15 lutego 2021 r. Prezes UODO pozytywnie zaopiniował projekt „Kodeksu postępowania dotyczącego ochrony danych osobowych przetwarzanych w małych placówkach medycznych” opracowany przez Federację Związków Pracodawców Ochrony Zdrowia „Porozumienie Zielonogórskie” oraz projekt „Kodeksu postępowania dla sektora ochrony zdrowia” opracowany przez Polską Federację Szpitali, z zastrzeżeniem kwestii monitorowania podmiotów publicznych, która musi zostać doprecyzowana w obu projektach. Informacja została podana do publicznej wiadomości 23 lutego 2021 r..

Dwa Kodeksy dla ochrony zdrowia

Przetwarzanie danych przez podmioty wykonujące działalność leczniczą związane jest w głównej mierze z przetwarzaniem danych szczególnych kategorii- dotyczących zdrowia pacjentów. Dlatego też kodeks postępowania dla tego sektora od samego początku obowiązywania RODO był nie tylko wyczekiwany ale i niezwykle potrzebny. Kodeksy te z pewnością rozwieją wątpliwości podmiotów wykonujących działalność leczniczą w zakresie stosowanych zabezpieczeń, zakresu przetwarzanych danych czy oceny ich roli w procesie przetwarzania ( jako administratora czy podmiotu przetwarzającego).

Prezes UODO 15 lutego 2021 r. wydał pozytywną opinię w zakresie dwóch kodeksów postępowania dotyczących ochrony zdrowia:

• „Kodeks postępowania dla sektora ochrony zdrowia” opracowany przez Polską Federację Szpitali – http://rodowzdrowiu.pl/

• „Kodeks postępowania dotyczącego ochrony danych osobowych przetwarzanych w małych placówkach medycznych” opracowany przez Federację Związków Pracodawców Ochrony Zdrowia „Porozumienie Zielonogórskie”- https://uodo.gov.pl/pl/426/1109

Opinię dotyczącą zatwierdzenia projektów kodeksów postępowania znajdziecie Państwo na stronie UODO: https://uodo.gov.pl/pl/138/1923

Czym są kodeksy postępowania ?

Art. 40 RODO przewiduje tworzenie kodeksów postępowania mających pomóc we właściwym stosowaniu rozporządzenia – z uwzględnieniem specyfiki różnych sektorów dokonujących przetwarzania oraz szczególnych potrzeb mikroprzedsiębiorstw oraz małych i średnich przedsiębiorstw.

Zrzeszenia i inne podmioty reprezentujące określone kategorie administratorów lub podmioty przetwarzające mogą zatem opracowywać lub zmieniać kodeksy postępowania lub rozszerzać ich zakres, aby doprecyzować zastosowanie RODO, między innymi w odniesieniu do:

• rzetelnego i przejrzystego przetwarzania;
• prawnie uzasadnionych interesów realizowanych przez administratorów w określonych kontekstach;
• zbierania danych osobowych;
• pseudonimizacji danych osobowych;
• informowania opinii publicznej i osób, których dane dotyczą;
• wykonywania przez osoby, których dane dotyczą, przysługujących im praw;
• informowania i ochrony dzieci oraz sposobu pozyskiwania zgody osoby sprawującej władzę rodzicielską lub opiekę nad dzieckiem;
• środków i procedur, o których mowa w art. 24 i 25 RODO, oraz środków zapewniających bezpieczeństwo przetwarzania;
• zgłaszania organowi nadzorczemu naruszeń ochrony danych osobowych oraz zawiadamiania o takich naruszeniach osób, których dane dotyczą;
• przekazywania danych osobowych do państw trzecich lub organizacji międzynarodowych; lub
• postępowań pozasądowych oraz innych trybów rozstrzygania sporów w celu rozstrzygania sporów między administratorami a osobami, których dane dotyczą, w zakresie przetwarzania, bez uszczerbku dla praw osób, których dane dotyczą.

Organ nadzorczy (w Polsce- Prezes Urzędu Ochrony Danych Osobowych) wydaje opinię o zgodności projektu kodeksu, zmiany lub rozszerzenia z rozporządzeniem i zatwierdza taki projekt kodeksu, zmiany lub rozszerzenia, jeżeli uzna, że stanowią one odpowiednie zabezpieczenia.

Monitorowaniem przestrzegania kodeksu postępowania może się zajmować podmiot, który dysponuje odpowiednim poziomem wiedzy fachowej w dziedzinie będącej przedmiotem kodeksu i został akredytowany w tym celu przez właściwy organ nadzorczy.

Kodeksy postępowania to nic innego jak zatwierdzony przez organ nadzorczy drogowskaz, wskazujący prawidłową drogę w przetwarzaniu danych w danym sektorze.

Obecnie czekamy na publikację oficjalnych zatwierdzonych kodeksów postępowania dla sektora medycznego w ich finalnym kształcie oraz na wyklarowanie się podmiotów certyfikujących.