W dniu 11 grudnia 2023 r. Prezes Urzędu Ochrony Danych Osobowych (dalej jako ,,PUODO”) zatwierdził „Kodeks postępowania dla sektora ochrony zdrowia” (dalej jako ,,Kodeks”), opracowany przez Polską Federację Szpitali. Jest to pierwszy w Europie dokument, który swym zakresem obejmuje podmioty publiczne i prywatne z sektora medycznego.

Podstawa prawna do wydania Kodeksu

Podstawą wydania ww. Kodeksu był art. 40 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (dalej jako ,,RODO”), zgodnie z którym „państwa członkowskie, organy nadzorcze, Europejska Rada Ochrony Danych oraz Komisja zachęcają do sporządzania kodeksów postępowania mających pomóc we właściwym stosowaniu niniejszego rozporządzenia – z uwzględnieniem specyfiki różnych sektorów dokonujących przetwarzania oraz szczególnych potrzeb mikroprzedsiębiorstw oraz małych i średnich przedsiębiorstw”.

Adekwatny poziom ochrony danych osobowych Pacjentów jako cel Kodeksu

Przedmiotowy Kodeks stanowi zbiór zasad/wytycznych mających służyć podnoszeniu poziomu ochrony danych osobowychJednym z głównych jego założeń jest zagwarantowanie adekwatnego poziomu ochrony Pacjentów, w związku z przetwarzaniem ich danych osobowych, ze szczególnym uwzględnieniem ochrony zdrowia i życia Pacjentów, jako dóbr o nadrzędnym znaczeniu.

Realizacja zasady rozliczalności

Z lektury wstępu do Kodeksu wynika, że stosowanie rzeczonego dokumentu stanowi okoliczność potwierdzającą wywiązywanie się z obowiązków nałożonych przez RODO na Administratorów danych oraz Podmioty przetwarzające, które działają na rynku podmiotów wykonujących działalność leczniczą. W praktyce oznacza to, że ów Kodeks służyć będzie realizacji zasady rozliczalności w sektorze medycznym.

Procedura przystąpienia do stosowania Kodeksu

Przystąpienie do Kodeksu przez podmiot publiczny wymaga złożenia wniosku (co najmniej w formie elektronicznej) skierowanego do Podmiotu monitorującego[1]. Podmiot oświadcza w nim, że spełnia wymogi wynikające z Kodeksu.

Przedmiotowy wniosek zawiera zaś:

• kwestionariusz odnoszący się do poszczególnych obowiązków wynikających z Kodeksu,
• pozytywną opinię wydaną przez Inspektora Ochrony Danych (jeśli został powołany) lub inny podmiot dysponujący odpowiednim poziomem wiedzy fachowej w dziedzinie będącej przedmiotem Kodeksu, stwierdzającą spełnianie wymogów Kodeksu,
• wskazanie sposobu dalszego monitorowania przestrzegania przepisów Kodeksu.

Kolejnym krokiem jest poddanie się audytowi wstępnemu przeprowadzonemu przez Podmiot monitorujący i uzyskanie pozytywnej oceny zdolności podmiotu przetwarzającego dane do stosowania zapisów Kodeksu. Ta gotowość jest następnie systematycznie monitorowania np. w formie ankiety monitoringowej, wywiadów telefonicznych lub wizyt na miejscu.

Czy warto przystąpić do stosowania Kodeksu?

Przystąpienie do stosowania Kodeksu jest dobrowolne i nie wiąże się z członkostwem w żadnej organizacji (przystąpić do Kodeksu może w istocie każdy podmiot prowadzący działalność leczniczą).

Jak wynika z komunikatu PUODO ,,podmioty, które będą go stosowały, mogą mieć gwarancję prawidłowości używania określonych rozwiązań zatwierdzonych przez organ nadzoru. Mogą też liczyć na nadzór nad procesami przetwarzania danych osobowych w oparciu o mechanizmy monitorowania opisane w kodeksie.  Nie bez znaczenia jest również fakt, iż zgodnie z RODO organ nadzorczy, gdy rozważa nałożenie kary na dany podmiot, musi brać pod uwagę w każdym przypadku, czy podmiot ten prawidłowo stosuje zatwierdzony kodeks postępowania”[2] [wyróżnienie własne].

Pomocne załączniki do Kodeksu

Jedynie na marginesie warto dodać, że Kodeks zawiera załączniki obejmujące (przykładowo):

• wzór zgody na przetwarzanie danych osobowych,
• katalog danych jednoznacznie identyfikujących daną osobę wraz ze wskazaniem przykładowego wzoru upoważnienia z art. 26 ust. 1 ustawy o prawach pacjenta i Rzeczniku Praw Pacjenta, który spełnia wymogi prawa,
• Zasady postępowania w wybranych sytuacjach związanych ze zwiększonym ryzykiem naruszenia praw pacjentów w związku z przetwarzaniem danych osobowych,
• Przykładową procedurę analizy ryzyka, której wdrożenie i stosowanie zapewnia realizację podejścia opartego na ryzyku,
• Wykaz zabezpieczeń systemów IT,
• Wykaz norm mających zastosowanie w obszarze bezpieczeństwa informacji i ochrony danych osobowych itd.).

Bez wątpienia, wskazane powyżej dokumenty mogą stanowić istotny punkt odniesienia w codziennej pracy sektora medycznego.

Okiem Ekspertów

Zdaniem Prawników z Kancelarii Jabłoński Koźmiński, ochrona danych osobowych oraz cyberbezpieczeństwo odgrywają kluczową rolę dla sektora ochrony zdrowia. W zapewnieniu takiego bezpieczeństwa może pomóc podjęcie się stosowania Kodeksu. W świetle powyższego, warto zatem rozważyć przyłączenie się do jego stosowania. Stosowanie ów Kodeksu może nie tylko przyczynić się do osiągnięcia wskazanych wcześniej korzyści, ale przede wszystkim może doprowadzić do zwiększenia zaufania pacjentów do systemu opieki zdrowotnej.

Pełna treść Kodeksu

Z pełną treścią Kodeksu można zapoznać się klikając w poniższy link:

https://www.google.com/url?sa=t&rct=j&q=&esrc=s&source=web&cd=&cad=rja&uact=8&ved=2ahUKEwix5oXe_JyEAxVTPxAIHfZLBbwQFnoECBAQAQ&url=https%3A%2F%2Fuodo.gov.pl%2Fpl%2Ffile%2F4525&usg=AOvVaw1gdaJ6v4a0qp0LNhWvd4gl&opi=89978449

[1] Podmiot monitorujący jest to podmiot odpowiedzialny za monitorowanie przestrzegania Kodeksu i akredytowany przez Prezesa Urzędu Ochrony Danych Osobowych, spełniający wymogi wskazane w art. 41 ust. 1 i 2 RODO

[2] https://uodo.gov.pl/pl/138/2929, [dostęp online: 09.02.2024 r.]