- Realny termin zatwierdzenia kodeksu postępowania dla sektora ochrony zdrowia wraz akredytacją podmiotu monitorującego to kwestia kilku miesięcy - zapowiedziała Ligia Kornowska, dyrektor zarządzająca w Polskiej Federacji Szpitali podczas konferencji "RODO w sektorze medycznym – gdzie jesteśmy, dokąd zmierzamy". A Krzysztof Król, naczelnik Wydziału Kodeksów i Certyfikacji w Departamencie Orzecznictwa i Legislacji, Urząd Ochrony Danych Osobowych potwierdził, że do UODO wpłynęły już dwa wnioski o udzielenie akredytacji jako podmiotowi monitorującemu. KPMG złożyło wniosek o akredytację jako podmiot monitorujący do kodeksu PFS, a RS Jamano o akredytację do kodeksu Porozumienia Zielonogórskiego. 

Czytaj w LEX: Zatwierdzone kodeksy postępowania i certyfikacja >

Obecnie trwa sprawdzanie  złożonych wniosków pod kątem formalnym. Prezes UODO ma zaś trzy miesiące na rozpatrzenie wniosków po stwierdzeniu kompletności dokumentacji. Niestety oba kodeksy zawierają jedynie uregulowania dotyczące podmiotu monitorującego podmioty prywatne.  - KPMG nie będzie mogła monitorować podmiotów publicznych - ta kwestia wymaga jeszcze doprecyzowania - przyznaje Piotr Burzyk z KPMG.

Bez podmiotu akredytującego kodeks branżowy nie chroni

Pod koniec lutego prezes Urzędu Ochrony Danych Osobowych pozytywnie zaopiniował m.in. projekt „Kodeksu postępowania dla sektora ochrony zdrowia” przygotowany przez Polską Federację Szpitali oraz projekt „Kodeks postępowania dotyczącego ochrony danych osobowych przetwarzanych w małych placówkach medycznych” opracowany przez Federację Związków Pracodawców Ochrony Zdrowia „Porozumienie Zielonogórskie” . To wciąż tylko projekty, bo jak zwraca uwagę Krzysztof Król nie można zatwierdzić ostatecznie kodeksu bez wskazania akredytowanego podmiotu monitorującego. Kodeks bowiem nie jest formalnością, papierowym zbiorem dobrych praktyk. Ktoś musi weryfikować, czy firmy, które do niego przystąpiły, przestrzegają zasad. - Do czasu akredytacji  podmiotu monitorującego i zatwierdzenie ostatecznego kodeksu powoływanie się na niego jest bezskuteczne - podkreślił Krzysztof Król. - Podmioty medyczne, chcące zapewnić pacjentom wysoki poziom ochrony ich danych mogą przygotować się do jego stosowania, ale nie mogą się na niego jeszcze powoływać. Dopiero po akredytacji do konkretnego kodeksu podmiot monitorujący będzie mógł rozpocząć procedurę oceny wstępnej kandydatów na członków tego kodeksu - podkreślił naczelnik. Warto jednak podjąć takie przygotowania, bo jak wyjaśnia Paweł Kaźmierczyk z kancelarii DZP współtwórca kodeksu PFS, przystąpienie do niego będzie świadczyć o spełnianiu obowiązków wynikających z RODO. - Stosowanie kodeksu będzie okolicznością łagodzącą, przemawiającą na korzyść w razie kontroli, może też wpłynąć na obniżenie wysokości potencjalnej kary. A kodeks nie tylko uwzględnia przepisy z zakresu prawa medycznego i ochrony danych, orzecznictwo sądowe, czy wytyczne Europejskiej Rady Ochrony Danych, ale także zawiera konkretne procedury postępowania - dodaje Kaźmierczyk. A wszystko wskazuje, że do ostatecznego zatwierdzenia kodeksów i podmiotów ich monitujących dojdzie jeszcze w tym roku. 

Czytaj w LEX: Akredytacja podmiotów monitorujących z zakresu ochrony danych >

Konstytucyjna ochrona prywatności. Dane dotyczące zdrowia

Katarzyna Łakomiec

Sprawdź  

Jak będzie wyglądała procedura przystąpienia

KPMG zapewnia, że spełnia wszystkie kryteria niezbędne, by stać się podmiotem monitorującym, a dzięki temu, że jest dużą firmą, o dużej skali działalności, dysponuje zasobami kadrowymi, które pozwolą obsłużyć każdą liczbę wniosków. - Powołaliśmy już kilkuosobowy  zespół monitorujący i w razie potrzeb będziemy go dynamicznie dostosowywać do sytuacji - mówi Piotr Burzyk. Jak będzie wyglądała procedura przystąpienia? - Najpierw zainteresowany podmiot musi złożyć kompletny wniosek o przystąpienie do kodeksu i podpisać z nami umowę o świadczenie usług. Następnie przeprowadzimy audyt wstępny w formie wideokonferencji albo wywiad telefoniczny, aby potwierdzić informacje wskazane we wniosku. Część podmiotów też odwiedzimy i zweryfikujemy na miejscu.  Po audycie zostanie przygotowany raport i przyznany status członka kodeksu - tłumaczy Burzyk. Na tym nie koniec. Członkowie będą podlegać stałemu monitorowaniu. - Podstawą metodą będzie coroczna ankieta, w której będziemy głównie pytać o zmiany w działaniu organizacji, także wynikające ze zmian prawnych, choć nie wykluczamy tradycyjnych wizyt - wyjaśnia Piotr Burzyk.  Monitoring będzie też przeprowadzany w sytuacji, gdy np. wpłynie skarga na dany podmiot. W przypadku wykrycia nieprawidłowości, podmiot leczniczy zostanie poproszony o ich usunięcie. Gdy to się nie uda, kodeks przewiduje dwie sankcje zawieszenie statusu członka lub jego pozbawienie. -  Myślę jednak, że pozostaną to hipotetyczne możliwości, bo w kodeksie są zawarte konkretne i praktyczne rozwiązania - mówi Burzyk. Niestety do póki co nie ma możliwości włączenia do kodeksu podmiotów publicznych. - Ta kwestia wymaga jeszcze doprecyzowania. Co prawda nie możemy prowadzić monitoringu podmiotów publicznych, ale możemy przeprowadzić u nich audyt wstępny. Możemy więc doprowadzić do momentu, ze podmiot publiczny spełnia wymagania kodeksu, ale nie możemy podjąć dalszych kroków  - wyjaśnia Piotr Burzyk. Zgodnie bowiem z art. 41 ust. 6 RODO podmioty publiczne muszą mieć odrębny nadzór zgodny z obowiązującymi je przepisami prawa.

Podmioty lecznicze deklarują chęć przystąpienia do kodeksu

Z ankiety przeprowadzonej przez Polską Federację Szpitali wynika, że 24 proc. podmiotów wykonujących działalność leczniczą już podjęła decyzję o przystąpieniu do kodeksu postępowania, a 69 proc. ma taki zamiar, ale decyzja nie została jeszcze podjęta. Tylko 7 proc. podmiotów nie będzie przystępowała do kodeksu. W ocenie 77 proc. ankietowanych najtrudniejsze w stosowaniu RODO jest prowadzenie wewnętrznej dokumentacji i procedur, w tym oceny ryzyka i oceny skutków dla ochrony danych. Większość ankietowanych mimo to nie oczekuje wsparcia w przygotowaniu dokumentacji, ale w bieżącym doradztwie prawnym w tym wsparcia inspektorów ochrony danych> (74 proc.). Aż 57 proc. uważa, że kodeks powinien wskazywać standardy RODO dla nowych technologii w medycynie, nieco mniej bo 36 proc. wskazało badania kliniczne, pobieranie, przechowywanie i przeszczepianie komórek, tkanek i narządów.