Badanie placówki medycznej przed jej sprzedażą a RODO
Jarosław Peplinski – radca prawny
Każda sprzedaż placówki medycznej wiąże się z jej przebadaniem przez zainteresowanego nabywcę. Taki audyt może obejmować różne zakresy i skupić się przede wszystkim na dokumentacji placówki, która często zawiera informacje poufne oraz dane osobowe.
Aby zabezpieczyć poufność informacji przekazywanych potencjalnemu nabywcy strony zawierają przeważnie umowę o zachowaniu poufności, czyli tzw. NDA. A jak ma się przekazywanie dokumentów z punktu widzenia zawartych w nich danych osobowych?
Podstawa prawna przetwarzania danych osobowych
Podstawą prawną przetwarzania danych osobowych przez zainteresowanego nabyciem placówki medycznej jest prawnie uzasadniony interes (art. 6 ust. 1 lit. f) RODO), którym jest zapoznanie się z informacjami istotnymi do podjęcia decyzji o zakupie. Nie oznacza to jednak, że jego dostęp do danych jest niczym nieograniczony.
Zakres udostępnianych danych osobowych powinien odpowiadać rzeczywistej potrzebie i ograniczać się do wyłącznie niezbędnych informacji. Należy też pamiętać o tym, aby nie naruszyć praw i wolności osób fizycznych, których danych dotyczy udostępnienie, które są nadrzędne względem interesu potencjalnego nabywcy. Przeprowadzenie oceny relacji interesu nabywcy i innych osób fizycznych powinno podlegać tzw. testowi równowagi. W zależności od wyniku tego testu może okazać się konieczne ograniczenie zakresu danych osobowych i zastosowanie np. anonimizacji lub pseudonimizacji
Administrator czy podmiot przetwarzający?
Jakie funkcje pełnią w tej relacji sprzedający i nabywca? Są dwie możliwości.
W pierwszej z nich obie strony umowy są odrębnymi administratorami danych, a więc same dane osobowe podlegają udostępnieniu. Przekazanie danych nie wymaga więc udokumentowania powierzenia przetwarzania danych osobowych, a jedynie zasad na jakich to nastąpi. Wśród nich warto uregulować przede wszystkim sposób w jaki dokumenty zostaną przekazane i co stanie się z nimi po zrealizowaniu celu udostępnienia – czy będą zwrócone, czy usunięte.
Należy zwrócić uwagę na bezpieczeństwo przekazania dokumentów zapewniając np. ich zaszyfrowanie lub udostępnienie ich bez możliwości edycji lub pobrania. To drugie rozwiązanie pozwala sprzedającemu zachować kontrolę nad tym, co dzieje się z udostępnianymi informacjami.
Istotne jest także zrealizowanie obowiązku informacyjnego, czyli przekazania informacji o przetwarzaniu danych osobowych tym osobom, których ono dotyczy.
Potencjalnie możliwe jest zaistnienie także innej relacji, w której sprzedający jest administratorem, a potencjalny nabywca podmiotem przetwarzającym. Aby ocenić, która z tych dwóch opcji jest adekwatna do konkretnej sytuacji, konieczne jest zagłębienie się w proces i to jak jest on projektowany.
Inne podmioty zaangażowane w audyt
Nabywca może skorzystać ze wsparcia innych podmiotów, takich jaki firmy audytorskie czy kancelarie prawne. W tych dwóch przypadkach udokumentowanie powierzenia przetwarzania nie będzie konieczne, ponieważ co do zasady podmioty te są odrębnymi administratorami danych. Nie można jednak wykluczyć konieczności uregulowania zasad powierzenia przetwarzania w odniesieniu do innych podmiotów zaangażowanych w audyt, które pełnią funkcję podmiotu przetwarzającego.
Skontaktuj się z nami!
Administrator przywiązuje szczególną wagę do poszanowania prywatności osób fizycznych korzystających ze świadczonych przez niego usług, dlatego wprowadził niniejszą Politykę zawierającą informacje o przetwarzaniu przez niego danych osobowych.
Podstawą prawną Polityki jest RODO – Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych).