Jak rozwiązać problem powierzenia przetwarzania danych pacjentów w dwóch współpracujących podmiotach?

W jaki sposób rozwiązać kwestię przetwarzania danych osobowych w następującej sytuacji: mamy dwie spółki - X sp. z o.o. to przychodnia, Y sp. z o.o. to przedsiębiorca, wpisany do rejestru podmiotów prowadzących działalność leczniczą, który na podstawie umowy cywilnoprawnej współpracuje z lekarzami, prowadzącymi jednoosobową działalność gospodarczą. Y sp. z o.o. podpisuje umowę z X sp. z o.o., której przedmiotem jest zapewnienie personelu medycznego i deleguje lekarzy współpracujących do udzielania świadczeń w X sp. z o.o. Y sp. z o.o., zawierając umowę z X sp. z o.o. zapewnia świadczenie usług przez lekarzy. Lekarze nie podpisują żadnych umów z X sp. z o.o. – lekarze pracują wyłącznie w siedzibie X sp. z o.o., na sprzęcie tej spółki – dokumentacja medyczna należy do X sp. z o.o., Y sp. z o.o. nie ma do niej wglądu, przy czym oczywiście lekarze świadcząc usługi na rzecz X sp. z o. o. mają do niej dostęp i mogą przetwarzać zawarte w niej dane. Y sp. z o.o., w celu rozliczenia z X sp. z o.o. dostaje jedynie wykaz odbytych wizyt, konsultacji, bez danych pacjentów.

Jak w tej sytuacji rozwiązać kwestię powierzenia danych pacjentów do przetwarzania?

Czy X. sp. z o.o. musi zawrzeć z Y sp. z o.o. umowę powierzenia przetwarzania danych osobowych pacjentów?

Kto będzie nadawał upoważnienia lekarzom?

Czy można w tej sytuacji uznać, że mamy dwóch administratorów danych lekarzy: Y sp. z o.o. udostępni dane X sp. z o.o., ale X sp. z o.o. przetwarza już we własnych celach (harmonogram wizyt, dane lekarzy na tablicy informacyjnej, nakładanie kar za nieprawidłowe prowadzenie dokumentacji medycznej)?