W grudniu 2023 r. Prezes Urzędu Ochrony Danych Osobowych zatwierdził kodeks postępowania dla sektora ochrony zdrowia. Nowy kodeks postępowania RODO precyzuje reguły ochrony danych administratorów i podmiotów przetwarzających w sektorze medycznym. W odróżnieniu od kodeksu RODO opracowanego przez Porozumienie Zielonogórskie jest on kierowany przede wszystkim do większych placówek typu szpitale. Sprawdzamy, jakie rozwiązania przewidziano w drugim zatwierdzonym przez Prezesa UODO kodeksie branżowym w Polsce.
Kodeks postępowania RODO dla sektora ochrony zdrowia przeznaczony jest dla podmiotów wykonujących działalność leczniczą niezależnie od systemu finansowania - zarówno publicznych jak i niepublicznych. Jak już wskazano, założeniem twórców kodeksu jest wsparcie większych placówek medycznych typu szpitale. Tym właśnie różni się on od Kodeksu postępowania dotyczącego ochrony danych osobowych przetwarzanych w placówkach medycznych opracowanego przez federację związków pracodawców ochrony zdrowia Porozumienie Zielonogórskie. Aczkolwiek, jak wskazano w treści kodeksu, ma on służyć placówkom medycznym, ułatwiając im stosowanie RODO, bez względu na:
formę prawną prowadzenia działalności;
strukturę właścicielską i podmiot tworzący;
uczestnictwo w systemie opieki zdrowotnej finansowanym ze środków publicznych;
zakres i rodzaj prowadzonej działalności leczniczej.
Oczywiście przystąpienie do tego kodeksu jest dobrowolne. Każdy podmiot prowadzący działalność leczniczą może więc zgłosić akces. Kodeks nie jest natomiast przewidziany dla innych podmiotów z takich branż jak lifestyle, fitness czy dietetyka.
Podmiotem uprawnionym do monitorowania przestrzegania nowego kodeksu jest KPMG Advisory spółka z ograniczoną odpowiedzialnością spółka komandytowa. Firma ta została wpisana przez organ nadzorczy do Wykazu podmiotów akredytowanych.
Nowy kodeks ma doprecyzować zastosowanie rozwiązań przewidzianych w przepisach RODO w kontekście procesów przetwarzania danych osobowych przez podmioty wykonujące działalność leczniczą, a mianowicie:
zasady przetwarzania danych,
bezpieczeństwo przetwarzania danych,
prawa pacjentów,
procedurę monitorowania przyjęcia i stosowania kodeksu zgodnie z artykułem 40 RODO.
Jedną z kluczowych kwestii ujętych w kodeksie jest wybór właściwej podstawy prawna przetwarzania danych. Jest to szczególnie istotnie w sektorze medycznym z uwagi na przetwarzanie informacji o zdrowiu, a więc danych szczególnej kategorii (wrażliwych). Wszak przetwarzanie danych przez podmioty medyczne, zwłaszcza w przypadku pominięcia zgody pacjenta, musi odbywać się z uwzględnieniem licznych wymgów. Zaakcentowano w szczególności konieczność przestrzegania zasady adekwatności, stosowności oraz ograniczonego celu przetwarzania danych.
Każdy pacjent ma prawo do wyrażenia zgody na udzielenie określonych świadczeń zdrowotnych lub odmowy takiej zgody. Czym innym jest natomiast zgoda na przetwarzanie danych osobowych, która generalnie przy wykonywaniu świadczeń leczniczych nie jest wymagana. Jak wskazano w kodeksie postępowania, wśród licznych podstaw prawnych przetwarzania danych osobowych przez podmioty wykonujące działalność leczniczą należy zwrócić uwagę na art. 9 ust 2 lit. h RODO. Zgodnie z tym przepisem przetwarzanie danych osobowych dotyczących stanu zdrowia odbywa się bez zgody osoby fizycznej, której dane dotyczą, gdy przetwarzanie jest niezbędne do celów:
profilaktyki zdrowotnej,
medycyny pracy,
oceny zdolności pracownika do pracy,
diagnozy medycznej,
zapewnienia opieki zdrowotnej lub zabezpieczenia społecznego,
leczenia lub zarządzania systemami i usługami opieki zdrowotnej lub zabezpieczenia społecznego.
Przeczytaj także: Wzór oświadczenia o zgodzie na przetwarzanie danych osobowych szczególnej kategorii – jak wymogi musi spełnić
Przetwarzanie danych pacjentach w "nadrzędnym celu"
W kodeksie postępowania RODO doprecyzowano cele przetwarzania danych bez zgody pacjenta. Wśród takich nadrzędnych celów wymieniono m.in.:
ochronę innych praw (niż prawo do ochrony danych osobowych) podstawowych danej osoby fizycznej;
profilaktykę zdrowotna, która ma na celu m.in. prewencję przed groźnymi chorobami, zwłaszcza zakaźnymi;
potrzebę wykonania diagnozy i podjęcia leczenia a zatem – prowadzenie dokumentacji medycznej;
zapewnienie sprawnego zarządzania systemami i usługami opieki zdrowotnej jak np. proces rejestracji czy weryfikacja uprawnień do uzyskania świadczeń opieki zdrowotnej;
zapewnienie zabezpieczenia społecznego oraz zarządzania systemami i usługami zabezpieczenia społecznego, np. przetwarzanie danych w celu wystawienia zaświadczeń lekarskich.
Wiemy już że uzyskiwanie zgody na przetwarzanie danych osobowych podczas udzielania świadczeń medycznych nie jest co do zasady wymagane. Niemniej jednak dotyczy to wyłącznie usług ściśle powiązanych ze świadczeniem opieki zdrowotnej. Jak podkreślono w kodeksie, placówka medyczna będzie jednak musiała uzyskać zgodę na przetwarzanie danych osobowych w celach:
marketingowych podmiotu wykonującego działalność leczniczą;
naukowych;
badań klinicznych, o ile nie jest to udzielanie świadczeń opieki zdrowotnej dla uczestnika badań klinicznych;
związanych ze zautomatyzowanym podejmowaniem decyzji w sprawach indywidualnych (czyli profilowaniem).
W kodeksie zalecono prowadzenie ewidencji zgód przetwarzania danych. Nie jest to prawny obowiązek, lecz dobra praktyka.
W kodeksie postępowania dla sektora medycznego wskazano zwięzłe zestawienie kluczowych obszarów ochrony danych osobowych, które placówki medyczne powinny objąć szczególną uwagę. Zaproponowano też narzędzia, których posiadanie przyczynia się do bezpiecznego przetwarzania danych osobowych. Podmioty medyczne powinny zwrócić uwagę przede wszystkim na:
skalę przetwarzania danych szczególnej kategorii, zwłaszcza przez osoby praktykujące i wykonujące zawód medyczny na zasadach jednoosobowej działalności gospodarczej jako indywidualna praktyka, np. lekarska, pielęgniarska itp.
powołanie inspektora ochrony danych zgodnie z przepisami prawa unijnego oraz krajowego, w tym z zachowaniem wymogu, że funkcji IOD nie powinna sprawować osoba odpowiedzialna za określenie sposobów i celów przetwarzania danych (sytuacja ta dotyczy głównie stanowisk kierowniczych, dyrektorskich);
bezpieczeństwo przetwarzania danych, rozumiane jako konieczność wdrożenia odpowiednich środków technicznych i organizacyjnych adekwatnych do stopnia ryzyka naruszenia praw i wolności osób fizycznych;
ocenę skutków dla ochrony danych (DPIA) zgodnie z art. 35 RODO jako narzędzie ułatwiające administratorowi stosowanie i przestrzeganie przepisów o ochronie danych;
prawidłowe powierzenie przetwarzania danych osobowych (w tym danych z dokumentacji medycznej) wyłącznie podmiotom zapewniającym wdrożenie odpowiednich środków technicznych i organizacyjnych zapewniających prawidłową ochronę danych osobowych.
W kodeksie wyjaśniono też kwestie realizacji praw pacjentów w zakresie ochrony danych osobowych. Przede wszystkim zwrócono uwagę na:
możliwość zapoznania się z zasadami przetwarzania danych osobowych w jego sprawie (art. 13 RODO);
prawo dostępu do swoich danych osobowych oraz możliwość realizacji uprawnień przyznanych na mocy przepisów z art. 15 RODO – art. 23 RODO.
Prawo „do bycia zapomnianym” nie przysługuje, gdy dotyczy danych osobowych przetwarzanych na podstawie art. 9 ust. 2 lit. h RODO.
Przechowywanie danych w chmurze polega na zapisywaniu i zarządzaniu danymi na zdalnych serwerach, które są dostępne przez internet. Zamiast przechowywać pliki na lokalnych dyskach twardych lub serwerach, użytkownicy mogą korzystać z infrastruktury dostarczanej przez dostawców usług chmurowych. Jest to wygodne i efektywne rozwiązanie, które zapewnia dostęp do danych z dowolnego miejsca, elastyczność, skalowalność oraz wysoki poziom bezpieczeństwa i niezawodności.
© Portal Poradyodo.pl