Jak prawidłowo uregulować sytuację związaną z przetwarzaniem danych osobowych pacjentów w ramach medycyny szkolnej?

Czy szkoła winna zawrzeć z podmiotem leczniczym, który realizuje dla jej podopiecznych świadczenia w zakresie medycyny szkolnej, umowę powierzenia przetwarzania danych osobowych?

W toku realizacji świadczeń w zakresie medycyny szkolnej na rzecz podmiotu leczniczego przekazywane są ze szkół listy uczniów zawierające imiona i nazwiska, numery PESEL oraz dane dotyczące klasyfikacji danego ucznia (informacja o orzeczonej niepełnosprawności, bez podania jej przyczyny). W oparciu o powyższe dyrektorzy niektórych placówek oświatowych występują z wnioskami o zawarcie umów dotyczących powierzenia przetwarzania danych osobowych. Centrum nie przetwarza danych osobowych na rzecz szkół, a czyni to w związku z realizacją swoich, ustawowo określonych zadań. Zgodnie z art. 25 u.p.p. dokumentacja medyczna zawiera w zakresie oznaczenia pacjenta dane pozwalające na ustalenie jego tożsamość: nazwisko imię (imiona), datę urodzenia, oznaczenie płci, adres miejsca zamieszkania, numer PESEL. Z powyższego jednoznacznie wynika, że podmiot leczniczy jest administratorem danych, a nie podmiotem przetwarzającym. Z kolei w przypadku zawarcia umowy powierzenia przetwarzania danych osobowych pojawiłby się szereg problemów z możliwością spełnienia dyspozycji art. 28 RODO, np. - w zakresie przetwarzania danych osobowych wyłącznie na udokumentowane polecenie administratora (lit. a) – placówki medyczne przetwarzają dane osobowe uczniów na podstawie przepisów prawa, na polecenie szkoły, - możliwości przeprowadzenia audytu prowadzenia dokumentacji medycznej (lit. h).

W jaki sposób należy uregulować powyższą kwestię?