Logo biura

Infolinia Urzędu 606-950-000

Infolinia Urzędu 606-950-000

ikona tłumacz ikona flaga angielska ikona kontakt
Inne aktualności
Ikonka home dla okruszków  » Aktualności

Pozytywna opinia Prezesa UODO dwóch projektów kodeksów postępowania RODO dla sektora zdrowia

Grafika informująca o komunikacie Prezesa UODO.

Prezes UODO pozytywnie zaopiniował projekt „Kodeksu postępowania dotyczącego ochrony danych osobowych przetwarzanych w małych placówkach medycznych” opracowany przez Federację Związków Pracodawców Ochrony Zdrowia „Porozumienie Zielonogórskie” oraz projekt „Kodeksu postępowania dla sektora ochrony zdrowia” opracowany przez Polską Federację Szpitali, z zastrzeżeniem kwestii monitorowania podmiotów publicznych, która musi zostać doprecyzowana w obu projektach.

Zdaniem UODO przedstawione przez Federację Porozumienie Zielonogórskie oraz Polską Federację Szpitali projekty Kodeksów postępowania są zgodne z RODO i stanowią odpowiednie zabezpieczenia w zakresie ochrony danych przewidziane w art. 40 ust. 5 RODO.

Organ nadzorczy podkreślił, że istnieje potrzeba społeczna, którą Kodeksy zaspokajają. Jest nią ochrona, na wysokim poziomie, danych osobowych pacjentów i innych osób w placówkach służby zdrowia. Mimo, że ochrona danych osobowych jest regulowana w Polsce od ponad 20-tu lat to z chwilą rozpoczęcia stosowania RODO zmienił powszechne podejście do ochrony danych nie tylko ze strony administratorów, ale w znacznej mierze ze strony osób, których dane dotyczą - stały się one bardziej świadome przysługujących im praw. Z pewnością postanowienia Kodeksów pomogą nie tylko podmiotom medycznym wypełniać wymogi RODO, ale też upowszechnią wiedzę o ochronie danych wśród pacjentów.

„Kodeks postępowania dotyczącego ochrony danych osobowych przetwarzanych w małych placówkach medycznych”

W opinii UODO, Kodeks spełnia warunki dopuszczalności projektu kodeksu Wytycznych 1/2019. Ponadto stwierdził, że w Kodeksie zapewniono wystarczające zabezpieczenia o których mowa w ww. wytycznych. Za takie zabezpieczenia należy uznać: wskazanie zakresu danych, które mogą lub nie mogą przetwarzać członkowie Kodeksu, wskazanie procedur związanych ze zbieraniem danych, szczegółowe określenie czasu retencji danych, wskazanie zabezpieczeń przy przechowywaniu dokumentacji papierowej, przykłady zarządzania dokumentacją, szczegółowe i konkretne pomoce do dokonania analizy ryzyka w placówce medycznej.

„Kodeks postepowania dla sektora ochrony zdrowia”

Kodeks ten spełnia warunki dopuszczalności projektu kodeksu (pkt. 20-26 i 28-30 i częściowo p. 27 – w zakresie określenia mechanizmów umożliwiających podmiotowi monitorującemu wykonywanie jego zadań zgodnie z art. 41 RODO) Wytycznych 1/2019. Ponadto Kodeks spełnia kryteria wyznaczone w pkt. 32-39 i 41 Wytycznych 1/2019. Należą do nich m.in.: zaspokajanie określonej potrzeby ustanowienia kodeksu; ułatwienie skutecznego stosowania RODO; doprecyzowanie stosowania RODO; zapewnienie wystarczających zabezpieczeń.

Ochrona danych osobowych pacjentów

Poprzez szereg szczegółowych rozwiązań przyjętych w Kodeksach umożliwiają one doprecyzowanie stosowania RODO. Kodeks Porozumienia Zielonogórskiego uwzględnia materiały przygotowane przez Rzecznika Praw Pacjenta dotyczące udostępniania dokumentacji medycznej, orzeczenia sądów oraz wytyczne EROD. Natomiast ten opracowany przez Polską Federację Szpitali uwzględnia orzeczenia sądów, wytyczne EROD, wskazuje szczegółowe procedury, które można stosować przy przeprowadzaniu analizy ryzyka. Kodeksy niewątpliwie zapewniają wartość dodaną, o której mowa w Wytycznych 1/2019.

Postanowienia zawarte w Kodeksach opisują najczęstsze przypadki przetwarzania danych w placówkach medycznych. Odwołano się w nich do przepisów z zakresu prawa medycznego w zakresie, w jakim powiązane są one z zagadnieniami ochrony danych osobowych. Kompleksowo opisano problemy stosowania monitoringu wizyjnego w jednostkach medycznych czy instytucję teleporady. Zawarto też szereg tabel, wykresów, porad praktycznych, przykładów czy załączniki zawierające praktyczne wzory i przykładowe procedury.

Wymogi akredytacji podmiotu monitorującego kodeksy postępowania

W celu uzyskania akredytacji podmioty, które chcą zostać podmiotami monitorującymi muszą wystąpić do Prezesa UODO. Wymogi akredytacji są dostępne na stronie internetowej Urzędu pod adresem: https://uodo.gov.pl/pl/138/1861.

Urząd podkreśla, że do chwili zatwierdzenia projektu kodeksu nie wywołuje on skutków, jakie wiążą się z zatwierdzonymi kodeksami. O skutkach tych mowa w p. 18 Wytycznych 1/2019, gdzie stwierdzono, że „stosowanie zatwierdzonego kodeksu postępowania będzie również czynnikiem branym pod uwagę przez organy nadzorcze przy ocenie konkretnych cech przetwarzania danych, takich jak aspekty bezpieczeństwa[1], przy ocenie skutków operacji przetwarzania w ramach oceny skutków dla ochrony danych[2]lub przy nakładaniu administracyjnej kary pieniężnej[3]. W przypadku naruszenia jednego z przepisów rozporządzenia przestrzeganie zatwierdzonego kodeksu postępowania może stanowić wskaźnik tego, w jakim stopniu należy zainterweniować za pomocą skutecznej, proporcjonalnej, odstraszającej administracyjnej kary pieniężnej lub innego środka naprawczego stosowanego przez organ nadzorczy[4].

Poza możliwością wystąpienia o akredytację podmiotu monitorującego, niniejsze opinie służą także podmiotom zainteresowanym przestrzeganiem postanowień kodeksów, które zostały zaakceptowane przez Prezesa Urzędu. Podmioty medyczne, chcące zapewnić pacjentom wysoki poziom ochrony ich danych osiągnięty w projekcie kodeksu przygotowanym przez Polską Federację Szpitali lub też w projekcie kodeksu Porozumienia Zielonogórskiego, mogą rozpocząć dostosowywanie do ich postanowień. Po ewentualnej akredytacji do konkretnego kodeksu podmiot monitorujący będzie mógł rozpocząć procedurę oceny wstępnej kandydatów na członków tego kodeksu. Do tego czasu powoływanie się na postanowienia opiniowanych kodeksów w relacjach z osobami, których dane dotyczą, uczestnikami procesów przetwarzania i organem ds. ochrony danych jest bezskuteczne. Dopiero zatwierdzenie kodeksu i umieszczenie go w publicznym rejestrze prowadzonym przez Prezesa Urzędu na stronie UODO da taką możliwość.

 

Załączone pliki:

  1. Opinia w sprawie projektu Kodeksu Porozumienia Zielonogórskiego
  2. Opinia w sprawie projektu Kodeksu Polskiej Federacji Szpitali

[1] Art. 32 ust. 3 RODO.

[2] Art. 35 ust. 8 RODO.

[3] Art. 83 ust. 2 lit. j) RODO. Należy również zwrócić uwagę na stosowanie kodeksów w odniesieniu do Wytycznych WP 253/17 w sprawie stosowania i ustalania administracyjnych kar pieniężnych do celów rozporządzenia 2016/679, przyjętych przez EROD.

[4] Ibid.

2021-02-23 Metadane artykułu
Podmiot udostępniający: Departament Komunikacji Społecznej
Wytworzył informację: Adam Sanocki 2021-02-23
Wprowadził‚ informację: Edyta Madziar 2021-02-23 08:02:44
Ostatnio modyfikował: Edyta Madziar 2021-02-23 09:50:30

Załączone pliki

file icon
Metadane pliku
Opinia w sprawie projektu Kodeksu Porozumienia Zielonogórskiego
Podmiot udostępniający: Departament Komunikacji Społecznej
Wytworzył informację: Jan Nowak 2021-02-23
Wprowadził‚ informację: Edyta Madziar 2021-02-23 10:06:39
file icon
Metadane pliku
Opinia w sprawie projektu Kodeksu Polskiej Federacji Szpitali
Podmiot udostępniający: Departament Komunikacji Społecznej
Wytworzył informację: Jan Nowak 2021-02-23
Wprowadził‚ informację: Edyta Madziar 2021-02-23 10:06:39
Inne aktualności
  • Infolinia UODO
  • 606-950-000
  • czynna w dni robocze od: 10:00-14:00
Logo biura
  • Urząd Ochrony Danych Osobowych
  • ul. Stawki 2, 00-193 Warszawa
  • kancelaria@uodo.gov.pl
  • Godziny pracy: 8.00-16.00
© UODO 2018 - 2022 Wszelkie prawa zastrzeżone.
Polityka prywatności | Deklaracja dostępności | Strona główna | Kontakt
© UODO 2018 - 2022 Wszelkie prawa zastrzeżone.
Polityka prywatności | Deklaracja dostępności | Strona główna | Kontakt
© UODO 2018 - 2022 Wszelkie prawa zastrzeżone.
Polityka prywatności | Deklaracja dostępności | Strona główna | Kontakt