Badanie placówki medycznej przed jej sprzedażą a RODO

Jarosław Peplinski – radca prawny

Każda sprzedaż placówki medycznej wiąże się z jej przebadaniem przez zainteresowanego nabywcę. Taki audyt może obejmować różne zakresy i skupić się przede wszystkim na dokumentacji placówki, która często zawiera informacje poufne oraz dane osobowe.

Aby zabezpieczyć poufność informacji przekazywanych potencjalnemu nabywcy strony zawierają przeważnie umowę o zachowaniu poufności, czyli tzw. NDA. A jak ma się przekazywanie dokumentów z punktu widzenia zawartych w nich danych osobowych?

Podstawa prawna przetwarzania danych osobowych

Podstawą prawną przetwarzania danych osobowych przez zainteresowanego nabyciem placówki medycznej jest prawnie uzasadniony interes (art. 6 ust. 1 lit. f) RODO), którym jest zapoznanie się z informacjami istotnymi do podjęcia decyzji o zakupie. Nie oznacza to jednak, że jego dostęp do danych jest niczym nieograniczony.

Zakres udostępnianych danych osobowych powinien odpowiadać rzeczywistej potrzebie i ograniczać się do wyłącznie niezbędnych informacji. Należy też pamiętać o tym, aby nie naruszyć praw i wolności osób fizycznych, których danych dotyczy udostępnienie, które są nadrzędne względem interesu potencjalnego nabywcy. Przeprowadzenie oceny relacji interesu nabywcy i innych osób fizycznych powinno podlegać tzw. testowi równowagi. W zależności od wyniku tego testu może okazać się konieczne ograniczenie zakresu danych osobowych i zastosowanie np. anonimizacji lub pseudonimizacji

Administrator czy podmiot przetwarzający?

Jakie funkcje pełnią w tej relacji sprzedający i nabywca? Są dwie możliwości.

W pierwszej z nich obie strony umowy są odrębnymi administratorami danych, a więc same dane osobowe podlegają udostępnieniu. Przekazanie danych nie wymaga więc udokumentowania powierzenia przetwarzania danych osobowych, a jedynie zasad na jakich to nastąpi. Wśród nich warto uregulować przede wszystkim sposób w jaki dokumenty zostaną przekazane i co stanie się z nimi po zrealizowaniu celu udostępnienia – czy będą zwrócone, czy usunięte.

Należy zwrócić uwagę na bezpieczeństwo przekazania dokumentów zapewniając np. ich zaszyfrowanie lub udostępnienie ich bez możliwości edycji lub pobrania. To drugie rozwiązanie pozwala sprzedającemu zachować kontrolę nad tym, co dzieje się z udostępnianymi informacjami.

Istotne jest także zrealizowanie obowiązku informacyjnego, czyli przekazania informacji o przetwarzaniu danych osobowych tym osobom, których ono dotyczy.

Potencjalnie możliwe jest zaistnienie także innej relacji, w której sprzedający jest administratorem, a potencjalny nabywca podmiotem przetwarzającym. Aby ocenić, która z tych dwóch opcji jest adekwatna do konkretnej sytuacji, konieczne jest zagłębienie się w proces i to jak jest on projektowany.

Inne podmioty zaangażowane w audyt

Nabywca może skorzystać ze wsparcia innych podmiotów, takich jaki firmy audytorskie czy kancelarie prawne. W tych dwóch przypadkach udokumentowanie powierzenia przetwarzania nie będzie konieczne, ponieważ co do zasady podmioty te są odrębnymi administratorami danych. Nie można jednak wykluczyć konieczności uregulowania zasad powierzenia przetwarzania w odniesieniu do innych podmiotów zaangażowanych w audyt, które pełnią funkcję podmiotu przetwarzającego.