Prezes Urzędu Ochrony Danych Osobowych zatwierdził w grudniu 2023 „Kodeks postępowania dla sektora ochrony zdrowia” przygotowany przez Polską Federację Szpitali. Podpisany dokument to pierwszy w Europie kodeks obejmujący podmioty publiczne i prywatne z sektora medycznego.
Dokument przewiduje odrębne mechanizmy monitorowania przestrzegania jego postanowień dla publicznych placówek medycznych. Przystąpienie do kodeksu nie wiąże się z członkostwem w żadnej organizacji.
Od 25 maja 2018 roku obowiązuje unijne rozporządzenie o ochronie danych, czyli RODO, które ma bezpośredni i znaczący wpływ na przetwarzanie danych przez podmioty wykonujące działalność leczniczą.
W związku z tym w ramach inicjatywy Polskiej Federacji Szpitali zebrała się grupa ekspertów, w tym między innymi przedstawiciele zrzeszonych w związku Pracodawcy dla Zdrowia, która stworzyła Kodeks Branżowy RODO w sektorze ochrony zdrowia. Jest to dokument stanowiący formę samoregulacji branżowej, a zaproponowane w nim rozwiązania dotyczą doprecyzowania zasad ochrony danych osobowych (zgodnie z unijnym rozporządzeniem RODO) w placówkach ochrony zdrowia.
-Ochrona danych osobowych oraz cyberbezpieczeństwo stają się kluczowymi aspektami dla sektora ochrony zdrowia. Kodeks stanowi ważny krok w zapewnieniu tego bezpieczeństwa. Jestem dumny, że to właśnie w Polsce został ustanowiony pierwszy Kodeks obejmujący również monitorowanie zarówno prywatnych jak i publicznych placówek leczniczych. Jako Polska Federacja Szpitali nieustannie działamy w zakresie wspierania szpitali, a Kodeks stanowi wymierną korzyść dla całego sektora. Kodeks jest także wyrazem strategii PFSz akcentującej promowanie dobrych praktyce w polskich szpitalach – powiedział Jarosław J. Fedorowski, prezes Polskiej Federacji Szpitali.
We wrześniu 2021 kodeks ten, jako pierwszy w Polsce i jeden z pierwszych w Europie kodeksów branżowych RODO w ochronie zdrowia otrzymał pierwszą nagrodę w międzynarodowym konkursie Emerging Europe Awards w kategorii „Modern and Future-proof Policymaking”.
Zasady bezpieczeństwa danych medycznych i ich wykorzystania tematem konferencji>>>
W ocenie organu nadzorczego przedstawiony kodeks jest zgodny z przepisami ogólnego rozporządzenia o ochronie danych (RODO) oraz stanowi odpowiednie zabezpieczenie w zakresie ochrony danych przewidzianych przepisami tego rozporządzenia. Ważnym aspektem było wypracowanie rozwiązań monitorowania podmiotów publicznych. Jest to pierwszy taki kodeks dla sektora medycznego umożliwiający szpitalom publicznym potwierdzanie zgodności procesu przetwarzania danych z RODO.
– Zatwierdzony kodeks to kompleksowe narzędzie dla administratorów i podmiotów przetwarzających dane osobowe z branży ochrony zdrowia. Już na etapie projektu stał się punktem odniesienia dla wielu podmiotów medycznych. Jesteśmy przekonani, że teraz, już z pełną mocą obowiązywania, dostarczy nowego impulsu do dalszej poprawy standardów w zakresie ochrony danych osobowych pacjentów. Cieszymy się, że udało się wypracować rozwiązania, które umożliwią przystąpienie do kodeksu także podmiotom publicznym. Jesteśmy przygotowani do przyjmowania i obsługi wniosków oraz udzielania informacji wszystkim zainteresowanym. Zapraszamy do odwiedzenia naszej strony internetowej i do bezpośredniego kontaktu – powiedział Piotr Burzyk, senior manager consulting, Cyber Security Data Privacy Team w KPMG Advisory Sp. z o.o. sp. k.
Decyzja Prezesa UODO kończy okres pracy nad treścią kodeksu i daje placówkom medycznym możliwość rozpoczęcia przygotowań do jego wdrożenia.
-Zatwierdzony właśnie kodeks to drugi kodeks przeznaczony dla branży medycznej, kodeks dla małych placówek medycznych został zatwierdzony 4 grudnia 2022 r. Podział branży wynika z zapisów Art. 41 ust. 6 RODO, podejście to ma wyraźne zalety, ponieważ sposób realizacji obowiązków wynikających z RODO przez małe placówki medyczne i szpitale znacząco się różni. Stworzenie takich mechanizmów to proces bardzo skomplikowany. Podpisany dokument to pierwszy w Europie kodeks obejmujący podmioty publiczne i prywatne z sektora medycznego – powiedział Jakub Groszkowski, zastępca prezesa UODO.
Przystąpienie do stosowania kodeksu postępowania wiąże się z licznymi korzyściami. Przede wszystkim podmioty, które będą go stosowały mogą mieć gwarancję prawidłowości używania określonych rozwiązań zatwierdzonych przez organ nadzoru. Mogą też liczyć na nadzór nad procesami przetwarzania danych osobowych w oparciu o mechanizmy monitorowania opisane w kodeksie. Nie bez znaczenia jest również fakt, iż zgodnie z RODO organ nadzorczy, gdy rozważa nałożenie kary na dany podmiot musi brać pod uwagę w każdym przypadku, czy podmiot ten prawidłowo stosuje zatwierdzony kodeks postępowania.
Organ nadzorczy udzielił akredytacji KPMG Advisory sp. z o.o. sp. k., który będzie pełnił funkcję podmiotu monitorującego stosowanie kodeksu wśród jego członków z sektora prywatnego.
Kodeks postępowania dla sektora ochrony zdrowia dostępny jest tutaj>>>