Pierwszy w Polsce i jeden z pierwszych w Europie Kodeks Branżowy RODO w ochronie zdrowia (Polish Code of Conduct in Healthcare) otrzymał pierwszą nagrodę w międzynarodowym konkursie Emerging Europe Awards w kategorii „Modern and Future-proof Policymaking”. Kodeks opracowany był między innymi przy udziale Pracodawców Medycyny Prywatnej.

Prawie 50 organizacji i osób z całej Europy Środkowej, Wschodniej, Południowo-Wschodniej i Kaukazu było nominowanych do czwartej edycji Emerging Europe Awards Programme.

Wśród nich znalazł się Kodeks Branżowy RODO w ochronie zdrowia jako jedna z polskich inicjatyw. Został nominowany za „torowanie drogi do standaryzacji ochrony danych osobowych, dającej pacjentom prywatność, a instytucjom medycznym możliwości oferowania wysokiej jakości usług”.

– Dziękujemy za to wspaniale wyróżnienie. To nagroda dla dziesiątek ludzi, reprezentujących wiele organizacji zarówno z sektora prywatnego jak i publicznego, którzy pracowali nad Kodeksem. Jesteśmy zaszczyceni, że nasz Kodeks stanowi dla Europy przykład tworzenia regulacji. Gratulacje dla wszystkich zaangażowanych! – powiedziała Ligia Kornowska, dyrektor zarządzająca Polskiej Federacji Szpitali podczas odbierania nagrody.

– Kodeks Branżowy RODO w ochronie zdrowia jest wizytówką Polski i może posłużyć jako przykład dla pozostałych Państw Europejskich w zakresie wyznaczania standardu ochrony danych osobowych i współpracy publiczno-prywatnej w celu wypracowania wspólnego stanowiska regulacyjnego. Stosowanie go przez podmioty wykonujące działalność leczniczą zapewnia prawidłowe dostosowywanie się do wymogów przewidzianych w RODO i ochronę prywatności oraz praw pacjentów – wskazuje Jarosław J. Fedorowski, prezes Polskiej Federacji Szpitali.

– Nieustannie pracujemy nad zapewnieniem bezpieczeństwa pacjentom i pomocy placówkom medycznym, które przetwarzają na co dzień miliony danych osobowych. Wprowadzone regulacje w sektorze medycznym mają na celu zmniejszenie przypadków naruszeń danych, w tym danych wrażliwych. Jednym z projektów służących doprecyzowaniu wymogów RODO i przynoszących wartość praktyczną jest Kodeks Branżowy, wypracowany w porozumieniu sektora publicznego i prywatnego. Ogromnym sukcesem zarówno Polski, jak i twórców Kodeksu, jest nagrodzenie go w międzynarodowym konkursie Emerging Europe Awards – wskazuje Anna Goławska, podsekretarz stanu w Ministerstwie Zdrowia.

Czytaj także: Powinniśmy płacić za zdrowie, a nie za chorobę>>>

– W dobie cyfryzacji i postępu technologicznego coraz częściej zdarzają się przypadki naruszeń w sektorze ochrony zdrowia. Projekt kodeksu postępowania ma na celu w sposób jasny i klarowny dla podmiotów go stosujących zapobiegać naruszeniom, a tym samym zapewniać wysoki poziom ochrony danych osobowych. Do tego przyczyniają się postanowienia kodeksów branżowych, które pomogą nie tylko podmiotom medycznym wypełniać wymogi RODO, ale też upowszechnią wiedzę o ochronie danych wśród pacjentów. Odebranie nagrody w międzynarodowym konkursie niewątpliwie stanowi przykład, jak polskie ustawodawstwo wyznacza standardy w tej dziedzinie –zauważa Monika Krasińska, dyrektor Departamentu Orzecznictwa i Legislacji UODO.

Była to czwarta edycja Emerging Europe Awards Programme. Nominowanych zostało w niej prawie 50 organizacji i osób z Europy Środkowej, Wschodniej, Południowo-Wschodniej i Kaukazu.

Zwycięzcy konkursu zostali wybrani przez głosowanie na stronie internetowej. Wręczenie nagród miało miejsce 15 września 2021 w Brukseli.

W kategorii “Nowoczesne i przyszłościowe tworzenie polityki” („Modern and Future-proof Policymaking”) nominowane były także dwa inne projekty – z Litwy i Rumunii.

Kodeks RODO dla ochrony zdrowia to dokument stanowiący formę samoregulacji branżowej. Zaproponowane w nim rozwiązania dotyczą doprecyzowania zasad ochrony danych osobowych (zgodnie z unijnym rozporządzeniem RODO) w placówkach ochrony zdrowia.

Kodeks RODO dla branży medycznej powstał w wyniku prac szerokiej koalicji, składającej się między innymi z przedstawicieli Polskiej Federacji Szpitali, Telemedycznej Grupy Roboczej, Związku Pracodawców Technologii Cyfrowych Lewiatan, Pracodawców Medycyny Prywatnej, Polskiej Izby Informatyki i Telekomunikacji, Porozumienia Zielonogórskiego. Prace merytoryczne były koordynowane przez mec. Piotra Najbuka i mec. Pawła Kaźmierczyka. z Kancelarii Domański Zakrzewski Palinka (DZP). Kodeks uwzględnia postulaty i uwagi licznych podmiotów zainteresowanych, z którymi był konsultowany.

Czytaj na ten temat: Kodeks RODO dla ochrony zdrowia – jaki jest stan obecny? >>>

23 lutego 2021 roku Prezes Urzędu Ochrony Danych Osobowych (PUODO) pozytywnie zaopiniował projekt Kodeksu postępowania dla sektora ochrony zdrowia. Oznaczało to, że podmioty wykonujące działalność leczniczą, chcące zapewnić pacjentom wysoki poziom ochrony ich danych osiągnięty w projekcie kodeksu, mogły od tego dnia rozpocząć dostosowywanie się do jego postanowień.

– Ta nagroda to potwierdzenie tego, jak ważne są inicjatywy samo regulacyjne w sektorze ochrony zdrowia. Dzięki współpracy przedstawicieli szpitali, środowiska medycznego i organizacji pacjentów udało się wypracować rozwiązania, które mogą przyczynić się do zwiększenia ochrony prywatności pacjentów, a nawet szerzej – polepszenia jakości opieki zdrowotnej – komentuje mec. Paweł Kaźmierczyk.

Kodeks RODO dla branży medycznej, opracowany między innymi przy udziale Pracodawców Medycyny Prywatnej, został zakwalifikowany do międzynarodowego konkursu Emerging Europe Awards 2021.

Jest to czwarta edycja Emerging Europe Awards Programme. Nominowanych zostało w niej prawie 50 organizacji i osób z Europy Środkowej, Wschodniej, Południowo-Wschodniej i Kaukazu.

Zwycięzcy konkursu zostaną wybrani przez głosowanie na stronie www.surveymonkey.com/r/EEAwards2021

Polski kodeks dla branży medycznej zakwalifikowany został w kategorii “Nowoczesne i przyszłościowe tworzenie polityki” („Modern and Future-proof Policymaking”), razem z dwoma innymi projektami – z Litwy i Rumunii.

Pozostałe kategorie konkursu Emerging Europe to “Artystyczne osiągnięcie roku” (“Artistic Achievement of the Year”), “Demokracja, prawa człowieka i praworządność” (“Democracy, Human Rights and the Rule of Law”), “Zagraniczny inwestor” (“Foreign Investor”), “Edukacja przyszłościowa” (“Future-proof Education”), “Mistrz świata” (“Global Champion”), “Zielona energia” (“Green Energy”), “Zdrowie i opieka społeczna” (“Health and Social Care”), “Przedsiębiorczość sprzyjająca włączeniu społecznemu” (“Inclusive Entrepreneurship”), “Kobieta lider biznesu” (“Female Business Leader”), “Wolność mediów i odpowiedzialne raportowanie” (“Media Freedom and Responsible Reporting”), “Ekonomia zorientowana na ludzi” (“People-first Economy”), “Współpraca regionalna” (“Regional Collaboration”), “Zrównoważony styl życia” (“Sustainable Lifestyles”), “Młoda inicjatywa” (“Young Empowerment”) oraz “Młody influencer” (“Young Influencer”).

Głosy można oddawać tutaj do 31 sierpnia 2021 roku.

The Future of Emerging Europe Summit and Awards, którego tematem przewodnim 2021 jest “W kierunku odpornej i zrównoważonej wschodzącej Europy”, odbędzie się 15 września w Brukseli i online.

Kodeks RODO dla ochrony zdrowia to dokument stanowiący formę samoregulacji branżowej. Zaproponowane w nim rozwiązania dotyczą doprecyzowania zasad ochrony danych osobowych (zgodnie z unijnym rozporządzeniem RODO) w placówkach ochrony zdrowia.

Kodeks RODO dla branży medycznej powstał w wyniku prac szerokiej koalicji, składającej się między innymi z przedstawicieli Polskiej Federacji Szpitali, Telemedycznej Grupy Roboczej, Związku Pracodawców Technologii Cyfrowych Lewiatan, Pracodawców Medycyny Prywatnej, Polskiej Izby Informatyki i Telekomunikacji, Porozumienia Zielonogórskiego. Uwzględnia postulaty i uwagi licznych podmiotów zainteresowanych, z którymi był konsultowany.

Czytaj na ten temat: Kodeks RODO dla ochrony zdrowia – jaki jest stan obecny? >>>

Rozwój cyfryzacji i telemedycyny, który przyspieszył znacznie w okresie epidemii, spowodował także konieczność stosowania w szerszym zakresie zasad cyberbezpieczeństwa w ochronie zdrowia. Podczas konferencji “RODO w sektorze medycznym” mówiła na ten temat Katarzyna Pisarzewska, kierownik Działu Prawa Ochrony Danych Osobowych w Lux Med.

Prelegentka przypomniała, że epidemia wpłynęła w znacznym stopniu na rozwój cyfryzacji i telemedycyny, wymuszając konieczność sprawnego i skutecznego przejścia na model obsługi pacjentów w formie zdalnej, jednocześnie zwiększając zapotrzebowanie na rozwiązania chmurowe oraz zasoby sieciowe i dostosowanie aplikacji elektronicznej dokumentacji medycznej, aplikacji klinicznych oraz używanych w ramach obsługi pacjenta do aktualnego środowiska sieciowego. 

W związku z tym pojawiły się nowe wyzwania dotyczące ochrony danych w sektorze zdrowia. Wynika to z faktu, że sektor medyczny jest najbardziej atrakcyjnym sektorem dla cyberprzestępców. Informacje zawarte w bazach danych medycznych mogą być warte nawet 10 razy więcej niż informacje z kart kredytowych. 

Czytaj także: Jak zarządzać ryzykiem zgodnie z RODO w laboratorium medycznym?>>>

Szacuje się, że aż 23 procent podmiotów z branży opieki zdrowotnej dokonało jakiejś formy płatności na rzecz okupu z powodu ataku typu ransomware. Chodzi o złośliwe oprogramowanie, powodujące utratę danych osobowych, które jest instalowane zdalnie na komputerze, a którego odblokowanie jest dokonywane po opłaceniu określonej sumy pieniędzy. 

Niebezpieczeństwo utraty takich danych w podmiotach medycznych może być także wynikiem stosowania przestarzałego oprogramowania oraz błędu ludzkiego, czyli nieprawidłowego przesyłania i udostępniania danych dokonywanego przez personel podmiotu medycznego. 

Dyrektywa NIS, czyli pierwsze europejskie prawo w zakresie cyberbezpieczeństwa, przyjęta w 2018 roku (w Polsce implementuje ją Ustawa o krajowym systemie cyberbezpieczeństwa z 28 sierpnia 2018 roku) zakłada poszerzenie współpracy państw członkowskich w tym zakresie. Jednym z sektorów objętych dyrektywą jest sektor e-zdrowia, obejmujący zagadnienia przetwarzania elektronicznej dokumentacji medycznej. 

Główne wyzwania dotyczące cyberbezpieczeństwa w ochronie zdrowia dotyczą analizy ryzyka i zapewnienia odpowiedniego sprzętu oraz zasad poufności, przy użyciu dowolnego kanału komunikacji, zarówno w przypadku rozmowy prowadzonej za pośrednictwem call center czy też zdalnego dostępu do aplikacji, na przykład do portalu pacjenta, czy podczas udzielania świadczeń na odległość.  

Czytaj także: Pracodawcy Medycyny Prywatnej partnerem Kongresu Wyzwań Zdrowotnych>>>

Ważna jest prawidłowa weryfikacja danych osobowych pacjenta lub osoby uprawnionej (na przykład osoby bliskiej, wskazanej przez pacjenta), podwójne uwierzytelnienie podczas nadawaniu pacjentowi dostępu do aplikacji mobilnych oraz zapewnienie obsługi cyfrowej dla osób starszych i nieporadnych.  

W celu odpowiedniego zabezpieczenia danych osobowych w cyfrowym świecie potrzebna jest jako punkt wyjścia – analiza ryzyka oraz identyfikacja zagrożeń oraz adekwatnych środków technicznych, fizycznych i organizacyjnych. Ważne jest regularne podnoszenie świadomości pracowników w zakresie cyberbezpieczeństwa.  

Zalecane jest dokonywanie regularnych pen-testów oraz ciągle doskonalenie stosowanych zabezpieczeń dotyczących zagrożeń związanych z cyberprzestępczością. Pomaga w tym weryfikacja i stosowanie podwójnego uwierzytelnienia przy udzielaniu zdalnego dostępu do danych osobowych oraz wykonywanie regularnych kopii danych i szyfrowanie baz danych. 

Konferencja pt. “RODO w sektorze medycznym – gdzie jesteśmy, dokąd zmierzamy?” odbyła się 25 maja 2021 roku.  

Organizatorem Konferencji byli: Medexpert Ligia Kornowska oraz Polska Federacja Szpitali. Partnerem prawnym była Kancelaria DZP sp. k. Pracodawcy Medycyny Prywatnej objęli wydarzenie swoim patronatem.  

Więcej informacji na temat kodeksu RODO w ochronie zdrowia znajduje się na stronie www.rodowzdrowiu.pl. 

Na czym polega ocena ryzyka w laboratorium medycznym, jaki jest cel tych działań i jakie korzyści zyskują podmioty wdrażające taką ocenę – o tym mówił podczas konferencji “RODO w sektorze medycznym” – Dawid Bochenek, inspektor ochrony danych w spółce Diagnostyka. 

Szacowanie ryzyka to działanie wynikające z ogólnego rozporządzenia o ochronie danych osobowych RODO, które mówi o tym, że administrator danych osobowych wdraża odpowiednie środki techniczne i organizacyjne w celu przetwarzania tych danych, uwzględniając ich charakter i zakres oraz ryzyko naruszenia praw lub wolności osób, których te dane dotyczą. 

Działanie zgodne z RODO wymaga podejścia opartego na ryzyku – bez właściwej oceny ryzyka podejmowane decyzje w zakresie zabezpieczeń czy skutków naruszeń mogą być niewłaściwe. 

Ocena ryzyka w laboratorium medycznym uwzględnia wszelkie zarejestrowane czynności przetwarzania danych niezależnie od tego, czy czynności te związane są z udzielaniem świadczeń o charakterze zdrowotnym czy administracyjnym i technicznym. 

Przy doborze metody dla szacowania ryzyka można wykorzystać sprawdzone wzorce, które są powszechnie dostępne i uznane. Przepisy RODO nie wskazują wprawdzie wprost na wybór określonej metodologii dla oceny ryzyka, jednak wskazówki dotyczące właściwego podejścia opartego na ryzyku zostały udostępnione między innymi przez Grupę Roboczą art. 29, UODO oraz Kodeks postępowania dla sektora ochrony zdrowia wydany na podstawie art. 40 RODO. 

Czytaj także: Kodeks RODO dla ochrony zdrowia – jaki jest stan obecny?>>>

Jedną z proponowanych metod podejścia do szacowania ryzyka określa załącznik nr 4 do projektu Kodeksu postepowania dla sektora ochrony zdrowia, którego projekt został zatwierdzony przez UODO. Mówi on o identyfikacji czynności i podstaw przetwarzania danych osobowych, katalogu zagrożeń i skutków naruszenia praw i wolności osób, a także o wykorzystaniu normy ISO/IEC 29151:2017 i ISO/IEC 27001:2013 do wprowadzenia zabezpieczeń. 

Kolejną metodą, którą można zastosować w celu oceny skutków naruszenia ochrony danych osobowych i jego wpływu na prawa i wolności osób, jest na przykład metodologia opracowana przez Agencję UE ds. Bezpieczeństwa Sieci i Informacji (ENISA) we współpracy z europejskimi organami ochrony danych osobowych w Niemczech i Grecji. 

Do szacowania ryzyka można wykorzystać metodę ilościowo-jakościową, w której dla poszczególnych czynności wykorzystanych do przetwarzania danych osobowych określane są zagrożenia, skutki oraz prawdopodobieństwo materializacji zagrożenia. Na tej podstawie ustalany jest poziom ryzyka i podejmowane są decyzje o dalszym postępowaniu. 

W zależności od wyników analizy ryzyka, zwłaszcza kiedy pozostaje ono na poziomie nieakceptowanym, podejmowane są działania w celu jego ograniczenia. Przeprowadza się ocenę skutków dla ochronnych danych osobowych w przypadku, kiedy analiza wykazuje na wysokie ryzyko materializacji zagrożenia. 

Czytaj także: Diagnostyka wprowadziła dodatkowe zabezpieczenia wyników badań>>>

Działanie na rzecz minimalizacji ryzyka polegają na zastosowaniu dodatkowych środków technicznych i organizacyjnych, a unikanie ryzyka – na całkowitej rezygnacji z danej czynności. 

Można także zdecydować o przeniesieniu ryzyka poprzez jego dzielenie lub przeniesienie na inny wyspecjalizowany podmiot albo o ubezpieczeniu od ryzyka, na przykład na wypadek roszczeń. 

Gdy trudno o minimalizację ryzyka z wykorzystaniem zabezpieczeń technicznych i organizacyjnych, stosowane są sprawdzone metody jego ograniczenia poprzez poszukiwanie sposobów na dalszą minimalizację danych. Trzeba przy tym pamiętać, że zgodnie z zasadą dotycząca domyślnej ochrony danych osobowych (art. 25 ust. 2 RODO) dane powinny być zbierane w zakresie niezbędnym do realizacji celu przetwarzania oraz przez stosowanie technik szyfrowania i pseudonimizacji danych. 

Po wprowadzeniu dodatkowych zabezpieczeń lub wykorzystaniu metod mających ograniczyć ryzyko, przeprowadza się ponowne szacowanie ryzyka i ponownie ocenia się skutki lub prawdopodobieństwo zmaterializowania zagrożenia. 

Dla oceny skutków naruszenia przyjęto zestaw kryteriów, które pozwalają ustalić zagrożenia a także podjąć decyzję o powiadomieniu organu nadzorczego ochrony danych (UODO). Należą do nich: ocena charakteru naruszenia, możliwe negatywne skutki naruszenia oraz ocena czynników minimalizujących naruszenie. 

Przy pierwszym kryterium sprawdzamy, czy naruszenie dotyczy danych ujawniających pochodzenie etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, czy dotyczy przynależności do związków zawodowych lub danych biometrycznych, danych genetycznych, dotyczących zdrowia lub życia seksualnego, albo czy dotyczy danych z wykorzystaniem których oceniane są czynniki osobowe, w szczególności analizowane lub prognozowane aspekty dotyczące efektów pracy, sytuacji ekonomicznej, zdrowia, osobistych preferencji lub zainteresowań, wiarygodności lub zachowania, lokalizacji lub przemieszczania się – w celu tworzenia lub wykorzystywania profili osobistych, albo danych o wyrokach skazujących i naruszeń prawa czy danych osób wymagających szczególnej ochrony, w tym dzieci. 

Sprawdzane jest także, czy naruszenie dotyczy dużej ilości danych osobowych, danych osobowych prawnie chronionych, na przykład tajemnicą ustawową lub zawodową, a także danych, które ulegały nieuprawionemu odwróceniu pseudonimizacji lub zostały odszyfrowane. 

Możliwe negatywne skutki naruszenia danych osobowych to naruszenie dobrego imienia, dyskryminacja, utrata kontroli nad danymi, kradzież tożsamości i możliwe wynikające z tego oszustwa, straty finansowe, ograniczenie praw i wolności. 

Czytaj także: Pracodawcy Medycyny Prywatnej partnerem Kongresu Wyzwań Zdrowotnych>>>

Czynniki minimalizujące ryzyko to zobowiązanie do zachowania poufności lub tajemnicy, szyfrowanie danych, a także minimalizacja lub pseudonimizacja danych. 

W przypadku chociażby jednej twierdzącej odpowiedzi przy ocenie charakteru naruszenia, ryzyko uznaje się za wysokie, na przykład jeśli dotyczy szczególnych kategorii danych osobowych o stanie zdrowia. 

Na podstawie oceny możliwych negatywnych skutków naruszenia dokonywana jest analiza oraz ocena prawdopodobieństwa wystąpienia negatywnego zdarzenia.  Iloczyn wartości zdarzenia i prawdopodobieństwa wskazuje na poziom ryzyka. 

Jeśli przeprowadzona ocena wskazuje na wysokie ryzyko niezależnie czy wynika to z oceny charakteru naruszenia czy oceny możliwych negatywnych skutków naruszenia dokonywane jest zawiadomienie organu nadzorczego ochrony danych osobowych (UODO) i podmiotów danych. 

W przypadku wskazania średniego ryzyka zawiadamiany jest organ nadzorczy ochrony danych osobowych (UODO) – nie wymagane jest powiadomienie podmiotów danych, jednak nie jest to zabronione i może być traktowane jako dobra praktyka.  

W przypadku naruszenia ochrony danych osobowych należy dokonać przeglądu analizy ryzyka, która pozwoli ponownie ocenić, czy zastosowane środki techniczne i organizacyjne są adekwatne do zagrożenia. 

W przypadku kolejnego szacowania po naruszeniu ochrony danych osobowych należy zwracać szczególną uwagę nie tylko na zastosowane zabezpieczenia ale również na to, czy wartość prawdopodobieństwa jest na właściwym poziomie i nie wymaga zwiększenia w związku ze zdarzeniem. 

Konferencja pt. “RODO w sektorze medycznym – gdzie jesteśmy, dokąd zmierzamy?” odbyła się 25 maja 2021 roku. 

Organizatorem Konferencji byli: Medexpert Ligia Kornowska oraz Polska Federacja Szpitali. Partnerem prawnym była Kancelaria DZP sp. k. Pracodawcy Medycyny Prywatnej objęli wydarzenie swoim patronatem. 

Więcej informacji na temat kodeksu RODO w ochronie zdrowia znajduje się na stronie www.rodowzdrowiu.pl. 

Kodeks RODO dla ochrony zdrowia uzyskał na początku roku 2021 pozytywną opinię Prezesa Urzędu Ochrony Danych Osobowych. Kolejnym krokiem będzie zatwierdzenie podmiotu monitorującego kodeksy postępowania. Wówczas dopiero będziemy mieć do czynienia z pełnym modelem, w jakim może funkcjonować kodeks postępowania dla danej branży.

Kodeks RODO dla ochrony zdrowia to dokument stanowiący formę samoregulacji branżowej, który po zatwierdzeniu będzie rodził określone skutki prawne. Nie odnosi się do danych pracowników ani kontrahentów, czyli do danych, które nie są danymi medycznymi. Nie dotyczy także przetwarzania danych w obrocie transgranicznym.

Wniosek dotyczący kodeksu dla branży medycznej został złożony w Urzędzie Ochrony Danych Osobowych w listopadzie 2018 roku.

Kodeks powstał w wyniku prac szerokiej koalicji, składającej się między innymi z przedstawicieli Polskiej Federacji Szpitali, Telemedycznej Grupy Roboczej, Związku Pracodawców Technologii Cyfrowych Lewiatan, Pracodawców Medycyny Prywatnej, Polskiej Izby Informatyki i Telekomunikacji, Porozumienia Zielonogórskiego. Uwzględnia postulaty i uwagi licznych podmiotów zainteresowanych, z którymi był konsultowany.

Czytaj także: Prywatna opieka zdrowotna odrobi straty już w 2021 roku>>>

Uzyskanie pozytywnej opinii Prezesa UDODO jest elementem procesu postępowania, zgodnego z KPA. Do zatwierdzenia kodeksu potrzebny jest jeszcze akredytowany zatwierdzony podmiot monitorujący, który będzie mógł przyjmować wnioski poszczególnych podmiotów dotyczących stosowania kodeksu. Podmiot monitorujący w pewnym zakresie zastępuje Urząd Ochrony Danych Osobowych, nadzoruje i wspiera placówki medyczne w zakresie stosowania kodeksu.

Gdy zostanie zatwierdzony podmiot monitorujący, kodeks zostanie zatwierdzony i wpisany do rejestru publicznego. Zostanie wówczas także przesłany do Europejskiej Rady Ochrony Danych Osobowych.

Informacje o zatwierdzonych kodeksach będą się pojawiały w rejestrze na stronie internetowej UODO w zakładce Kodeksy i certyfikacja, dostępnej pod linkiem: https://uodo.gov.pl/pl/426/1110.

Z kolei lista wszystkich organizacji, które zgłosiły swoje kodeksy do zatwierdzenia przez Prezesa UODO dostępna jest na stronie internetowej Urzędu pod linkiem: https://uodo.gov.pl/pl/426/1109.

Przystąpienie do stosowania kodeksu daje gwarancję prawidłowości stosowania określonych rozwiązań dotyczących ochrony danych osobowych, zatwierdzonych przez organ nadzoru. Podmioty stosujące kodeks mogą też liczyć na nadzór nad procesami przetwarzania danych osobowych przez niezależny podmiot monitorujący kodeks. Korzyścią ze stosowania kodeksu jest także to, że zgodnie z RODO organ nadzorczy w razie nakładania na dany podmiot kary w każdym przypadku bierze pod uwagę to, czy podmiot ten prawidłowo stosował kodeks postępowania, który został zatwierdzony przez organ nadzorczy.

Już obecnie można się przygotowywać do stosowania zasad zawartych w kodeksie i zmieniać procedury w placówkach medycznych.

Zagadnienia dotyczące kodeksu RODO dla branży medycznej były tematem konferencji, która odbyła się 25 maja 2021 roku pt. “RODO w sektorze medycznym – gdzie jesteśmy, dokąd zmierzamy?”.

Organizatorem Konferencji byli: Medexpert Ligia Kornowska oraz Polska Federacja Szpitali. Partnerem prawnym była Kancelaria DZP sp. k. Pracodawcy Medycyny Prywatnej objęli wydarzenie swoim patronatem.

Więcej informacji na temat kodeksu RODO w ochronie zdrowia znajduje się na stronie www.rodowzdrowiu.pl.

Pracodawcy Medycyny Prywatnej objęli patronatem III edycję konferencji w ramach cyklu „RODO w zdrowiu”. Konferencja pt. “RODO w sektorze medycznym – gdzie jesteśmy, dokąd zmierzamy?” odbędzie się 25 maja 2021 roku, w formule online.

Cykl „RODO w zdrowiu” to największe wydarzenie dotyczące ochrony danych medycznych w Polsce, skupiające największe, liczące się organizacje branżowe, a także przedstawicieli strony publicznej.

I edycja „konferencji “RODO w sektorze medycznym – gdzie jesteśmy, dokąd zmierzamy? odbyła się w marcu 2018 roku, II edycja – w lutym 2019, wówczas także zapoczątkowana została kampania „RODO dla pacjenta”. Wydarzenia te Pracodawcy Medycyny Prywatnej również objęli patronatem.

W obu tych edycjach konferencji wzięło udział ponad 1000 uczestników, w tym ponad 100 przedstawicieli placówek medycznych, oraz ponad 40 panelistów (ekspertów).

Podczas tegorocznej konferencji zostanie między innymi zaprezentowany „Kodeks postępowania dla sektora ochrony zdrowia”, który w lutym 2021 roku został pozytywnie zaopiniowany przez prezesa Urzędu Ochrony Danych Osobowych. Oznacza to, że podmioty wykonujące działalność leczniczą mogą rozpocząć dostosowywanie się do jego postanowień.

Czytaj także: Kodeks dla branży medycznej zaakceptowany przez PUODO>>>

Projekt kodeksu został stworzony w ramach prac szerokiej koalicji, składającej się między innymi z Polskiej Federacji Szpitali, Telemedycznej Grupy Roboczej, Związku Pracodawców Technologii Cyfrowych Lewiatan, Pracodawców Medycyny Prywatnej, Polskiej Izby Informatyki i Telekomunikacji, Porozumienia Zielonogórskiego. Dokument uwzględnia również postulaty i uwagi licznych podmiotów zainteresowanych, z którymi był konsultowany.

Stworzenie kodeksu branżowego dla sektora ochrony zdrowia to giresun escort bezprecedensowy sukces twórców tego dokumentu, którzy doprowadzili do wypracowania wspólnego stanowiska przez branżę reprezentującą różne placówki, niezależnie od ich struktury właścicielskiej czy rodzaju udzielanych świadczeń medycznych.

Kodeks ten jest tym samym jednym z najważniejszych osiągnięć polskiego sektora ochrony zdrowia w zakresie ochrony danych osobowych, stanowiąc swoistą wizytówkę Polski.

Podczas konferencji przedstawiona zostanie systematyka kodeksu i jego założenia, omówione zostaną zagadnienia dotyczące trabzon escort RODO w codziennej praktyce, zarówno w przypadku mniejszych jak i większych placówek medycznych.

Czytaj także: Prezes Pracodawców Medycyny Prywatnej spotkała się z ministrem zdrowia>>>

Poza tym podczas konferencji zostaną przedstawione zagadnienia związane z zasadami przetwarzania danych medycznych oraz z bezpieczeństwem tych danych w środowisku cyfrowym. Tematy paneli będą dotyczyły między innymi nowych zasad prowadzenia dokumentacji medycznej w postaci cyfrowej, zagadnień związanych z RODO i danymi osobowymi pacjenta w aptekach oraz w badaniach klinicznych.

Konferencja skierowana jest do przedstawicieli placówek medycznych odpowiedzialnych za rize escort przetwarzanie danych i cyberbezpieczeństwo w tych placówkach. Udział w konferencji jest bezpłatny.

Organizatorem Konferencji jest: Medexpert Ligia Kornowska oraz Polska Federacja Szpitali
Partnerem prawnym jest Kancelaria DZP sp. k.

Więcej informacji o konferencji znajduje się na stronie www.rodowzdrowiu.pl.

W lutym 2021 roku Prezes Urzędu Ochrony Danych Osobowych pozytywnie zaopiniował projekt Kodeksu postępowania dla sektora ochrony zdrowia. Oznacza to, że podmioty wykonujące działalność leczniczą mogą rozpocząć dostosowywanie się do jego postanowień. 

PUODO, po przeprowadzeniu dokładnej oceny projektu kodeksu złożonego przez Polską Federację Szpitali w zakresie zgodności z RODO, pozytywnie zaopiniował zaproponowane w nim rozwiązania dotyczące doprecyzowania zasad ochrony danych osobowych w placówkach ochrony zdrowia.  

Tym samym, zapisy projektu kodeksu wyznaczają już pewien akceptowany standard, który może być przyjmowany przez wszystkie zainteresowane podmioty udzielające świadczeń zdrowotnych. 

Projekt kodeksu został stworzony w ramach prac szerokiej koalicji, składającej się między innymi z Polskiej Federacji Szpitali, Telemedycznej Grupy Roboczej, Związku Pracodawców Technologii Cyfrowych Lewiatan, organizacji Pracodawców Medycyny Prywatnej, Polskiej Izby Informatyki i Telekomunikacji, Porozumienia Zielonogórskiego. Dokument uwzględnia również postulaty i uwagi licznych podmiotów zainteresowanych, z którymi był konsultowany. 

-Prace nad kodeksem rozpoczęliśmy w roku 2017. Od samego początku podejmowaliśmy bezprecedensowe działania na rzecz zapewnienia odpowiedniej reprezentatywności, inkluzyjności i transparentności w pracach nad Gazipaşa escort kodeksem. Stworzenia kodeksu podjęła się szeroka koalicja organizacji branżowych, a jego zapisy były regularnie konsultowane w trakcie konferencji i za pomocą dedykowanej strony internetowej. Chciałbym serdecznie podziękować i pogratulować wszystkim osobom, które wspierały prace nad kodeksem w ciągu minionych czterech lat, a były ich setki – powiedział Piotr Najbuk, inicjator opracowania kodeksu. 

Czytaj także: Pracodawcy Medycyny Prywatnej wspierają kampanię RODO dla pacjenta>>>

Pozytywna opinia dotycząca kodeksu postępowania została wydana przez PUODO z zastrzeżeniem kwestii monitorowania podmiotów publicznych, która musi jeszcze zostać doprecyzowana.  

Warunkiem ostatecznego zatwierdzenia kodeksu jest bowiem uzyskanie akredytacji przez podmiot monitorujący, który będzie weryfikował, czy podmioty lecznicze, które przystąpią do stosowania kodeksu, faktycznie przestrzegają jego postanowień. Wydana przez PUODO opinia otwiera drogę do Finike escort uzyskiwania akredytacji przez przyszłe podmioty monitorujące. 

„Kodeks postępowania dla sektora ochrony zdrowia” zostanie zaprezentowany podczas konferencji online pt. „RODO w sektorze medycznym – gdzie jesteśmy, dokąd zmierzamy – Edycja III”, która odbędzie się 25 maja 2021 roku. 

Poza tym w trakcie konferencji zostaną przedstawione zagadnienia Elmadağ escort związane z bezpieczeństwem danych medycznych w środowisku cyfrowym. 

Więcej  informacji o konferencji znajduje się na stronie www.rodowzdrowiu.pl 

Z kontroli NIK wynika, że szpitale nie przestrzegają zasad ochrony danych osobowych. Izba wystąpiła do prezesa Urzędu Ochrony Danych Osobowych o przeprowadzanie systemowych kontroli w tym zakresie oraz niezwłoczne zakończenie działań związanych z przyjęciem kodeksu postępowania dla sektora ochrony zdrowia i wprowadzenie regulacji dotyczących certyfikacji, o której mowa w art. 42 RODO.

Z analizy przeprowadzonej przez Najwyższą Izbę Kontroli wynika, że w ponad połowie skontrolowanych szpitali doszło do naruszeń ochrony danych osobowych, z czego w sześciu sytuacja była na tyle poważna, że konieczne było powiadomienie Prezesa Urzędu Ochrony Danych Osobowych.

Na przykład w Szpitalu Specjalistycznym im. Ludwika Rydygiera w Krakowie Sp. z o.o. jeden z pacjentów niechcący zabrał dokumentację medyczną innego pacjenta jednej z poradni, a w Wojewódzkim Specjalistycznym Szpitalu Dziecięcym im. Św. Ludwika w Krakowie mężczyzna z zaburzeniami psychicznymi ukradł z pomieszczenia rejestracji trzy kartoteki pacjentów – dwóch z nich nie odnaleziono. W 9 z 24 skontrolowanych szpitali papierowa dokumentacja pacjentów na oddziałach szpitalnych przechowywana była w niezamykanych szafkach lub na półkach. W ocenie NIK niewłaściwe zabezpieczenie i przechowywanie dokumentacji medycznej przez personel medyczny wynika z rutyny.

Z dokumentacją medyczną pacjentów związane jest również zagadnienie udostępniania jej innym osobom niż pacjent, na przykład członkom rodziny. W dwóch skontrolowanych szpitalach kopie dokumentacji zostały udostępnione osobom, których pacjent nie upoważnił, a w  siedmiu do przetwarzania danych osobowych, w tym medycznych, upoważnieni byli pracownicy obsługi, na przykład salowe i sanitariusze. W ocenie NIK osoby te nie udzielają pacjentom świadczeń medycznych i nie powinny mieć dostępu do danych dotyczących  historii choroby czy przebiegu leczenia pacjenta.

W 9 z 24 skontrolowanych szpitali pacjentom nie zagwarantowano prawa do prywatności w trakcie rejestracji. Odległość pomiędzy okienkami rejestracji była zbyt mała lub nie wyznaczono strefy oddzielającej pacjentów obsługiwanych od oczekujących w kolejce.

Czytaj także: Pracodawcy Medycyny Prywatnej wspierają kampanię RODO dla pacjenta>>>

We wszystkich objętych kontrolą szpitalach pacjentom umieszczano na nadgarstkach opaski ze znakami identyfikacyjnymi. Zgodnie z obowiązującymi przepisami, umieszczane na opaskach informacje muszą być zapisane w sposób uniemożliwiający identyfikację pacjenta przez osoby postronne. Nie powinny zatem zawierać nr PESEL, imienia, ani nazwiska. Jednak – jak wykazali kontrolerzy NIK – prawie połowa skontrolowanych szpitali (11 z 24) nie stosowała się do tych zasad.

W trzech skontrolowanych szpitalach dane osobowe pacjentów umieszczone były na szpitalnych łóżkach, w sposób widoczny dla osób postronnych, na przykład odwiedzających innego chorego. Jednocześnie jednak, w tych samych szpitalach, na innych oddziałach, funkcjonowały rozwiązania chroniące dane osobowe pacjentów. Stosowano tam karty przyłóżkowe z ramkami zasłaniającymi personalia.

Niepokojącym zjawiskiem, według NIK, jest przekazywanie danych osobowych pacjentów firmom informatycznym serwisującym szpitalne systemy podczas zgłaszania usterek oprogramowania. Taka sytuacja miała miejsce aż w 11 skontrolowanych szpitalach w odniesieniu do danych osobowych 41 pacjentów, w tym danych medycznych 31 z nich.

W ¾ szpitali nie wdrożono odpowiednich środków zabezpieczających dane osobowe i medyczne pacjentów przechowywane w postaci elektronicznej.

Zgodnie z przepisami RODO, pracownicy szpitala powinni otrzymać stosowne upoważnienia do przetwarzania danych. Tymczasem kontrolerzy NIK stwierdzili błędy w tym zakresie w 5 szpitalach.  W 15 skontrolowanych szpitalach osobom odchodzącym z pracy nie odbierano uprawnień do systemów informatycznych, a w 10 – część pracowników posiadała uprawnienia administratora systemów operacyjnych wykorzystywanych komputerów, pomimo że osoby te nie były informatykami i nie zajmowały się administrowaniem systemami informatycznymi.

W połowie skontrolowanych szpitali kontrolerzy NIK stwierdzili zaniechania, które w sposób szczególny wpływały na obniżenie bezpieczeństwa danych przechowywanych w formie elektronicznej.

Zgodnie z przepisami RODO, punktem wyjścia do właściwej ochrony danych osobowych powinna być analiza ryzyka procesów przetwarzania danych. Jednak szpitale nie przygotowały się na wejście w życie nowych przepisów

Z pomocą podmiotom leczniczym przyszło Ministerstwo Cyfryzacji, które we współpracy z Ministerstwem Zdrowia przygotowało Przewodnik po RODO dla służby zdrowia. Publikacja ta zawiera przykłady praktycznych rozwiązań, które ułatwiają ochronę danych medycznych pacjentów. Jednak mimo przekazania Przewodnika szpitalom, zagadnienia związane z ochroną danych osobowych pacjentów były w tych jednostkach marginalizowane i jako dodatkowy obowiązek nie znalazły się wśród priorytetów służb medycznych i pracowników administracyjnych. Zawiódł też system szkoleń. Tylko w 9 szpitalach szkoleniami z zakresu ochrony danych osobowych objęto prawie cały personel. Były jednak także takie podmioty lecznicze, w których przeszkolony był niespełna co dziesiąty pracownik.

Cały raport NIK dostępny jest na stronie: www.nik.gov.pl

Kodeks dla branży medycznej, która ma ułatwiać stosowanie przepisów unijnego rozporządzenia RODO, powstaje od początku 2018 roku. Pod koniec roku 2018 został złożony do Urzędu Ochrony Danych Osobowych.

W pracach nad kodeksem aktywnie uczestniczyli między innymi przedstawiciele Pracodawców Medycyny Prywatnej.

Czytaj na ten temat: Projekt Kodeksu Branżowego dla podmiotów medycznych złożony do Urzędu Ochrony Danych Osobowych>>>

Na stronie ogólnopolskiej kampanii edukacyjnej www.rododlapacjenta.pl pojawiły się nowe materiały edukacyjne. Pracodawcy Medycyny Prywatnej wspierają kampanię od chwili jej inauguracji w lutym 2019.

Nowe materiały edukacyjne to między innymi plakat i animacja z RODObohaterem, a w nich tym razem to nie superbohater ratuje świat, lecz RODO ratuje jego prywatność.

Dostępna jest także animacja „Wywiad z IODą”, która pomoże przybliżyć pacjentom nie tylko wiedzę na temat RODO, lecz również rolę stosunkowo nowej funkcji w strukturze organizacyjnej wielu podmiotów wykonujących działalność leczniczą, jaką jest Inspektor Ochrony Danych.

Administratorzy strony zaktualizowali także warunki udostępniania materiałów i nie jest już niezbędne uzyskiwanie uprzedniej zgody na ich udostępnianie na stronach internetowych podmiotów wykonujących działalność leczniczą.

Kampania edukacyjna „Pacjencie, znaj swoje prawa z RODO” ma na celu podniesienie świadomości polskich pacjentów tak, aby w prawnie uzasadniony sposób mogli oni domagać się przestrzegania praw związanych z ochroną danych osobowych.

Na stronie internetowej kampanii www.rododlapacjenta.pl pojawiają się materiały zatwierdzone przez Urząd Ochrony Danych Osobowych i Rzecznika Praw Pacjenta.

Materiały te można pobierać i drukować albo umieszczać w mediach społecznościowych.

Ze strony można także pobrać Kodeks branżowy, zawierający wskazówki dotyczące postępowania z danymi osobowymi w sektorze medycznym. Kodeks jest w trakcie zatwierdzania przez Prezesa Urzędu Ochrony Danych Osobowych.

Na stronie znajduje się także zakładka – Baza wiedzy, zawierająca pytania i odpowiedzi, która porusza ważne zagadnienia związane z RODO.

Partnerami wspierającymi kampanię są także: Grupa Lux Med, Medicover oraz spółka Diagnostyka.

Czytaj także: Pracodawcy Medycyny Prywatnej wspierają kampanię RODO dla pacjenta>>>

Pod koniec lutego 2019, podczas konferencji RODO w Zdrowiu, zainaugurowana została ogólnopolska kampania edukacyjna – RODO dla pacjenta. Pracodawcy Medycyny Prywatnej są partnerem wspierającym kampanii.

Partnerami wspierającymi są także: Grupa Lux Med, Medicover oraz spółka Diagnostyka.

„Temat ochrony danych osobowych w kontekście korzystania z usług medycznych obrósł licznymi mitami i wątpliwościami. Tymczasem, ochrona danych osobowych stanowi bardzo istotny człon praw pacjenta. Uważamy, że każdemu z nas, będącemu pacjentem należy się rzetelna wiedza na temat przysługujących mu praw związanych z ochroną danych osobowych” – deklarują organizatorzy kampanii.

Kampania edukacyjna „Pacjencie, znaj swoje prawa z RODO” ma na celu podniesienie świadomości polskich pacjentów tak, aby w prawnie uzasadniony sposób mogli oni domagać się przestrzegania praw związanych z ochroną danych osobowych.

Od chwili inauguracji działa strona internetowa kampanii www.rododlapacjenta.pl, na której dostępne są materiały zatwierdzone przez Urząd Ochrony Danych Osobowych i Rzecznika Praw Pacjenta. Jest to plakat, ulotka, a także animacja informacyjna. Kolejne materiały będą dostępne wkrótce, są w trakcie opracowywania.

Materiały można pobrać i wydrukować albo umieszczać w mediach społecznościowych.

Na stronie znajduje się także zakładka – Baza wiedzy, zawierająca pytania i odpowiedzi, która porusza ważne zagadnienia związane z RODO. Planowane jest także uruchomienie dyżurów prawniczych.

Ze strony można także pobrać Kodeks branżowy, zawierający wskazówki dotyczące postępowania z danymi osobowymi w sektorze medycznym. Kodeks jest w trakcie zatwierdzania przez Prezesa Urzędu Ochrony Danych Osobowych.

Czytaj także: Kodeks dla branży medycznej – trwają konsultacje>>>

Kampania RODO dla pacjenta skierowana jest do każdego pacjenta, który chce uzyskać rzetelne informacje dotyczące swoich praw związanych z RODO, ale także do personelu medycznego i placówek medycznych, które chcą przekazać rzetelną wiedzę swoim pacjentom. Potrwa co najmniej do końca 2019 roku, do tego czasu materiały będą aktualizowane.

Organizatorzy kampanii to: kancelaria DZP, Polska Federacja Szpitali i Młodzi Menedżerowie Medycyny, a partnerzy kampanii to: Althea, Polpharma oraz Supra Brokers.

Patronami społecznymi są: Krajowa Izba Fizjoterapeutów, Naczelna Izba Pielęgniarek i Położnych, Polska Federacja Szpitali, Instytut Zarządzania w Ochronie Zdrowia Uczelni Łazarskiego. Patroni publiczni to: Ministerstwo Zdrowia, Ministerstwo Cyfryzacji, CSIOZ, UODO, Rzecznik Praw Pacjenta, Rzecznik Praw Obywatelskich oraz CMJ.

Partnerzy wspierający to również  SZ PZLO Praga-Północ oraz Infinite IT Solutions.

www.rododlapacjenta.pl

Od ponad roku powstaje kodeks dla branży medycznej, którego celem jest ułatwienie stosowania przepisów unijnego rozporządzenia RODO. Po złożeniu projektu kodeksu 13 listopada 2018 w UODO trwają spotkania konsultacyjne – informował Piotr Najbuk z kancelarii DZP podczas konferencji RODO w Zdrowiu 27 lutego 2019.

Kolejnym etapem będzie rejestracja i publikacja kodeksu przez organ nadzorczy.

Projekt Kodeksu został po raz pierwszy zaprezentowany na I konferencji RODO w Zdrowiu  14 marca 2018 roku.

Kodeks składa się z kilku elementów, są to – podstawowe zagadnienia, bezpieczeństwo danych, prawa pacjenta, badania naukowe i wtórne wykorzystanie danych.

Nad kodeksem pracowali między innymi Pracodawcy Medycyny Prywatnej, a także Polska Federacja Szpitali, Lewiatan, Fundacja Telemedyczna Grupa Robocza, Polska Izba Informatyki i Telekomunikacji, Federacja Związków Pracodawców Ochrony Zdrowia Porozumienie Zielonogórskie. W opracowaniu kodeksu uczestniczyli również przedstawiciele strony publicznej – Ministerstwa Zdrowia, CMJ, CSIOZ oraz samorządy zawodowe, uczelnie i inne instytucje.

Główne problemy dotyczące stosowania RODO to komunikacja z pacjentem i świadczenia na rzecz pacjentów, relacja z partnerami zewnętrznymi czy działania wewnętrzne.

Czytaj także: Inauguracja kampanii edukacyjnej RODO dla pacjenta>>>

Podczas konferencji Paulina Dawidczyk, dyrektor zespołu ds. sektora zdrowia, zatrudnienia i szkolnictwa Urzędu Ochrony Danych Osobowych wskazała, że wprowadzenie RODO oznaczało zmianę podejścia. Rejestr czynności przetwarzania to odejściu od formalizmu, a ocena skutków dla ochrony danych i szacowania ryzyka – to zmiana podejścia do procesów przetwarzania.

Nowością jest zgłaszanie naruszeń oraz wyznaczenie inspektora ochrony danych osobowych.

Problemy pojawiają się w zakresie ochrony danych pacjentów w procesie rejestracji, imion i nazwisk oraz specjalizacji lekarzy na drzwiach gabinetów, rozmów z pacjentami na salach chorych o ich stanie zdrowia, telefonicznego udostępnienia informacji o hospitalizacji pacjenta, kart przyłóżkowych czy umów powierzenia z jednostkami medycyny pracy.

Czytaj: RODO w Zdrowiu: Trzeba uważać na umowy powierzenia>>>

Natomiast wątpliwości, które pojawiły się podczas tworzenia kodeksu, dotyczyły między innymi podstaw prawnych przetwarzania danych pacjentów bez ich zgody. Kluczową przesłanką legalności przetwarzania danych są cele zdrowotne (RODO, nota 52 preambuły), w tym związane ze zdrowiem publicznym oraz zarządzaniem usługami opieki zdrowotnej.

Wątpliwości dotyczyły na przykład profilaktyki zdrowotnej – czyli kierowania do pacjentów zaproszeń na badania bez ich zgody. Z przepisów wynika, że przetwarzanie danych bez zgody pacjentów jest niezbędne, gdy jest uzasadnione ich stanem zdrowia i ma odzwierciedlenie w dokumentacji medycznej lub wynika z przepisów prawa dotyczących profilaktyki zdrowotnej.  Dotyczy to zagadnień takich jak szczepienia ochronne czy realizacji programów walki z chorobami nowotworowymi.

– Próbujemy delikatnie i rozważnie podejść do tego zagadnienia, aby pogodzić interesy obu stron, zarówno pacjentów jak i placówek medycznych – mówiła dyrektor Dawidczyk.

Z motywu 46 RODO wynika, że „żywotny interes innej osoby fizycznej powinien zasadniczo być podstawą przetwarzania danych osobowych wyłącznie wtedy, gdy ewidentnie tego przetwarzania nie da się oprzeć na innej podstawie prawnej”.

Kolejnym problemem jest dostęp do dokumentacji medycznej. Mówi o tym ustawa o prawach pacjentach oraz RODO  (art. 15). Występują różnice między tymi dostępami, chociażby jeśli chodzi o czas realizacji (w przypadku RODO – miesiąc lub nawet 3, w przypadku ustawy o prawach pacjenta – niezwłocznie).

Dyrektor Dawidczyk poinformowała też, że do UODO wpłynęło 45 skarg w zakresie przetwarzania danych osobowych. Dotyczyły głównie udostępnienie danych osobowych pacjentom lub dokumentacji medycznej osobom nieuprawnionym, przekazywania danych pacjentów innemu podmiotowi, zakresu danych pozyskiwanych przez podmiot medyczny, uzależnienia świadczeń usług medycznych od wyrażenia zgody na przetwarzanie danych osobowych czy przetwarzania danych przez nieuprawniony personel.

Zanotowano także 110 naruszeń ochrony danych dokonanych przez administratorów.

Powszechną praktyką jest, że umowy powierzenia są w dalszym ciągu powszechnie zawierane, w zasadzie zawiera je „każdy z każdym”. Jednak te umowy mają swoje mankamenty – mówił Piotr Najbuk, senior assiociate z kancelarii DZP podczas II Konferencji RODO w Zdrowiu, które odbyła się 27 lutego 2019 roku na warszawskiej Uczelni Łazarskiego.

Jednym z takich mankamentów jest wyrażenie zgody na dalsze przetwarzanie danych osobowych. Jeśli mamy do czynienia z kontynuacją terapii pacjenta, trzeba ostrożnie podchodzić do takich umów i sprawdzać ich aktualizacje.

– Umowa powierzenia powinna odpowiadać potrzebie przetwarzania danych. RODO odchodzi od formalizmu. Nie zawsze konieczna jest umowa powierzenia z pracownikiem – mówił Piotr Najbuk, który omówił także wątpliwości, jakie pojawiają się w związku ze stosowaniem RODO.

Dotyczą one między innymi tego, czy jeśli placówki są tzw. organizatorami świadczeń, ale ich nie udzielają, mogą być także administratorem danych.

Pojawiły się także problemy związane z przetwarzaniem danych osobowych pacjentów przez samorządy, które realizują programy profilaktyki zdrowotnej. Zdarza się, że samorząd lub marszałek jest administratorem takich danych, do czego formalnie nie powinien mieć prawa.

Podsumowując to, co działo się w zakresie stosowana RODO przez ostatni rok Piotr Najbuk zauważył, że wiele placówek ograniczyło się do informowania o przetwarzaniu danych osobowych za pomocą formularza. Jednocześnie jednak można było obserwować pewne nadinterpretowanie wskazówek rozporządzenia i stosowanie praktyk wypaczających jego sens. Takie praktyki mogą wpłynąć negatywnie na bezpieczeństwo pacjentów.

Problemy z ochroną danych  mogą także pojawić się, gdy konta firmowe byłych pracowników w dalszym ciągu są aktywne, albo gdy pracownicy mają bardzo szeroki dostęp do danych osobowych, w zakresie, który nie jest im potrzebny. Zdarza się, że studenci-stażyści mają dostęp do kont lekarzy – świadczy to o nieodpowiedzialności zarówno placówki jak i lekarza, który udostępnia takie konto.

W wielu placówkach pojawiły się wątpliwości, czy lekarze muszą się zgodzić na umieszczanie swoich danych na drzwiach gabinetów czy na stronie internetowej placówki. Według Piotra Najbuka lekarze wykonują zawód zaufania publicznego i dlatego powinni być identyfikowani.

Czytaj: Medicover i Diagnostyka: RODO w praktyce>>>

Anna Kruczyk z kancelarii DZP dokonała przeglądu krajowych aktów prawnych zapewniających stosowanie RODO. Związane z RODO przepisy zawiera ustawa o działalności leczniczej, ustawa o ochronie zdrowia psychicznego, ustawa o systemie informacji w ochronie zdrowia, ustawa o prawach pacjenta i Rzeczniku Praw Pacjenta (jedna ze zmian dotyczy uzyskiwania przez pacjenta pierwszej bezpłatnej kopii dokumentacji medycznej w myśl art. 15 RODO).

Natomiast ustawa o ochronie danych osobowych przewiduje możliwość zatrudnienia zastępcy inspektora ochrony danych osobowych.

Aktywność w zakresie ochrony danych osobowych wykazywały w ostatnich miesiącach różne resorty, zarówno krajowe jak i unijne.

Ministerstwo Cyfryzacji wydało podręcznik – RODO w służbie zdrowia. Rzecznik Praw Pacjenta zajmował się sprawą dostępu do danych osobowych w zakresie dokumentacji medycznej (pod wypadku na tzw. zakopiance).

W ramach UE powstała Europejska Rada Ochrony Danych (EROD), która składa się z przedstawicieli krajowych organów ochrony danych i zajmuje się opiniowaniem kodeksów na poziomie europejskim (takie kodeksy też mogą powstawać).

Urząd Ochrony Danych Osobowych wydał standardowe klauzule dotyczące umów powierzenia i złożył je do zaopiniowania. Konsultacje się zakończyły, jednak procedury związane z wprowadzeniem tych dokumentów jeszcze trwają.

Podczas konferencji zostały poruszone tematy dotyczące zapisów kodeksu dla branży medycznej, praktyk organów administracji w sprawie RODO czy przepisów sektorowych zapewniających stosowanie rozporządzenia.

Czytaj także: Kodeks dla branży medycznej – trwają konsultacje>>>

Jednym z tematów było także cyberbezpieczeństwo, w tym w powiązaniu z ustawą o Krajowym Systemie Cyberbezpieczeństwa i wtórnym wykorzystaniu danych medycznych.

Została także oficjalnie zainaugurowana ogólnopolska kampania edukacyjna rododlapacjenta.pl. Celem tej akcji jest wypracowanie materiałów edukacyjnych, które w jasny i prosty sposób przedstawią prawa i obowiązki pacjenta wynikające z RODO i przepisów prawa medycznego.

Pracodawcy Medycyny Prywatnej byli partnerem konferencji.

Podczas II konferencji RODO w Zdrowiu, która odbyła się 27 lutego 2019 na warszawskiej Uczelni Łazarskiego, dobre praktyki w zakresie bezpieczeństwa danych osobowych omówili przedstawiciele Medicovera oraz spółki Diagnostyka.

Patryk Kuchta, reprezentujący Medicover, omówił proces wdrażania RODO, który składał się z kilku etapów, pierwszym z nich była inwentaryzacja wszystkich danych osobowych, którymi dysponuje firma, następnym – audyt zgodności tzw. „zerowy”.

– W kolejnym etapie zdefiniowaliśmy obszary kluczowe, powołaliśmy zespół projektowy oraz przygotowaliśmy zakres i plan działania – mówił Patryk Kuchta.

Konieczne było także opracowanie dokumentacji, a następnie – wdrażanie koniecznych zmian i monitorowanie statusu prowadzonych prac.

– Trwa to do chwili obecnej, ciągle prowadzimy weryfikację naszych prac – przez pryzmat obowiązującego prawa, a także naruszeń, które zgłaszamy, i uwag pacjentów – dodał.

Według Patryka Kuchty główne wyzwania RODO wynikają z dużej liczby firm i podmiotów leczniczych, pojawiają się one na styku danych medycznych oraz innych danych, a także w zakresie udzielania dostępów do systemów informatycznych, w tym medycznych, zapewnienia dostępu do dokumentacji medycznej i innych niezbędnych danych na przykład w związku z procesem kontynuacji leczenia, wymiany dokumentacji między podmiotami i pracownikami medycznymi.

Główne problemy, jakie się pojawiły podczas wdrażania przepisów RODO, dotyczyły zdefiniowania treści  nowej klauzuli informacyjnej oraz jej dopasowania do różnych procesów.

W ramach spełniania obowiązku informacyjnego trzeba było dokonać inwentaryzacji wszelkich formularzy zgody, umieścić klauzule informacyjne w widocznym miejscu w każdym centrum medycznym, umieścić klauzulę informacyjną na stronie internetowej, w każdej recepcji oraz w formularzach kontaktowych zarówno papierowych jak i elektronicznych. Wyzwaniem było też opracowanie odpowiedniej metodologii zbierania danych.

Diagnostyka wykonuje badania dla milionów pacjentów i współpracuje z tysiącami placówek medycznych. W rezultacie w bazie spółki znajdują się dane zawierające około 20 milionów numerów PESEL.

– Z tego powodu kwestia ochrony danych osobowych jest dla nas bardzo ważna – mówił Jakub Kowalski, radca prawny Diagnostyki, który przedstawił praktyczne rozwiązania stosowane w spółce, ułatwiające zarządzaniem taką ilością danych.

Czytaj także: RODO w Zdrowiu: Trzeba uważać na umowy powierzenia>>>

– Kluczowe zagadnienia w świetle RODO to minimalizacja przetwarzania danych – czyli – Nie przetwarzaj więcej niż potrzebujesz. Dotyczy to także poszczególnych grup pracowników, z których każdy powinien posiadać taki dostęp do danych, jaki jest mu potrzebny, nie większy – mówił.

Zwrócił też uwagę na kilka ważnych elementów, takich jak obowiązek ochrony danych przed zniekształceniem. Aby wyeliminować błąd przy przepisywaniu stosowany przez Diagnostykę system informatyczny posiada wbudowane słowniki badań. System może też wychwytywać niespójność danych w zleceniu (literówka, pomylenie na krzyż itd.).

Dane należy też chronić przez zniszczeniem, w tym przypadku system w razie awarii (pożar, zalanie) stwarza możliwość odtworzenia danych.

Cechuje się także zasadą rozliczalności, która polega na tym, że odnotuje każdą operację dokonaną przez każdego użytkownika kont, dzięki temu można wyśledzić kto kiedy i jakie informacji wprowadził czy pobrał z systemu.

– Przekazywanie zlecenia między laboratorium a podmiotem leczniczym drogą elektroniczną to sposób na to, aby wynik dotarł do odpowiedniego podmiotu. Jest to możliwe nawet wtedy, gdy podmiot nie posiada swojego systemu, wówczas bowiem Diagnostyka oferuje tzw. końcówkę systemu informatycznego laboratorium, która jest stosowana w placówce medycznej – wyjaśniał Jakub Kowalski.

System Diagnostyki posiada integrację z ponad 100 systemami informatycznymi. Obsługuje 10 różnych form komunikacji, a „końcówki” obsługują 47 aktywnych połączeń i co roku przekazują 540 tysięcy zleceń.

Dzięki takim rozwiązaniom dane przekazywane pomiędzy podmiotami i laboratoriami Diagnostyki są bezpieczne.

Podczas konferencji RODO w Zdrowiu zostały poruszone tematy dotyczące zapisów kodeksu dla branży medycznej, praktyk organów administracji w sprawie RODO czy przepisów sektorowych zapewniających stosowanie rozporządzenia.

Jednym z tematów było także cyberbezpieczeństwo, w tym w powiązaniu z ustawą o Krajowym Systemie Cyberbezpieczeństwa i wtórnym wykorzystaniu danych medycznych.

Została także oficjalnie zainaugurowana ogólnopolska kampania edukacyjna rododlapacjenta.pl. Celem tej akcji jest wypracowanie materiałów edukacyjnych, które w jasny i prosty sposób przedstawią prawa i obowiązki pacjenta wynikające z RODO i przepisów prawa medycznego.

Pracodawcy Medycyny Prywatnej byli partnerem konferencji.

Podczas konferencji RODO w Zdrowiu, która odbyła się 27 lutego 2019 roku na warszawskiej Uczelni Łazarskiego, nastąpiła oficjalna inauguracja ogólnopolskiej kampanii edukacyjnej – RODO dla pacjenta. Pracodawcy Medycyny Prywatnej są jej partnerem wspierającym.

– Pacjenci są coraz bardziej wyedukowani i są świadomi tego, czym jest bezpieczeństwo ich danych, ale widać, że potrzebują także pomocy w interpretowaniu praw, jakie im przysługują, dlatego zdecydowaliśmy się wspomóc akcję edukacyjną – mówił Sandip Godlobe, reprezentujący Pracodawców Medycyny Prywatnej podczas panelu dyskusyjnego na ten temat. Dodał też, że RODO jest pewnym drogowskazem, wymaga interpretacji, oznacza zmianę podejścia i myślenia o ochronie i bezpieczeństwie danych oraz informacji.

Jarosław J. Fedorowski  z Polskiej Federacji Szpitali podkreślił, że RODO zmieniło świadomość dyrektorów i personelu w postrzeganiu danych osobowych i bezpieczeństwa przechowywania tych danych. Wpłynęło także na inwestycje.

– Obecnie jednak największym wyzwaniem jest sposób, w jaki reagują pacjenci, gdy proszeni są o podanie swoich danych osobowych – dodał. Dlatego właśnie potrzebna jest kampania, która będzie edukowała pacjentów, ale nie tylko ich, w zakresie przepisów RODO.

Czytaj także: Kodeks dla branży medycznej – trwają konsultacje>>>

Kampania skierowana jest do każdego pacjenta, który chce uzyskać rzetelne informacje dotyczące swoich praw związanych z RODO,  ale także do personelu medycznego i placówek medycznych, które chcą przekazać rzetelną wiedzę swoim pacjentom.

27 lutego 2019 zaczęła działać strona kampanii – www.rododlapacjenta.pl, na której dostępne są materiały zatwierdzone przez Urząd Ochrony Danych Osobowych i Rzecznika Praw Pacjenta. Obecnie są to– plakat, ulotka oraz animacja, kolejne są w trakcie opracowywania.

Kampania potrwa co najmniej do końca 2019 roku, do tego czasu materiały będą aktualizowane.

Na stronie znajduje się także zakładka – Pytania i odpowiedzi, która porusza ważne zagadnienia związane z RODO. Planowane jest także uruchomienie dyżurów prawniczych.

Organizatorzy kampanii to: kancelaria DZP, Młodzi Menedżerowie Medycyny, a partnerzy kampanii to: Althea, Polpharma oraz Supra Brokers.

Patronami społecznymi są: Krajowa Izba Fizjoterapeutów, Naczelna Izba Pielęgniarek i Położnych, Polska Federacja Szpitali, Instytut Zarządzania w Ochronie Zdrowia Uczelni Łazarskiego. Patroni publiczni to: Ministerstwo Zdrowia, Ministerstwo Cyfryzacji, CSIOZ, UODO, Rzecznik Praw Pacjenta, Rzecznik Praw Obywatelskich oraz CMJ.

Partnerzy wspierający to: Pracodawcy Medycyny Prywatnej, Grupa Lux Med, Medicover, Diagnostyka sp. z o.o., SZ PZLO Praga-Północ oraz Infinite IT Solutions.

27 lutego 2019 odbędzie się II edycja konferencji dotyczącej stosowania rozporządzenia unijnego RODO w ochronie zdrowia. Pracodawcy Medycyny Prywatnej są partnerem tego przedsięwzięcia, będą także partnerem ogólnopolskiej kampanii RODO dla pacjenta.

Konferencja odbędzie się na warszawskiej Uczelni Łazarskiego.

Podczas konferencji zostaną poruszone tematy dotyczące zapisów kodeksu dla branży medycznej, praktyk organów administracji w sprawie RODO czy przepisów sektorowych zapewniających stosowanie rozporządzenia.

Jednym z tematów będzie także cyberbezpieczeństwo, w tym w powiązaniu z ustawą o Krajowym Systemie Cyberbezpieczeństwa i wtórnym wykorzystaniu danych medycznych.

Kodeks branżowy został formalnie złożony do akceptacji przez PUODO 13 listopada 2018 roku.

Czytaj także: Spotkanie konsultacyjne w sprawie kodeksu dla sektora ochrony zdrowia>>>

Został opracowany przez zespół ekspertów reprezentujących Pracodawców Medycyny Prywatnej, a także Polską Federację Szpitali, Fundację Telemedycznej Grupy Roboczej, Porozumienie Zielonogórskie, Związek Pracodawców Technologii Cyfrowych Lewiatan oraz Polskę Izbę Informatyki i Telekomunikacji. Uwagi do kodeksu przekazywali przedstawiciele samorządów zawodowych, a także strony publicznej, w tym CSIOZ.

Podczas konferencji zostanie także oficjalnie zainaugurowana ogólnopolska kampania edukacyjna rododlapacjenta.pl. Celem tej akcji będzie wypracowanie materiałów edukacyjnych, które w jasny i prosty sposób przedstawią prawa i obowiązki pacjenta wynikające z RODO i przepisów prawa medycznego.

11 grudnia 2018 odbyło się spotkanie z przedstawicielami grupy roboczej ds. opracowania kodeksu branżowego dla sektora ochrony zdrowia z przedstawicielami Urzędu Ochrony Danych Osobowych.

Było to pierwsze spotkanie konsultacyjne po złożeniu kodeksu na ręce Prezesa Urzędu Ochrony Danych Osobowych. Jego celem było omówienie wybranych zagadnień które kodeks porusza – tak, aby dać Urzędowi pełny obraz sytuacji i uzasadnić prezentowane w kodeksie podejście.

W spotkaniu wzięli udział przedstawiciele samorządu diagnostów laboratoryjnych, Naczelnej Rady Pielęgniarek i Położnych, Naczelnej Izby Lekarskiej, Centrum Systemów Informacyjnych Ochrony Zdrowia, Polskiej Federacji Szpitali, a także świadczeniodawców oraz kancelarii Domański, Zakrzewski Palinka. Obecni także byli przedstawiciele ministra zdrowia oraz rzecznika praw pacjenta, którzy otwarcie poparli przed UODO inicjatywę utworzenia kodeksu.

Na spotkaniu były omawiane między innymi kwestie monitorowania przestrzegania kodeksu. Piotr Drobek, zastępca dyrektora Departamentu Edukacji Społecznej i Współpracy Międzynarodowej UODO poinformował, że Urząd w dalszym ciągu czeka na wytyczne Europejskiej Rady Ochrony Danych dotyczące tych zagadnień. Jednak rozważane jest  przyjęcie procedur tymczasowych, które pozwoliłyby na stosowanie kodeksu w pewnym zakresie, do czasu wydania przez EROD odpowiednich wytycznych.

Prowadzone konsultacje przebiegały bardzo rzeczowo i stanowiły merytoryczny dialog pomiędzy grupą roboczą a przedstawicielami Urzędu. Strony uzgodniły, że będą kontynuować spotkania konsultacyjne, kolejne przewidziane jest na styczeń 2019 roku.

Projekt kodeksu branżowego dla podmiotów medycznych został złożony w Urzędzie Ochrony Danych Osobowych 13 listopada 2018. W pracach nad jego tworzeniem aktywnie uczestniczyli także przedstawiciele Pracodawców Medycyny Prywatnej.

Kodeks ma ułatwić podmiotom leczniczym stosowanie regulacji zawartych w unijnym rozporządzeniu dotyczącym ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i swobodnego przepływu takich danych (RODO), do którego przepisów placówki medyczne z terenu całej Unii Europejskiej są zobowiązane stosować się od 25 maja 2018 roku.

Czytaj więcej na ten temat: Projekt Kodeksu Branżowego dla podmiotów medycznych złożony do Urzędu Ochrony Danych Osobowych>>>

13 listopada 2018 roku do Prezesa Urzędu Ochrony Danych Osobowych został złożony wniosek dotyczący zatwierdzenia projektu kodeksu branżowego. W pracach nad kodeksem aktywnie uczestniczyli przedstawiciele Pracodawców Medycyny Prywatnej.

Kodeks ma ułatwić podmiotom leczniczym stosowanie regulacji zawartych w unijnym rozporządzeniu dotyczącym ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i swobodnego przepływu takich danych (RODO), do którego przepisów placówki medyczne z terenu całej Unii Europejskiej są zobowiązane stosować się od 25 maja 2018 roku.

Prace nad kodeksem rozpoczęły się na początku roku 2018. Od maja do września 2018 przeprowadzono szerokie konsultacje tego dokumentu i uwzględniono przekazane w ich toku uwagi.

Doprecyzowania wymagały między innymi zagadnienia dotyczące weryfikacji tożsamości pacjenta, przetwarzania danych przez podmioty lecznicze czy prawa do kopii danych w relacji do prawa pacjenta do dokumentacji medycznej.

Kodeks może regulować zasady przetwarzania danych przez wszystkie podmioty wykonujące działalność leczniczą, bez względu na ich formę prawną, strukturę właścicielską i podmiot prowadzący, uczestnictwo w systemie opieki zdrowotnej finansowanym ze środków publicznych oraz zakres i rodzaj prowadzonej działalności leczniczej. Nie reguluje natomiast zasad przetwarzania danych przez podmioty, które nie prowadzą działalności leczniczej, nawet jeżeli przetwarzają dane o stanie zdrowia (na przykład z  branży lifestyle, fitness czy dietetycznej itp.). Kodeks reguluje przetwarzanie danych w związku z prowadzoną działalnością leczniczą (zazwyczaj bez konieczności uzyskania zgody) oraz w innych celach (zazwyczaj na podstawie zgody pacjenta).

Czytaj także: Aktywnie uczestniczymy w pracach nad kodeksem dla branży medycznej>>>

Kodeks omawia podstawowe zasady przetwarzania danych osobowych przez podmioty wykonujące działalność leczniczą – podstawy przetwarzania danych, przetwarzanie danych w celach zdrowotnych oraz w celach innych, przetwarzanie danych na podstawie zgody pacjenta oraz bez zgody. Określa, kto jest administratorem danych osobowych pacjentów, kto ma dostęp do danych pacjentów, omawia kwestię udostępniania danych osobowych pacjenta zawartych w dokumentacji medycznej a także wybrane zagadnienia dotyczące kwalifikacji danych, materiałów i próbek jako danych osobowych.

Poszczególne rozdziały kodeksu omawiają także bezpieczeństwo przetwarzania danych, ocenę skutków dla ochrony danych, powierzenie przetwarzania danych, a także zasady weryfikacji tożsamości pacjentów, obowiązek informacyjny względem pacjentów w przypadku zbierania danych bezpośrednio oraz niebezpośrednio od nich, prawo pacjenta do dostępu do danych, do ograniczania ich przetwarzania, przenoszenia danych i sprzeciwu wobec przetwarzania, a także zagadnienia profilowania danych osobowych.

Kodeks zawiera także zasady monitorowania przestrzegania przepisów Kodeksu przez podmioty, które się do tego zobowiążą.

Załączniki do Kodeksu zawierają- wzór zgody na przetwarzanie danych osobowych, katalog danych jednoznacznie identyfikujących daną osobę, zasady postępowania w wybranych sytuacjach związanych ze zwiększonym ryzykiem naruszenia praw pacjentów w związku z przetwarzaniem danych osobowych, procedurę analizy ryzyka, której wdrożenie i stosowanie zapewnia realizację podejścia opartego na ryzyku, wykaz zabezpieczeń systemów IT, wykaz norm mających zastosowanie w obszarze bezpieczeństwa informacji i ochrony danych osobowych, rekomendacje w zakresie bezpieczeństwa oraz rozwiązań technologicznych stosowanych podczas przetwarzania danych w podmiotach, gdzie przetwarzanie to nie odbywa się na dużą skalę, wzór oświadczenia o spełnieniu wymogów wynikających z Kodeksu, wzór wniosku o uzyskanie statusu podmiotu przestrzegającego Kodeksu oraz wzór kwestionariusza, który dołącza się do oświadczenia lub wniosku.

Oprócz Pracodawców Medycyny Prywatnej w pracach nad Kodeksem uczestniczyli:  Polska Federacja Szpitali, Federacja Związków Pracodawców Ochrony Zdrowia Porozumienie Zielonogórskie, Fundacja Telemedyczna Grupa Robocza, Konfederacja Lewiatan, Polska Izba Informatyki i Telekomunikacji. Kodeks powstał także przy udziale strony publicznej, reprezentowanej przez CSIOZ, Centrum Monitorowania Jakości w Ochronie Zdrowia i Ministerstwo Zdrowia, a także podmiotów wspierających takich jak między innymi Naczelna Izba Lekarska, Naczelna Izba Pielęgniarek i Położnych, Fundacja My Pacjenci oraz Kancelaria Domański Zakrzewski Palinka.

Wniosek o zatwierdzenie Kodeksu złożony do UODO oraz projekt Kodeksu dostępne są na stronie: www.rodowzdrowiu.pl

Katarzyna Korulczyk, Inspektor Ochrony Danych, Grupa Lux Med

Na ukończeniu są prace nad kodeksem postępowania dla sektora ochrony zdrowia – niezwykle istotnego dokumentu dla całej branży medycznej. W pracach tych z dużym zaangażowaniem uczestniczyli także przedstawicieli Pracodawców Medycyny Prywatnej.

Interesowały nas szczególnie zagadnienia dotyczące weryfikacji tożsamości pacjenta, podstaw prawnych przetwarzania danych przez podmioty lecznicze czy prawa do kopii danych w relacji do prawa pacjenta do dokumentacji medycznej.

To ostatnie nabiera obecnie fundamentalnego znaczenia, w kontekście wytycznych wydanych  przez Rzecznika Praw Pacjenta oraz Prezesa Urzędu Ochrony Danych Osobowych (PUODO). Zdaniem PUODO, uprawnienie pacjenta do dokumentacji medycznej nie jest tym samym prawem, co prawo do kopii danych w rozumieniu art. 15 RODO i nie mogą być one utożsamiane.

Treść kodeksu poruszająca tematykę dostępu do kopii danych oraz dokumentacji medycznej jest spójna ze stanowiskiem PUODO. Odmienne zdanie posiada Rzecznik Praw Pacjenta który uważa, że art. 15 RODO przyznaje pacjentowi prawo do bezpłatnej kopii dokumentacji medycznej. Rozbieżność stanowisk tych dwóch organów powoduje, że podmioty lecznicze zmagają się dziś z dużą ilością wpływających wniosków o nieodpłatne udostępnienie dokumentacji medycznej oraz skarg na odmowę takiego udostępnienia.

Działalność grupy roboczej to nie tylko prace nad kodeksem. Grupa zaangażowana jest w szereg innych aktywności, w tym mających na celu poprawę legislacji krajowej oraz podnoszenie świadomości podmiotów leczniczych oraz pacjentów co do stosowania RODO. Przedstawiciele zespołu ds. kodeksu są także członkami powołanej przez ministra cyfryzacji grupy roboczej ds. ochrony danych osobowych – Zespołu ds. ochrony zdrowia, której efektem pierwszych prac jest „Przewodnik po RODO w służbie zdrowia”. Grupa robocza angażuje się również intensywnie w prace legislacyjne, między innymi poprzez składanie uwag do projektów przepisów sektorowych implementujących RODO do polskiego porządku prawnego.

Członkowie grupy aktywnie promują kodeks, między innymi poprzez liczne uczestniczenie w konferencjach oraz wydarzeniach poświęconych tematyce RODO w służbie zdrowia, między innymi 20 września 2018 odbyła się konferencja Med&Pharma Data Secutiry Summit, w trakcie której członkowie grupy wzięli udział w godzinnej debacie panelowej, dzieląc się swoimi doświadczeniami i spostrzeżeniami co do prac nad kodeksem. Podejmowana jest inicjatywa przeprowadzenia kampanii informacyjnej dla pacjentów na temat przysługujących im na mocy RODO praw.

Najbliższe spotkanie komitetu sterującego grupy zaplanowane jest na 12 października 2018, po tej dacie planowane jest oficjalne złożenie kodeksu na ręce Prezes Urzędu Ochrony Danych Osobowych, w celu uzyskania akceptacji.

Oprócz Pracodawców Medycyny Prywatnej w pracach nad Kodeksem uczestniczyli:  Polska Federacja Szpitali, Federacja Związków Pracodawców Ochrony Zdrowia Porozumienie Zielonogórskie, jak również strona publiczna, w tym między innymi CSIOZ, Naczelna Izba Lekarska, Naczelna Izba Pielęgniarek i Położnych,  a także Fundacja My Pacjenci oraz Kancelaria Domański Zakrzewski Palinka.

Aktualna treść kodeksu dostępna jest pod adresem: www.rodowzdrowiu.pl.

Od kilku miesięcy tworzony jest kodeks postępowania, który ma ułatwić podmiotom leczniczym stosowanie regulacji zawartych w unijnym rozporządzeniu dotyczącym ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i swobodnego przepływu takich danych (RODO).  Pracodawcy Medycyny Prywatnej biorą udział w tym przedsięwzięciu.

W związku z wejściem w życie RODO placówki medyczne na terenie całej Unii Europejskiej od 25 maja 2018 roku są zobowiązane do stosowania rozporządzenia. Wiele z zawartych w rozporządzeniu regulacji to tylko wskazówki, które wymagają skonkretyzowania, stąd inicjatywa stworzenia kodeksu.

Prace nad kodeksem rozpoczęły się na początku 2018 roku. Pierwsza jego wersja została zaprezentowana podczas konferencji w marcu 2018. Od maja 2018 do września 2018 przeprowadzono szerokie konsultacje dokumentu i uwzględniono liczne uwagi. Projekt został uzupełniony o autorską część dotyczącą monitorowania jego stosowania. W prace  aktywnie włączyła się Naczelna Izba Lekarska, która przekazuje liczne uwagi do inicjatywy. Liderzy pracujący nad projektem kodeksu uczestniczą również w pracach rady ds. ochrony danych osobowych przy Ministerstwie Cyfryzacji. W ramach Rady działają podgrupy, w tym podgrupa ds. sektora ochrony zdrowia, która wypracowała odpowiedzi na pytania związane z codzienną praktyką placówek medycznych. Odpowiedzi te zostały już zaakceptowane i zostaną dodane jako załącznik do projektowanego kodeksu.

Zespół pracujący nad projektem kodeksu spotkał się również na osobnych konsultacjach 12 lipca 2018 roku w siedzibie Urzędy Ochrony Danych Osobowych i przeprowadzono pierwsze, wstępne konsultacje projektu – wyniki konsultacji zostały uwzględnione w aktualnej wersji projektu.

Pod koniec sierpnia 2018 powstała najnowsza wersja projektowanego kodeksu, która uwzględnia większość uwag zgłoszonych podczas prowadzonych prac.

Uwagi do tego projektu można przesyłać do 27 września 2018 roku. Na początku października 2018 planowane jest spotkanie przedstawicieli Komitetu sterującego, który zatwierdzi projekt kodeksu. W tym samym czasie projekt kodeksu zostanie złożony do PUODO.

Projekt kodeksu jest dostępny na stronie www.rodowzdrowiu.pl

Według opinii Rzecznika Praw Pacjenta udostępnianie bezpłatnie pierwszej kopii dokumentacji medycznej w sytuacji, gdy pacjent powoła się na art. 15 rozporządzenia unijnego RODO, powinno nastąpić niezwłocznie.

Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 roku w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych RODO)  w artykule 15 mówi o prawie dostępu do danych, przysługującym osobie, której te dane dotyczą.

Zgodnie z tym przepisem osoba, której dane dotyczą, jest uprawniona do uzyskania od administratora potwierdzenia, czy przetwarzane są dane osobowe jej dotyczące, a jeżeli ma to miejsce, jest uprawniona do uzyskania dostępu do nich oraz informacji w sprawie celu przetwarzania, kategorii danych osobowych, informacji o odbiorcach lub kategoriach odbiorców, którym dane osobowe zostały lub zostaną ujawnione, w szczególności o odbiorcach w państwach trzecich lub organizacjach międzynarodowych, a także w miarę możliwości o planowanym okresie przechowywania danych osobowych, a gdy nie jest to możliwe, o kryteriach ustalania tego okresu.

Jeden z punktów tego artykułu mówi o tym, że administrator dostarcza osobie, której dane dotyczą, kopię danych osobowych podlegających przetwarzaniu. Za wszelkie kolejne kopie, o które zwróci się osoba, której dane dotyczą, administrator może pobrać opłatę w rozsądnej wysokości wynikającej z kosztów administracyjnych.

Zgodnie ze stanowiskiem Rzecznika jeżeli dane osobowe przetwarzane są w prowadzonej dokumentacji medycznej, to dostarczenie kopii tych danych nie może być dokonane bez udostępnienia tej dokumentacji. Operacje wykonywane na danych osobowych pacjentów odbywają się w szczególności w ramach sporządzania i prowadzenia dokumentacji medycznej. Nie można zatem rozdzielić nośnika danych od samych danych. Ponadto nie można ograniczać prawa wynikającego z artykułu 15 ust. 3 RODO, a żądanie wydania kopii danych osobowych przetwarzanych w dokumentacji medycznej powinno powodować powstanie obowiązku udostępnienia pacjentowi wszystkich stron tej dokumentacji.

Wynika z tego, że pacjent, które dane przetwarza placówka medyczna, powołując się na art. 15 RODO będzie mógł żądać jednej kopii dokumentacji medycznej bezpłatnie.

Za kolejne kopie, z które będzie można pobrać opłatę, uznaje się dokumentację medyczną w zakresie, w jakim była uprzednio udostępniona. Jeżeli dokumentacja medyczna udostępniona była już w tym trybie za dany okres, a wniosek o udostępnienie dokumentacji medycznej dotyczy okresu późniejszego, który nie był uprzednio objęty wnioskiem – powinna być udostępniona bezpłatnie. Jeżeli osoba, której dane dotyczą, zwraca się o kopię drogą elektroniczną i jeżeli nie zaznaczy inaczej, informacji udziela się w powszechnie stosowanej formie elektronicznej.

Według Rzecznika Praw Pacjenta ustawa o prawach pacjenta i Rzeczniku Praw Pacjenta z 6 listopada 2008 roku oraz rozporządzenie ministra zdrowia z 9 listopada 2015 roku w sprawie  rodzajów, zakresu i wzorów dokumentacji medycznej oraz sposobu jej przetwarzania nie są niezgodne z RODO. Nie prowadzą również do zmiany znaczenia RODO. Celem  wprowadzenia prawa do kopii danych było umożliwienie osobom, których dane dotyczą, większej kontroli nad tymi danymi. Nie stoi w sprzeczności z tym celem zastosowanie w procedurze dostępu do danych osobowych przetwarzanych w dokumentacji medycznej przepisów podanej wyżej ustawy oraz rozporządzenia ministra zdrowia.

Rzecznik przytacza wyrok NSA z 22 lipca 2016 roku, w którym wskazano, „że nie można przyjąć, iż nałożenie obowiązku udostępnienia dokumentacji medycznej bez zbędnej zwłoki dopuszcza zwłokę w działaniu”. Dopuszczenie zwłoki z przyczyn braku dostatecznej organizacji podmiotu leczniczego w celu wykonania obowiązku wobec pacjentów, którym udzielane są świadczenia, jest więc nie do przyjęcia. Żądanie wydania kopii dokumentacji medycznej powinno być zrealizowane niezwłocznie, co oznacza, że czynności z tym związane powinny być rozpoczęte natychmiast po wpłynięciu wniosku zawierającego to żądanie – uważa Rzecznik.

Zgodnie z art. 12 ust. 3 RODO administrator bez zbędnej zwłoki – a w każdym razie w terminie miesiąca od otrzymania żądania – udziela osobie, której dane dotyczą, informacji o działaniach podjętych w związku z żądaniem na podstawie art. 15–22.

Rzecznik podkreśla, że przepis ten dotyczy tylko kwestii informacyjnej o działaniach podjętych w związku z żądaniem dostarczenia kopii danych osobowych.  RODO nie wskazuje zatem terminu, w którym podmiot, będący administratorem danych, realizuje obowiązek wynikający z art. 15 ust.3 RODO.

Rzecznik uważa, że w zakresie kopii danych przetwarzanych w dokumentacji medycznej znajdzie zastosowanie przepis § 78 ust. 1 rozporządzenia ministra zdrowia w sprawie dokumentacji medycznej. Zgodnie z tym przepisem podmiot udzielający świadczeń zdrowotnych udostępnia dokumentację podmiotom i organom uprawnionym bez zbędnej zwłoki. Jego zastosowanie przy realizacji prawa, o którym mowa w artykule 15 ust. 3 RODO nie prowadzi do naruszenia praw i wolności innych osób. Ponadto art. 12 ust. 3 RODO jak również § 78 ust. 1 rozporządzenia używają tych samych pojęć odnoszących się do czasu: „bez zbędnej zwłoki”.

Żądanie wydania kopii dokumentacji medycznej powinno być zrealizowane niezwłocznie, co oznacza, że czynności z tym związane powinny być rozpoczęte natychmiast po wpłynięciu wniosku zawierającego to żądanie.

Jeżeli administrator nie spełni żądania dostarczenia kopii danych zawartej w dokumentacji medycznej, pacjentowi przysługuje prawo wniesienia skargi do Prezesa Urzędu Ochrony Danych Osobowych oraz skorzystania ze środków ochrony prawnej przed sądem (art. 12 ust. 4 RODO). W przypadku kiedy podmiot leczniczy dopuszcza się zwłoki w udostępnianiu dokumentacji medycznej, pacjentowi przysługuje prawo zgłoszenia sprawy do Rzecznika Praw Pacjenta.

W związku z wejściem w życie rozporządzenia unijnego RODO placówki medyczne mogą spotkać się z żądaniami ze strony pacjentów dotyczącymi bezpłatnego udostępnienia kopii dokumentacji medycznej. O takim prawie mówi artykuł 15 tego dokumentu.

Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych RODO)  w artykule 15 mówi o prawie dostępu do danych, przysługującym osobie, której te dane dotyczą.

Artykuł mówi o tym, że osoba, której dane dotyczą, jest uprawniona do uzyskania od administratora potwierdzenia, czy przetwarzane są dane osobowe jej dotyczące, a jeżeli ma to miejsce, jest uprawniona do uzyskania dostępu do nich oraz informacji w sprawie celu przetwarzania, kategorii danych osobowych, informacji o odbiorcach lub kategoriach odbiorców, którym dane osobowe zostały lub zostaną ujawnione, w szczególności o odbiorcach w państwach trzecich lub organizacjach międzynarodowych, a także w miarę możliwości o planowanym okresie przechowywania danych osobowych, a gdy nie jest to możliwe, o kryteriach ustalania tego okresu.

Osoba, której dane dotyczą może żądać od administratora sprostowania, usunięcia lub ograniczenia przetwarzania danych osobowych dotyczącego osoby, której dane dotyczą, oraz do wniesienia sprzeciwu wobec takiego przetwarzania, informacji o prawie wniesienia skargi do organu nadzorczego. Jeżeli dane osobowe nie zostały zebrane od osoby, której dotyczą, należy ją poinformować o ich źródle.

Jeden z punktów tego artykułu mówi o tym, że administrator dostarcza osobie, której dane dotyczą, kopię danych osobowych podlegających przetwarzaniu. Za wszelkie kolejne kopie, o które zwróci się osoba, której dane dotyczą, administrator może pobrać opłatę w rozsądnej wysokości wynikającej z kosztów administracyjnych.

Jeżeli osoba, której dane dotyczą, zwraca się o kopię drogą elektroniczną i jeżeli nie zaznaczy inaczej, informacji udziela się powszechnie stosowaną drogą elektroniczną.

Można z tego wywnioskować, że pacjent, które dane przetwarza placówka medyczna, powołując się na art. 15 RODO będzie mógł żądać jednej kopii dokumentacji medycznej bezpłatnie. Za kolejne kopie można natomiast pobierać opłaty.

6 września 2018 roku w Warszawie odbędzie się XIII edycja ogólnopolskiej konferencji: „Ochrona zdrowia w obliczu wyzwań XXI w.” Pracodawcy Medycyny Prywatnej objęli przedsięwzięcie patronatem medialnym. Udział w konferencji jest bezpłatny.

Patronatem honorowym konferencję objęli: Ogólnopolskie Stowarzyszenie Szpitali Prywatnej, Federacja Pacjentów Polskich oraz STOMOZ Stowarzyszenie Menedżerów Opieki Zdrowotnej.

Tematy poruszane podczas spotkania będą dotyczyły między innymi przyszłości lecznictwa otwartego wobec zmian w systemie ochrony zdrowia, analizy ryzyka dotyczącego zabezpieczenia danych osobowych pacjentów, wymogów wynikających dla placówek medycznych z nowych regulacji, rozporządzenia unijnego RODO w ochronie zdrowia czy dyrektywy fałszywkowej w szpitalach i wdrożenia skanowania kodów kreskowych 2D.

Prelegentami będą przedstawiciele kancelarii adwokackich, specjalizujący się w prawie medycznym, dyrektorzy placówek i audytorzy.

Organizatorzy do bezpłatnego udziału w konferencji zapraszają kadrę menedżerską placówek ochrony zdrowia, osoby odpowiedzialne za finansowanie zakupu nowych technologii, doradców i osoby planujące zakupy, kierowników działów zamówień,  przedstawicieli placówek medycznych odpowiedzialnych za planowanie, nadzór i koordynację prac związanych z rozbudową i eksploatacją sieci komputerowej,  osoby odpowiedzialne za zakup i doradztwo techniczne w zakresie zamówień systemów i sprzętu IT,  dyrektorów i kierowników działów IT odpowiedzialnych za administrację i utrzymanie serwerów sieciowych, administrację i utrzymanie baz danych  i kopii zapasowych, osoby odpowiedzialne za wdrażanie i utrzymanie wielostanowiskowych systemów informatycznych, kadrę odpowiedzialną za wspieranie komórek organizacyjnych szpitala w przedsięwzięciach obejmujących zastosowanie technik informatycznych oraz osoby odpowiedzialne za szkolenie personelu administracyjnego i medycznego, kadrę odpowiadającą za bezpieczeństwo systemów i zasobów,  przedstawicieli Ministerstwa Zdrowia, instytucji nadzorczych i odpowiedzialnych za zdrowie publiczne oraz przedstawicieli administracji państwowej, ordynatorów i szefów oddziałów specjalistycznych, lekarzy specjalistów i personel odpowiedzialny za tworzenie dokumentacji medycznej i jej poprawność, przetwarzanie i obieg a także szefów działów finansowych i księgowych oraz dyrektorów administracyjnych placówek medycznych.

Rejestracja dostępna jest na stronie www.successpoint.pl

Założenia kodeksu dla branży medycznej, ułatwiającego stosowanie zasad rozporządzenia unijnego RODO, zostały zaprezentowane podczas konferencji „RODO w sektorze medycznym – gdzie jesteśmy, dokąd zmierzamy?, która odbyła się 14 marca na warszawskiej Uczelni Łazarskiego. Kodeks powstał dzięki pracy prywatnych podmiotów, ale zachęcane do jego stosowania są wszystkie placówki, także publiczne.

Gotowe są podstawy prawne kodeksu, jego zakres przedmiotowy, w tym zasady przetwarzania danych osobowych. Twórcy kodeksu odnieśli się do praw zawartych w rozporządzeniu i określili, jak mogą się one odnieść do danych przetwarzanych w placówkach medycznych. W trakcie opracowania są jeszcze kwestie dotyczące bezpieczeństwa przetwarzania danych i monitoringu bezpieczeństwa.

Kodeks dotyczy typowych usług medycznych, są bowiem takie obszary, które uregulowane są odrębnymi przepisami, na przykład ustawą o leczeniu niepłodności czy ustawą o ochronie zdrowia psychicznego.

Jednym z twórców kodeksu jest Telemedyczna Grupa Robocza, dlatego zagadnienia związane z telemedycyną również zawarto w tym dokumencie.

Administratorem danych każdy podmiot leczniczy

Katarzyna Korulczyk z Lux Medu podczas swojego wystąpienia w trakcie konferencji podkreśliła konieczność zachowania zdrowego rozsądku podczas wprowadzania zasad rozporządzenia RODO.

– Ważne są nowe przepisy i związane z tym nowe dokumenty, ale nie można jednocześnie zapomnieć o pacjencie – zauważyła. Podkreśliła także, że kodeks, mimo że powstał dzięki pracy i zaangażowaniu wielu prywatnych podmiotów, przeznaczony  jest dla wszystkich podmiotów medycznych.

– Bez względu na to, jakiego rodzaju jest to organizacja, zarządzający mają podobne wątpliwości i problemy, więc kodeks będzie uniwersalny i będzie dla wszystkich podmiotów pomocą w stosowaniu zasad rozporządzenia – dodała Katarzyna Korulczyk.

Wyjaśniła też, że administratorem danych osobowych jest każdy podmiot, który prowadzi dokumentację medyczną. Także w sytuacji, gdy podmiot leczniczy świadczy usługi w zakresie medycyny pracy dla pracodawcy, to jest on samodzielnym administratorem danych osobowych, pracodawca nie musi z nim zawierać umowy powierzenia.

Jednoosobowe praktyki jak personel

W sprawie jednoosobowych praktyk lekarskich stanowisko twórców kodeksu jest takie, że powinni oni być traktowani nie jak podmioty przetwarzające dane osobowe, ale jak personel, a podmiot, w obrębie którego działają, nadaje im upoważnienie do przetwarzania danych osobowych.

Kodeks zawiera także projekt umowy powierzenia, którą administrator danych osobowych może zawierać z firmami zewnętrznymi. W umowie takiej powinny być zawarte zasady dotyczące kontroli, audytu i inspekcji podmiotu przetwarzającego dane. Warto to prawo do kontroli doprecyzować i skonkretyzować oraz określić, jak kontrola będzie przeprowadzana.

RODO wprowadza rozszerzony obowiązek informacyjny wobec pacjentów.

– Reprezentujemy podejście, że wystarczy samo zamieszczenie obowiązku informacyjnego w takiej formie, aby pacjent mógł się z nim zapoznać, na przykład w formie plakatu przy rejestracji w placówce – wyjaśniła Katarzyna Korulczyk. – W przypadku usług rejestracyjnych świadczonych przez call center rozwiązaniem może być konieczność wysłuchania przez pacjenta nagranego komunikatu. Wyszliśmy też z założenia, że nowy obowiązek informacyjny dotyczy danych, które obecnie zbieramy, a nie tych, które już posiadamy.

Ustawodawstwo krajowe a ochrona danych

W ramach ustawodawstwa krajowego dotyczącego ochrony danych osobowych powstają projekty ustaw – ustawy o ochronie danych osobowych oraz ustawy wprowadzającej związane z tym zmiany w 37 ustawach sektorowych. Projekt ustawy o ochronie danych osobowych został opublikowany we wrześniu 2017 na stronie Rządowego Centrum Legislacji. Obecnie zajmuje się nią sejmowa komisja prawnicza. Ustawa będzie zawierała obszerne przepisy dotyczące obszaru ochrony danych osobowych, między innymi powoływania podmiotów akredytujących czy powoływania inspektora ochrony danych osobowych.

Zmiany będą dotyczyły między innymi ustawy o prawach pacjenta i Rzeczniku Praw Pacjenta, w której zapisane zostanie prawo do przetwarzania danych osobowych w podmiocie leczniczym, a także ustawy o systemie informacji w ochronie zdrowia.

Pracodawcy Medycyny Prywatnej byli współorganizatorem konferencji, a także są współautorami kodeksu.

Poza tym członkami zespołu tworzącego kodeks są przedstawiciele Polskiej Federacji Szpitali, Fundacji Telemedyczna Grupa Robocza,  Konfederacji Lewiatan Technologiczny, Polskiej Izby Informatyki i Telekomunikacji oraz Federacji Związków Pracodawców Ochrony Zdrowia Porozumienie Zielonogórskie.

Inicjatywa ta uzyskała także poparcie Ministerstwa Zdrowia, Centrum Systemów Informatycznych Ochrony Zdrowia, Centrum Monitorowania Jakości w Ochronie Zdrowia, Naczelnej Izby Lekarskiej, Krajowej Izby Diagnostów Laboratoryjnych, Naczelnej  Izby Pielęgniarek i Położnych, Krajowej Rady Fizjoterapeutów, Samorządu Województwa Wielkopolskiego oraz fundacji My Pacjenci.

RODO od 25 maja 2018

Od 25 maja 2018 roku obowiązywać zacznie Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 roku w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych, czyli RODO). Będzie ono miało bezpośredni i znaczący wpływ na przetwarzanie danych przez podmioty wykonujące działalność leczniczą. RODO wprowadza nowe obowiązki dla administratorów danych/podmiotów przetwarzających i nowe uprawnienia dla osób, których dane dotyczą.

Prawidłowe realizowanie zobowiązań wynikających z RODO jest niezwykle istotne, w szczególności w związku z tym, iż zabezpieczone będzie dotkliwymi sankcjami: cywilnymi administracyjnymi (do 20 mln euro lub 4 procent obrotu rocznego), karnymi i zawodowymi.

Podmioty z branży medycznej będą zobowiązane do przestrzegania zapisów RODO w pełnym zakresie począwszy od pierwszego dnia obowiązywania tego rozporządzenia. Przepisy zasadniczo nie przewidują żadnej taryfy ulgowej.

Kodeks dla branży medycznej dostępny jest na stronie www.rodowzdrowiu.pl