Kodeks dla branży medycznej ułatwi wprowadzenie RODO
Założenia kodeksu dla branży medycznej, ułatwiającego stosowanie zasad rozporządzenia unijnego RODO, zostały zaprezentowane podczas konferencji „RODO w sektorze medycznym – gdzie jesteśmy, dokąd zmierzamy?, która odbyła się 14 marca na warszawskiej Uczelni Łazarskiego. Kodeks powstał dzięki pracy prywatnych podmiotów, ale zachęcane do jego stosowania są wszystkie placówki, także publiczne.
Gotowe są podstawy prawne kodeksu, jego zakres przedmiotowy, w tym zasady przetwarzania danych osobowych. Twórcy kodeksu odnieśli się do praw zawartych w rozporządzeniu i określili, jak mogą się one odnieść do danych przetwarzanych w placówkach medycznych. W trakcie opracowania są jeszcze kwestie dotyczące bezpieczeństwa przetwarzania danych i monitoringu bezpieczeństwa.
Kodeks dotyczy typowych usług medycznych, są bowiem takie obszary, które uregulowane są odrębnymi przepisami, na przykład ustawą o leczeniu niepłodności czy ustawą o ochronie zdrowia psychicznego.
Jednym z twórców kodeksu jest Telemedyczna Grupa Robocza, dlatego zagadnienia związane z telemedycyną również zawarto w tym dokumencie.
Administratorem danych każdy podmiot leczniczy
Katarzyna Korulczyk z Lux Medu podczas swojego wystąpienia w trakcie konferencji podkreśliła konieczność zachowania zdrowego rozsądku podczas wprowadzania zasad rozporządzenia RODO.
– Ważne są nowe przepisy i związane z tym nowe dokumenty, ale nie można jednocześnie zapomnieć o pacjencie – zauważyła. Podkreśliła także, że kodeks, mimo że powstał dzięki pracy i zaangażowaniu wielu prywatnych podmiotów, przeznaczony jest dla wszystkich podmiotów medycznych.
– Bez względu na to, jakiego rodzaju jest to organizacja, zarządzający mają podobne wątpliwości i problemy, więc kodeks będzie uniwersalny i będzie dla wszystkich podmiotów pomocą w stosowaniu zasad rozporządzenia – dodała Katarzyna Korulczyk.
Wyjaśniła też, że administratorem danych osobowych jest każdy podmiot, który prowadzi dokumentację medyczną. Także w sytuacji, gdy podmiot leczniczy świadczy usługi w zakresie medycyny pracy dla pracodawcy, to jest on samodzielnym administratorem danych osobowych, pracodawca nie musi z nim zawierać umowy powierzenia.
Jednoosobowe praktyki jak personel
W sprawie jednoosobowych praktyk lekarskich stanowisko twórców kodeksu jest takie, że powinni oni być traktowani nie jak podmioty przetwarzające dane osobowe, ale jak personel, a podmiot, w obrębie którego działają, nadaje im upoważnienie do przetwarzania danych osobowych.
Kodeks zawiera także projekt umowy powierzenia, którą administrator danych osobowych może zawierać z firmami zewnętrznymi. W umowie takiej powinny być zawarte zasady dotyczące kontroli, audytu i inspekcji podmiotu przetwarzającego dane. Warto to prawo do kontroli doprecyzować i skonkretyzować oraz określić, jak kontrola będzie przeprowadzana.
RODO wprowadza rozszerzony obowiązek informacyjny wobec pacjentów.
– Reprezentujemy podejście, że wystarczy samo zamieszczenie obowiązku informacyjnego w takiej formie, aby pacjent mógł się z nim zapoznać, na przykład w formie plakatu przy rejestracji w placówce – wyjaśniła Katarzyna Korulczyk. – W przypadku usług rejestracyjnych świadczonych przez call center rozwiązaniem może być konieczność wysłuchania przez pacjenta nagranego komunikatu. Wyszliśmy też z założenia, że nowy obowiązek informacyjny dotyczy danych, które obecnie zbieramy, a nie tych, które już posiadamy.
Ustawodawstwo krajowe a ochrona danych
W ramach ustawodawstwa krajowego dotyczącego ochrony danych osobowych powstają projekty ustaw – ustawy o ochronie danych osobowych oraz ustawy wprowadzającej związane z tym zmiany w 37 ustawach sektorowych. Projekt ustawy o ochronie danych osobowych został opublikowany we wrześniu 2017 na stronie Rządowego Centrum Legislacji. Obecnie zajmuje się nią sejmowa komisja prawnicza. Ustawa będzie zawierała obszerne przepisy dotyczące obszaru ochrony danych osobowych, między innymi powoływania podmiotów akredytujących czy powoływania inspektora ochrony danych osobowych.
Zmiany będą dotyczyły między innymi ustawy o prawach pacjenta i Rzeczniku Praw Pacjenta, w której zapisane zostanie prawo do przetwarzania danych osobowych w podmiocie leczniczym, a także ustawy o systemie informacji w ochronie zdrowia.
Pracodawcy Medycyny Prywatnej byli współorganizatorem konferencji, a także są współautorami kodeksu.
Poza tym członkami zespołu tworzącego kodeks są przedstawiciele Polskiej Federacji Szpitali, Fundacji Telemedyczna Grupa Robocza, Konfederacji Lewiatan Technologiczny, Polskiej Izby Informatyki i Telekomunikacji oraz Federacji Związków Pracodawców Ochrony Zdrowia Porozumienie Zielonogórskie.
Inicjatywa ta uzyskała także poparcie Ministerstwa Zdrowia, Centrum Systemów Informatycznych Ochrony Zdrowia, Centrum Monitorowania Jakości w Ochronie Zdrowia, Naczelnej Izby Lekarskiej, Krajowej Izby Diagnostów Laboratoryjnych, Naczelnej Izby Pielęgniarek i Położnych, Krajowej Rady Fizjoterapeutów, Samorządu Województwa Wielkopolskiego oraz fundacji My Pacjenci.
RODO od 25 maja 2018
Od 25 maja 2018 roku obowiązywać zacznie Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 roku w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych, czyli RODO). Będzie ono miało bezpośredni i znaczący wpływ na przetwarzanie danych przez podmioty wykonujące działalność leczniczą. RODO wprowadza nowe obowiązki dla administratorów danych/podmiotów przetwarzających i nowe uprawnienia dla osób, których dane dotyczą.
Prawidłowe realizowanie zobowiązań wynikających z RODO jest niezwykle istotne, w szczególności w związku z tym, iż zabezpieczone będzie dotkliwymi sankcjami: cywilnymi administracyjnymi (do 20 mln euro lub 4 procent obrotu rocznego), karnymi i zawodowymi.
Podmioty z branży medycznej będą zobowiązane do przestrzegania zapisów RODO w pełnym zakresie począwszy od pierwszego dnia obowiązywania tego rozporządzenia. Przepisy zasadniczo nie przewidują żadnej taryfy ulgowej.
Kodeks dla branży medycznej dostępny jest na stronie www.rodowzdrowiu.pl