Jakub Groszkowski: Kodeks pomoże chronić dane pacjentów małych placówek medycznych

Zatwierdzony przez prezesa UODO kodeks ochrony danych osobowych przetwarzanych w małych placówkach medycznych uporządkuje działania administratorów, którzy do niego przystąpią.

Jak odbierać zgodę od pacjentów na przetwarzanie danych osobowych? Jak przechowywać dokumentację medyczną i co zrobić po jej utracie? Jak przeprowadzić analizę ryzyka? To tylko niektóre pytania, które spędzały sen z powiek małych podmiotów medycznych, które są administratorami danych m.in. swoich pacjentów.

Czytaj więcej:

Biznes

Jak lekarz powinien dbać o dane osobowe swoich pacjentów?

Od 1 lipca 2022 r. podmioty medyczne są obowiązane do posiadania dokumentacji medycznej w postaci elektronicznej. To niewątpliwie duży postęp i ułatwienie pracy dla podmiotów medycznych, ale także wyzwania w zakresie zapewnienia jej bezpieczeństwa.

Pro

Prawo albo zgoda pacjenta

W wielu przypadkach wystarczy, że administrator sięgnie do RODO, czyli ogólnego rozporządzenia o ochronie danych osobliwych, by przekonać się, jakie warunki musi spełniać np. zgoda od pacjentów na przetwarzanie danych osobowych. W praktyce jednak przysparzało to trudności, choćby dlatego, że podmioty lecznicze część danych przetwarzają na podstawie obowiązującego prawa, a inne na podstawie owej zgody. Jej ważność zależy od tego, czy została odebrana od pacjenta w odpowiedni sposób.

Konieczność analizowania ryzyka to obszar, który także budzi wiele pytań. W każdym podmiocie mogą bowiem istnieć inne ryzyka dla ochrony danych.

Rozwiązanie tego problemu, jak wielu innych, jest szczegółowo przedstawione w kodeksie postępowania dotyczącego ochrony danych osobowych przetwarzanych w małych placówkach medycznych (dalej: kodeks). Jest to wręcz instrukcja prowadząca administratora kolejno przez każdy etap takiego działania.

W ten sposób w kodeksie przedstawiono rozwiązania problemów, z którymi administratorzy danych, postępując zgodnie z przyjętymi regułami, powinni sobie poradzić. Ponadto wiele zagadnień dzięki kodeksowi nie będzie musiało już być indywidualnie interpretowanych przez administratorów. Kodeks rozwiązuje bowiem realnie istniejące problemy w podmiotach leczniczych.

Zagadnień, które omawia, jest bardzo wiele. Wskazuje m.in., kiedy nie trzeba zawierać umów powierzenia, przedstawia zasady pobierania danych osobowych, omawia możliwości stosowania monitoringu czy zasady udzielania teleporad. Szczegółowo wskazuje różnice między dostępem do danych osobowych a dostępem do dokumentacji medycznej.

Kodeks niweluje zatem bardzo zróżnicowane szacowanie poziomu ryzyk u administratorów w sektorze medycznym przy tych samych stanach faktycznych. Podmioty, które do niego przystąpią, unikną budowania niepełnych albo w ogóle niezgodnych z przepisami RODO rozwiązań technicznych, organizacyjnych i wszelkich procedur bezpieczeństwa.

Czym właściwie jest kodeks postępowania?

Kodeksy umożliwiają ustanowienie reguł, które przyczyniają się do właściwego stosowania RODO w sposób praktyczny, przejrzysty. Uwzględniają przy tym specyfikę danej branży lub prowadzonych w niej czynności przetwarzania.

Podmioty, które przystąpią do kodeksu i będą go prawidłowo stosowały, ułatwią sobie pracę, ale zapewnią jednocześnie, że ich działania związane z przetwarzaniem danych osobowych będą w zgodzie z RODO. Dla przestrzegających jego postanowień mogą stanowić skuteczne narzędzia zapewniania rozliczalności. Stosowanie zatwierdzonego kodeksu postępowania będzie brane pod uwagę przez organ nadzorczy przy ocenie aspektów przetwarzania danych, takich jak bezpieczeństwo danych, ocena skutków operacji przetwarzania lub przy nakładaniu administracyjnej kary pieniężnej. W przypadku naruszenia jednego z przepisów rozporządzenia przestrzeganie zatwierdzonego kodeksu postępowania może mieć także wpływ na nałożenie innego środka naprawczego stosowanego przez organ nadzorczy.

W ochronie zdrowia pewne zasady postępowania z danymi wynikają nie tylko z RODO, ale i z przepisów szczególnych, jak ustawa o prawach pacjenta czy ustawa o zawodach lekarza i lekarza dentysty, czy też inne ustawy oraz akty wykonawcze. Z tej przyczyny kodeks odnosi się także do tych przepisów sektorowych. Uwzględnia wytyczne i opinie m.in. Europejskiej Rady Ochrony Danych Osobowych.

W tym gąszczu przepisów i zasad ważne jest, by sektor zdrowia jednolicie podchodził do ochrony danych osobowych i problemów z tym związanych. Dzięki temu pacjent będzie miał gwarancje, że w każdym podmiocie standard ochrony jego danych i zasady komunikacji z nim są zbliżone.

Rola kodeksu dla sektora ochrony zdrowia

Ochrona zdrowia w społeczeństwie jest niezwykle istotna. Wiąże się z nią przetwarzanie danych wrażliwych, czyli danych kategorii szczególnej, o których mowa w art. 9 RODO. Złe przetwarzanie takich danych może skutkować nie tylko zagrożeniami dla zdrowia pacjentów, ale też mieć ogromny wpływ na zachowanie ich prywatności. Wyciek takich danych może prowadzić do stygmatyzacji w społeczeństwie czy narazić pacjentów na wykorzystywanie informacji o nich do szantażu, oszustw, dyskryminacji ze względu na stan zdrowia – także w dostępie do oferowanych konsumentom różnych usług, które np. zostaną ograniczone z uwagi na krążące informacje o ich stanie zdrowia. Nietrudno bowiem sobie wyobrazić, że dana osoba dostanie mniejszą ochronę ubezpieczeniową, a w umowie z ubezpieczycielem będzie więcej wyłączeń tylko dlatego, że informacje o jej stanie zdrowia ujrzały światło dzienne, a innych osób nie. Odpowiednie zabezpieczanie danych medycznych jest istotne nie tylko z punktu widzenia ochrony danych, ale ogólnego bezpieczeństwa pacjentów.

Korzyści dla pacjentów

Kodeks postępowania stwarza szansę zdecydowanie lepszego przestrzegania przepisów o ochronie danych osobowych. Zapewnia również lepsze poszanowanie praw pacjenta, ponieważ w sektorze medycznym, w którym się poruszamy, ochrona danych osobowych wpisuje się w poszanowanie tajemnic prawnie chronionych: tajemnicy medycznej, tajemnicy lekarskiej, pielęgniarskiej i wielu innych.

Pacjenci, których dane są przetwarzane przez sektor medyczny, będą mogli oczekiwać, że podmioty medyczne przystępujące do kodeksu zapewnią im zdecydowanie wyższy poziom ochrony ich danych.

Zasady określone w kodeksie zapewniają, że po naruszeniu praw pacjentów zostanie przeprowadzona pogłębiona analiza ich przypadku. Ewentualne skargi rozpatrzy specjalnie powołany podmiot monitorujący, który jest akredytowany przez prezesa UODO. Podmiot ten będzie czuwać nad właściwym przestrzeganiem praw pacjentów, których dane są przetwarzane przez placówki medyczne.

Głównym zadaniem podmiotu monitorującego jest wspieranie merytoryczne administratorów, którzy przystąpią do kodeksu, ale i nadzór nad prawidłowością przestrzegania przepisów o ochronie danych osobowych i postanowień kodeksu.

Podmiot monitorujący ma rozpatrywać skargi od osób, których dane są przetwarzane przez uczestników kodeksu. Ma także ściśle współpracować z organem nadzorczym.

Stosowanie kodeksu pozwoli zatem ograniczyć zgłaszanie skarg do organu nadzorczego. Zmniejszy także liczbę zgłaszanych prezesowi UODO naruszeń ochrony danych osobowych w sektorze zdrowia.

Kodeksy powinny być powszechniejsze

Wymienione zalety kodeksu powinny także zachęcić podmioty z innych branż do tworzenia własnych kodeksów. Największą korzyścią jest stworzenie wyższego standardu ochrony danych na lata dla wszystkich osób objętych kodeksem. Będzie to podnosić poziom ochrony danych zgodnie z RODO w kolejnych sektorach.

Ważne jednak, by kodeksy powstawały z uwzględnieniem kryteriów wskazanych przez Europejską Radę Ochrony Danych Osobowych, były pogłębione i przemyślane, a nie powielały jedynie przepisy RODO. Tylko takie kodeksy mogą być zatwierdzone przez prezesa UODO.