Organizacje reprezentujące administratorów lub podmioty przetwarzające dane osobowe mogą opracowywać kodeksy postępowania, aby doprecyzować i ułatwić właściwe stosowanie przepisów RODO w swojej branży. Zasady tworzenia kodeksów zostały opisane w art. 40 RODO.
Zgodnie z jego brzmieniem, kodeksy powinny regulować kwestię m. in. rzetelnego i przejrzystego przetwarzania, prawnie uzasadnionych interesów realizowanych przez administratorów w określonych kontekstach, zgłaszania organowi nadzorczemu naruszeń ochrony danych osobowych oraz zawiadamiania o takich naruszeniach osób, których dane dotyczą, a także przekazywania danych osobowych do państw trzecich lub organizacji międzynarodowych.
Zgodnie z art. 41 ust. 1 RODO bez uszczerbku dla zadań i uprawnień właściwego organu nadzorczego, monitorowaniem przestrzegania kodeksu postępowania może zajmować się podmiot, który dysponuje odpowiednim poziomem wiedzy fachowej w dziedzinie będącej przedmiotem kodeksu i został akredytowany w tym celu przez właściwy organ nadzorczy.
W Polsce zatwierdzono jak dotąd dwa kodeksy postępowania, choć w dacie pisania niniejszego artykułu, organ nadzorczy informuje na swojej stronie internetowej, iż przedłożono mu do zatwierdzenia kolejnych pięć projektów. Projekty te przygotowała Krajowa Izba Doradców Podatkowych, Związek Pracodawców Organizacja Firm Badania Opinii i Rynku, Polska Rada Centrów Handlowych, Sieć Badawcza Łukasiewicz – PORT Polski Ośrodek Rozwoju Technologii oraz Izba Gospodarcza Hotelarstwa Polskiego.
Pierwszy kodeks postępowania, tj. Kodeks postępowania dotyczący ochrony danych osobowych przetwarzanych w małych placówkach medycznych (MPM) (Porozumienie Zielonogórskie) został zatwierdzony przez Prezesa Urzędu Ochrony Danych Osobowych dnia 14 grudnia 2022 r.
Dokument składa się ze 109 stron, zaś w kodeksie znajduje się słowniczek, dwanaście rozdziałów oraz spis załączników, tabel, wykresów i ilustracji.
Kodeks zawiera praktyczne wskazówki dotyczące realizacji obowiązków wynikających z RODO, które uwzględniają specyfikę funkcjonowania małych placówek medycznych. Autorzy kodeksu zwracają uwagę, iż „kodeks ma również na celu zwiększenie zaufania pacjentów do MPM i dać gwarancję, że placówki, które przystępują do kodeksu, zapewniają bezpieczeństwo danych osobowych na odpowiednio wysokim poziomie poprzez stosowanie odpowiednich zasad i instrumentów prawnych ochrony danych przy uwzględnieniu ryzyka dla praw lub wolności pacjentów wynikającego z przetwarzania ich danych osobowych”. Należy zwrócić uwagę, iż kodeks ma zastosowanie wyłącznie do danych osobowych przetwarzanych w związku z działalnością leczniczą małych placówek medycznych (m. in. pacjentów, osób upoważnionych, osób bliskich). Dokument nie dotyczy zaś przetwarzania danych osobowych pracowników, współpracowników, kandydatów do pracy lub innych osób, których dane gromadzi MPM.
Podmiotem monitorującym stosowanie zasad kodeksu jest RS JAMANO Sp. z o.o. Sp. k. Jednym z obowiązków podmiotu monitorującego jest wezwanie placówki do złożenia wyjaśnień w terminie 14 dni, w razie powzięcia informacji o naruszeniu postanowień kodeksu. W zależności od stanu faktycznego, podmiot monitorujący może nakazać osobom odpowiedzialnym za przetwarzanie danych przejście zdalnego szkolenia z zakresu ochrony danych, przeprowadzić czynności sprawdzające w MPM, a nawet zdecydować o wykreśleniu MPM z grupy podmiotów stosujących kodeks.
Zgodnie z kodeksem, małe placówki medyczne mogą przetwarzać dane osobowe pacjentów przede wszystkim jeśli jest to niezbędne do celów profilaktyki zdrowotnej i zapewnienia opieki zdrowotnej na podstawie odpowiednich przepisów prawa, jeśli pacjent wyraził zgodę na przetwarzanie jego danych osobowych oraz MPM posiada prawnie uzasadniony interes w przetwarzaniu danych (dotyczy badań jakości oraz marketingu bezpośredniego MPM, z wyłączeniem marketingu telefonicznego i elektronicznego).
Znaczną część kodeksu poświęcono zagadnieniu wyrażania zgody na przetwarzanie danych. Wyjaśniono, w jakich celach MPM może zbierać zgody na przetwarzanie danych, jak należy zbierać zgody, jakie warunki MPM musi spełnić, by zgoda była ważna oraz w jaki sposób podmiot, którego dane dotyczą, może wycofać zgodę.
Mała placówka medyczna przetwarza przede wszystkim dane osobowe niezbędne do realizacji celów, jakimi są profilaktyka zdrowotna, medycyna pracy, rejestracja i świadczenie usług opieki zdrowotnej oraz ochrona żywotnych interesów osoby, której dane dotyczą. W określonych wypadkach MPM przetwarza także dane osobowe w związku z działaniami marketingowymi oraz realizacją badań klinicznych i naukowych. Na potrzeby kodeksu przyjęto się, że MPM będą przetwarzały przede wszystkim dane wymienione w ustawie z dnia 6 listopada 2008 r. o prawach pacjenta i Rzeczniku Praw Pacjenta i ustawie z dnia 27 sierpnia 2004 r. o świadczeniach opieki zdrowotnej finansowanych ze środków publicznych oraz aktach wykonawczych do nich. W kodeksie zamieszczono tabele danych, których przetwarzanie przez MPM jest obowiązkowe lub możliwe. Tabelę podzielono na kategorie podmiotów, których dane są przetwarzane, tj. dane pacjenta, dane przedstawiciela ustawowego pacjenta, dane osoby upoważnionej przez pacjenta.
Twórcy kodeksu wskazali, iż MPM powinny przeszkolić i upoważnić personel biorący udział w procesie przetwarzania danych osobowych (pisemne upoważnienia dla pracowników, które określają zakres ich dostępu do danych, szkolenia dostosowane do specyfiki danego stanowiska pracy) oraz – w razie konieczności – wyznaczyć inspektora ochrony danych. W kodeksie opisano również jak należy zarządzać ochroną danych w organizacji, komu i na jakich warunkach MPM mogą powierzać przetwarzanie danych osobowych oraz jak należy postępować w przypadku naruszenia ochrony danych osobowych.
Omówiono także kwestię monitoringu wizyjnego. Podkreślono, że decyzję MPM o instalacji systemu monitoringu wizyjnego powinna zawsze poprzedzać analiza zasadności stosowania takiego rozwiązania. Jak wskazują autorzy kodeksu, taka analiza powinna obejmować w szczególności obowiązujące przepisy prawa, analizę ryzyka związanego ze stosowaniem monitoringu oraz test równowagi z motywu 47 RODO. Zwrócono szczególną uwagę na fakt, iż z uwagi na brak odrębnych przepisów prawa, monitoring w MPM nie może obejmować gabinetów lekarskich lub zabiegowych, toalet, szatni lub przebieralni.
Drugi kodeks postępowania, tym razem Kodeks postępowania dla sektora ochrony zdrowia (Polska Federacja Szpitali) został zatwierdzony przez Prezesa Urzędu Ochrony Danych Osobowych dnia 11 grudnia 2023 r.
Kodeks ten różni się swoją strukturą od pierwszego, ponieważ składa się ze 112 stron, z czego 47 stron stanowią załączniki. Wśród nich znajdują się wzór zgody na przetwarzanie danych osobowych, przykładowa procedura analizy ryzyka, której wdrożenie i stosowanie zapewniają realizację podejścia opartego na ryzyku, wykaz zabezpieczeń systemów IT, wykaz norm mających zastosowanie w obszarze bezpieczeństwa informacji i ochrony danych osobowych.
Podmiotem uprawnionym do monitorowania przestrzegania ww. kodeksu jest KPMG Advisory spółka z ograniczoną odpowiedzialnością spółka komandytowa.
Jak wynika z pierwszego rozdziału, kodeks reguluje zasady przetwarzania danych osobowych przez wszystkie podmioty wykonujące działalność leczniczą (PWDL), bez względu na formę prawną prowadzenia działalności, strukturę właścicielską i podmiot tworzący, uczestnictwo w systemie opieki zdrowotnej finansowanym ze środków publicznych oraz zakres i rodzaj prowadzonej działalności leczniczej. Postanowienia kodeksu mają również zastosowanie do podmiotów przetwarzających, które na zlecenie PWDL przetwarzają dane osobowe pozyskane przez PWDL w celu prowadzenia działalności leczniczej.
W kodeksie wskazano, iż podstawą prawną przetwarzania danych osobowych pacjentów w celach zdrowotnych przez PWDL są właściwe przepisy RODO pozostające w związku z przepisami krajowego prawa medycznego. Opisano przypadki przetwarzania danych: w celach zdrowotnych – niewymagających zgody pacjenta, w celach innych niż zdrowotne – niewymagających zgody pacjenta, przypadki zakresu przetwarzanych danych – niewymagających zgody pacjenta oraz przypadki przetwarzania danych na podstawie zgody pacjenta.
W kodeksie uregulowano kwestię zasad przetwarzania danych osobowych przez osoby wykonujące zawody medyczne. Zgodnie z tymi zasadami, PWDL jako administrator decyduje o nadawaniu upoważnień do przetwarzania danych osobowych osobom wykonującym zawód medyczny przetwarzającym dane pacjentów w ramach wykonywania zawodu i jest to jeden ze środków organizacyjnych, którego celem jest zapewnienie odpowiedniej ochrony danych i kontroli nad procesem ich przetwarzania. Zakres przetwarzanych danych powinien być niezbędny do wykonywania zawodu medycznego, w szczególności do udzielania świadczeń opieki zdrowotnej lub musi być powiązany choćby z potencjalną możliwością udzielania świadczeń opieki zdrowotnej. Osoba wykonująca zawód medyczny przetwarzająca dane w ramach czynności wykraczających poza wykonywanie zawodu medycznego powinna w tym zakresie uzyskać upoważnienie administratora wskazane w art. 24 ust. 2 pkt. 2 ustawy o prawach pacjenta i rzeczniku praw pacjenta.
W dokumencie wskazano zasady przekazywania informacji dotyczących pacjenta w stanach nagłych w oparciu o art. 9 ust. 2 lit. c) RODO. Twórcy kodeksu wskazują, iż w przypadku, w którym pacjent nie jest fizycznie albo prawnie zdolny do wyrażenia zgody w odpowiednim czasie, w szczególności gdy jest nieprzytomny lub nie ma możliwości nawiązania z nim kontaktu w wymaganym czasie, PWDL może podjąć kontakt z osobą trzecią, nieupoważnioną przez pacjenta zgodnie z przepisami prawa medycznego, w szczególności zgodnie z art. 26 ustawy o prawach pacjenta i Rzeczniku Praw Pacjenta, w tym z osobą bliską, w celu przekazania lub uzyskania danych, w tym danych o stanie zdrowia pacjenta niezbędnych dla ochrony żywotnych interesów pacjenta lub innej osoby, w szczególności ochrony zdrowia lub życia tych osób.
W kodeksie opisano, iż PWDL uprawnione są do stosowania monitoringu w miejscach ogólnodostępnych, takich jak recepcja, szatnia, poczekalnia, stołówka, wejścia do budynku , jeżeli jest to niezbędne dla zapewnienia bezpieczeństwa pacjentów oraz personelu PWDL, miejscach udzielania świadczeń zdrowotnych oraz pobytu pacjentów w zakresie wynikającym z przepisów odrębnych (m. in. oddziały dziecięce, oddziały psychiatryczne, zespół porodowy, anestezjologia i intensywna terapia, pokoje łóżkowe, jeżeli jest to konieczne w procesie leczenia i dla zapewnienia pacjentom bezpieczeństwa).
Ponadto, PWDL może dokonywać utrwalenia przebiegu całości przeprowadzanych na rzecz pacjenta zabiegów lub ich części przy użyciu sprzętu rejestrującego obraz lub obraz i dźwięk w celach zdrowotnych, jeżeli jest to uzasadnione rodzajem wykonywanego świadczenia zdrowotnego jako dokumentacji z przebiegu udzielanego świadczenia zdrowotnego i włączenia utrwalonego obrazu lub obrazu i dźwięku do dokumentacji medycznej pacjenta.
Podsumowując, należy podkreślić, iż przystąpienie do stosowania kodeksu postępowania wiąże się z licznymi korzyściami. Przede wszystkim podmioty, które będą te kodeksy stosowały dają gwarancję prawidłowości stosowania określonych rozwiązań zatwierdzonych przez organ nadzorczy. Rola kodeksów postępowania jest również bardzo istotna przy nakładaniu administracyjnej kary pieniężnej. Należy bowiem mieć na uwadze, iż zgodnie z art. 83 ust. 1 lit. j RODO organ nadzorczy decydując, czy nałożyć administracyjną karę pieniężną, oraz ustalając jej wysokość, zwraca w każdym indywidualnym przypadku należytą uwagę na stosowanie zatwierdzonych kodeksów postępowania na mocy art. 40 RODO.
Wytyczne Europejskiej Rady Ochrony Danych dotyczące kodeksów postępowania kładą nacisk na cel opracowania takiego kodeksu. Europejska Rada Ochrony Danych gromadzi w rejestrze wszystkie zatwierdzone kodeksy podstępowania, zmiany i rozszerzenia i udostępnia je opinii publicznej za pomocą odpowiednich środków, np. na swojej stronie internetowej.
