Projekt Kodeksu Branżowego dla podmiotów medycznych złożony do Urzędu Ochrony Danych Osobowych
13 listopada 2018 roku do Prezesa Urzędu Ochrony Danych Osobowych został złożony wniosek dotyczący zatwierdzenia projektu kodeksu branżowego. W pracach nad kodeksem aktywnie uczestniczyli przedstawiciele Pracodawców Medycyny Prywatnej.
Kodeks ma ułatwić podmiotom leczniczym stosowanie regulacji zawartych w unijnym rozporządzeniu dotyczącym ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i swobodnego przepływu takich danych (RODO), do którego przepisów placówki medyczne z terenu całej Unii Europejskiej są zobowiązane stosować się od 25 maja 2018 roku.
Prace nad kodeksem rozpoczęły się na początku roku 2018. Od maja do września 2018 przeprowadzono szerokie konsultacje tego dokumentu i uwzględniono przekazane w ich toku uwagi.
Doprecyzowania wymagały między innymi zagadnienia dotyczące weryfikacji tożsamości pacjenta, przetwarzania danych przez podmioty lecznicze czy prawa do kopii danych w relacji do prawa pacjenta do dokumentacji medycznej.
Kodeks może regulować zasady przetwarzania danych przez wszystkie podmioty wykonujące działalność leczniczą, bez względu na ich formę prawną, strukturę właścicielską i podmiot prowadzący, uczestnictwo w systemie opieki zdrowotnej finansowanym ze środków publicznych oraz zakres i rodzaj prowadzonej działalności leczniczej. Nie reguluje natomiast zasad przetwarzania danych przez podmioty, które nie prowadzą działalności leczniczej, nawet jeżeli przetwarzają dane o stanie zdrowia (na przykład z branży lifestyle, fitness czy dietetycznej itp.). Kodeks reguluje przetwarzanie danych w związku z prowadzoną działalnością leczniczą (zazwyczaj bez konieczności uzyskania zgody) oraz w innych celach (zazwyczaj na podstawie zgody pacjenta).
Czytaj także: Aktywnie uczestniczymy w pracach nad kodeksem dla branży medycznej>>>
Kodeks omawia podstawowe zasady przetwarzania danych osobowych przez podmioty wykonujące działalność leczniczą – podstawy przetwarzania danych, przetwarzanie danych w celach zdrowotnych oraz w celach innych, przetwarzanie danych na podstawie zgody pacjenta oraz bez zgody. Określa, kto jest administratorem danych osobowych pacjentów, kto ma dostęp do danych pacjentów, omawia kwestię udostępniania danych osobowych pacjenta zawartych w dokumentacji medycznej a także wybrane zagadnienia dotyczące kwalifikacji danych, materiałów i próbek jako danych osobowych.
Poszczególne rozdziały kodeksu omawiają także bezpieczeństwo przetwarzania danych, ocenę skutków dla ochrony danych, powierzenie przetwarzania danych, a także zasady weryfikacji tożsamości pacjentów, obowiązek informacyjny względem pacjentów w przypadku zbierania danych bezpośrednio oraz niebezpośrednio od nich, prawo pacjenta do dostępu do danych, do ograniczania ich przetwarzania, przenoszenia danych i sprzeciwu wobec przetwarzania, a także zagadnienia profilowania danych osobowych.
Kodeks zawiera także zasady monitorowania przestrzegania przepisów Kodeksu przez podmioty, które się do tego zobowiążą.
Załączniki do Kodeksu zawierają- wzór zgody na przetwarzanie danych osobowych, katalog danych jednoznacznie identyfikujących daną osobę, zasady postępowania w wybranych sytuacjach związanych ze zwiększonym ryzykiem naruszenia praw pacjentów w związku z przetwarzaniem danych osobowych, procedurę analizy ryzyka, której wdrożenie i stosowanie zapewnia realizację podejścia opartego na ryzyku, wykaz zabezpieczeń systemów IT, wykaz norm mających zastosowanie w obszarze bezpieczeństwa informacji i ochrony danych osobowych, rekomendacje w zakresie bezpieczeństwa oraz rozwiązań technologicznych stosowanych podczas przetwarzania danych w podmiotach, gdzie przetwarzanie to nie odbywa się na dużą skalę, wzór oświadczenia o spełnieniu wymogów wynikających z Kodeksu, wzór wniosku o uzyskanie statusu podmiotu przestrzegającego Kodeksu oraz wzór kwestionariusza, który dołącza się do oświadczenia lub wniosku.
Oprócz Pracodawców Medycyny Prywatnej w pracach nad Kodeksem uczestniczyli: Polska Federacja Szpitali, Federacja Związków Pracodawców Ochrony Zdrowia Porozumienie Zielonogórskie, Fundacja Telemedyczna Grupa Robocza, Konfederacja Lewiatan, Polska Izba Informatyki i Telekomunikacji. Kodeks powstał także przy udziale strony publicznej, reprezentowanej przez CSIOZ, Centrum Monitorowania Jakości w Ochronie Zdrowia i Ministerstwo Zdrowia, a także podmiotów wspierających takich jak między innymi Naczelna Izba Lekarska, Naczelna Izba Pielęgniarek i Położnych, Fundacja My Pacjenci oraz Kancelaria Domański Zakrzewski Palinka.
Wniosek o zatwierdzenie Kodeksu złożony do UODO oraz projekt Kodeksu dostępne są na stronie: www.rodowzdrowiu.pl