RODO a kodeksy postępowania

Jedną z zasad przetwarzania danych osobowych przewidzianą przepisami unijnego rozporządzenia o ochronie danych osobowych („RODO”) jest zasada rozliczalności. Zgodnie z nią administrator danych osobowych musi być w stanie wykazać przestrzeganie przez siebie przepisów ochrony danych osobowych.

Wykazania wywiązywania się przez administratora z ciążących na nim obowiązków w zakresie przetwarzania danych osobowych może następować poprzez stosowanie właściwych kodeksów postępowania (np. art. 24 ust. 3 i art. 32 ust. 3 RODO). Kodeksy postępowania mają służyć pomocą we właściwym stosowaniu przepisów RODO, z uwzględnieniem specyfiki różnych sektorów dokonujących przetwarzania oraz szczególnych potrzeb mikroprzedsiębiorstw oraz małych i średnich przedsiębiorstw.

Opracowywanie i przyjmowanie kodeksów postępowania

Podmiotami uprawnionymi do opracowania kodeksów postępowania są zgodnie z przepisami RODO zrzeszenia oraz podmioty reprezentujące określone kategorie administratorów lub podmiotów przetwarzających. Postanowienia kodeksów mają służyć doprecyzowaniu przepisów RODO m.in. w odniesieniu do: (i) prawnie uzasadnionych interesów realizowanych przez administratorów; (ii) informowania opinii publicznej i podmiotów danych; (iii) wykonywania przez podmioty danych przysługujących im praw; (iv) środków i procedur przetwarzania danych osobowych oraz środków zapewniających bezpieczeństwo przetwarzania; (v) postępowań pozasądowych oraz innych trybów rozstrzygania sporów w celu rozstrzygania sporów między administratorami a podmiotami danych.

Aby zapewnić należyte stosowanie postanowień kodeksów postępowania, przepisy RODO wymagają, aby ustanowiony został odpowiedni podmiot, który prowadził będzie obowiązkowe monitorowanie przestrzegania przepisów kodeksu przez administratorów lub podmioty przetwarzające, którzy podjęli się jego stosowania. W przypadku naruszenia postanowień kodeksu przez administratora lub podmiot przetwarzający, podmiot monitorujący jest uprawniony w szczególności do zawieszenia lub wykluczenia takiego administratora / podmiotu przetwarzającego z grona podmiotów stosujących kodeks.

Zanim kodeks zacznie być stosowany musi zostać zatwierdzony przez właściwy w danym kraju organ nadzorczy (w Polsce – Prezesa Urzędu Ochrony Danych Osobowych). Jeśli jednak postanowienia kodeksu dotyczą czynności przetwarzania danych osobowych prowadzonych w kilku państwach członkowskich UE, wówczas wymagane jest jego zatwierdzenie przez Komisję Europejską we współpracy z Europejską Radą Ochrony Danych.

Kodeksy postępowania w ochronie zdrowia

Aktualnie przedmiotem oceny PUODO są cztery projekty kodeksów, z czego dwa dotyczą przetwarzania danych osobowych pacjentów:

  • projekt kodeksu postępowania Polskiej Federacji Szpitali oraz
  • projekt kodeksu postępowania Federacji Związków Pracodawców Ochrony Zdrowia Porozumienie Zielonogórskie adresowany do małych placówek medycznych.

Projekt kodeksu postępowania dla sektora ochrony zdrowia przygotowany przez Polską Federacji Szpitali przewiduje w szczególności regulacje dotyczące podstaw przetwarzania danych pacjentów przez podmioty wykonujące działalność leczniczą, wskazując sytuacje, w których dane osobowe pacjentów są przetwarzane w celach zdrowotnych, w celach innych niż zdrowotne, w stanach nagłych, a także na podstawie zgody pacjenta.

W projekcie kodeksu wskazano również na zasady realizacji przez podmioty wykonujące działalność leczniczą – administratorów obowiązków informacyjnych wobec pacjentów, a także realizacji ich praw jako podmiotów danych, ze szczególnym uwzględnieniem zasad udostępniania pacjentom danych osobowych zawartych w dokumentacji medycznej.

Co więcej, przepisy kodeksu formułują zasady bezpieczeństwa przetwarzania danych osobowych pacjentów, wskazując właściwe środki techniczne i organizacyjne w tym zakresie oraz prezentują sposoby przeprowadzania oceny skutków opracji przetwarzania dla ochrony danych.

Kodeksy, po ich zatwierdzeniu przez Prezesa UODO, mogą stać się istotną pomocą w należytym wywiązywaniu się przez placówki ochrony zdrowia z ciążących na nich obowiązków przetwarzania danych pacjentów, w tym przede wszystkim danych o ich stanie zdrowia.

Na uwagę zasługuje w tym kontekście fakt wydania na początku czerwca 2019 r. przez Europejską Radą Ochrony Danych wytycznych dot. zatwierdzania kodeksów postępowania. Spodziewać się należy, iż wytyczne te przyspieszą procedurę zatwierdzania przez polski organ kodeksów postępowania skierowanych do jego oceny.