Jest nowy kodeks RODO dla szpitali [POBIERZ]

Nowy kodeks postępowania RODO dla sektora ochrony zdrowia przygotowany przez Polską Federację Szpitali obejmuje zarówno podmioty publiczne jak i prywatne. Został zatwierdzony przez Prezesa UODO – podmioty, które będą go stosowały mają gwarancję zgodności procedur z obowiązującym prawem.

Przypomnijmy, że dokładnie rok temu Prezes UODO zatwierdził „Kodeks postępowania dotyczącego ochrony danych osobowych przetwarzanych w małych placówkach medycznych” opracowany przez Federację Związków Pracodawców Ochrony Zdrowia Porozumienie Zielonogórskie (POBIERZ).

Po co powstał kodeks?

To pierwszy w Europie kodeks obejmujący podmioty publiczne i prywatne z sektora medycznego. Przystąpienie do kodeksu nie wiąże się z członkostwem w żadnej organizacji. W przypadku kodeksu dla małych placówek medycznych, konieczne było członkostwo w Federacji Porozumienie Zielonogórskie.

Stosowanie Kodeksu stanowi okoliczność potwierdzającą wywiązywanie się z obowiązków nałożonych przez RODO na administratorów danych oraz podmioty przetwarzające (zasady rozliczalności). Kodeks zawiera zbiór wytycznych dla podnoszenia poziomu ochrony danych osobowych, zgodnych z RODO i ustawodawstwem krajowym:

• realizacja ogólnych zasad przetwarzania danych osobowych wskazanych w art. 5 RODO;
• pseudonimizacja danych osobowych;
• informowanie opinii publicznej i osób, których dane dotyczą;
• wykonywanie przez osoby, których dane dotyczą przysługujących im praw;
• środki i procedury regulujące obowiązki Administratora oraz ochronę danych w fazie projektowania i domyślna ochrona danych;
• środki i procedury zapewniające bezpieczeństwo przetwarzania.

Korzyści dla placówek medycznych

Według UODO, kodeks postępowania jest zgodny z przepisami ogólnego rozporządzenia o ochronie danych (RODO) oraz stanowi odpowiednie zabezpieczenie w zakresie ochrony danych przewidzianych przepisami tego rozporządzenia. Jest to pierwszy taki kodeks dla sektora medycznego umożliwiający szpitalom publicznym potwierdzanie zgodności procesu przetwarzania danych z RODO.

Przystąpienie do stosowania kodeksu postępowania daje gwarancję prawidłowości używania określonych rozwiązań zatwierdzonych przez UODO. Oprócz zapewnienia ochrony danych, może pozwolić uniknąć kar, gdy dojdzie to incydentu bezpieczeństwa danych – zgodnie z RODO, rozważając nałożenie kary na dany podmiot, organ nadzorczy (UODO w Polsce) musi brać pod uwagę, czy podmiot prawidłowo stosuje zatwierdzony kodeks postępowania.

Jak przystąpić do kodeksu?

Przystąpienie do kodeksu przez podmiot publiczny wymaga złożenia wniosku (co najmniej w formie elektronicznej) skierowanego do Podmiotu monitorującego. Podmiot oświadcza w nim, że spełnia wymogi wynikające z Kodeksu. Zawiera on:

• kwestionariusz odnoszący się do poszczególnych obowiązków wynikających z Kodeksu;
• pozytywną opinię wydaną przez Inspektora Ochrony Danych (jeśli został powołany) lub inny podmiot dysponujący odpowiednim poziomem wiedzy fachowej w dziedzinie będącej przedmiotem Kodeksu, stwierdzającą spełnianie wymogów Kodeksu;
• wskazanie sposobu dalszego monitorowania przestrzegania przepisów Kodeksu.

Następnie konieczne jest poddanie się audytowi wstępnemu przeprowadzonemu przez Podmiot monitorujący i uzyskanie pozytywnej oceny zdolności podmiotu przetwarzającego dane do stosowania
zapisów Kodeksu. Ta gotowość jest następnie systematycznie monitorowania np. w formie ankiety monitoringowej, wywiadów telefonicznych lub wizyt na miejscu.

O kodeksie

Podmiotami tworzącymi Kodeks są Polska Federacja Szpitali, Fundacja Telemedyczna Grupa Robocza, Pracodawcy Medycyny Prywatnej, Konfederacja Lewiatan, Polska Izba Informatyki i Telekomunikacji, Federacja Związków Pracodawców Ochrony Zdrowia Porozumienie Zielonogórskie oraz inne podmioty tworzące Komitet sterujący.

Zatwierdzenie kodeksu przez Prezesa UODO kończy okres prac oznacza, że placówki medyczne mogą do wdrażać i składać wnioski o przystąpienie do kodeksu.

POBIERZ Kodeks dla sektora ochrony zdrowia Polskiej Federacji Szpitali (PDF)