11 grudnia 2023 Prezes Urzędu Ochrony Danych Osobowych zatwierdził drugi kodeks branżowy dla sektora ochrony zdrowia. Jest to pierwszy w Europie dokument adresowany do podmiotów publicznych i prywatnych z sektora medycznego, który określa środki pozwalające na zapewnienie adekwatnego poziomu ochrony danych osobowych pacjentów.
Kodeks kierowany jest do wszystkich podmiotów wykonujących działalność leczniczą, w tym publicznych i niepublicznych podmiotów leczniczych oraz lekarzy, pielęgniarek, położnych lub fizjoterapeutów wykonujących zawód w ramach indywidualnych bądź grupowych praktyk zawodowych. Wyznacza on minimalne wymogi związane z zapewnieniem przez te podmioty ochrony danych osobowych w zgodzie z aktualnym krajowym ustawodawstwem prawnomedycznym i zarówno dla Administratorów, jak i Podmiotów przetwarzających stanowi narzędzie pozwalające na realizację zasad przetwarzania danych osobowych, w tym w szczególności tzw. zasady rozliczalności.
Zaproponowane w kodeksie wytyczne obejmują przykłady minimalnych zabezpieczeń organizacyjnych i technicznych, jakie podmiot wykonujący działalność leczniczą powinien przyjąć. Autorzy kodeksu zwrócili uwagę na takie rozwiązania jak:
- ustrukturyzowanie i oddzielenie procesów i celów przetwarzania danych dla celów medycznych, badawczych bądź marketingowych,
- ograniczenie dostępu do danych medycznych,
- zasady udostępniania danych medycznych innym podmiotom leczniczym,
- zasady weryfikacji tożsamości pacjenta lub osoby przez niego upoważnionej m.in. w celu udostepnienia dokumentacji medycznej,
- przetwarzanie danych pacjentów w stanach nagłych,
- zasady instalacji monitoringu na terenie placówki medycznej.
Zatwierdzony przez PUODO dokument kładzie również nacisk na zasadę budowania procesu ochrony danych osobowych już w fazie projektowania przetwarzania (tzw. privacy by design) i definiuje wytyczne w celu przeprowadzenia analizy ryzyka i następnie oceny skutków przetwarzania. Ponadto w załączniku do kodeksu wskazano przykładowe rozwiązania zapewniające:
- zachowanie anonimowości danych pacjentów przy rejestracji lub w momencie zaproszenia pacjenta do gabinetu lekarskiego lub w ramach komunikacji z pacjentów na wieloosobowych salach chorych.
- zachowanie bezpieczeństwa w ramach przekazywania informacji o stanie zdrowia pacjenta w rozmowach telefonicznych
- zachowanie bezpieczeństwa stosowanych w placówce systemów IT.
Wdrożenie zasad ochrony danych osobowych wynikających z kodeksu będzie stanowiło gwarancję posiadania przez podmiot wykonujący działalność leczniczą odpowiedniego poziomu bezpieczeństwa danych.
Podmiotem monitorującym powołanym do celu monitorowania przestrzegania postanowień kodeksu będzie KPMG Advisory sp. z o.o. sp. k. W celu zgłoszenia podjęcia się przez podmiot medyczny stosowania Kodeksu należy skierować w formie elektronicznej wniosek, zgodnie z którym podmiot ten oświadcza, że spełnia minimalne wymogi wynikające z kodeksu. Do wniosku załączyć należy
kwestionariusz odnoszący się do poszczególnych obowiązków wynikających z Kodeksu oraz pozytywną opinię wydaną przez Inspektora Ochrony Danych (jeśli został powołany) lub inny podmiot dysponujący odpowiednim poziomem wiedzy fachowej w dziedzinie będącej przedmiotem Kodeksu, stwierdzającą spełnianie przez PWDL lub Podmiot przetwarzający wymogów Kodeksu.
Warunkiem uzyskania statusu Podmiotu przestrzegającego Kodeksu jest poddanie się audytowi wstępnemu przeprowadzonemu przez Podmiot monitorujący i uzyskanie pozytywnej oceny zdolności do stosowania zapisów Kodeks, a po uzyskaniu pozytywnej oceny i zaświadczenia podmiot medyczny podlegać będzie dalszemu monitorowaniu.
Z pełną treścią zatwierdzonych kodeksów branżowych zapoznać się mogą Państwo pod tymi linkami:
- Kodeks postępowania dla sektora ochrony zdrowia zatwierdzony dnia 11 grudnia 2023 r. https://uodo.gov.pl/pl/138/2929
- Kodeks postępowania dotyczący ochrony danych osobowych przetwarzanych w małych placówkach medycznych zatwierdzony dnia 14 grudnia 2022 r. https://uodo.gov.pl/pl/138/2569