Kodeks branżowy jasno wskazuje, że stosować mogą go wszystkie podmioty wykonujące działalność leczniczą (dalej PWDL). Chodzi o zarówno podmioty lecznicze, indywidualne, jak i grupowe praktyki lekarskie, pielęgniarskie. Nie ma znaczenia ich forma prawna, struktura właścicielska i podmiot tworzący. Nie ma także znaczenia fakt, czy dany podmiot udziela świadczeń zdrowotnych finansowanych ze środków publicznych czy tylko komercyjnie. Nie ma także znaczenia jaki jest zakres i rodzaj prowadzonej działalności leczniczej.

Co istotne, zapisy Kodeksu mają również zastosowanie do podmiotów przetwarzających na zlecenie podmiotów wykonujących działalność leczniczą danych osobowych pozyskanych w celu prowadzenia działalności leczniczej.

Kodeks wyłącza jednak spod stosowania jego zapisów podmioty z tzw. branży lifestyle/fitness/dietetyka, nawet jeśli przetwarzają one dane o stanie zdrowia, chyba że podmioty te przetwarzają na zlecenie podmiotów leczniczych dane osobowe pozyskane w celu prowadzenia działalności leczniczej.

Kto jest administratorem danych?

Administratorem danych jest podmiot wykonujący działalność leczniczą, który przetwarza dane w celach zdrowotnych. Co do zasady, gdyż kodeks wskazuje, że nie może być administratorem danych tych pacjentów podmiot wykonujący działalność leczniczą, jeżeli nie jest prawnie zobowiązany do prowadzenia, przechowywania i udostępniania dokumentacji medycznej i ich ochrony we własnym imieniu i na własny rachunek, a który działa na rzecz innego podmiotu wykonującego działalność leczniczą. Przykładowo, administratorem nie będzie osoba wykonująca zawód medyczny, prowadząca jednoosobową działalność gospodarczą, pozostająca w stosunku prawnym z innym PWDL, w zakresie w jakim wykonuje swoje zadania w ramach działalności leczniczej prowadzonej przez ten PWDL w miejscu pobytu pacjenta (np. praktyka lekarska wyłącznie w zakładzie leczniczym na podstawie umowy z podmiotem leczniczym prowadzącym ten zakład – z tymi podmiotami nie trzeba będzie także zawierać umowy powierzenia  przetwarzani danych).

 

Kto będzie upoważniony do przetwarzania danych w obrębie placówki medycznej?

Kodeks wskazuje na następujące podmioty:

- osoby wykonujące zawód medyczny – w zakresie niezbędnym do wykonywania zawodu, w tym w zakresie udzielania świadczeń opieki zdrowotnej, a także w zakresie potencjalnej możliwości udzielania świadczeń. W pozostałym zakresie przetwarzania danych (czyli niezwiązanych z wykonywaniem zawodu medycznego) osoba taka powinna mieć odpowiednie upoważnienie od administratora danych;

- osoby wykonujące czynności pomocnicze przy udzielaniu świadczeń zdrowotnych, utrzymaniu systemu teleinformatycznego zawierającego dokumentację medyczną oraz zapewnieniu bezpieczeństwa systemu na podstawie upoważnień administratora danych. Zakres tych danych musi być niezbędny w celu realizacji obowiązków zawodowych pracownika.

Upoważnienie do przetwarzania danych osobowych musi zawierać co najmniej:

- jednoznaczną identyfikację osoby, której jest udzielane;

- jednoznaczne określenie zakresu i celu przetwarzania danych w ramach upoważnienia;

- wskazanie okresu obowiązywania upoważnienia.

Ważne zadania dla podmiotów, którym placówki powierzą przetwarzanie danych osobowych

Zdaniem eksperta radcy prawnego Macieja Łokaja, jednostki ochrony zdrowia należą niewątpliwie do grupy podmiotów szczególnych, jeśli chodzi o zagadnienie ochrony danych osobowych. - Głównym powodem takiej sytuacji jest fakt przetwarzania wrażliwych danych osobowych jakimi są dane medyczne – mówi Maciej Łokaj. - I choć stopień, i skala tego przetwarzania, w zależności od rodzaju podmiotu może być znacząco różna (przykładowo nieporównywalnie większa ilość pacjentów w poradni specjalistycznej w zestawieniu z indywidualną praktyką lekarską), to wszystkie te podmioty łączy fakt stałego przetwarzania danych medycznych. To z kolei implikuje konieczność zastosowania środków technicznych i organizacyjnych, które będą w stanie zapewnić zdecydowanie wyższy poziom bezpieczeństwa przetwarzanych danych. Z tego też punktu widzenia, traktując medyczny kodeks branżowy jako narzędzie wspierające, bardzo pozytywnie należy ocenić fakt, iż wskazuje on w sposób wyraźny prawo do jego stosowania przez wszystkie rodzaje podmiotów wykonujących działalność leczniczą.  

Łokaj dodaje, że niezwykle ważne zadanie będzie również spoczywać na podmiotach, którym placówki ochrony zdrowia powierzą przetwarzanie danych osobowych. Ekspert podkreśla, że RODO w kilku regulacjach wskazuje na obowiązki podmiotów powierzających, ale w ujęciu ściśle przedmiotowym. - To oznacza uzależnienie wymogu stosowania się przez te podmioty do określonych regulacji od tego czy przetwarzają one dane wrażliwe (art. 9 RODO) – podkreśla radca prawny. - Dotyczy to chociażby obowiązku posiadania dokumentów rejestru czynności przetwarzania czy oceny skutków dla ochrony danych. Będzie się to także przekładać na możliwość stosowania przez te podmioty medycznego kodeksu branżowego. Przykładowo, z całą pewnością kodeks branżowy będą mogły stosować medyczni podwykonawcy PWDL, czy w jakimś uzupełniającym stopniu firmy zajmujące się serwisem urządzeń medycznych. Jedni i drudzy bowiem, w toku wykonywanych czynności, będą pracować bezpośrednio na danych medycznych pacjentów. Regulacje kodeksu branżowego nie obejmą chociażby firm zajmujących się rekrutacją pracowników czy biur księgowych.

Łokaj dodaje, że od podmiotów przetwarzających należy jasno odróżnić podmioty/osoby upoważnione do przetwarzania danych osobowych. - Tu twórcy kodeksu słusznie wskazali na pracowników czy osoby samozatrudnione wyłącznie w ramach danego PWDL jako tych, którzy będą upoważniani przez administratora danych do przetwarzania danych osobowych – podkreśla Łokaj. - Powstaje zasadnicze pytanie, czy z dniem 25 maja 2018 roku dotychczasowe upoważnienia stracą ważność? W mojej ocenie absolutnie nie. Będą obowiązywały dalej. Dodatkowo uważam, że pomimo zmiany przepisów PWDL winny nadal prowadzić ewidencję osób upoważnionych. Obowiązek prowadzenia ewidencji wynika z obecnie obowiązującej ustawy o ochronie danych osobowych z 1997 roku. Sądzę także, że pomimo zmiany przepisów, pomocnicze dalsze stosowanie regulacji dotyczących zawartości ewidencji (art. 39 obecnej ustawy) będzie nadal możliwe.