25 maja br. zacznie obowiązywać unijne rozporządzenie o ochronie danych osobowych (RODO). Żeby ułatwić podmiotom medycznym przygotowanie się do nowych obowiązków, powstał kodeks dla ochrony zdrowia. Doprecyzowuje on regulacje zawarte w unijnym rozporządzeniu o ochronie danych osobowych, czyli tzw. RODO. Przepisy RODO będzie musiał wypełniać każdy podmiot przetwarzający dane osobowe, czyli w zasadzie wszyscy, zarówno duże szpitale, jaki i jednoosobowe praktyki lekarskie (niezależnie od formy prawnej prowadzonej działalności, struktury właścicielskiej czy uczestnictwa w systemie opieki zdrowotnej finansowanym ze środków publicznych).

Kodeks ma być wsparciem dla placówek medycznych

Co istotne, stosowanie kodeksu przez placówkę medyczną jest okolicznością przemawiającą za wywiązywaniem się z obowiązków nałożonych przez RODO na administratorów danych i podmioty przetwarzające, będące podmiotami wykonującymi działalność leczniczą. Placówka medyczna wykazując, że stosuje kodeks, realizuje tzw. zasadę rozliczalności wprowadzoną przez RODO. Zasada rozliczalności przejawia się w konieczności udowodnienia przez administratora danych, że prowadzi on odpowiednią politykę bezpieczeństwa danych. Kodeks więc w znacznym stopniu wspomaga proces prawidłowej ochrony danych osobowych, a jego stosowanie może być okolicznością zmniejszającą odpowiedzialność prawną w  przypadku naruszenia ochrony danych osobowych. Dodać należy, że stosowanie kodeksu przez placówkę medyczną jest dobrowolne, jednak decyzja o wdrożeniu lub niewdrożeniu kodeksu ma swoje określone skutki, o których szerzej w dalszej części artykułu.

Placówka medyczna, która zadeklaruje się stosować kodeks, będzie musiała podjąć niezbędne działania służące ochronie danych osobowych osób fizycznych w związku z przetwarzaniem ich danych. W szczególności chodzi o:

- dane przetwarzane w celach zdrowotnych, których przetwarzanie nie wymaga zgody pacjenta;

- dane przetwarzane w innych celach niż zdrowotne, których przetwarzanie nie wymaga zgody pacjenta;

- dane przetwarzane na podstawie zgody pacjenta w celach marketingowych.

Placówka medyczna stosująca kodeks musi uwzględnić ryzyko naruszenia ochrony danych osobowych u siebie i w związku z tym musi wdrożyć odpowiednie środki techniczne i organizacyjne, które zapewnią bezpieczeństwo adekwatne do stopnia ryzyka. W szczególności chodzi tutaj o właściwe stosowanie przepisów krajowych, unijnych i postanowień kodeksu w zakresie przetwarzania danych osobowych, określenie zasad dostępu, przetwarzania i udostępniania danych osobowych, minimalizację ryzyka w zakresie bezpieczeństwa fizycznego, teleinformatycznego, organizacyjno-prawnego i osobowego oraz zaangażowanie wszystkich pracowników w ochronę danych osobowych i podnoszenie ich wiedzy oraz kwalifikacji w tym zakresie.

Kodeks ma zastosowanie do poszczególnych procesów związanych z przetwarzaniem danych osobowych pacjentów, mających miejsce w placówkach medycznych i wyznacza minimalne wymogi z nimi związane. Oznacza to, że placówka medyczna może przyjąć rozwiązania, które w jeszcze lepszy sposób zabezpieczają dane pacjentów.

Warto dodać, że stosowanie zatwierdzonego kodeksu może być wykorzystane jako element dla stwierdzenia przestrzegania przez administratora ciążących na nim obowiązków.

 

Skąd wziął się pomysł na kodeks?

Do tworzenia kodeksów branżowych mocno zachęca samo unijne rozporządzenie. Zgodnie z zapisami RODO, państwa członkowskie, organy nadzorcze, Europejska Rada Ochrony Danych oraz Komisja zachęcają do sporządzania kodeksów postępowania mających pomóc we właściwym stosowaniu RODO - z uwzględnieniem specyfiki różnych sektorów dokonujących przetwarzania danych osobowych.

Kodeks branżowy dla sektora ochrony zdrowia jest w Polsce tworzony przy udziale m.in.:

- strony publicznej - Centrum Systemów Informacyjnych Ochrony Zdrowia, Ministerstwo Zdrowia, Centrum Monitorowania Jakości w Ochronie Zdrowia;

- podmiotów wspierających - Województwo Wielkopolskie, Naczelna Izba Pielęgniarek i Położnych, Fundacja My Pacjenci, Fundacja Urszuli Jaworskiej, Naczelna Izba Aptekarska, Krajowa Izba Diagnostów Laboratoryjnych, Krajowa Rada Fizjoterapeutów, Gdański Uniwersytet Medyczny, Kancelaria Domański Zakrzewski Palinka.

Katalog podmiotów tworzących kodeks nie jest zamknięty i zapewne będzie jeszcze ulegał zmianom.

Zdaniem Eksperta

"RODO stanowi niewątpliwie całkowicie nowe podejście do kwestii ochrony danych osobowych. Sytuacja ta powoduje, że wiele jednostek i podmiotów przygotowujących się do wdrożenia odpowiednich zmian w związku z RODO potrzebuje każdego możliwego wsparcia. Taką rolę w mojej ocenie spełniać będą branżowe kodeksy postępowania. Jest to szczególnie ważne w branży medycznej z kilku powodów – podkreśla Maciej Łokaj, radca prawny, specjalizujący się w dziedzinach prawa ochrony zdrowia, prawa medycznego, prawa gospodarczego, prawa spółek oraz prawa pracy. „Po pierwsze, branża ta operuje przede wszystkim na wrażliwych danych osobowych, do których należą dane medyczne pacjentów. Po drugie, wiele placówek medycznych nie ma świadomości, że przetwarzane przez nie dane to nie tylko dane medyczne, ale także dane osobowe innych rodzajów, które podlegają nieco odmiennym zasadom ochrony, np. trzeba w stosunku do nich uzyskać zgodę na przetwarzanie od osoby fizycznej, której dane dotyczą. Po trzecie, do tej pory można było zaobserwować, że zagadnienie danych osobowych było przez niektóre jednostki ochrony zdrowia traktowane nieco jako temat poboczny. Obecnie sytuacja ta z pewnością się zmieni, a medyczny kodeks branżowy może wyraźnie w tym pomóc”.

Ekspert podkreśla, że trzeba pamiętać o tym, że kodeks branżowy dla ochrony zdrowia nie będzie miał charakteru aktu prawnego powszechnie obowiązującego. „Będzie to raczej zbiór wytycznych, zaleceń i dobrych praktyk możliwych do wdrożenia w danej placówce – mówi Maciej Łokaj. Czy podmiotowi, który nie zastosuje się do treści kodeksu grożą jakieś konsekwencje prawne? Oczywiście nie, ale rozwiązanie polegające za zaimplikowaniu określonych rozwiązań kodeksowych w ramach organizacji wewnętrznej placówek należy traktować jako bardzo słuszne posunięcie z kilku powodów. Przede wszystkim trzeba pamiętać, że zgodnie z RODO kodeks będzie podlegał zatwierdzeniu przez nowy Urząd Ochrony Danych Osobowych, a to z pewnością przełoży się na późniejszą lepszą ocenę przez UODO placówek medycznych stosujących się do kodeksu oraz poziomu ich zabezpieczeń danych osobowych, chociażby w toku prowadzonych kontroli. Ten fakt z kolei będzie miał przełożenie na wysokość ewentualnych kar finansowych i wystąpienie innych możliwych sankcji, co przy tak wysokich karach jakie przewiduje RODO może mieć kolosalne znaczenie. Poza tym medyczny kodeks branżowy może stanowić znaczące wsparcie dla jednostek ochrony zdrowia pracujących nad dokumentacją ochrony danych osobowych i szkolących swój personel”.

Maciej Łokaj dodaje, że pomimo iż kodeks branżowy nie będzie aktem prawnym w ścisłym rozumieniu tego słowa, jego treść będzie wyznaczać pewne standardy, których wdrożenie zapewni placówkom medycznym wyższy poziom bezpieczeństwa danych osobowych i ograniczenie ryzyka naruszenia zasad ich ochrony.

Alicja Plichta