W lutym 2021 Prezes Urzędu Ochrony Danych Osobowych pozytywnie zaopiniował dwa projekty kodeksów postępowania dla ochrony zdrowia: „Kodeks postępowania dla sektora ochrony zdrowia” opracowany przez Polską Federację Szpitali oraz „Kodeks postępowania dotyczącego ochrony danych osobowych przetwarzanych w małych placówkach medycznych” opracowany przez „Porozumienie Zielonogórskie”.
Branża medyczna to specyficzny sektor, w którym przetwarzane są dane szczególnej kategorii – dane o stanie zdrowia. Nie tylko przepisy prawa ochrony danych, ale również pacjenci wymagają od placówek medycznych właściwego obchodzenia się z ich danymi osobowymi. Naruszenie ich ochrony może przecież narazić pacjentów na poważne straty, a podmiot leczniczy na odpowiedzialność administracyjną i odszkodowawczą.
Właściwa realizacja wymogów RODO bywa jednak niełatwa, co spowodowane jest z jednej strony obszerną ilością przepisów (oprócz RODO i ustawy o ochronie danych sektor medyczny reguluje wiele ustaw i rozporządzeń), a z drugiej – poziomem ich skomplikowania. Pomocne w przestrzeganiu wymogów prawnych ochrony danych medycznych mogą okazać się właśnie kodeksy postępowania. Idea ich opracowywania polega na tym, że mogą one powstawać, aby doprecyzować w poszczególnych branżach zastosowanie RODO. Pozytywna opinia PUODO daje nadzieję, że w bliżej nieokreślonej, lecz względnie niedalekiej przyszłości, będą one mogły być stosowane przez placówki medyczne.
Na ten moment, żaden kodeks nie jest jednak zatwierdzony przez organ nadzorczy, stąd też podmioty lecznicze wciąż muszą radzić sobie bez takiego wsparcia. W związku z powyższym przypominamy o najważniejszych kwestiach, o których należy pamiętać, aby dane o stanie zdrowia były chronione w sposób prawidłowy.
Przede wszystkim właściciele placówki i jej pracownicy powinni znać podstawowe pojęcia związane z ochroną danych, np. wiedzieć jakie informacje stanowią dane osobowe, kim jest i jakie zadania ma Inspektor Ochrony Danych, kto jest administratorem, a kto podmiotem przetwarzającym.
Placówki medyczne z zasady nie muszą zbierać od pacjentów zgody na przetwarzanie danych osobowych, nawet gdy dotyczy to danych wrażliwych. Ich przetwarzanie jest bowiem niezbędne do celu świadczenie usług medycznych. Niezbędne będzie natomiast uzyskanie zgody pacjenta w przypadku chęci wykorzystywania jego danych w celach marketingowych.
Konieczne rzeczą jest wdrożenie odpowiednich procedur oraz środków technicznych i organizacyjnych, a następnie opisanie ich w wewnętrznych politykach. Mówiąc prościej należy po prostu rozważyć, czy dane są przetwarzane w taki sposób, że zapewnione jest ich bezpieczeństwo, zastanowić się nad możliwymi zagrożeniami i spróbować podjąć takie środki, które będą im przeciwdziałać, a następnie opisać to w wewnętrznej dokumentacji. Mogą to być środki typu: zamykane drzwi i szafy, monitoring, szyfrowanie plików wysyłanych pocztą elektroniczną, właściwe zabezpieczenie serwera i infrastruktury informatycznej, silne hasła do komputerów i wiele innych.
Pamiętać należy również o spełnianiu obowiązku informacyjnego nie tylko wobec pacjentów, ale również wszystkich innych osób, których dane osobowe placówka medyczna przetwarza (np. pracowników, kontrahentów).
Personel placówki medycznej powinien wiedzieć jak postępować w przypadku ewentualnych naruszeń przepisów związanych z ochroną danych. W wypadku wycieku danych najważniejsze jest szybkie przeciwdziałanie naruszeniu i transparentna współpraca z organem nadzorczym oraz osobami, których dane dotyczą, a bez odpowiedniej wiedzy i właściwego przeszkolenia nie będzie to możliwe.
I w końcu bardzo istotną kwestią jest decyzja co do wyznaczenia Inspektora Ochrony Danych. W skrócie rzecz ujmując, jedną z sytuacji, gdy wyznaczenie Inspektora jest konieczne, jest ta, gdy główna działalność administratora wiąże się z koniecznością przetwarzania na dużą skalę szczególnych kategorii danych osobowych. Przyjmuje się więc, że z uwagi na dane wrażliwe przetwarzane przez placówki medyczne, bezpieczniej jest, jeżeli posiadają Inspektora Ochrony Danych. Właściciel placówki powinien podjąć decyzję, czy zatrudnić nową osobę na to stanowisko, czy wyznaczyć kogoś spośród swoich pracowników do pełnienia tej roli. Pamiętać jednak należy, że osoba pełniąca funkcję IOD powinna posiadać w szczególności odpowiednią wiedzę prawniczą zwłaszcza z zakresu prawa ochrony danych.