Jak wiadomo praca lekarza chroniona jest tajemnicą lekarską. Aktualnie jednak i pracodawca musi chronić wrażliwe dane dotyczące pracowników. Dotyczy to m.in. przekazywania ich danych innym instytucjom i podmiotom. Sytuacja taka ma miejsce również wtedy, gdy zostały podpisane pakiety zdrowotne dla pracowników i należy przekazać ich dane osobowe firmie medycznej. Czy trzeba zawrzeć umowę powierzenia danych osobowych?
Koszt operowania i udostępnienia danych osobowych
Proces, który zachodzi podczas przekazywania danych osobowych nie jest zawsze wymagany. Bardzo często wystarczy samo – udostępnienie danych. Oczywiście jednak w każdym wypadku poprzedza wszelkie czynności podpisanie stosowanych dokumentów. Czasem jest to również odrębna umowa dotycząca powierzenia i przetwarzania danych, podpisywana wówczas, gdy firma medyczna tego wymaga.
RODO w dużym stopniu obciąża administratorów danych osobowych. Administratorem tym w omawianym przypadku jest pracodawca. Z przechowywaniem danych oraz operowaniem nimi związane są koszty. Te operacje nie są dla pracodawcy obciążające. Po podpisaniu umowy między pracodawcą a podmiotem medycznym ten drugi na własny koszt chroni pozyskane dane.
Czy pracownik musi się zgodzić na udostępnienie danych
Omawiane wyżej – udostępnienie danych – wymaga zgody pracownika. Natomiast sama czynność należy do statutowych obowiązków administratora, gdyż poza ich przechowywaniem należy do nich również udostępnianie danych innym administratorom. Zanim jednak pracodawca, przed podpisaniem pakietów zdrowotnych dla pracowników, przekaże firmie medycznej dane osobowe, pracownik musi podpisać odpowiednią zgodę. Stanowi o tym podstawa znajdująca się w art. 6 RODO.
Ochrona danych w firmie medycznej
Firmy medyczne są szczególnie wyczulone na ochronę danych osobowych. Niemal w każdej są:
- odpowiednio opracowane zasady, których przestrzegają wszyscy pracownicy,
- programy przetwarzające dane osobowe Pacjentów są obsługiwane wyłącznie przez osoby uprawnione,
- dostęp do danych wrażliwych chroniony jest co miesiąc zmienianymi hasłami,
- personel zawsze jest przeszkolony względem postępowania z danymi osobowymi.
Poza powyższym korzystanie z danych osobowych przez firmę medyczną jest oczywiste i konieczne do świadczenia specjalistycznych usług. Nie budzi to nigdy większych rozterek. Pozostaje więc do omówienia jedynie forma przekazywania danych.
Problemy związane z powierzeniem przetwarzania danych osobowych
Przez swoje konsekwencje, powierzanie przetwarzania danych osobowych firmie medycznej, co jak należy przypomnieć nie jest konieczne, budzi pewne wątpliwości. Naciskanie na podpisanie takiej umowy, a także jej sfinalizowanie czyni z pracodawcy podmiot przetwarzający – odbiera mu status administratora. Zgodę na przetwarzanie danych, przed podpisaniem pakietów zdrowotnych dla pracowników, podpisują jednak pracownicy w stosunku do pracodawcy, a nie placówki medycznej. Po zasięgnięciu opinii fachowca w „Zdrowie bez kolejki”, posiłkując się tutaj przepisami – placówki medyczne nie przetwarzają danych po udzieleniu zgody, lecz na podstawie realizowania celu, jakim w ich przypadku jest zapewnianie opieki zdrowotnej.
Pakiety zdrowotne dla pracowników podstawowe a rozszerzone
I już na zakończenie można wspomnieć, że sprawy dotyczące RODO czasem komplikują się na etapie świadczenia usług rozszerzonych, czyli dodatkowych pakietów zdrowotnych dla pracowników. Zależne jest to bowiem również od tego czy pracownik płaci za nie samodzielnie, czy też pracodawca pokrywa ich koszty. Zazwyczaj jednak są one dobrowolne i pracownik zarówno musi zgodzić się na udostępnienie danych, jak i odtrącanie odpowiedniej sumy z wynagrodzenia na rzecz podmiotu leczącego.