Potrzebny jest kodeks postępowania z danymi pacjentów

  • Sławomir Molęda
11-04-2018, 17:01

Unijne rozporządzenie o ochronie danych osobowych (RODO) nie mówi konkretnie, co trzeba zrobić, by zgodnie z prawem chronić dane pacjentów. To podmiot wykonujący działalność leczniczą ma decydować, jakie zabezpieczenia będą odpowiednie w jego przypadku. Pomóc w tym może branżowy kodeks postępowania.

Ten artykuł czytasz w ramach płatnej subskrypcji. Twoja prenumerata jest aktywna

Obowiązująca obecnie ustawa o ochronie danych osobowych wygaśnie 25 maja. Zastąpią ją przepisy RODO, które jednolicie uregulują zasady przetwarzania danych na terenie całej Unii Europejskiej. Są to przepisy wyrażające nowe podejście do obowiązków prawnych, zwane risk-based approach. Rezygnuje się z jednoznacznego określania treści obowiązków na rzecz ukształtowania ich w danym przypadku przez pryzmat oceny ryzyka. Oceny dokonuje podmiot decydujący o celach i sposobach przetwarzania danych, czyli administrator danych.

Przypomnę, że jest nim każdy lekarz prowadzący praktykę zawodową, poza praktyką wykonywaną wyłącznie w zakładzie podmiotu leczniczego. W tym przypadku rolę administratora pełni ów podmiot, a lekarz, tak jak pozostały personel, podporządkowuje się tylko jego zaleceniom.

Samodzielność decyzyjna administratora

RODO nakazuje administratorom danych wdrożyć odpowiednie środki techniczne i organizacyjne, aby wszelkie operacje na danych odbywały się zgodnie z przepisami. Nie określa tych środków w sposób wystarczający, tak jak czynią to polskie przepisy, lecz zachowuje neutralność technologiczną. Każe tylko uwzględnić charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osobistych o różnym prawdopodobieństwie i wadze zagrożenia.

Administrator musi więc sam dokonać oceny warunków i zadecydować, jakie środki ochrony powinien zastosować, by zapewnić stopień bezpieczeństwa adekwatny do ryzyka. Dotyczy to również udokumentowania ochrony danych. Po 25 maja nie będzie powszechnego obowiązku opracowywania polityki i instrukcji bezpieczeństwa zgodnie z jednolitymi wytycznymi. Zamiast tego administrator zostanie zobowiązany do wykazania, że chroni i przetwarza dane zgodnie z prawem (zasada rozliczalności).

W tym kontekście kluczowego znaczenia nabiera kwestia: jak to zrobić? RODO podpowiada: administrator danych może wykazać wywiązywanie się ze swoich obowiązków poprzez stosowanie branżowego kodeksu postępowania lub certyfikatów. Jest to kolejne novum, polegające na zastosowaniu elementów tzw. miękkiego prawa (soft law). W miejsce sztywnych przepisów wprowadza się elastyczne instrumenty samoregulacyjne, których zastosowanie jest dobrowolne. Oznacza to, że każdy administrator może wybrać instrumenty, które chce zastosować, bądź też zrezygnować z nich zupełnie. Wtedy jednak musi być w stanie rozliczyć się z zabezpieczenia danych na własną rękę.

Opracowanie i zatwierdzanie zasad postępowania z danymi

Kodeksy postępowania mogą przygotowywać zrzeszenia i inne podmioty reprezentujące określone kategorie administratorów oraz podmioty przetwarzające. Do opracowywania kodeksów mogą więc przystępować zarówno izby lekarskie, jak i związki pracodawców działające w ochronie zdrowia, a także firmy wyspecjalizowane w przetwarzaniu danych medycznych na zlecenie. Oprócz środków i procedur zapewniających bezpieczeństwo przetwarzania danych, kodeksy mogą doprecyzowywać wszelkie inne obowiązki nałożone przez RODO, jak również ustalić pozasądowe tryby rozstrzygania sporów z pacjentami.

By opracować nowy lub zmienić istniejący kodeks, wystarczy przedłożyć odpowiedni projekt organowi nadzorującemu. Będzie nim prezes Urzędu Ochrony Danych Osobowych (PUODO), który zastąpi w tym zakresie Generalnego Inspektora Ochrony Danych Osobowych (GIODO). PUODO będzie wydawał opinię o zgodności projektu z RODO. Jeżeli uzna, że projektowane zapisy stanowią odpowiednie zabezpieczenia, zatwierdzi je. Zatwierdzony kodeks zostanie zarejestrowany i opublikowany przez PUODO, chyba że będzie przeznaczony do stosowania międzynarodowego. W takim przypadku opiniowanie projektu przejmie Europejska Rada Ochrony Danych (EROD). Pozytywna opinia EROD jest przedkładana Komisji Europejskiej, która może nadać kodeksowi branżowemu walor powszechnego obowiązywania na terenie całej Unii Europejskiej.

Niezależne podmioty monitorujące

Co istotne, każdy kodeks ma zawierać zapisy zobowiązujące administratorów, którzy go przyjmą, do poddawania się monitorowaniu. Monitoringiem przestrzegania kodeksu mogą zajmować się podmioty akredytowane przez PUODO. Muszą one wykazać swoją niezależność i wiedzę fachową w dziedzinie ochrony danych medycznych, a także dysponować odpowiednimi procedurami oceny, monitorowania i okresowych przeglądów funkcjonowania kodeksu. Powinny ponadto posiadać struktury pozwalające na bezstronne rozpatrywanie skarg pacjentów. W przypadku stwierdzenia naruszeń kodeksu podmiot monitorujący będzie podejmował stosowne działania, informując o nich PUODO. Będzie mógł np. zawiesić lub wykluczyć danego administratora ze stosowania kodeksu, co byłoby równoznaczne z zakwestionowaniem jego rozliczalności.

Procedura certyfikacji podmiotu przetwarzającego dane

Niezależnie od kodeksów mają działać mechanizmy certyfikacji oraz znaków jakości i oznaczeń. Podlegać im będą produkty, usługi lub systemy w zakresie ochrony danych medycznych. O certyfikację będą mogły ubiegać się podmioty wprowadzające dany produkt lub usługę na rynek, jak również sami administratorzy i podmioty przetwarzające dane na zlecenie. Certyfikacji będzie dokonywał PUODO lub podmioty akredytowane przez Polskie Centrum Akredytacji, według kryteriów opublikowanych w Biuletynie Informacji Publicznej PUODO.

Dokumentem potwierdzającym certyfikację będzie certyfikat wydawany na okres, w którym dany podmiot będzie zobowiązany spełniać kryteria certyfikacji. PUODO może przeprowadzać czynności sprawdzające w tym zakresie, zbliżone charakterem do kontroli. Za czynności związane z certyfikacją PUODO będzie pobierał opłatę w wysokości czterokrotności przeciętnego wynagrodzenia, czyli ponad 17 tys. zł.

Wskazane dalsze konsultacje

Do prac nad projektem polskiego kodeksu postępowania dla branży medycznej przystąpiły już następujące organizacje: Polska Federacja Szpitali, Fundacja Telemedyczna Grupa Robocza, Pracodawcy Medycyny Prywatnej, Konfederacja Lewiatan, Polska Izba Informatyki i Telekomunikacji, Federacja Związków Pracodawców Ochrony Zdrowia Porozumienie Zielonogórskie. Wynikiem dotychczasowych ustaleń jest projekt roboczy, dostępny pod adresem: http://www.rodowzdrowiu.pl/.

Nie jest on jeszcze kompletny, lecz już zawiera propozycje, które mogą budzić wątpliwości. Przykładem mogą być zapisy dotyczące ograniczenia przetwarzania i sprzeciwu pacjenta. Uchylenie tych ważnych uprawnień w stosunku do dokumentacji medycznej en gros nie wydaje się właściwe w świetle obowiązujących przepisów. Nie każde przetwarzanie danych w celach medycznych da się bowiem uzasadnić ważnymi względami interesu publicznego. Wprawdzie termin zgłaszania uwag do projektu upłynął 3 kwietnia, lecz przypuszczam, że organizatorzy nie wykluczą nikogo chętnego do udziału w dalszych pracach. Warto się nimi zainteresować z uwagi na rozstrzygnięcie kwestii, czy prywatna praktyka przetwarza dane pacjentów na dużą skalę?

 

PODSTAWA PRAWNA

1. rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz.U.UE.L.2016.119.1 z 4 maja 2016 r.);

2. projekt ustawy o ochronie danych osobowych z 16 marca 2018 r. (https://legislacja.rcl.gov.pl/docs//2/12302950/12457690/12457691/dokument334233.pdf).

Źródło: Puls Medycyny

Podpis: Sławomir Molęda, partner w Kancelarii Kondrat i Partnerzy

Tematy
Puls Medycyny
Prawo / Potrzebny jest kodeks postępowania z danymi pacjentów
× Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies. Możesz określić warunki przechowywania lub dostępu do plików cookies w Twojej przeglądarce.