UODO zastrzega jednak konieczność doprecyzowania kwestii monitorowania podmiotów publicznych, która musi zostać doprecyzowana w obu projektach. Jednak zdaniem UODO przedstawione przez Federację Porozumienie Zielonogórskie oraz Polską Federację Szpitali projekty Kodeksów postępowania są zgodne z RODO i stanowią odpowiednie zabezpieczenia w zakresie ochrony danych przewidziane w art. 40 ust. 5 RODO.

Kodeksy społecznie potrzebne

UODO podkreśla, że istnieje potrzeba społeczna, którą Kodeksy zaspokajają. - Jest nią ochrona, na wysokim poziomie, danych osobowych pacjentów i innych osób w placówkach służby zdrowia. Mimo, że ochrona danych osobowych jest regulowana w Polsce od ponad 20-tu lat to z chwilą rozpoczęcia stosowania RODO zmienił powszechne podejście do ochrony danych nie tylko ze strony administratorów, ale w znacznej mierze ze strony osób, których dane dotyczą - stały się one bardziej świadome przysługujących im praw. Z pewnością postanowienia Kodeksów pomogą nie tylko podmiotom medycznym wypełniać wymogi RODO, ale też upowszechnią wiedzę o ochronie danych wśród pacjentów - czytamy w uzasadnieniu decyzji.

Czytaj: RODO: Osiem projektów kodeksów, ale żaden jeszcze nie zatwierdzony>>
 

Wystarczające zabezpieczenia

W opinii UODO, Kodeks postępowania dotyczącego ochrony danych osobowych przetwarzanych w małych placówkach medycznych spełnia warunki dopuszczalności projektu kodeksu Wytycznych 1/2019. Stwierdził, że w Kodeksie zapewniono wystarczające zabezpieczenia o których mowa w tych wytycznych. Za takie zabezpieczenia według UODO należy uznać:

  • wskazanie zakresu danych, które mogą lub nie mogą przetwarzać członkowie Kodeksu,
  • wskazanie procedur związanych ze zbieraniem danych, szczegółowe określenie czasu retencji danych,
  • wskazanie zabezpieczeń przy przechowywaniu dokumentacji papierowej,
  • przykłady zarządzania dokumentacją, szczegółowe i konkretne pomoce do dokonania analizy ryzyka w placówce medycznej.

 


Kodeks postepowania dla sektora ochrony zdrowia także według UODO spełnia warunki dopuszczalności projektu kodeksu (pkt. 20-26 i 28-30 i częściowo p. 27 – w zakresie określenia mechanizmów umożliwiających podmiotowi monitorującemu wykonywanie jego zadań zgodnie z art. 41 RODO) Wytycznych 1/2019. Ponadto Kodeks spełnia kryteria wyznaczone w pkt. 32-39 i 41 Wytycznych 1/2019. Należą do nich m.in.: zaspokajanie określonej potrzeby ustanowienia kodeksu; ułatwienie skutecznego stosowania RODO; doprecyzowanie stosowania RODO; zapewnienie wystarczających zabezpieczeń.

Ochrona danych osobowych pacjentów bardzo ważna

UODO podkreśla, że poprzez szereg szczegółowych rozwiązań przyjętych w Kodeksach umożliwiają one doprecyzowanie stosowania RODO. Kodeks Porozumienia Zielonogórskiego uwzględnia materiały przygotowane przez Rzecznika Praw Pacjenta dotyczące udostępniania dokumentacji medycznej, orzeczenia sądów oraz wytyczne EROD. Natomiast ten opracowany przez Polską Federację Szpitali uwzględnia orzeczenia sądów, wytyczne EROD, wskazuje szczegółowe procedury, które można stosować przy przeprowadzaniu analizy ryzyka. Kodeksy niewątpliwie zapewniają wartość dodaną, o której mowa w Wytycznych 1/2019.

UODO zwraca uwagę, że postanowienia zawarte w Kodeksach opisują najczęstsze przypadki przetwarzania danych w placówkach medycznych. Odwołano się w nich do przepisów z zakresu prawa medycznego w zakresie, w jakim powiązane są one z zagadnieniami ochrony danych osobowych. Kompleksowo opisano problemy stosowania monitoringu wizyjnego w jednostkach medycznych czy instytucję teleporady. Zawarto też szereg tabel, wykresów, porad praktycznych, przykładów czy załączniki zawierające praktyczne wzory i przykładowe procedury.

Konieczna akredytacja podmiotu monitorującego kodeksy postępowania

Ogłoszone przez UODO opinie umożliwiają wystąpienie o akredytację podmiotu monitorującego i wcześniej nie mogą być stosowane. Dopiero zatwierdzenie kodeksu i umieszczenie go w publicznym rejestrze prowadzonym przez Prezesa Urzędu na stronie UODO da taką możliwość.

Czytaj w LEX: Akredytacja podmiotów monitorujących z zakresu ochrony danych >

W celu uzyskania akredytacji podmioty, które chcą zostać podmiotami monitorującymi muszą wystąpić do Prezesa UODO. Wymogi akredytacji są dostępne na stronie internetowej Urzędu pod adresem: https://uodo.gov.pl/pl/138/1861.

Czytaj: UODO ruszy z akredytacją podmiotów monitorujących kodeksy postępowania>>
 

Urząd podkreśla, że do chwili zatwierdzenia projektu kodeksu nie wywołuje on skutków, jakie wiążą się z zatwierdzonymi kodeksami. O skutkach tych mowa w p. 18 Wytycznych 1/2019, gdzie stwierdzono, że „stosowanie zatwierdzonego kodeksu postępowania będzie również czynnikiem branym pod uwagę przez organy nadzorcze przy ocenie konkretnych cech przetwarzania danych, takich jak aspekty bezpieczeństwa, przy ocenie skutków operacji przetwarzania w ramach oceny skutków dla ochrony danych lub przy nakładaniu administracyjnej kary pieniężnej.