Input:

Zpracovatelská smlouva s lékařem poskytujícím pracovnělékařské služby

7.6.2018, , Zdroj: Verlag Dashöfer

1.2
Zpracovatelská smlouva s lékařem poskytujícím pracovnělékařské služby

Mgr. Mgr. Radana Burešová

Dotaz:

Musíme uzavírat zpracovatelskou smlouvu i s lékařem poskytujícím pracovně lékařské služby?


Odpověď:

Podstatou Vaší otázky je, zda je lékař poskytující pracovnělékařské služby (dále jen „PLS”) správcem, či zpracovatelem osobních údajů, protože pouze se zpracovatelem osobních údajů je třeba uzavírat smlouvu dle článku 28 obecného nařízení o zpracování osobních údajů (GDPR)

Východiskem pro odpověď na Váš dotaz je definice obsažená v čl. 4 bodu 7 resp. 8 GDPR. Tyto definice správce a zpracovatele se prakticky neliší od definic obsažených v dřívějším zákoně č. 101/2000 Sb., o ochraně osobních údajů, resp. ve směrnici Evropského parlamentu a Rady 95/46/ES, již zákon o ochraně osobních údajů prováděl. Co se týče vymezení pojmů „správce” a „zpracovatel” nepředstavuje tedy GDPR žádnou změnu.

Správce

Správcem je fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jiný subjekt, který sám nebo společně s jinými určuje účely a prostředky zpracování osobních údajů. Zpracovatelem se pak rozumí fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jiný subjekt, který zpracovává osobní údaje pro správce.

Zpracovatel

Zpracování zpracovatelem se podle čl. 28 odst. 3 GDPR řídí smlouvou nebo jiným právním aktem podle práva Unie nebo členského státu, které zavazují zpracovatele vůči správci a v nichž je mimo jiné stanoven předmět a doba trvání zpracování, povaha a účel zpracování, typ osobních údajů a kategorie subjektů údajů, povinnosti a práva správce.

Postavení lékaře – poskytovatele PLS vykazuje jisté znaky zpracovatele. Zpracování osobních údajů, které nutně souvisí s péčí o pacienty a dalšími činnostmi v oblasti pracovnělékařských služeb, provádí na základě smlouvy uzavřené se zaměstnavatelem. Zaměstnavatel mu též na základě příslušných právních předpisů poskytuje stanovené informace (zejména dle § 55 odst. 1 písm. d) a f) SZS resp. § 15 vyhlášky č. 79/2013 Sb.). Služby, které poskytovatel PLS zaměstnavateli poskytuje, jsou blíže vymezeny právě ve shora uvedených právních předpisech.

Z definic pojmů správce a zpracovatel vyplývá, že zpracovatel provádí zpracování osobních údajů pro správce, tj. místo něj. Správce se může rozhodnout, že buď zpracování osobních údajů provede sám, nebo jím pověří jiný subjekt (typicky v případě poskytování IT služeb nebo zpracování účetnictví). V případě poskytovatele PLS tomu tak zpravidla není, jelikož zaměstnavatel až na výjimky nedisponuje (zaměstnanci s) kvalifikací ani prostředky potřebnými k poskytování pracovnělékařských služeb.

Předmětem činnosti lékaře, poskytujícího PLS, primárně není zpracování osobních údajů, nýbrž poskytování pracovnělékařských služeb, které rovněž zahrnují provádění dohledu (§ 57 odst. 1 písm. c) bod 2 a písm. f) zákona č. 373/2001 Sb.) a další pravomoci vůči zaměstnavateli (mimo jiné oprávnění vyžádat si provedení kontrolních měření nebo iniciovat žádost o provedení prohlídky), přičemž všechny tyto činnosti nejsou vykonávány ani tak dle pokynů zaměstnavatele, jako za podmínek stanovených příslušnými právními předpisy.

Až na výjimky pro specifické předměty činnosti (např. v oblasti pojišťovnictví) není k dispozici ani judikatura českých soudů, ani Soudního dvora Evropské unie.

Pracovní skupina WP 29

Odlišením správce a zpracovatele se však v minulosti zabýval i poradní orgán Evropské komise, tzv. Pracovní skupina WP 29 (nyní Evropský sbor pro ochranu osobních údajů), ve svém stanovisku 1/2010, v němž je na straně 25