Pewien przedsiębiorca zlecił zewnętrznej firmie prowadzenie ksiąg rachunkowych. Oznacza to w praktyce, że taka firma uzyskała dostęp do danych osobowych tego przedsiębiorcy (zgromadzonych na fakturach, umowach ze współpracownikami, etc.). Nie potrzebuje ona jednak tych danych do własnych celów, będzie je wykorzystywać w imieniu i na rzecz tego przedsiębiorcy, staje się więc podmiotem przetwarzającym, tzw. procesorem.
Zgodnie z art. 28 RODO w tej sytuacji konieczne jest zawarcie tzw. umowy powierzenia przetwarzania danych osobowych. Takie porozumienie nie zostało jednak zawarte. Prezes UODO w związku z tym nałożył na tego przedsiębiorcę karę 2.500 zł.
Z podobną sytuacją mamy do czynienia, jeżeli placówka medyczna korzysta z systemu informatycznego, gdzie gromadzi się informacje o pacjentach. Jeśli taki system dostarczany jest przez zewnętrzną firmę, dochodzi do powierzenia danych osobowych. Administratorem jest placówka medyczna (od niej wyszły dane dotyczące pacjenta), a procesorem – firma, która dostarcza system informatyczny, np. służący do prowadzenia elektronicznej dokumentacji, rejestracji wizyt online, udzielania świadczeń zdrowotnych za pośrednictwem systemów teleinformatycznych. W takim przypadku również należy mieć podpisaną umowę powierzenia.
W umowie powierzenia należy m.in. określić jakie dane osobowe będą przekazywane do procesora oraz zobowiązać tego procesora do stosowania odpowiednich środków technicznych i organizacyjnych mających na celu zapewnienie bezpieczeństwa przekazywanych danych, np. zobowiązanie, by jego pracownicy zachowali pozyskane dane w tajemnicy.
Więcej praktycznych informacji na ten temat dostępnych jest w pierwszym w Polsce Kodeksie postępowania RODO dla placówek medycznych opracowanym przez firmę Jamano wraz z Federacją Porozumienie Zielonogórskie. Kodeks to zbiór przydatnych wskazówek, które pozwolą prowadzić właściwą politykę bezpieczeństwa danych przetwarzanych w placówce medycznej.
Kodeks daje Państwu wiele korzyści, w szczególności zimniejsza ryzyko kar finansowych w związku z naruszeniem przepisów. Przypominam, że można już zapisywać się do Kodeksu RODO Porozumienia Zielonogórskiego, do czego serdecznie zachęcam.