Czy w opisanej sytuacji usługodawca może przetwarzać dane w ramach umowy powierzenia przetwarzania danych w postaci nie zaszyfrowanej, w postaci umożliwiającej mu oprócz przechowywania danych także ich np. przeglądanie?

Usługodawca świadczy usługę droga elektroniczną polegającą na zdalnym dostępie do oprogramowania do obsługi gabinetu lekarskiego, z jednoczesnym przechowywaniem danych szczególnej kategorii po swojej stronie, ale wprowadzonych do systemu przez klienta, czyli podmiot wykonujący działalność leczniczą.

Czy usługodawca może przetwarzać te dane w ramach umowy powierzenia przetwarzania w postaci nie zaszyfrowanej, w postaci umożliwiającej mu oprócz przechowywania danych także ich np. przeglądanie?

W naszej ocenie zakaz przetwarzania danych wynikający z art. 9 ust. 1 RODO jest tutaj całkowity i podjęcie decyzji o skorzystaniu z takiego systemu powinno zostać przez ADO połączone ze zleceniem szyfrowania danych składowanych na serwerze usługodawcy, w taki sposób, że klucz deszyfrujący jest w posiadaniu tylko ADO. W naszej ocenie powyższy system nie gwarantujący szyfrowania danych składowanych nie spełnia wymogów także par. 80 rozporządzenia Ministra Zdrowia z 9.11.2015 r. w sprawie rodzajów, zakresu i wzorów dokumentacji medycznej oraz sposobu jej przetwarzania. Czy dobrą praktyką będzie pozyskanie od producenta - usługodawcy oświadczenia o spełnianiu wymogów określonych w ww. rozporządzeniu Rozdział 9?