Placówki medyczne na terenie całej Unii Europejskiej od 25 maja 2018 roku będą zobowiązane do stosowania nowego unijnego rozporządzenia dotyczącego ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i swobodnego przepływu takich danych (RODO). Czy tworzenie kodeksu to obowiązek wynikający z RODO?
Nie jest to obowiązek, ale możliwość. W art. 40 rozporządzenia państwa członkowskie, organy nadzorcze, Europejska Rada Ochrony Danych oraz Komisja zachęcają do sporządzania kodeksów postępowania mających pomóc we właściwym stosowaniu rozporządzenia - z uwzględnieniem specyfiki różnych sektorów dokonujących przetwarzania oraz szczególnych potrzeb mikroprzedsiębiorstw oraz małych i średnich przedsiębiorstw.
Z artykułu tego wynika, że zrzeszenia i inne podmioty reprezentujące określone kategorie administratorów lub podmioty przetwarzające mogą opracowywać lub zmieniać kodeksy postępowania lub rozszerzać ich zakres, aby doprecyzować zastosowanie rozporządzenia, między innymi w odniesieniu do rzetelnego i przejrzystego przetwarzania, prawnie uzasadnionych interesów realizowanych przez administratorów w określonych kontekstach, zbierania i pseudonimizacji danych osobowych, informowania opinii publicznej i osób, których dane dotyczą, wykonywania przez osoby, których dane dotyczą, przysługujących im praw a także postępowań pozasądowych oraz innych trybów rozstrzygania sporów w celu rozstrzygania sporów między administratorami a osobami, których dane dotyczą.
Inicjatorem i partnerem merytorycznym prac nad kodeksem jest kancelaria DZP. Kto jeszcze bierze udział w jego tworzeniu?
Członkami zespołu tworzącego kodeks są także przedstawiciele Polskiej Federacji Szpitali, Fundacji Telemedyczna Grupa Robocza, Pracodawców Medycyny Prywatnej, Konfederacji Lewiatan Technologiczny, Polskiej Izby Informatyki i Telekomunikacji oraz Federacji Związków Pracodawców Ochrony Zdrowia Porozumienie Zielonogórskie. Inicjatywa ta uzyskała także poparcie Ministerstwa Zdrowia, Centrum Systemów Informatycznych Ochrony Zdrowia, Centrum Monitorowania Jakości w Ochronie Zdrowia, Naczelnej Izby Lekarskiej, Krajowej Izby Diagnostów Laboratoryjnych, Naczelnej Izby Pielęgniarek i Położnych, Krajowej Rady Fizjoterapeutów, Samorządu Województwa Wielkopolskiego oraz fundacji My Pacjenci.
Co będzie zawierał kodeks?
Kodeks ma doprecyzować przepisy RODO po to, aby ułatwić stosowanie regulacji rozporządzenia. Dotyczy to wynikających z rozporządzenia praw i obowiązków a także sposobów ich wdrażania.
Kodeks będzie się odnosił do wszystkich administratorów danych osobowych, czyli zarówno szpitali, przychodni jak i praktyk lekarskich, czy pielęgniarskich. Pośrednio będzie także dotyczył pracowników podmiotów leczniczych. Jego głównym celem będzie ograniczenie ryzyka prawnego dla administratorów danych z jednoczesną ochroną interesów pacjentów.
Doprecyzowania wymaga wiele kwestii zawartych w RODO, na przykład - kto powinien zatrudniać inspektora ochrony danych osobowych. Z rozporządzenia wynika, że obowiązek ten dotyczy podmiotów, które przetwarzają na dużą skalę dane osobowe dotyczące stanu zdrowia. Co to znaczy na dużą skalę?
Właśnie, nie zostało to dokładnie sprecyzowane. W przypadku dużych szpitali nie ma wątpliwości, natomiast jeśli szpital ma tylko jedno łóżko – to co wtedy? W kodeksie chcemy postawić wyraźną granicę i określić, kto musi zatrudnić inspektora ochrony danych osobowych, a kto nie.
Inne zagadnienie wymagające dopracowania to prawo pacjenta do bycia zapomnianym, które dotyczy tylko danych medycznych, ale placówki medyczne zbierają także dane osobowe do innych celów – na przykład marketingowych, badawczych czy szkoleniowych.
Z przepisów rozporządzenia wynika, że w przypadku dokonywania zmian w danych czy ich usunięcie trzeba poinformować wszystkie podmioty, które z tych danych korzystały, czyli na przykład inne placówki medyczne, organy ścigania itd. W praktyce byłoby to trudno do wykonania.
Na temat RODO czytaj w książce: Ochrona danych osobowych na podstawie RODO >>>
Chcemy też określić, jak placówki medyczne mają informować pacjentów o tym, że zbierają i przetwarzają dane medyczne. Kodeks będzie zawierał wzory dokumentów, między innymi takich, które będą dotyczyły takiego obowiązku, jak również sposób przekazania informacji (na przykład na stronie internetowej placówki).
Prace nad kodeksem mają się zakończyć w lutym…
Planujemy ich zakończenie do końca lutego 2018 roku, w połowie marca na konferencji w Warszawie chcemy go zaprezentować. Będzie można przedstawić jeszcze ewentualne uwagi, a podmioty zobowiązane do wprowadzania zmian w związku z RODO będą jeszcze miały czas na ich wdrożenie.
Kodeks będzie musiał także zostać zaakceptowany przez Głównego Inspektora Ochrony Danych Osobowych bądź jego następcę prawnego, nie wcześniej niż 25 maja 2018 roku.
Kto będzie mógł korzystać z kodeksu?
Wszystkie placówki, które wyraża taką chęć. Kodeks będzie publicznie dostępny.
Z art. 41 rozporządzenia wynika, że kontrolowanie przestrzegania kodeksu postępowania może być prowadzone przez wyznaczoną instytucję. Czy wiadomo, jaka to będzie instytucja?
Na razie jeszcze nie wiadomo, z przepisu wynika, że będzie to mógł być podmiot dysponujący odpowiednim poziomem wiedzy fachowej i akredytowany przez właściwy organ nadzorczy. Rozważamy powołanie niezależnego podmiotu wykonującego funkcje monitorowania.
Czy wszystkie podmioty stosujące kodeks będą monitorowane?
Monitorowanie, jak wynika z art. 41 nie dotyczy organów i podmiotów publicznych. Nie jest jeszcze jasne , jaka będzie interpretacja pojęcia podmiot publiczny w odniesieniu do podmiotów leczniczych, na przykład czy do tej kategorii należeć będą SP ZOZy.
Rozmawiała: Magdalena Okoniewska
