W dniu 13 listopada 2018 r. do Prezesa Urzędu Ochrony Danych Osobowych wpłynął wniosek dotyczący przyjęcia projektu kodeksu postępowania dla sektora ochrony zdrowia. Branża medyczna z niecierpliwością czekała na finał prac związanych z jego opracowywaniem. Kodeks miał powstać już w maju 2018 r. Wielu medyków liczyło, że pomoże im wdrożyć Rodo. Niestety, mimo wstępnych deklaracji, liczne uwagi i kwestie sporne wydłużyły czas opracowywania dokumentu.
Po co kodeks?
Kodeks branżowy ma ułatwić interpretację Rodo, wyjaśnić zagadnienia sporne i doprecyzować tzw. klauzule abstrakcyjne. Stanowi zbiór zasad pozostających w zgodzie zarówno z unijnym rozporządzeniem, jaki i regulacjami krajowymi. Przestrzeganie zawartych w nim reguł ma zapewnić adekwatny poziom ochrony danych osób fizycznych.
Dla wielu placówek dostosowanie się do Rodo nie było (lub nadal nie jest) łatwym zadaniem. Dlaczego? Przede wszystkim z powodu trudności w interpelacji przepisów. Rozporządzenie tworzy pewne ramy prawne, stawia wymagania, ale nie tworzy zamkniętego katalogu obowiązków, których wypełnienie zagwarantuje bezpieczeństwo danych. Problematyczne bywa również zestawienie Rodo z innymi aktami prawnymi. Na przykład z kodeksem pracy, ustawą o prawach pacjenta i Rzeczniku Praw Pacjenta czy rozporządzeniem w sprawie rodzajów, zakresu i wzorów dokumentacji medycznej. Trudnością dla medyków jest również wypełnianie obowiązków z Rodo przy równoległym zapewnieniu pacjentom właściwego poziomu ochrony ich życia i zdrowia.
W związku z powyższym, powstało wiele mitów i nadinterpretacji. Zdejmowano z drzwi gabinetów tabliczki z nazwiskami lekarzy, nadawano pacjentom pseudonimy i odmawiano udzielania informacji o stanie zdrowia. Dochodziło i nadal dochodzi do absurdalnych sytuacji. Rodo bywa wykorzystywane jako „tarcza obronna” w realizacji uprawnień pacjentów, nadal niepotrzebnie lub na zapas pozyskuje się zgody na przetwarzanie ich danych. Podobne anomalie występują także po stronie pacjentów. Niektórzy domagają się udzielenia świadczenia zdrowotnego bez wykorzystywania danych osobowych lub odmawiają udziału w weryfikacji ich tożsamości.
Kodeks postępowania jako zbiór wskazówek postępowania jest więc dokumentem jak najbardziej pożądanym.
Kto może stosować kodeks?
W przedstawionym Prezesowi UODO projekcie jako kryterium odbiorców wskazano wszystkie podmioty wykonujące działalność leczniczą bez względu na formalno-prawną formę. Zatem stosować kodeks mogą zarówno szpitale i kliniki, jak również indywidualne praktyki i gabinety. W tym miejscu zaznaczę tylko, że wyłączeniem objęto tzw. podmioty z branży lifestyle, fitness i dietetycznej (nawet jeśli przetwarzają dane o stanie zdrowia).
Co znajduje się w kodeksie?
W projekcie kodeksu znajdziemy między innymi:
- podstawowe zasady przetwarzania danych pacjentów, w tym doprecyzowanie kiedy konieczne jest pozyskanie zgody pacjenta, a kiedy nie;
- zdefiniowanie pojęcia administratora danych osobowych pacjentów;
- określenie kto może mieć dostęp do danych pacjentów;
- wyjaśnienie zasad udostępniania i powierzania danych osobowych pacjentów;
- instrukcje dotyczące weryfikacji tożsamości pacjentów i wypełniania obowiązków informacyjnych;
- zasady dotyczące realizacji praw pacjentów;
- wskazówki dotyczące zapewnienia bezpieczeństwa danych osobowych.
Ponadto, w treści przygotowanego dokumentu znajdziemy wiele cennych uwag dotyczących identyfikacji procesów przetwarzania czy przykładowych rozwiązań.
Projekt kodeksu jest dostępny pod następującym adresem www: http://www.rodowzdrowiu.pl/
Status przestrzegającego kodeks
Pozyskanie statusu podmiotu przestrzegającego kodeks stanie się możliwe, gdy dokument zostanie zaakceptowany przez Prezesa UODO. W tym celu niezbędne będzie poddanie się przez podmiot audytowi i uzyskanie pozytywnej oceny. Wiąże się to z koniecznością poniesienia opłaty, która ma być wykorzystywana w celu pokrycia kosztów administracyjnych oraz promowania kodeksu i przestrzegania ochrony danych. Przy czym opłata ta za rok nie może przekroczyć przeciętnego miesięcznego wynagrodzenia (wg GUS).
Podsumowanie
Projekt kodeksu branżowego może być pewnym „drogowskazem” dla branży medycznej jak stosować Rodo. Podmiotom, które przystąpią do jego stosowania może posłużyć jako element potwierdzający stosowanie zasad przestrzegania ochrony danych osobowych (zarówno względem pacjentów, jak i w przypadku ewentualnej kontroli UODO). Natomiast dla tych, którzy nie zdecydują się na pozyskanie statusu podmiotu przestrzegającego kodeks z pewnością będzie źródłem cennych informacji i rekomendacji.