Projekt kodeksu dla ochrony zdrowia z pozytywną opinią PUODO

Prezes Urzędu Ochrony Danych Osobowych pozytywnie zaopiniował projekt Kodeksu postępowania dla sektora ochrony zdrowia. Oznacza to, że podmioty wykonujące działalność leczniczą, chcące zapewnić pacjentom wysoki poziom ochrony ich danych osobowych, mogą rozpocząć dostosowywanie do jego postanowień.

PUODO, po przeprowadzeniu oceny projektu kodeksu złożonego przez Polską Federację Szpitali w zakresie zgodności z RODO, pozytywnie zaopiniował zaproponowane w nim rozwiązania dotyczące doprecyzowania zasad ochrony danych osobowych w placówkach ochrony zdrowia. Tym samym, zapisy projektu kodeksu wyznaczają już pewien uzgodniony standard, który może być przyjmowany przez wszystkie zainteresowane podmioty udzielające świadczeń zdrowotnych.
Możliwość opracowywania kodeksów postępowania wynika z samego RODO, które w art. 40 daje podstawę i zachęca do sporządzania kodeksów postępowania mających pomóc we właściwym stosowaniu regulacji chroniących dane osobowe z uwzględnieniem specyfiki różnych sektorów.

„Inicjatywa opracowania projektu kodeksu narodziła się jako odpowiedź na liczne wątpliwości i problemy interpretacyjne związane ze stosowaniem RODO, które na początku obowiązywania nowych regulacji miały podmioty lecznicze” – tłumaczy Ligia Kornowska, dyrektor zarządzająca Polskiej Federacji Szpitali. – „Potrzeba przyjęcia i stosowania kodeksu pozostaje ciągle aktualna, wyznacza on bowiem pożądany standard ochrony danych osobowych, który zapewnić ma pacjentom lepszą gwarancję poszanowania ich prywatności, a placówkom medycznym pewność w zakresie wymogów i zasad prawidłowego postępowania”.

Taka potrzebę potwierdzają również wyniki ostatniej kontroli przestrzegania RODO w polskich szpitalach przeprowadzonej przez NIK. W ponad połowie zbadanych placówek dochodziło do naruszeń ochrony danych osobowych, z których część była na tyle poważna, że konieczne było powiadomienie PUODO. NIK rekomendował przy tym niezwłoczne zakończenie działań związanych z przyjęciem kodeksu postępowania dla sektora ochrony zdrowia.

„Staraliśmy się, by postanowienia projektu kodeksu miały dla placówek medycznych jak największą wartość praktyczną” – wskazuje Paweł Kaźmierczyk, prawnik z kancelarii DZP, która od początku była zaangażowana w opracowanie dokumentu. – „Z tego względu regulacje zaproponowane w projekcie kodeksu skupiają się na najczęstszych przypadkach przetwarzania danych osobowych, w tym w szczególności wrażliwych danych o stanie zdrowia, w praktyce funkcjonowania podmiotów wykonujących działalność leczniczą. Nie tylko doprecyzowują wymogi RODO w kontekście krajowych przepisów z zakresu prawa medycznego, tłumacząc m.in. różnice w zasadach dostępu do kopii danych osobowych i dostępu do dokumentacji medycznej czy też warunków stosowania monitoringu wizyjnego, ale także zawierają propozycje wzorów dokumentów oraz przykładowe procedury. Całość napisana jest w przystępny, a jednocześnie precyzyjny sposób”.

Projekt kodeksu został stworzony w ramach prac szerokiej koalicji, składającej się m.in. z Polskiej Federacji Szpitali, kancelarii Domański Zakrzewski Palinka, Telemedycznej Grupy Roboczej, Związku Pracodawców Technologii Cyfrowych Lewiatan, Organizacji Pracodawców Medycyny Prywatnej, Polskiej Izby Informatyki i Telekomunikacji oraz Porozumienia Zielonogórskiego. Dokument był również konsultowany z licznymi interesariuszami sektora ochrony zdrowia, których postulaty zostały uwzględnione w projekcie.

Pozytywna opinia dotycząca kodeksu postępowania została wydana przez PUODO z zastrzeżeniem kwestii monitorowania podmiotów publicznych, która musi jeszcze zostać doprecyzowana. Warunkiem ostatecznego zatwierdzenia kodeksu jest bowiem uzyskanie akredytacji przez podmiot monitorujący, który będzie weryfikował, czy podmioty lecznicze, które przystąpią do stosowania kodeksu, faktycznie przestrzegają jego postanowień. Wydana przez PUODO opinia otwiera drogę do udzielania akredytacji przyszłym podmiotom monitorującym.

„Stosowanie zatwierdzonego kodeksu postępowania będzie mogło służyć wykazaniu części obowiązków wynikających z RODO” – zauważa Paweł Kaźmierczyk. – „Dotyczy to w szczególności obowiązku stosowania odpowiednich środków ochrony danych, o którym mowa w art. 24 i 32 RODO”.

Treść pozytywnie zaopiniowanego kodeksu branżowego dostępna jest do pobrania na stronie www.rodowzdrowiu.pl.