Pytanie 1.

Załącznik nr 4 – Istotne postanowienia umowy

§ 2 ust. 6 – obecne brzmienie: „Dodatkowe dane osobowe pracowników Zamawiającego oraz ich bliskich, wykraczające poza zakres danych dotyczących medycyny pracy Wykonawca będzie mógł pozyskać tylko za zgodą tych osób, bez pośrednictwa Zamawiającego”

Komentarz Wykonawcy:

Wykonawca nie rozróżnia zakresu danych w przypadku medycyny pracy i świadczeń dodatkowych, wykraczających poza medycynę pracy. Zakres danych w obu przypadkach jest niezbędny do przyjęcia zgłoszenia osoby jako uprawnionej do realizacji na jej rzecz świadczeń zdrowotnych, w tym jej identyfikacji i weryfikacji tożsamości przed udzieleniem świadczenia.

Jako podmiot leczniczy Wykonawca przetwarza dane nie na podstawie zgody, lecz przepisu prawa – art. 9 ust. 2 lit. h w zw. z motywem 35 RODO.

Ponadto, przyjęty przez Wykonawcę sposób zgłaszania osób uprawnionych do objęcia opieką zdrowotną uwzględnia rolę Zamawiającego jako podmiotu zbierającego i przekazującego dane osobowe osób uprawnionych, działającego w roli podmiotu przetwarzającego w rozumieniu art. 28 RODO, co z kolei rodzi konieczność zawarcia dodatkowo umowy powierzenia przetwarzania danych osobowych.

Propozycja zmiany:

Zmiana treści § 2 ust. 6 na: „W przypadku przetwarzania danych osobowych osób uprawnionych niebędących pracownikami Zamawiającego, Strony zobowiązują się zawrzeć stosowną umowę, regulującą przetwarzanie tych danych i obowiązki stron w tym zakresie”.

Odpowiedź:

Zamawiający wyraża zgodę na dokonanie powyższej zmiany w załączniku nr 4 do SIWZ –Istotne postanowienia umowy. W załączeniu zmodyfikowany dokument.

Pytanie 2.

Załącznik nr 18 – Wymagania dla kontrahentów i podmiotów współpracujących w zakresie bezpieczeństwa

Uwaga ogólna:

Jako podmiot leczniczy Wykonawca staje się niezależnym administratorem danych osobowych osób uprawnionych (co znajduje potwierdzenie w przesłanych przez Zamawiającego dokumentach) i tym samym Zamawiający nie posiada żadnych podstaw prawnych aby przeprowadzać u Wykonawcy jakiekolwiek audyty czy wymagać od niego przestrzegania wewnętrznych procedur obowiązujących u Zamawiającego, zwłaszcza że procedury te nie zostały udostępnione Wykonawcy. Ponadto, duża część tego dokumentu nie została dostosowana do stanu prawnego jaki istnieje od ponad 6 miesięcy, m.in. istnieją odwołania do aktów prawnych, które z dniem 25 maja 2018 r. utraciły moc obowiązującą.

Pozostałe uwagi Wykonawcy:

§ 2 ust. 1  - akt utracił moc obowiązującą z dniem 25 maja 2018 r.

§ 2 ust. 2 -  akt utracił moc obowiązującą z dniem 25 maja 2018 r.

§ 2 ust. 3 - akt utracił moc obowiązującą z dniem 25 maja 2018 r.

§ 2 ust. 6 – Wykonawca nie zgadza się na zobowiązanie do przestrzegania wewnętrznych procedur Zamawiającego, zwłaszcza że nie zostały Wykonawcy udostępnione

brak również powołania się na ustawę z dnia 10 maja 2018 r. o ochronie danych osobowych

§ 3 ust. 2 – od dnia 25 maja 2018 r. nie ma instytucji ABI

§ 8 – z obecnych przepisów o ochronie danych osobowych (zarówno RODO jak i u.o.d.o. z 10.05.2018) nie wynika obowiązek prowadzenia PB i IZSI

§ 10 – brak podstawy prawnej żądania wobec Wykonawcy do wykonywania tego typu działań

§ 11 – kompetencje i obowiązki inspektora ochrony danych zostały jasno opisane w RODO, Wykonawca nie wyraża zgody na modyfikacje w tym zakresie

§ 12 – prosimy o wyjaśnienie „jawnego rejestru danych osobowych” oraz podstawy prawnej do obowiązku prowadzenia tego rejestru

§ 13 – brak podstawy prawnej do narzucania wykonawcy obowiązku wykonywania oceny ryzyka co najmniej raz do roku; jako niezależny administrator danych Wykonawca we własnym zakresie i adekwatnych odstępach czasowych dokonuje oceny ryzyka i ponosi z tego tytułu odpowiedzialność

§ 14 – każdy administrator danych we własnym zakresie dokonuje podziału obowiązków co do prowadzenia różnego rodzaju rejestrów oraz dokumentacji, z RODO zaś nie wynika, aby obowiązek ten spoczywał osobiście na inspektorze ochrony danych

Odpowiedź:

Załącznik nr 18 – wymagania dla kontrahentów i podmiotów współpracujących w zakresie bezpieczeństwa

1. „§ 2 ust. 1  - akt utracił moc obowiązującą z dniem 25 maja 2018 r.”
2. § 2 ust. 2 -  akt utracił moc obowiązującą z dniem 25 maja 2018 r.
3. 3) § 2 ust. 3 - akt utracił moc obowiązującą z dniem 25 maja 2018 r.

Ad.1,2,3. Rozporządzenia nie obowiązujące;

4. „ Wykonawca nie zgadza się na zobowiązanie do przestrzegania wewnętrznych

procedur Zamawiającego, zwłaszcza że nie zostały Wykonawcy udostępnione brak również powołania się na ustawę z dnia 10 maja 2018 r. o ochronie danych osobowych”

Ad. 4.  Prawda, Wykonawca nie ma dostępu do procedur wew.

5.  „§ 3 ust. 2 – od dnia 25 maja 2018 r. nie ma instytucji ABI”

Ad.5. Zgadza się nie ma ABI, lecz w § 3 ust. 2 jest dodane (…) funkcję Administratora Bezpieczeństwa Informacji pełni Inspektor Ochrony Danych Osobowych;
§ 8 – z obecnych przepisów o ochronie danych osobowych (zarówno RODO jak i u.o.d.o. z 10.05.2018) nie wynika obowiązek prowadzenia PB i IZSI

Ad. 6. Przepisy RODO nie nakładają na administratorów obowiązku prowadzenia polityki bezpieczeństwa i instrukcji zarządzania. W motywie 78 RODO wskazuje się jednak, że „aby móc wykazać przestrzeganie niniejszego rozporządzenia, administrator powinien przyjąć wewnętrzne polityki i wdrożyć środki, które są zgodne w szczególności z zasadą uwzględniania ochrony danych w fazie projektowania oraz z zasadą domyślnej ochrony danych”. Z kolei artykuł 24 ust. 2 RODO jednoznacznie określa, że właśnie w celu wdrożenia odpowiednich środków technicznych i organizacyjnych administrator może przygotować odpowiednie polityki, gdy jest to proporcjonalne w stosunku do czynności przetwarzania.

Ponadto art. 39 ust. 1 lit. b RODO określa, że jednym z obowiązków inspektora ochrony danych jest „monitorowanie przestrzegania niniejszego rozporządzenia, innych przepisów Unii lub państw członkowskich o ochronie danych oraz polityk administratora lub podmiotu przetwarzającego w dziedzinie ochrony danych osobowych”.

6. § 10 – brak podstawy prawnej żądania wobec Wykonawcy do wykonywania tego typu działań

Ad.7. Jeżeli, będzie zachodziła konieczność wyznaczenia IOD zgodnie z artykułem 37 ust. 7  (RODO), do administratora należy upublicznienie danych Inspektora danych Osobowych.

7.  „§ 11 – kompetencje i obowiązki inspektora ochrony danych zostały jasno opisane w RODO, Wykonawca nie wyraża zgody na modyfikacje w tym zakresie”

Ad. 8. Zamawiający nie podważa kompetencji zawartej w art. 39 RODO;

8. „§ 12 – prosimy o wyjaśnienie „jawnego rejestru danych osobowych” oraz podstawy prawnej do obowiązku prowadzenia tego rejestru”

Ad. 9. W/w rejestr nie trzeba, ale można prowadzić. Zgodnie z Art.165. Ustawy o ochronie danych osobowych (Dz.U z 2018r poz. 1000) Dotychczasowe przepisy wykonawcze wydane na podstawie art.22a ustawy uchylanej w art.175 zachowują moc do dnia wejścia w życie przepisów wykonawczych wydanych na podstawie art. 47 niniejszej ustawy, jednak nie dłużej niż 12 miesięcy od dnia jej wejścia w życie.

9. „§ 13 – brak podstawy prawnej do narzucania wykonawcy obowiązku wykonywania oceny ryzyka co najmniej raz do roku; jako niezależny administrator danych Wykonawca we własnym zakresie i adekwatnych odstępach czasowych dokonuje oceny ryzyka i ponosi z tego tytułu odpowiedzialność”

Ad. 10. Zgodnie z RODO na Administratorze ciąży obowiązek przeprowadzania analizy ryzyk związanych z zagrożeniami związanymi z przetwarzaniem danych osobowych oraz prowadzenia dokumentacji w tym zakresie.

10. „§ 14 – każdy administrator danych we własnym zakresie dokonuje podziału obowiązków co do prowadzenia różnego rodzaju rejestrów oraz dokumentacji, z RODO zaś nie wynika, aby obowiązek ten spoczywał osobiście na inspektorze ochrony danych”

Ad. 11. Zgodnie z artykułem 30 ust. 1 i 2 RODO, do administratora należy obowiązek prowadzenia rejestru czynności przetwarzania danych osobowych, za które odpowiada, a do podmiotu przetwarzającego - prowadzenie rejestru kategorii czynności przetwarzania dokonywanych w imieniu administratora. To te podmioty są odpowiedzialne za efektywne wykonanie tego obowiązku i pozostawanie w gotowości do wykazania tego na żądanie organów ochrony danych. Tym samym są one zobowiązane samodzielnie określić, kto konkretnie w danej organizacji ma wykonywać określone czynności składające się na spełnienie wymogów określonych w art. 30 RODO, uwzględniając konkretne okoliczności, m.in. takie jak wielkość i struktura organizacyjna danego podmiotu oraz skala przetwarzania danych. Zgodnie z jedną z najważniejszych zasad, na których oparta jest nowa regulacja – zasadą rozliczalności, odpowiedni dobór rozwiązań zapewniających zgodność z przepisami o ochronie danych osobowych należy do administratorów danych i podmiotów przetwarzających.

Ze względu na swoją zawartość i cele rejestry czynności i kategorii czynności mogą być również przydatnym instrumentem monitorowania zgodności dla inspektorów ochrony danych. Wprawdzie z art. 30 rozporządzenia ogólnego bezsprzecznie wynika, że obowiązek prowadzenia rejestrów należy do administratorów i podmiotów przetwarzających, nie zaś do inspektora ochrony danych, niemniej trudno sobie wyobrazić, że inspektor ochrony danych - jako osoba dysponująca odpowiednią wiedzą i umiejętnościami w dziedzinie ochrony danych osobowych - nie będzie angażowała się w tworzenie i prowadzenie rejestrów, a następnie wykorzystywała ich w swojej pracy. Ponadto zgodnie z artykułem 38 RODO, administrator oraz podmiot przetwarzający zobowiązani są do zapewnienia, by inspektor ochrony danych był właściwie i niezwłocznie włączany we wszystkie sprawy dotyczące ochrony danych osobowych. Udział w prowadzeniu wskazanego rejestru może w znacznym stopniu przyczyniać się do realizacji ww. obowiązku.

W Wytycznych dotyczących inspektorów ochrony danych (DPO)Grupa Robocza Art. 29 wskazuje, że obowiązki prowadzenia rejestru są obowiązkami administratora i podmiotu przetwarzającego, jednak w praktyce często to inspektor ochrony danych tworzy i prowadzi powyższe rejestry na podstawie danych otrzymanych od pozostałych komórek organizacji. Jak wskazano w Wytycznych: „Taka procedura została ustalona na mocy wielu obowiązujących przepisów państw członkowskich i przepisów o ochronie danych osobowych mających zastosowanie do instytucji i organów UE”.

Zamawiający informuje ponadto o uaktualnieniu ww. informacji na swojej stronie internetowej.

Pytanie 3

nie wykonuje się testu obciążenia 50 g glukozy (w ogóle), a 70 g glukozy wykonuje się niemal wyłącznie w ciąży. Na zamieszczenie tych 2 badań bez skierowania nie ma zgody.

Ponadto Wykonawca nie świadczy niżej wymienionych usług:

mocz - liczba Addisa lub Hamburgera

porfobilinogen

fenytoina

teofilina

odczyn Coombsa

Echo serca przezprzełykowe

Echo serca z Dopplerem

Biopsja cienkoigłowa jądra

Biopsja cienkoigłowa prostaty

USG transrektalne miednicy mniejszej

USG transvaginalne miednicy mniejszej

Cystografia mikcyjna

Fistulografia

Flebografia

Sialografia

Skopia klatki piersiowej

Uretrografia

Odpowiedź:

Zamawiający dokonał odpowiedniej modyfikacji opisu przedmiotu zamówienia. W załączeniu zmodyfikowany dokument