Do Urzędu Ochrony Danych Osobowych wpłynęły z sektora medycznego dwa wnioski o zatwierdzenie kodeksów postępowania przy ochronie danych osobowych. Jeden złożyła Polska Federacji Szpitali, a drugi Federacja Związków Pracodawców Ochrony Zdrowia Porozumienie Zielonogórskie. Oba kodeksy są w trakcie oceny i wyjaśniania zaproponowanych postanowień z ich autorami. - Urząd dąży do zaakceptowania projektów kodeksów, które będą podnosić poziom ochrony danych zgodnie z RODO – podkreśla  Adam Sanocki, rzecznik prasowy Urzędu Ochrony Danych Osobowych. I dodaje, że kodeks ma podnosić ochronę danych w praktyce działania podmiotów leczniczych poprzez standardy przetwarzania danych w danym sektorze, które zostały zaaprobowane przez organ nadzorczy.

Adam Sanocki,  potwierdza, że trwają prace i z pewnością zatwierdzenie kodeksów nastąpi tak szybko jak będzie to możliwe. - Jak wiadomo nie wszystko w tej materii zależy od UODO – podkreśla.

Gdy kodeks zostanie zaakceptowany przez UODO, wtedy placówki stosując się do niego będą mieć pewność, że działają zgodnie prawem i standardami branżowymi. - Należy pamiętać, że przestrzeganie kodeksu postępowania jest badane w razie konieczności nałożenia przez UODO sankcji za naruszenie ochrony danych. Jest to czynnik wpływający na zmniejszenie wymiaru ewentualnej administracyjnej kary pieniężnej – podkreśla Sanocki.

Mity w RODO, czyli kiedy utajnianie danych może doprowadzić do zgonu - czytaj tutaj>>
 

Jak działa kodeks?

Kodeks branżowy ma podawać minimalne wymogi związane z ochroną danych osobowych w placówkach ochrony zdrowia, które należy spełnić, by być w zgodności z RODO. Jego głównym celem jest zapewnienie adekwatnego poziomu ochrony danych pacjentów w związku z przetwarzaniem ich danych. Kodeks nie zmienia praw i obowiązków wynikających z RODO, lecz je doprecyzowuje. Ma pomóc we właściwym stosowaniu RODO z uwzględnieniem specyfiki sektora ochrony zdrowia.

Placówki mają otrzymać jasny, konkretny komunikat, co mogą robić z danymi pacjentów w oparciu o przesłankę celu zdrowotnego przetwarzania, a na co powinna być zbierana zgoda, jak zweryfikować tożsamość pacjenta (w tym na odległość podczas rozmowy telefonicznej), kiedy nie jest konieczne powoływanie inspektora ochrony danych, czy też kiedy nie ma potrzeby zawierania umów powierzenia przetwarzania danych osobowych.

Czytaj w LEX: RODO w ochronie zdrowia - przewodnik po zmianach w zakresie ochrony danych osobowych w placówkach medycznych >

Po zatwierdzeniu kodeksu przez UODO, lecznice będą mogły przystąpić do grona podmiotów go przestrzegających. Od początku będą nadzorowane przez niezależny podmiot monitorujący. W pierwszej kolejności to on będzie weryfikował, czy placówki działają zgodnie z jego postanowieniami. Kodeks przewiduje zakres uprawnień takiego ciała i wachlarz sankcji za naruszenia (m.in. audyty, ostrzeżenia aż do możliwości wykluczenia naruszycieli z kodeksu). Oczywiście nie wpływa to na kompetencje Prezesa UODO jako krajowego organu nadzorczego.

Przystąpienie do kodeksu będzie się wiązało z utrzymywaniem podmiotu monitorującego i to zrzeszenie tworzące kodeks ustala kwestie kosztów funkcjonowania mechanizmu kodeksu, które ponosić muszą członkowie. 

RODO może być nową podstawą roszczeń cywilnych, także pacjentów - czytaj tutaj>>

Jeden kodeks na finiszu

Polska Federacja Szpitali złożyła kodeks 13 listopada 2018 r. (tworzyła go razem z pięcioma innymi  wiodącymi organizacjami branżowymi). Prace nad przygotowaniem tego projektu kodeksu trwały prawie półtora roku. Powstały 22 wersje dokumentu, a w jego konsultacjach uczestniczyły organizacje zrzeszające zdecydowaną większość branży medycznej w Polsce. W ramach konsultacji publicznych wpłynęło łącznie kilkaset uwag, wiele z nich od osób fizycznych i organizacji pacjenckich.

Ten kodeks został poparty przez największe samorządy zawodowe w Polsce: Naczelną Izbę Lekarską, Naczelną Izbę Pielęgniarek i Położnych, Krajową Izbę Fizjoterapeutów, a także przedstawicieli strony publicznej w tym Centrum Systemów Informacyjnych Ochrony Zdrowia oraz Centrum Monitorowania Jakości.

Czytaj w LEX: Przetwarzanie danych osobowych pacjentów bez ich zgody oraz za ich zgodą >

Piotr Najbuk, koordynator prac nad tym kodeksem, prawnik z Kancelarii Domański Zakrzewski Palinka podkreśla, że wypracowanie wspólnego stanowiska branży medycznej niezależnie od struktury właścicielskiej czy rodzaju udzielanych świadczeń, jest wydarzeniem bez precedensu. – Jesteśmy na finiszu doprecyzowywania kodeksu, dlatego mamy nadzieję, że uda się go zatwierdzić jeszcze jesienią, jeśli tak się stanie będzie to jeden z pierwszych kodeksów dla sektora medycznego w Europie – mówi Najbuk. – Sporne są jeszcze trzy kwestie do dyskusji: pojęcie „dużej skali przetwarzania”, co ma znaczenie choćby dla ustalenia obowiązku wyznaczania inspektora ochrony danych, komunikacja na odległość w celu realizacji profilaktyki zdrowotnej bez uzyskania konkretnej i wyraźnej zgody na przetwarzanie danych w celu realizacji tej komunikacji oraz przetwarzanie danych sensytywnych w celu monitorowania jakości udzielania świadczeń m.in. poprzez wysyłanie ankiet bez zgody pacjenta przetwarzanie danych w tym celu - wymienia.

Dwa kodeksy dla ochrony zdrowia już w UODO - czytaj tutaj>>
 

Monitoruje fundacja i samorządy zawodowe

Mecenas dodaje, że do końca września koalicja podmiotów pracujących nad kodeksem przedstawi UODO propozycje, w jaki sposób będzie mogło być monitorowane przestrzeganie kodeksu. - Chcemy stworzyć zewnętrzny podmiot taki jak fundacja, który będzie za pomocą podwykonawców monitorował przestrzeganie kodeksu w placówkach medycznych – mówi Najbuk. - W odniesieniu do indywidualnych praktyk lekarskich, pielęgniarskich i fizjoterapeutów propozycja jest taka, by w ich przypadku podmiotem monitorującym był samorząd zawodowy. W sumie mielibyśmy cztery podmioty monitorujące, ale rzeczywista liczba podmiotów mogłaby być większa. Chcielibyśmy, aby liczba ta wynikała z uwarunkowań rynkowych, zależy nam na dużej liczbie rzetelnych podmiotów monitorujących. Konkurencja w tym zakresie może być dobra – dodaje Piotr Najbuk.

Czytaj w LEX: Korzystanie z praw pacjenta w świetle RODO >

Mecenas podkreśla, że złożony do UODO projekt zakłada, że w odniesieniu do podmiotów publicznych (np. SP ZOZów) wystarczą oświadczenia podmiotów, że stosują kodeks. W odniesieniu do pozostałych podmiotów, w tym indywidualnych praktyk, niezbędny będzie audyt. Warto wspomnieć, że Prezydium Naczelnej Rady Lekarskiej opiniując projekt kodeksu podkreślało, że wystarczającą formą byłoby samo złożenie świadczenia przez podmioty lecznicze, że dostosowały zasady postępowania z danymi do wymogów Kodeksu. NRL podkreślała, że samo RODO nie wskazuje sposobu, w jaki podmiot zamierzający stosować kodeks ma wejść  do grona podmiotów go stosujących.
Uwagi samorządu lekarskiego do kodeksu branżowego dla ochrony zdrowia - czytaj tutaj>>
 

Drugi kodeks też już prawie gotowy

Federacja Związków Pracodawców Ochrony Zdrowia Porozumienie Zielonogórskie we współpracy eksperckiej z firmą JAMANO tworzą kodeks specjalnie dla małych placówek medycznych. W tym kodeksie placówki znajdą informację m.in. o tym, komu mogą udostępniać dokumentację pacjenta; w jakich sytuacjach mają prawo pobierać za to opłaty, w jakiej wysokości; kiedy należy odmówić ubezpieczycielowi udostępnienia dokumentacji medycznej.

We wtorek odbyło się kolejne robocze spotkanie w UODO. - Widać, że prezesowi UODO zależy na szybkim zatwierdzeniu treści kodeksu – mówi Jacek Krajewski, prezes Federacji Porozumienie Zielonogórskie. - Wciąż toczy się dyskusja m.in. dotycząca zasad przetwarzania danych osobowych w związku z prowadzeniem przez placówki medyczne badań jakości, oraz prowadzeniem monitoringu wizyjnego - dodaje.  A Paweł Makowski, wiceprezes Jamano mówi, że większość tekstu została już uzgodniona, a niebawem planowane jest kolejne spotkanie. - Liczymy, że finalne uzgodnimy treść kodeksu – mówi Paweł Makowski.

Zapisy do Kodeksu RODO dla placówek medycznych będą dostępne na stronie www.kodeksFPZ.jamano.pl

Czytaj w LEX: Obowiązek informacyjny względem pacjentów >

Trzy kary już są nałożone

Autorzy kodeksu podkreślają, że do tej pory w całej Unii Europejskiej nałożono już ponad sto kar pieniężnych za naruszenia RODO. W Polsce na razie były trzy takie przypadki. Jeden ze sklepów internetowych musi zapłacić ponad 2,8 mln zł kary za to, że osoby nieuprawnione uzyskały dostęp do danych osobowych ponad 2 milionów klientów. Zdaniem prezesa UODO, spółka nie wdrożyła odpowiednio bezpiecznych środków technicznych ochrony danych, przez co naraziła klientów na ryzyko ujawnienia ich danych i dostania się informacji na ich temat w niepowołane ręce. Konsekwencją takiego zaniedbania może być np. kradzież tożsamości. Wcześniej grzywnę wysokości ok. 1 mln zł nałożono na firmę przygotowującą rejestry osób i podmiotów prowadzących działalność gospodarczą. Ukarana ona została za niespełnienie obowiązku informacyjnego wobec kilku milionów osób, znajdujących się w rejestrach.

Prawie 3 mln zł kary dla Morele.net za wyciek danych - czytaj tutaj>>
 

Z kolei 55 tysięcy zł musiał zapłacić Dolnośląski Związek Piłki Nożnej, który na swojej stronie internetowej publikował zbyt szczegółowe dane na temat 600 sędziów piłkarskich, podając m.in ich numery PESEL i adresy zamieszkania.

Zgodnie z RODO wykorzystywanie danych osobowych w sytuacji, gdy nie jest to dopuszczalne albo gdy robi to osoba nieuprawniona, może być zagrożone karą grzywny, ograniczenia wolności lub pozbawienia wolności do lat trzech. Warto pamiętać, że sankcje karne to niejedyne konsekwencje nieprzestrzegania RODO. Placówki medyczne narażone są ponadto na sankcje administracyjne -  prezes UODO i inne instytucje mogą w nich przeprowadzić kontrolę, dotyczącą ochrony danych osobowych.

Zobacz procedurę w LEX: Realizacja obowiązku informacyjnego przy gromadzeniu danych osobowych >

W szpitalach mylą pacjentów

Należy się także liczyć z odpowiedzialnością cywilną: osoba poszkodowana może domagać się odszkodowania za naruszenie dóbr osobistych lub za szkodę, którą poniosła w wyniku naruszenia RODO przez placówkę. Taka sytuacja zdarzyła się np. w jednym z polskich szpitali, gdzie pacjentowi zmarłemu w grudniu ubiegłego roku przypisano przez pomyłkę dane innego pacjenta. Obaj nosili to samo imię i nazwisko, urodzili się w tym samym roku. Zdaniem pokrzywdzonego zawinił szpital, dlatego domaga się od placówki zadośćuczynienia. Nie wiadomo jeszcze, jak skończy się inna historia z naszego kraju.

Personel jednego z oddziałów, podczas wypisu pomylił pacjentki. W efekcie karetka zawiozła do domu nie tę kobietę. W szpitalu ruszyło wewnętrzne śledztwo, które ma znaleźć winnych. Obie kobiety były pacjentkami oddziału neurologii. Są po udarze mózgu i cierpią na afazję, kontakt z nimi jest utrudniony. Jedna mieszka w woj. kujawsko-pomorskim, druga w pomorskim. Obie wypisano ze szpitala tego samego dnia i obie do domów miały pojechać karetką. Personel pomylił pacjentki i do domu odwiózł nie tę kobietę. Jedną z pacjentek odebrała opiekunka, która także nie zauważyła, że to inna osoba. Karetka wróciła do szpitala. Zorientowano się dopiero wówczas, kiedy jeden z mężczyzn zapytał pielęgniarkę dlaczego jego mama wciąż jest w szpitalu. Szpital przyznaje się do pomyłki i tłumaczy, że taka sytuacja nie powinna się zdarzyć.

Czytaj w LEX: Weryfikacja tożsamości pacjenta i jego uprawnień do pobierania świadczeń >