W grudniu 2023 roku Prezes Urzędu Ochrony Danych Osobowych zatwierdził „Kodeks postępowania dla sektora ochrony zdrowia” przygotowany przez Polską Federację Szpitali („Kodeks”). Podpisany dokument to pierwszy w Europie kodeks obejmujący podmioty publiczne i prywatne z sektora medycznego.
Dokument ten został wydany na podstawie art. 40 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. U. UE. L. z 2016 r. Nr 119, str. 1 z późn. zm.), który stanowi, iż „państwa członkowskie, organy nadzorcze, Europejska Rada Ochrony Danych oraz Komisja zachęcają do sporządzania kodeksów postępowania mających pomóc we właściwym stosowaniu niniejszego rozporządzenia – z uwzględnieniem specyfiki różnych sektorów dokonujących przetwarzania oraz szczególnych potrzeb mikroprzedsiębiorstw oraz małych i średnich przedsiębiorstw”.
W ocenie organu nadzorczego przedstawiony przez Polską Federację Szpitali Kodeks jest zgodny z przepisami ogólnego rozporządzenia o ochronie danych (RODO) oraz stanowi odpowiednie zabezpieczenie w zakresie ochrony danych przewidzianych przepisami tego rozporządzenia.
We wstępie Kodeksu wskazano, iż celem Kodeksu jest zapewnienie adekwatnego poziomu ochrony pacjentów, w związku z przetwarzaniem ich danych osobowych, ze szczególnym uwzględnieniem ochrony zdrowia i życia pacjentów, jako dóbr o nadrzędnym znaczeniu. Kodeks został sporządzony z uwzględnieniem specyfiki funkcjonowania rynku podmiotów wykonujących działalność leczniczą. Stosowanie Kodeksu stanowi okoliczność potwierdzającą wywiązywanie się z obowiązków nałożonych przez RODO na administratorów danych oraz podmioty przetwarzające, które działają na rynku podmiotów wykonujących działalność leczniczą. Tym samym Kodeks służy realizacji zasady rozliczalności.
Ważnym aspektem było wypracowanie rozwiązań monitorowania podmiotów publicznych. Jest to pierwszy taki kodeks dla sektora medycznego umożliwiający publicznym placówkom medycznym potwierdzanie zgodności procesu przetwarzania danych z RODO. Przy czym przystąpienie do Kodeksu nie wiąże się z członkostwem w żadnej organizacji.
Organ nadzorczy udzielił akredytacji KPMG Advisory sp. z o.o. sp. k., który będzie pełnił funkcję podmiotu monitorującego stosowanie Kodeksu wśród jego członków z sektora prywatnego.
„Zatwierdzony Kodeks to kompleksowe narzędzie dla administratorów i podmiotów przetwarzających dane osobowe z branży ochrony zdrowia. Już na etapie projektu stał się punktem odniesienia dla wielu podmiotów medycznych. Jesteśmy przekonani, że teraz, już z pełną mocą obowiązywania, dostarczy nowego impulsu do dalszej poprawy standardów w zakresie ochrony danych osobowych pacjentów” – powiedział Piotr Burzyk, Senior Manager w Zespole Cyberbezpieczeństwa w Dziale Consultingu w KPMG w Polsce.
„Ochrona danych osobowych oraz cyberbezpieczeństwo stają się kluczowymi aspektami dla sektora ochrony zdrowia. Kodeks stanowi ważny krok w zapewnieniu tego bezpieczeństwa. Jestem dumny, że to właśnie w Polsce został ustanowiony pierwszy Kodeks obejmujący również monitorowanie zarówno prywatnych jak i publicznych placówek leczniczych” – powiedział Jarosław J. Fedorowski, Prezes Polskiej Federacji Szpitali.
Przystąpienie do stosowania Kodeksu wiąże się z licznymi korzyściami. Przede wszystkim podmioty, które będą go stosowały mogą mieć gwarancję prawidłowości używania określonych rozwiązań zatwierdzonych przez organ nadzoru. Mogą też liczyć na nadzór nad procesami przetwarzania danych osobowych w oparciu o mechanizmy monitorowania opisane w Kodeksie. Nie bez znaczenia jest również fakt, iż zgodnie z RODO organ nadzorczy, gdy rozważa nałożenie kary na dany podmiot musi brać pod uwagę w każdym przypadku, czy podmiot ten prawidłowo stosuje zatwierdzony kodeks postępowania.
Podmioty opracowujące Kodeks wyrażają nadzieję, że Kodeks przyczyni się do skutecznego rozwoju e-zdrowia w Polsce, przy jednoczesnym zachowaniu właściwych i aktualnych standardów bezpieczeństwa oraz zapewnieniu poufności przetwarzania danych o stanie zdrowia pacjentów.