Pytanie 1.
Załącznik nr 4 – Istotne postanowienia umowy
§ 2 ust. 6 – obecne brzmienie: „Dodatkowe dane osobowe pracowników Zamawiającego oraz ich bliskich, wykraczające poza zakres danych dotyczących medycyny pracy Wykonawca będzie mógł pozyskać tylko za zgodą tych osób, bez pośrednictwa Zamawiającego”
Komentarz Wykonawcy:
Wykonawca nie rozróżnia zakresu danych w przypadku medycyny pracy i świadczeń dodatkowych, wykraczających poza medycynę pracy. Zakres danych w obu przypadkach jest niezbędny do przyjęcia zgłoszenia osoby jako uprawnionej do realizacji na jej rzecz świadczeń zdrowotnych, w tym jej identyfikacji i weryfikacji tożsamości przed udzieleniem świadczenia.
Jako podmiot leczniczy Wykonawca przetwarza dane nie na podstawie zgody, lecz przepisu prawa – art. 9 ust. 2 lit. h w zw. z motywem 35 RODO.
Ponadto, przyjęty przez Wykonawcę sposób zgłaszania osób uprawnionych do objęcia opieką zdrowotną uwzględnia rolę Zamawiającego jako podmiotu zbierającego i przekazującego dane osobowe osób uprawnionych, działającego w roli podmiotu przetwarzającego w rozumieniu art. 28 RODO, co z kolei rodzi konieczność zawarcia dodatkowo umowy powierzenia przetwarzania danych osobowych.
Propozycja zmiany:
Zmiana treści § 2 ust. 6 na: „W przypadku przetwarzania danych osobowych osób uprawnionych niebędących pracownikami Zamawiającego, Strony zobowiązują się zawrzeć stosowną umowę, regulującą przetwarzanie tych danych i obowiązki stron w tym zakresie”.
Odpowiedź:
Zamawiający wyraża zgodę na dokonanie powyższej zmiany w załączniku nr 4 do SIWZ –Istotne postanowienia umowy. W załączeniu zmodyfikowany dokument.
Pytanie 2.
Załącznik nr 18 – Wymagania dla kontrahentów i podmiotów współpracujących w zakresie bezpieczeństwa
Uwaga ogólna:
Jako podmiot leczniczy Wykonawca staje się niezależnym administratorem danych osobowych osób uprawnionych (co znajduje potwierdzenie w przesłanych przez Zamawiającego dokumentach) i tym samym Zamawiający nie posiada żadnych podstaw prawnych aby przeprowadzać u Wykonawcy jakiekolwiek audyty czy wymagać od niego przestrzegania wewnętrznych procedur obowiązujących u Zamawiającego, zwłaszcza że procedury te nie zostały udostępnione Wykonawcy. Ponadto, duża część tego dokumentu nie została dostosowana do stanu prawnego jaki istnieje od ponad 6 miesięcy, m.in. istnieją odwołania do aktów prawnych, które z dniem 25 maja 2018 r. utraciły moc obowiązującą.
Pozostałe uwagi Wykonawcy:
§ 2 ust. 1 - akt utracił moc obowiązującą z dniem 25 maja 2018 r.
§ 2 ust. 2 - akt utracił moc obowiązującą z dniem 25 maja 2018 r.
§ 2 ust. 3 - akt utracił moc obowiązującą z dniem 25 maja 2018 r.
§ 2 ust. 6 – Wykonawca nie zgadza się na zobowiązanie do przestrzegania wewnętrznych procedur Zamawiającego, zwłaszcza że nie zostały Wykonawcy udostępnione
brak również powołania się na ustawę z dnia 10 maja 2018 r. o ochronie danych osobowych
§ 3 ust. 2 – od dnia 25 maja 2018 r. nie ma instytucji ABI
§ 8 – z obecnych przepisów o ochronie danych osobowych (zarówno RODO jak i u.o.d.o. z 10.05.2018) nie wynika obowiązek prowadzenia PB i IZSI
§ 10 – brak podstawy prawnej żądania wobec Wykonawcy do wykonywania tego typu działań
§ 11 – kompetencje i obowiązki inspektora ochrony danych zostały jasno opisane w RODO, Wykonawca nie wyraża zgody na modyfikacje w tym zakresie
§ 12 – prosimy o wyjaśnienie „jawnego rejestru danych osobowych” oraz podstawy prawnej do obowiązku prowadzenia tego rejestru
§ 13 – brak podstawy prawnej do narzucania wykonawcy obowiązku wykonywania oceny ryzyka co najmniej raz do roku; jako niezależny administrator danych Wykonawca we własnym zakresie i adekwatnych odstępach czasowych dokonuje oceny ryzyka i ponosi z tego tytułu odpowiedzialność
§ 14 – każdy administrator danych we własnym zakresie dokonuje podziału obowiązków co do prowadzenia różnego rodzaju rejestrów oraz dokumentacji, z RODO zaś nie wynika, aby obowiązek ten spoczywał osobiście na inspektorze ochrony danych
Odpowiedź:
Załącznik nr 18 – wymagania dla kontrahentów i podmiotów współpracujących w zakresie bezpieczeństwa
- „§ 2 ust. 1 - akt utracił moc obowiązującą z dniem 25 maja 2018 r.”
- § 2 ust. 2 - akt utracił moc obowiązującą z dniem 25 maja 2018 r.
- 3) § 2 ust. 3 - akt utracił moc obowiązującą z dniem 25 maja 2018 r.
Ad.1,2,3. Rozporządzenia nie obowiązujące;
- „ Wykonawca nie zgadza się na zobowiązanie do przestrzegania wewnętrznych
procedur Zamawiającego, zwłaszcza że nie zostały Wykonawcy udostępnione brak również powołania się na ustawę z dnia 10 maja 2018 r. o ochronie danych osobowych”
Ad. 4. Prawda, Wykonawca nie ma dostępu do procedur wew.
- „§ 3 ust. 2 – od dnia 25 maja 2018 r. nie ma instytucji ABI”
Ad.5. Zgadza się nie ma ABI, lecz w § 3 ust. 2 jest dodane (…) funkcję Administratora Bezpieczeństwa Informacji pełni Inspektor Ochrony Danych Osobowych;
§ 8 – z obecnych przepisów o ochronie danych osobowych (zarówno RODO jak i u.o.d.o. z 10.05.2018) nie wynika obowiązek prowadzenia PB i IZSI
Ad. 6. Przepisy RODO nie nakładają na administratorów obowiązku prowadzenia polityki bezpieczeństwa i instrukcji zarządzania. W motywie 78 RODO wskazuje się jednak, że „aby móc wykazać przestrzeganie niniejszego rozporządzenia, administrator powinien przyjąć wewnętrzne polityki i wdrożyć środki, które są zgodne w szczególności z zasadą uwzględniania ochrony danych w fazie projektowania oraz z zasadą domyślnej ochrony danych”. Z kolei artykuł 24 ust. 2 RODO jednoznacznie określa, że właśnie w celu wdrożenia odpowiednich środków technicznych i organizacyjnych administrator może przygotować odpowiednie polityki, gdy jest to proporcjonalne w stosunku do czynności przetwarzania.
Ponadto art. 39 ust. 1 lit. b RODO określa, że jednym z obowiązków inspektora ochrony danych jest „monitorowanie przestrzegania niniejszego rozporządzenia, innych przepisów Unii lub państw członkowskich o ochronie danych oraz polityk administratora lub podmiotu przetwarzającego w dziedzinie ochrony danych osobowych”.
- § 10 – brak podstawy prawnej żądania wobec Wykonawcy do wykonywania tego typu działań
Ad.7. Jeżeli, będzie zachodziła konieczność wyznaczenia IOD zgodnie z artykułem 37 ust. 7 (RODO), do administratora należy upublicznienie danych Inspektora danych Osobowych.
- „§ 11 – kompetencje i obowiązki inspektora ochrony danych zostały jasno opisane w RODO, Wykonawca nie wyraża zgody na modyfikacje w tym zakresie”
Ad. 8. Zamawiający nie podważa kompetencji zawartej w art. 39 RODO;
- „§ 12 – prosimy o wyjaśnienie „jawnego rejestru danych osobowych” oraz podstawy prawnej do obowiązku prowadzenia tego rejestru”
Ad. 9. W/w rejestr nie trzeba, ale można prowadzić. Zgodnie z Art.165. Ustawy o ochronie danych osobowych (Dz.U z 2018r poz. 1000) Dotychczasowe przepisy wykonawcze wydane na podstawie art.22a ustawy uchylanej w art.175 zachowują moc do dnia wejścia w życie przepisów wykonawczych wydanych na podstawie art. 47 niniejszej ustawy, jednak nie dłużej niż 12 miesięcy od dnia jej wejścia w życie.
- „§ 13 – brak podstawy prawnej do narzucania wykonawcy obowiązku wykonywania oceny ryzyka co najmniej raz do roku; jako niezależny administrator danych Wykonawca we własnym zakresie i adekwatnych odstępach czasowych dokonuje oceny ryzyka i ponosi z tego tytułu odpowiedzialność”
Ad. 10. Zgodnie z RODO na Administratorze ciąży obowiązek przeprowadzania analizy ryzyk związanych z zagrożeniami związanymi z przetwarzaniem danych osobowych oraz prowadzenia dokumentacji w tym zakresie.
- „§ 14 – każdy administrator danych we własnym zakresie dokonuje podziału obowiązków co do prowadzenia różnego rodzaju rejestrów oraz dokumentacji, z RODO zaś nie wynika, aby obowiązek ten spoczywał osobiście na inspektorze ochrony danych”
Ad. 11. Zgodnie z artykułem 30 ust. 1 i 2 RODO, do administratora należy obowiązek prowadzenia rejestru czynności przetwarzania danych osobowych, za które odpowiada, a do podmiotu przetwarzającego - prowadzenie rejestru kategorii czynności przetwarzania dokonywanych w imieniu administratora. To te podmioty są odpowiedzialne za efektywne wykonanie tego obowiązku i pozostawanie w gotowości do wykazania tego na żądanie organów ochrony danych. Tym samym są one zobowiązane samodzielnie określić, kto konkretnie w danej organizacji ma wykonywać określone czynności składające się na spełnienie wymogów określonych w art. 30 RODO, uwzględniając konkretne okoliczności, m.in. takie jak wielkość i struktura organizacyjna danego podmiotu oraz skala przetwarzania danych. Zgodnie z jedną z najważniejszych zasad, na których oparta jest nowa regulacja – zasadą rozliczalności, odpowiedni dobór rozwiązań zapewniających zgodność z przepisami o ochronie danych osobowych należy do administratorów danych i podmiotów przetwarzających.
Ze względu na swoją zawartość i cele rejestry czynności i kategorii czynności mogą być również przydatnym instrumentem monitorowania zgodności dla inspektorów ochrony danych. Wprawdzie z art. 30 rozporządzenia ogólnego bezsprzecznie wynika, że obowiązek prowadzenia rejestrów należy do administratorów i podmiotów przetwarzających, nie zaś do inspektora ochrony danych, niemniej trudno sobie wyobrazić, że inspektor ochrony danych - jako osoba dysponująca odpowiednią wiedzą i umiejętnościami w dziedzinie ochrony danych osobowych - nie będzie angażowała się w tworzenie i prowadzenie rejestrów, a następnie wykorzystywała ich w swojej pracy. Ponadto zgodnie z artykułem 38 RODO, administrator oraz podmiot przetwarzający zobowiązani są do zapewnienia, by inspektor ochrony danych był właściwie i niezwłocznie włączany we wszystkie sprawy dotyczące ochrony danych osobowych. Udział w prowadzeniu wskazanego rejestru może w znacznym stopniu przyczyniać się do realizacji ww. obowiązku.
W Wytycznych dotyczących inspektorów ochrony danych (DPO)Grupa Robocza Art. 29 wskazuje, że obowiązki prowadzenia rejestru są obowiązkami administratora i podmiotu przetwarzającego, jednak w praktyce często to inspektor ochrony danych tworzy i prowadzi powyższe rejestry na podstawie danych otrzymanych od pozostałych komórek organizacji. Jak wskazano w Wytycznych: „Taka procedura została ustalona na mocy wielu obowiązujących przepisów państw członkowskich i przepisów o ochronie danych osobowych mających zastosowanie do instytucji i organów UE”.
Zamawiający informuje ponadto o uaktualnieniu ww. informacji na swojej stronie internetowej.
Pytanie 3
nie wykonuje się testu obciążenia 50 g glukozy (w ogóle), a 70 g glukozy wykonuje się niemal wyłącznie w ciąży. Na zamieszczenie tych 2 badań bez skierowania nie ma zgody.
Ponadto Wykonawca nie świadczy niżej wymienionych usług:
mocz - liczba Addisa lub Hamburgera
porfobilinogen
fenytoina
teofilina
odczyn Coombsa
Echo serca przezprzełykowe
Echo serca z Dopplerem
Biopsja cienkoigłowa jądra
Biopsja cienkoigłowa prostaty
USG transrektalne miednicy mniejszej
USG transvaginalne miednicy mniejszej
Cystografia mikcyjna
Fistulografia
Flebografia
Sialografia
Skopia klatki piersiowej
Uretrografia
Odpowiedź:
Zamawiający dokonał odpowiedniej modyfikacji opisu przedmiotu zamówienia. W załączeniu zmodyfikowany dokument
Metryka dokumentu
ukryjTytuł dokumentu: | Pytania i odpowiedzi do przetargu na wykonanie zadania: „Świadczenie kompleksowych usług medycznych” |
---|---|
Podmiot udostępniający informację: | ul. Podhalańska 7; 44-335 Jastrzębie-Zdrój |
Informację opublikował: | Leszek Rybak |
Data publikacji: | 18.12.2018 13:21 |
Wytworzył lub odpowiada za treść: | Stefan Cygan |
Data na dokumencie: | 18.12.2018 |
Informację aktualizował: | Leszek Rybak |
Data aktualizacji: | 18.12.2018 13:21 |