Kto jest administratorem danych osobowych beneficjentów, w ramach programu „Korpus Wsparcia Seniora” uruchomionego przez Ministerstwo Rodziny i Polityki Społecznej na rok 2022 – Ośrodek Pomocy Społecznej, czy wybrany Realizator usługi?

0

minut

2

wyświetleń

17 wrz 2022

Odpowiedź:

Administratorem Danych Osobowych w zakresie danych beneficjentów pozyskanych dla celów realizacji programu „Korpus Wsparcia Seniora” w postaci zakupu tzw. „opasek bezpieczeństwa”  wraz z obsługą systemu u wybranego realizatora oraz nadzoru nad prawidłowym przebiegiem całego Programu jest w mojej ocenie Ośrodek Pomocy Społecznej. Realizator usługi jest natomiast równocześnie Podmiotem przetwarzającym, który wykonuje usługę serwisu technicznego opasek na polecenie Ośrodka Pomocy Społecznej, ale również Administratorem Danych Osobowych w stosunku do przetwarzania danych w zakresie i celu sprawowania całodobowej opieki na odległość nad seniorami przez centrum monitoringu funkcji życiowych i lokalizacji. W zakresie realizacji celu sprawowania opieki medycznej nad seniorami miedzy podmiotami będzie dochodziło do wzajemnego udostępniania danych pacjentów i będę odrębnymi Administratorami Danych Osobowych.

 

 

Uzasadnienie odpowiedzi:

Podążając za definicją zawartą w (art. 4 pkt 7 RODO), administratorem jest osoba fizyczna, prawna, organ publiczny, jednostka lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych.

Warto w tym przypadku przytoczyć również definicję podmiotu przetwarzającego tzn. jest to osoba fizyczna lub prawna, organ publiczny, jednostka lub inny podmiot, który przetwarza dane osobowe w imieniu administratora (art. 4 pkt. 8 RODO).

Dla oddzielenie obu ról niezwykle ważne są również dwie kwestie:

  1. określenie podmiotu, który ustala cel i sposób przetwarzania danych,
  2. określenie zakresu przetwarzania danych.

 

Dokonując oceny, który podmiot jest w tej sytuacji administratorem w odniesieniu danych osobowych beneficjentów programu „Korpus Wsparcia Seniora” w zakresie zakupu, serwisu technicznego „opasek bezpieczeństwa”, a także sprawowania całodobowej opieki na odległość nad seniorami, należy dokonać analizy przepisów prawa określających zadania podmiotów lub organów publicznych, dla których realizacji niezbędne jest przetwarzanie danych osobowych.

W Ustawie z dnia 12 marca 2004 r. o pomocy społecznej zgodnie z (art. 25 ust. 7), podmioty uprawnione, którym zlecono realizację zadania z zakresu pomocy społecznej, a w przypadku wykonywania zleconego zadania poprzez jednostki organizacyjne pomocy społecznej – te jednostki, są administratorami danych osobowych przetwarzanych w celu udzielania świadczeń z pomocy społecznej przez te podmioty i jednostki. Przepis ten potwierdza, że Ośrodek Pomocy Społecznej decyduje o celu przetwarzania danych osobowych beneficjentów „opasek bezpieczeństwa” tzn. przetwarza dane beneficjentów programu w celu zakupu dla nich „opasek bezpieczeństwa”, prawidłowego korzystania z programu przez seniorów oraz realizacji świadczenia pomocy w ramach całodobowej opieki wspólnie z Realizatorem usługi obsługi opasek, który prowadzi także serwis technicznych urządzeń na zlecenie Ośrodka Pomocy Społecznej. Realizatorem usługi pn. Centrum Teleopieki jest podmiot posiadający status jednostki medycznej, która podlega pod ustawę z dnia 15 kwietnia 2011 r. o działalności leczniczej.

Ośrodek Pomocy Społecznej po przekazaniu opaski beneficjentowi, nie może określić celu i sposobu przetwarzania danych osobowych seniorów. Zachodzi w tym przypadku do udostępnienia danych pacjentów, ponieważ Realizator będzie przetwarzał ich dane w celu udzielania pomocy w sytuacji  zagrożenia życia lub zdrowia. Nie jest to czynność dokonywana na polecenie administratora, gdyż Administrator nie może tego polecenia odwołać. Potwierdza to art. 15 ustawy z dnia 15 kwietnia 2011 r. o działalności leczniczej, w brzmieniu podmiot leczniczy nie może odmówić udzielenia świadczenia zdrowotnego osobie, która potrzebuje natychmiastowego udzielenia takiego świadczenia ze względu na zagrożenie życia lub zdrowia. Artykuł ten obliguje podmiot jednostki medycznej do przetwarzania danych seniorów we własnym celu.

Z drugiej strony, Realizator prowadzi również serwis techniczny dostarczonych urządzeń, który Ośrodek Pomocy Społecznej zleca mu po ich zakupie. W tym przypadku mamy do czynienia z powierzeniem danych osobowych pacjentów w celu zrealizowania usługi serwisu. W tym zakresie powinna być zawarta umowa powierzenia danych.

Odpowiedzi udziela

author
Damian Grudziński - Forsafe

Jest absolwentem studiów II stopnia na kierunku Bezpieczeństwo Wewnętrzne oraz studiów podyplomowych pn. Ochrona i Bezpieczeństwo Cyberprzestrzeni, zrealizowanych na Akademii Sztuki Wojennej w Warszawie. W trakcie studiów z uznaniem odbył praktyki w Ministerstwie Spraw Wewnętrznych i Administracji, co potwierdzają otrzymane referencje. Doświadczenie oraz wiedzę w zakresie szeroko rozumianej ochrony danych osobowych zdobywał pracując w firmie świadczącej usługi w zakresie bezpieczeństwa informacji. Ponadto pełnił rolę Zastępcy Inspektora Ochrony Danych w jednostce sektora publicznego. W FORSAFE odpowiedzialny jest za analizę i przygotowanie dokumentacji z zakresu ochrony danych osobowych. Dodatkowo zajmuje się przeprowadzaniem audytów formalno-prawnych, a także bieżącym wsparciem kontrahentów biznesowych w zakresie przetwarzania i ochrony danych osobowych.

www.forsafe.pl
zadaj pytanie