::
::
Sytuacja pielęgniarki szkolnej generuje wciąż wiele zapytań. Najważniejszą myśl można streścić w jednym zdaniu: Szkoła i Pielęgniarka to dwaj oddzielni administratorzy i nie występuje tu konieczność, ani nawet możliwość zawierania umowy powierzenia.
Jaki jest status prawny pielęgniarki?
Umowa powierzenia to umowa w relacji pionowej. Zawarcie takiej umowy z pielęgniarką szkolną oznaczałoby, że wykonuje ona przetwarzanie w imieniu administratora (w tym wypadku szkoły) i jest mu podporządkowana.
Podmiot przetwarzający (procesor) w myśl RODO ma wiele obowiązków wobec administratora i jest mu podległy w zakresie przetwarzania tych danych. Taka sytuacja nie występuje w przypadku opieki zdrowotnej w szkole.
Podmiot udzielający świadczeń zdrowotnych gromadzi dane pacjentów w oparciu o:
Rozporządzenie Ministra Zdrowia z dnia 20 czerwca 2008 r. w sprawie zakresu niezbędnych informacji gromadzonych przez świadczeniodawców, szczegółowego sposobu rejestrowania tych informacji oraz ich przekazywania podmiotom zobowiązanym do finansowania świadczeń ze środków publicznych (Dz.U. 2016 poz. 192)
Ustawę z dnia 6 listopada 2008 r. o prawach pacjenta i Rzeczniku Praw Pacjenta – art. 24 i art. 25 (Dz.U. 2017 poz. 1318)
Wynika z tego, że pielęgniarka szkolna działa niezależnie od szkoły i przetwarza dane osobowe w imieniu NZOZ lub innego podmiotu, którego jest pracownikiem. Staje się ona wtedy odbiorcą danych w rozumieniu art. 4 pkt 9 RODO („odbiorca” oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, któremu ujawnia się dane osobowe, niezależnie od tego, czy jest stroną trzecią).
Jak powinien wyglądać przepływ danych?
Ustawa z dnia 14 grudnia 2016 r. – Prawo oświatowe (Dz.U. 2018 poz. 996) w art. 103 pkt. 1 ppt. 4 mówi, że Szkoła w zakresie realizacji zadań statutowych zapewnia uczniom możliwość korzystania z gabinetu profilaktyki zdrowotnej.
Ponieważ, jak już wcześniej ustaliliśmy, gabinet ten działa jako oddzielny administrator danych, konieczne jest więc udostępnienie przez szkołę danych, które są niezbędne do działania tego gabinetu i świadczenia usług profilaktyki zdrowotnej.
W związku z tym szkoła przekazuje dane o uczniach na mocy prawa. Na pewno w zakresie takim jak: imię, nazwisko i numer PESEL (patrz: prawo oświatowe art. 68 ust. 1 pkt 11 , Dz.U. 2018 poz. 996).
Czy w szerszym? Na chwilę obecną to trudne dla mnie do rozstrzygnięcia, bowiem pielęgniarka powinna prowadzić dokumentację zawierającą nazwisko i imię (imiona), data urodzenia, oznaczenie płci, adres miejsca zamieszkania, numer PESEL, nazwisko i imię (imiona) przedstawiciela ustawowego oraz adres jego miejsca zamieszkania (patrz: Art. 25 Ustawa z dnia 6 listopada 2008 r. o prawach pacjenta i Rzeczniku Praw Pacjenta). Być może będą potrzebne też inne dane, także te o stanie zdrowia (np. informacje o niepełnosprawności, chorobach itp.). Jednak z drugiej strony, brak jest jasnej podstawy na przekazanie tych informacji i pojawiają się głosy, że szkoła nie powinna wychodzić poza zamknięty katalog trzech informacji, chyba że podanie dodatkowych informacji ratuje życie dziecka – wtedy tak, ujawnienie szerszych danych jest nie tylko dopuszczalne, ale i konieczne.
Tak, czy inaczej – po przekazaniu danych do niezależnego administratora, nie będą one już wracać do szkoły, gdyż na podstawie § 10 Rozporządzenia Ministra Zdrowia z dnia 28 sierpnia 2009 r. w sprawie organizacji profilaktycznej opieki zdrowotnej nad dziećmi i młodzieżą (Dz.U. 2009 nr 139 poz. 1133):
W przypadku zmiany szkoły przez ucznia dokumentację medyczną ucznia odbierają opiekunowie prawni lub faktyczni ucznia i przekazują szkole przyjmującej ucznia. (§ 10 pkt. 4)
Po zakończeniu kształcenia przez ucznia pielęgniarka, higienistka szkolna albo położna przekazują indywidualną dokumentację medyczną ucznia lekarzowi podstawowej opieki zdrowotnej, sprawującemu opiekę zdrowotną nad uczniem na podstawie deklaracji wyboru lekarza podstawowej opieki zdrowotnej. (§ 10 pkt. 4)
Na co zawracać uwagę?
Przekazując dane do pielęgniarki, Szkoła traci nad nimi kontrolę i to podmiot, którego pracownikiem jest pielęgniarka, przejmuje odpowiedzialność za właściwą opiekę nad danymi. Jednak z mojej osobistej praktyki wynika, że nierzadko występują tu uchybienia, a obszar przetwarzania danych tych dwóch administratorów się przenika. Szkolne sprzątaczki sprzątają gabinet, pielęgniarka pozostawia karty medyczne w sekretariacie itp.
Ochrona danych uczniów to zadanie szkoły i nawet jeśli nie ma ona bezpośredniej zwierzchności nad pielęgniarką, to moim zdaniem na stopie partnerskiej Dyrektor powinien przypomnieć jej o obowiązkach w zakresie ochrony danych oraz zapewnić, aby wynajmowany na terenie szkoły gabinet był właściwie zabezpieczony. Jeżeli szkoła użycza również łącza internetowego, to warto zadbać aby komputer w gabinecie pielęgniarki działał w oddzielnej podsieci.
Warto również, zawierając umowę z tym, a nie innym NZOZ, już na etapie umowy określić warunki ochrony danych.
Jaki jest status prawny pielęgniarki?
Umowa powierzenia to umowa w relacji pionowej. Zawarcie takiej umowy z pielęgniarką szkolną oznaczałoby, że wykonuje ona przetwarzanie w imieniu administratora (w tym wypadku szkoły) i jest mu podporządkowana.
Podmiot przetwarzający (procesor) w myśl RODO ma wiele obowiązków wobec administratora i jest mu podległy w zakresie przetwarzania tych danych. Taka sytuacja nie występuje w przypadku opieki zdrowotnej w szkole.
Podmiot udzielający świadczeń zdrowotnych gromadzi dane pacjentów w oparciu o:
Rozporządzenie Ministra Zdrowia z dnia 20 czerwca 2008 r. w sprawie zakresu niezbędnych informacji gromadzonych przez świadczeniodawców, szczegółowego sposobu rejestrowania tych informacji oraz ich przekazywania podmiotom zobowiązanym do finansowania świadczeń ze środków publicznych (Dz.U. 2016 poz. 192)
Ustawę z dnia 6 listopada 2008 r. o prawach pacjenta i Rzeczniku Praw Pacjenta – art. 24 i art. 25 (Dz.U. 2017 poz. 1318)
Wynika z tego, że pielęgniarka szkolna działa niezależnie od szkoły i przetwarza dane osobowe w imieniu NZOZ lub innego podmiotu, którego jest pracownikiem. Staje się ona wtedy odbiorcą danych w rozumieniu art. 4 pkt 9 RODO („odbiorca” oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, któremu ujawnia się dane osobowe, niezależnie od tego, czy jest stroną trzecią).
Jak powinien wyglądać przepływ danych?
Ustawa z dnia 14 grudnia 2016 r. – Prawo oświatowe (Dz.U. 2018 poz. 996) w art. 103 pkt. 1 ppt. 4 mówi, że Szkoła w zakresie realizacji zadań statutowych zapewnia uczniom możliwość korzystania z gabinetu profilaktyki zdrowotnej.
Ponieważ, jak już wcześniej ustaliliśmy, gabinet ten działa jako oddzielny administrator danych, konieczne jest więc udostępnienie przez szkołę danych, które są niezbędne do działania tego gabinetu i świadczenia usług profilaktyki zdrowotnej.
W związku z tym szkoła przekazuje dane o uczniach na mocy prawa. Na pewno w zakresie takim jak: imię, nazwisko i numer PESEL (patrz: prawo oświatowe art. 68 ust. 1 pkt 11 , Dz.U. 2018 poz. 996).
Czy w szerszym? Na chwilę obecną to trudne dla mnie do rozstrzygnięcia, bowiem pielęgniarka powinna prowadzić dokumentację zawierającą nazwisko i imię (imiona), data urodzenia, oznaczenie płci, adres miejsca zamieszkania, numer PESEL, nazwisko i imię (imiona) przedstawiciela ustawowego oraz adres jego miejsca zamieszkania (patrz: Art. 25 Ustawa z dnia 6 listopada 2008 r. o prawach pacjenta i Rzeczniku Praw Pacjenta). Być może będą potrzebne też inne dane, także te o stanie zdrowia (np. informacje o niepełnosprawności, chorobach itp.). Jednak z drugiej strony, brak jest jasnej podstawy na przekazanie tych informacji i pojawiają się głosy, że szkoła nie powinna wychodzić poza zamknięty katalog trzech informacji, chyba że podanie dodatkowych informacji ratuje życie dziecka – wtedy tak, ujawnienie szerszych danych jest nie tylko dopuszczalne, ale i konieczne.
Tak, czy inaczej – po przekazaniu danych do niezależnego administratora, nie będą one już wracać do szkoły, gdyż na podstawie § 10 Rozporządzenia Ministra Zdrowia z dnia 28 sierpnia 2009 r. w sprawie organizacji profilaktycznej opieki zdrowotnej nad dziećmi i młodzieżą (Dz.U. 2009 nr 139 poz. 1133):
W przypadku zmiany szkoły przez ucznia dokumentację medyczną ucznia odbierają opiekunowie prawni lub faktyczni ucznia i przekazują szkole przyjmującej ucznia. (§ 10 pkt. 4)
Po zakończeniu kształcenia przez ucznia pielęgniarka, higienistka szkolna albo położna przekazują indywidualną dokumentację medyczną ucznia lekarzowi podstawowej opieki zdrowotnej, sprawującemu opiekę zdrowotną nad uczniem na podstawie deklaracji wyboru lekarza podstawowej opieki zdrowotnej. (§ 10 pkt. 4)
Na co zawracać uwagę?
Przekazując dane do pielęgniarki, Szkoła traci nad nimi kontrolę i to podmiot, którego pracownikiem jest pielęgniarka, przejmuje odpowiedzialność za właściwą opiekę nad danymi. Jednak z mojej osobistej praktyki wynika, że nierzadko występują tu uchybienia, a obszar przetwarzania danych tych dwóch administratorów się przenika. Szkolne sprzątaczki sprzątają gabinet, pielęgniarka pozostawia karty medyczne w sekretariacie itp.
Ochrona danych uczniów to zadanie szkoły i nawet jeśli nie ma ona bezpośredniej zwierzchności nad pielęgniarką, to moim zdaniem na stopie partnerskiej Dyrektor powinien przypomnieć jej o obowiązkach w zakresie ochrony danych oraz zapewnić, aby wynajmowany na terenie szkoły gabinet był właściwie zabezpieczony. Jeżeli szkoła użycza również łącza internetowego, to warto zadbać aby komputer w gabinecie pielęgniarki działał w oddzielnej podsieci.
Warto również, zawierając umowę z tym, a nie innym NZOZ, już na etapie umowy określić warunki ochrony danych.
Jest to odcinek podkastu:
Kącik inspektora
Podkast prowadzony przez Inspektora Ochrony Danych uprawiającego swoje rzemiosło od 2011 roku.