadania na żądania osoby, której dane dotyczą, w zakresie wykonywania jej praw.

6. Uwzględniając charakter przetwarzania oraz dostępne mu informacji, pomaga administratorowi wywiązać się z określonych w rozporządzeniu obowiązków.

7. Po zakończeniu świadczenia usług związanych z przetwarzaniem zależnie od decyzji administratora usuwa lub zwraca mu wszelkie dane osobowe oraz usuwa wszelkie ich istniejące kopie, chyba że prawo Unii lub prawo państwa członkowskiego nakazują przechowywanie danych osobowych.

8. Udostępnia administratorowi wszelkie informacje niezbędne do wykazania spełnienia obowiązków określonych w art. 28 rozporządzenia oraz umożliwia administratorowi lub audytorowi upoważnionemu przez administratora przeprowadzenie audytów, w tym inspekcji, i przyczynia się do nich.  

Wynika z tego jednoznacznie, że nowe przepisy jeszcze bardziej formalizują stosunek powierzenia przetwarzania danych osobowych i w większym stopniu niż dotychczas chronią interesy administratora danych. Uprawnienia, których zastrzeżenie w treści umowy powierzenia zależało od woli stron, stają się obligatoryjne. Dotyczy to chociażby kwestii związanej z możliwością prowadzenia kontroli oraz udziału podmiotu przetwarzającego w procesie realizacji obowiązków administratora danych a związanych z realizacją praw osób, których dane dotyczą. Termin wejścia w życie rozporządzenia jest coraz bliższy i na pewno dobrą praktyką stało się uwzględnianie w zawieranych umowach powierzenia wymogów dotyczących konstrukcji, które zawierają przepisy rozporządzenia.

Autor: Piotr Janiszewski ochrona danych w placówce medycznej
Słowa kluczowe:
ochrona danych osobowych

Nie masz jeszcze konta?

Zamów pełny dostęp do portalu


SPRAWDŹ OFERTĘ

Chcesz przetestować nasze usługi?

Załóż konto testowe na 24 godziny


ZAŁÓŻ KONTO TESTOWE NA 24 GODZINY

Pełny dostęp do portalu to:

  • Aktualność tematów
  • Szeroki zasób informacji eksperckich
  • Porady ekspertów za pośrednictwem e-maila
  • Gotowe rozwiązania najistotniejszych problemów
Sprawdź »