Outsourcing IT w branży medycznej cz. II

W ostatnim wpisie zasygnalizowałam problematykę w zakresie outsoursingu IT w branży medycznej. Cały artykuł znajduje się Tutaj.

Wiemy już, że korzystanie przez podmioty lecznicze z usług zewnątrznych usługodawców z branży IT jest powszechne. Rozwój informatyzacji w sektorze zdrowia, obowiązek prowadzenia elektronicznej dokumentacji medycznej, rozliczanie z NFZ, korzystanie z systemu eWUŚ to tylko niektóre obszary wymagające wsparcia IT.

Jak wiemy branża medyczna przetwarza specyficzny rodzaj danych, bo dane wrażliwe. Przetwarzanie takich danych jest dopuszczalne jedynie w przypadku istnienia odpowowiedniej podstawy prawnej, gdyż co do zasady przetwarzanie wrażliwych danych o stanie zdrowia jest zakazane.

Dodatkowo mamy tajemnicę zawodową, która zobowiązuje zawody medyczne do szczególnej poufności. Osoby wykonujące zawód medyczny są obowiązane zachować w tajemnicy informacje związane z pacjentem, w szczególności ze stanem zdrowia pacjenta.

Jeszcze do niedawna GIODO stał na stanowisku, iż korzystanie z zewnętrznych usługodawców w zakresie  IT przez podmioty lecznicze nie posiada wystarczających podstaw prawnych. Sytuacja to aktualnie została uregulowana w ustawie o prawach pacjenta, w której wyraźnie przewidziano możliwość powierzenia danych medycznych.

Korzystanie z usług zewnętrznych usługodawców przez podmioty lecznicze jest możliwe pod warunkiem zapewnienia ochrony danych osobowych. Podmiot leczniczy musi zapewnić sobie w umowie prawo do kontroli  zgodności przetwarzania danych osobowych  przez podmiot przyjmujący te dane czyli przez usługodawców.

Usługodawca IT, któremu powierzono przetwarzanie danych osobowych  jest obowiązany do zachowania w tajemnicy informacji związanych z pacjentem uzyskanych w związku z realizacją zleconej mu przez podmiot leczniczy usługi,  także po śmierci pacjenta.

Usługodawca IT tj.  procesor zobowiązany jest do przestrzegania przepisów prawa o ochronie danych osobowych. Podmiot ten przed rozpoczęciem przetwarzania danych powinien podjąć środki zabezpieczające zbiór danych. Obowiązana jest również do prowadzenia odpowiedniej dokumentacji w zakresie przetwarzania danych osobowych.

Na gruncie przepisów rozporządzenia unijnego w omawianym zakresie nie wprowadzono rewolucyjnych zmian. W dalszym ciągu wymagana będzie umowa pomiędzy administratorem danych a procesorem ookreślająca przedmiot powierzenia, zakres powierzenia, kategorie powierzanych danych.

Nowum i ciekawostką  na gruncie nowych przepisów będzie solidarna odpowiedzialność wszystkich podmiotów uczestniczącym w outsourcingu a więc administratora danych oraz wszystkich procesorów i subprocesorów.

W praktyce osoba, której prawa zostaną naruszone będzie mogła dochodzić całej szkody od wszystkich podmiotów lub jednego z niech niezleżnie od ich indywidualnej winy. Podmiot, który szkodę naprawi a nie dopuścił się uchybień będzie mógł dochodzić zwrotu zapłaconego odszkodowania na zasadzie regresu.

Już tylko z tego powodu precyzyjne określenie w umowie praw i obowiązków stron w zakresie przetwarzania danych osobowych jest niezbędne, aby uniknąć rozmycia odpowiedzialności w łańcuchu przetwarzająych i płacenia odszkodowania za nie swoje uchybienia.