Pozytywna opinia Prezesa UODO dwóch projektów kodeksów postępowania RODO dla sektora zdrowia

Zdaniem UODO przedstawione przez Federację Porozumienie Zielonogórskie oraz Polską Federację Szpitali projekty Kodeksów postępowania są zgodne z RODO i stanowią odpowiednie zabezpieczenia w zakresie ochrony danych przewidziane w art. 40 ust. 5 RODO.

Organ nadzorczy podkreślił, że istnieje potrzeba społeczna, którą Kodeksy zaspokajają. Jest nią ochrona, na wysokim poziomie, danych osobowych pacjentów i innych osób w placówkach służby zdrowia. Mimo, że ochrona danych osobowych jest regulowana w Polsce od ponad 20-tu lat to z chwilą rozpoczęcia stosowania RODO zmienił powszechne podejście do ochrony danych nie tylko ze strony administratorów, ale w znacznej mierze ze strony osób, których dane dotyczą - stały się one bardziej świadome przysługujących im praw. Z pewnością postanowienia Kodeksów pomogą nie tylko podmiotom medycznym wypełniać wymogi RODO, ale też upowszechnią wiedzę o ochronie danych wśród pacjentów.

„Kodeks postępowania dotyczącego ochrony danych osobowych przetwarzanych w małych placówkach medycznych”

W opinii UODO, Kodeks spełnia warunki dopuszczalności projektu kodeksu Wytycznych 1/2019. Ponadto stwierdził, że w Kodeksie zapewniono wystarczające zabezpieczenia o których mowa w ww. wytycznych. Za takie zabezpieczenia należy uznać: wskazanie zakresu danych, które mogą lub nie mogą przetwarzać członkowie Kodeksu, wskazanie procedur związanych ze zbieraniem danych, szczegółowe określenie czasu retencji danych, wskazanie zabezpieczeń przy przechowywaniu dokumentacji papierowej, przykłady zarządzania dokumentacją, szczegółowe i konkretne pomoce do dokonania analizy ryzyka w placówce medycznej.

„Kodeks postepowania dla sektora ochrony zdrowia”

Kodeks ten spełnia warunki dopuszczalności projektu kodeksu (pkt. 20-26 i 28-30 i częściowo p. 27 – w zakresie określenia mechanizmów umożliwiających podmiotowi monitorującemu wykonywanie jego zadań zgodnie z art. 41 RODO) Wytycznych 1/2019. Ponadto Kodeks spełnia kryteria wyznaczone w pkt. 32-39 i 41 Wytycznych 1/2019. Należą do nich m.in.: zaspokajanie określonej potrzeby ustanowienia kodeksu; ułatwienie skutecznego stosowania RODO; doprecyzowanie stosowania RODO; zapewnienie wystarczających zabezpieczeń.

Ochrona danych osobowych pacjentów

Poprzez szereg szczegółowych rozwiązań przyjętych w Kodeksach umożliwiają one doprecyzowanie stosowania RODO. Kodeks Porozumienia Zielonogórskiego uwzględnia materiały przygotowane przez Rzecznika Praw Pacjenta dotyczące udostępniania dokumentacji medycznej, orzeczenia sądów oraz wytyczne EROD. Natomiast ten opracowany przez Polską Federację Szpitali uwzględnia orzeczenia sądów, wytyczne EROD, wskazuje szczegółowe procedury, które można stosować przy przeprowadzaniu analizy ryzyka. Kodeksy niewątpliwie zapewniają wartość dodaną, o której mowa w Wytycznych 1/2019.

Postanowienia zawarte w Kodeksach opisują najczęstsze przypadki przetwarzania danych w placówkach medycznych. Odwołano się w nich do przepisów z zakresu prawa medycznego w zakresie, w jakim powiązane są one z zagadnieniami ochrony danych osobowych. Kompleksowo opisano problemy stosowania monitoringu wizyjnego w jednostkach medycznych czy instytucję teleporady. Zawarto też szereg tabel, wykresów, porad praktycznych, przykładów czy załączniki zawierające praktyczne wzory i przykładowe procedury.

Wymogi akredytacji podmiotu monitorującego kodeksy postępowania

W celu uzyskania akredytacji podmioty, które chcą zostać podmiotami monitorującymi muszą wystąpić do Prezesa UODO. Wymogi akredytacji są dostępne na stronie internetowej Urzędu pod adresem: https://uodo.gov.pl/pl/138/1861.

Urząd podkreśla, że do chwili zatwierdzenia projektu kodeksu nie wywołuje on skutków, jakie wiążą się z zatwierdzonymi kodeksami. O skutkach tych mowa w p. 18 Wytycznych 1/2019, gdzie stwierdzono, że „stosowanie zatwierdzonego kodeksu postępowania będzie również czynnikiem branym pod uwagę przez organy nadzorcze przy ocenie konkretnych cech przetwarzania danych, takich jak aspekty bezpieczeństwa[1], przy ocenie skutków operacji przetwarzania w ramach oceny skutków dla ochrony danych[2]lub przy nakładaniu administracyjnej kary pieniężnej[3]. W przypadku naruszenia jednego z przepisów rozporządzenia przestrzeganie zatwierdzonego kodeksu postępowania może stanowić wskaźnik tego, w jakim stopniu należy zainterweniować za pomocą skutecznej, proporcjonalnej, odstraszającej administracyjnej kary pieniężnej lub innego środka naprawczego stosowanego przez organ nadzorczy[4].

Poza możliwością wystąpienia o akredytację podmiotu monitorującego, niniejsze opinie służą także podmiotom zainteresowanym przestrzeganiem postanowień kodeksów, które zostały zaakceptowane przez Prezesa Urzędu. Podmioty medyczne, chcące zapewnić pacjentom wysoki poziom ochrony ich danych osiągnięty w projekcie kodeksu przygotowanym przez Polską Federację Szpitali lub też w projekcie kodeksu Porozumienia Zielonogórskiego, mogą rozpocząć dostosowywanie do ich postanowień. Po ewentualnej akredytacji do konkretnego kodeksu podmiot monitorujący będzie mógł rozpocząć procedurę oceny wstępnej kandydatów na członków tego kodeksu. Do tego czasu powoływanie się na postanowienia opiniowanych kodeksów w relacjach z osobami, których dane dotyczą, uczestnikami procesów przetwarzania i organem ds. ochrony danych jest bezskuteczne. Dopiero zatwierdzenie kodeksu i umieszczenie go w publicznym rejestrze prowadzonym przez Prezesa Urzędu na stronie UODO da taką możliwość.

Źródło: https://uodo.gov.pl/pl/138/1923





 

Przetestuj System Legalis

 
Zadzwoń:
22 311 22 22
Koszt połączenia wg taryfy operatora.
lub zostaw swoje dane, a Doradca zdalnie
zbada Twoje potrzeby i uruchomi dostęp:

W polu numeru telefonu należy stosować wyłącznie cyfry (min. 9).


Wyślij

* Pola wymagane

Zasady przetwarzania danych osobowych: Administratorem danych osobowych jest Wydawnictwo C.H.Beck sp. z o.o., Warszawa, ul. Bonifraterska 17, kontakt: daneosobowe[at]beck.pl. Dane przetwarzamy w celu marketingu własnych produktów i usług, w celach wskazanych w treści zgód, jeśli były wyrażane, w celu realizacji obowiązków prawnych, oraz w celach statystycznych. W sytuacjach przewidzianych prawem, przysługują Ci prawa do: dostępu do swoich danych, otrzymania ich kopii, sprostowania, usunięcia, ograniczenia przetwarzania, przenoszenia, cofnięcia zgody oraz wniesienia sprzeciwu wobec przetwarzania danych. Pełne informacje w Polityce prywatności.


Wydawnictwo C.H.Beck
ul. Bonifraterska 17
00-203 Warszawa
Tel: 22 311 22 22
E-mail: legalis@beck.pl
NIP: 522-010-50-28, KRS: 0000155734
Sąd Rejonowy dla miasta stołecznego Warszawy
w Warszawie Kapitał Spółki: 88 000 zł

Polityka prywatności