Pod koniec ubiegłego roku Prezes Urzędu Ochrony Dany Osobowych zatwierdził „Kodeks postępowania dotyczącego ochrony danych osobowych przetwarzanych w małych placówkach medycznych” opracowany przez Federację Związków Pracodawców Ochrony Zdrowia Porozumienie Zielonogórskie.  Jest to pierwszy kodeks postępowania jaki został zatwierdzony w Polsce, po blisko czteroletnich pracach.  Czym zatem są kodeksy postępowania i co wynika z kodeksu dedykowanego dla małych placówek medycznych?

Kodeksy postępowania – co to takiego i czy warto je stosować?

Same kodeksy nie są novum na tle RODO. Uchylona przez RODO Dyrektywa UE 95/46 przewidywała możliwość ich wydawania. Niemniej jednak kodeksy nie były powszechnie stosowanym instrumentem w państwach członkowskich. Obecnie na tle RODO tendencja jeszcze co prawda nie zmieniła się, jednak zatwierdzenie pierwszego w Polsce kodeksu to krok w dobrym kierunku. 😊

RODO nie definiuje wprost kodeksów postępowania. Z treści art. 40 ust. 1 RODO wnioskować należy, że kodeksy postępowania (ang. codes of conduct) to dokumenty, które mają pomóc we właściwym stosowaniu rozporządzenia. Nie stanowią one aktów prawa powszechnie obowiązującego. Mają natomiast charakter dobrowolnych zobowiązań podmiotów, które przyjmują dany kodeks postępowania.

W literaturze prawa wskazuje się, iż powszechnie kodeksy definiowane są jako opracowania stanowiące zestaw wytycznych i wyjaśnień doprecyzowujących przepisy z uwzględnieniem specyfiki danego sektora .[1]

Kodeksy postępowania mogą i powinny odgrywać istotną rolę w zapewnieniu odpowiedniego poziomu ochrony danych. Co istotne, kodeksy powinny w swoim mechanizmie pozwalać na uchwycenie specyfiki przetwarzania (w szczególności wykorzystywania) danych w różnych sektorach gospodarki. Ponadto, jest to mechanizm precyzujący, uszczegóławiający i konkretyzujący ogólne normy wynikające z przepisów RODO.  

Stosowanie kodeksu postępowania może być korzystne dla wszystkich podmiotów biorących udział w procesie wykorzystywania i wykonywania innych czynności na danych danych osobowych, zarówno dla administratorów, jak i podmiotów przetwarzających.  Mogą one bowiem stworzyć możliwość ukształtowania rozwiązań z zakresu ochrony danych na wysokim i spójnym dla danej branży poziomie. Kodeksy mają mieć także wpływ na potwierdzanie faktu spełnienia określonych wymogów prawnych, a także uznawane są ponadto jako jeden z mechanizmów ochrony danych. Przykładowo:

• art. 24 ust. 3 RODO wskazuje, że, stosowanie zatwierdzonych kodeksów postępowania może być wykorzystane jako element dla stwierdzenia przestrzegania przez administratora ciążących na nim obowiązków;
• wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi rozporządzenia i chroniło prawa osób, których dane dotyczą, podmiot przetwarzający może wykazać między innymi poprzez stosowanie zatwierdzonego kodeksu postępowania. (art. 28 ust. 5 RODO).

Nie jest to jednak mechanizm obowiązkowy. Prawodawca unijny zobowiązał poszczególne państwa członkowskie UE, organy nadzorcze, Europejską Radę Ochrony Danych oraz Komisję Europejską do tego, by zachęcały do sporządzania kodeksów postępowania. Czy warto?  W mojej ocenie tak, bowiem podmioty, które będą stosowały zatwierdzony dla swojej branży kodeks mogą mieć gwarancję:

• prawidłowości używania określonych rozwiązań zatwierdzonych przez organ nadzoru;
• mogą liczyć na nadzór nad procesami przetwarzania danych osobowych ze strony niezależnego podmiotu monitorującego ten kodeks;
• organ nadzorczy rozważając nałożenie kary na dany podmiot musi brać pod uwagę, czy podmiot kontrolowany prawidłowo stosuje zatwierdzony kodeks postępowania.

Czemu przy ogólnej pozytywniej ocenie narzędzia, jakim jest kodeks postępowania obecnie zatwierdzono tylko jeden? Być może wpływ na to ma brak obowiązku ich przyjmowania. Cegiełkę do tego dokłada także UODO, bowiem proces zatwierdzenia kodeksu jest stosunkowo długi. Przedłużający się proces zatwierdzenia nie jest bolączką jedynie dla polskiego organu nadzorczego, przykładowo francuski organ zatwierdził obecnie jeden kodeks, a hiszpański dwa.

Pierwszy zatwierdzony w Polsce kodeks postępowania.

Można śmiało powiedzieć, że to historyczny dokument. „Kodeks postępowania dotyczącego ochrony danych osobowych przetwarzanych w małych placówkach medycznych”, czyli pierwszy zatwierdzony kodeksem postępowania  został opracowany przez Federację Związków Pracodawców Ochrony Zdrowia Porozumienie Zielonogórskie. Porusza on ważne kwestie dla małych podmiotów medycznych, między innymi w zakresie tego:

• jakie dane osobowe przetwarza mała placówka medyczna i kto jest administratorem a kto podmiotem przetwarzającym w procesie przetwarzania danych;
• kiedy przepis prawa stanowi podstawę przetwarzania dla małej placówki medycznej;
• jakie procedury należy opracować na potrzeby zbierania danych;
• w jakiej formie należy przetwarzać dane osobowe;
• w jakich warunkach powinna być udzielona legalna zgoda na wykorzystanie danych;
• jakie środki techniczne i organizacyjne powinna wdrożyć mała placówka medyczna.

Tym samym małe podmioty medyczne, które przystąpią do zatwierdzonego kodeksu, będą w stanie zagwarantować spójność i prawidłowość przy przetwarzaniu danych szczególnej kategorii, jakimi są dane medyczne.

Pierwszy, ale czy ostatni?

Mamy nadzieję, że nie jest to ostatni zatwierdzony kodeks. Wskazywać na to mogą między innymi prowadzone prace nad zatwierdzeniem innych takich aktów. Informacja w zakresie prowadzonych obecnie postępowań zatwierdzających znajdziecie na stronie UODO[2]

[1] U. Góral, P. Makowski [w:] RODO. Ogólne rozporządzenie o ochronie danych. Komentarz, red. E. Bielak-Jomaa, Warszawa 2018.

[2] https://uodo.gov.pl/pl/426/1109