• 1000

Jako jeden z pierwszych podmiotów w Polsce KPMG odpowiada za monitorowanie przestrzegania Kodeksu postępowania dla sektora ochrony zdrowia. Nasze wysokie standardy niezależności, odpowiedni poziom wiedzy fachowej oraz skuteczność procedur zostały potwierdzone przez Prezesa Urzędu Ochrony Danych Osobowych w procesie akredytacji. KPMG odpowiada za przyjmowanie nowych podmiotów w poczet członków kodeksu oraz za ich właściwą weryfikację i nadzór w ramach przeprowadzanych audytów, w zgodzie z postanowieniami kodeksu, przepisami o ochronie danych osobowych, zaleceniami organu nadzorczego i dobrymi praktykami.

Czym jest Kodeks postępowania dla sektora ochrony zdrowia i dlaczego jego zatwierdzenie jest takie ważne?

Wejście w życie przepisów ogólnego rozporządzenia o ochronie danych osobowych (RODO) wprowadziło możliwość zatwierdzania kodeksów postępowania przez krajowe organy nadzorcze. Stosowanie kodeksu jest możliwe dzięki podmiotom monitorującym, które odpowiadają za przyjmowanie podmiotów w poczet członków oraz zapewniają ich właściwy nadzór. KPMG podjęło się tej roli i w tym celu spełniło szereg wymagań oraz przeszło pozytywną weryfikację w ramach postępowania prowadzonego przez Prezesa Urzędu Ochrony Danych Osobowych.

  • Kodeks postępowania dla sektora ochrony zdrowia ma na celu zapewnienie adekwatnego poziomu ochrony pacjentów w związku z przetwarzaniem ich danych osobowych – ze szczególnym uwzględnieniem ochrony zdrowia i życia pacjentów jako dóbr o nadrzędnym znaczeniu.
  • Kodeks ten uzyskał pozytywną opinię Prezesa Urzędu Ochrony Danych Osobowych, a KPMG jako jeden z pierwszych podmiotów w Polsce przystąpił do pełnienia roli podmiotu monitorującego. Monitorowaniu podlega stosowanie kodeksu, w odniesieniu do procesów przetwarzania danych pacjentów, zachodzących w podmiotach wykonujących działalność leczniczą (PWDL) oraz w podmiotach przetwarzających dane na zlecenie PWDL.
  • Jest to pierwszy zatwierdzony kodeks w Polsce, do którego stosowania mogą przystępować także Organy i podmioty publiczne.
  • Przystąpić do kodeksu może każdy podmiot prowadzący działalność leczniczą, bez względu na formę prawną działalności, strukturę właścicielską, uczestnictwo w systemie opieki zdrowotnej finansowanym ze środków publicznych czy zakres i rodzaj działalności leczniczej.
  • Podmioty, które przystąpiły do kodeksu uzyskują status członka kodeksu.

Wyzwania podmiotów związane z uzyskaniem statusu członka kodeksu

Podmioty wykonujące działalność leczniczą zajmują się świadczeniem usług medycznych i na co dzień muszą borykać się z wieloma wyzwaniami dotyczącymi ochrony zdrowia pacjentów. Przepisy prawne dotyczące danych osobowych nie są proste i łatwe w interpretacji, zwłaszcza w dobie powszechnej informatyzacji i zagrożeń pojawiających się w cyberprzestrzeni. Przedsiębiorcy działają również pod presją wysokich kar wymierzanych przez organ nadzorczy. Właściwe wdrożenie RODO, to nie tylko przygotowanie odpowiedniej dokumentacji, ale przede wszystkim stosowanie jej w praktyce i świadomość oraz minimalizacja ryzyka, jakie wiąże się z przetwarzaniem danych.

Jakie korzyści daje stosowanie kodeksu?

  • Rozliczalność – stosowanie kodeksu pomaga wykazać, że podmiot podjął odpowiednie działania i przedsięwziął właściwe środki w celu zgodnego z prawem przetwarzania danych.
  • Dochowanie staranności – stosowanie kodeksu jest brane pod uwagę przez organ nadzorczy przy podejmowaniu decyzji w przypadku wystąpienia naruszenia ochrony danych.
  • Konkretne rozwiązania – kodeks został przygotowany wyłącznie dla podmiotów wykonujących działalność leczniczą oraz podmiotów przetwarzających dane na zlecenie PWDL, co gwarantuje, że uwzględnia on specyfikę funkcjonowania branży ochrony zdrowia.
  • Dobre praktyki i aktualne wytyczne – kodeks uwzględnia przepisy z zakresu prawa medycznego, orzecznictwo sądowe i wytyczne Europejskiej Rady Ochrony Danych (EROD), a mechanizm jego okresowych przeglądów zapewni bieżącą aktualizację.
  • Niezależna ocena – kandydaci przystępujący do kodeksu mają gwarancję, że zostaną zweryfikowani przez profesjonalny podmiot, a w toku działań audytowych przeprowadzona zostanie gruntowna ocena zgodności z postanowieniami kodeksu.
  • Bezstronność rozpatrywania skarg – stosowanie zatwierdzonego kodeksu oznacza korzyść także w dla osób składających skargi – będą one rozpatrywane przez KPMG jako podmiot monitorujący.
  • Prostsza weryfikacja procesorów – podmiot przetwarzający, który przystępuje do kodeksu, wykazuje w ten sposób zapewnienie wystarczających gwarancji wdrożenia odpowiednich środków technicznych i organizacyjnych – administrator nie musi wykonywać dodatkowej weryfikacji.

Jak zostać Członkiem Kodeksu?

Proces przystąpienia do stosowania kodeksu składa się z następujących etapów:

  • złożenie wniosku przez kandydata na członka kodeksu,
  • ocena kompletności wniosku przez Zespół Monitorujący,
  • zawarcie umowy o świadczenie usług,
  • wybór metody audytu i przeprowadzenie audytu wstępnego,
  • przygotowanie i przekazanie raportu z audytu,
  • wydanie zaświadczenia o uzyskaniu statusu członka kodeksu.

Członkowie kodeksu są objęci stałym nadzorem i okresowymi audytami monitoringowymi.

Audyt wstępny realizowany jest w formie wizyty na miejscu lub zdalnie poprzez wywiady telefoniczne (wideokonferencje). Audyty nadzoru mogą mieć również formę ankiet monitoringowych. Metoda przeprowadzania audytu jest dobierana z uwzględnieniem zasady racjonalizacji kosztów dla kandydata. Jest ona uzależniona od wielkości podmiotu wykonującego działalność leczniczą, określonego liczbą osób wykonujących zawody medyczne, zatrudnionych w jednostce organizacyjnej.

O nas – KPMG jako podmiot monitorujący

KPMG jest podmiotem monitorującym zewnętrznym, niepowiązanym osobowo, kapitałowo ani organizacyjnie z żadnym z twórców kodeksu, członków komitetu sterującego, członków kodeksu lub kandydatów na członków kodeksu.

Dysponujemy odpowiednim personelem oraz środkami organizacyjnymi i materialnymi, w tym technicznymi, niezbędnymi do skutecznego wykonywania zadań podmiotu monitorującego. Pracownicy Zespołu Monitorującego KPMG dysponują wiedzą związaną z przedmiotem kodeksu postępowania oraz znajomością i doświadczeniem w stosowaniu przepisów prawa z zakresu ochrony danych osobowych.

Poza przyjmowaniem nowych podmiotów w poczet członków, firma KPMG jako podmiot monitorujący odpowiada za poniższe działania:

  • prowadzenie punktu kontaktowego poprzez dedykowaną skrzynkę poczty elektronicznej, dedykowany numer telefoniczny, pisemnie na adres KPMG lub osobiście, po uprzednim umówieniu wizyty,
  • rozpatrywanie wniosków i skarg,
  • udzielanie informacji kandydatom oraz członkom kodeksu,
  • prowadzenie wykazu członków kodeksu,
  • współpraca z UODO i komitetem sterującym - przekazywanie niezbędnych informacji, udzielanie odpowiedzi na pytania i udzielanie wyjaśnień w zakresie monitorowania stosowania kodeksu,
  • wsparcie komitetu sterującego w prowadzeniu okresowych przeglądów kodeksu,
  • współpraca w zakresie promowania stosowania kodeksu.

Skontaktuj się z nami

Bądź z nami w kontakcie

  • adres e-mail Zespołu Monitorującego:  kodeksRODO_PWDL@kpmg.pl
  • numer infolinii Zespołu Monitorującego: +48 600960201

Kontakt z Zespołem Monitorującym możliwy jest także stacjonarnie w siedzibie Spółki (po przednim umówieniu wizyty):

KPMG Advisory spółka z ograniczoną odpowiedzialnością spółka komandytowa Szef Podmiotu Monitorującego Kierownik Zespołu Monitorującego

ul. Inflancka 4a

00-189 Warszawa

REGON: 141054713

NIP: 5272548878

Numer KRS: 0000285070

Michał Kurek

Partner, Consulting, Szef Zespołu Cyberbezpieczeństwa w KPMG w Polsce i Europie Środkowo-Wschodniej

e-mailmichalkurek@kpmg.pl

Piotr Burzyk

Starszy Menedżer, Consulting, Zespół Cyberbezpieczeństwa

e-mail: pburzyk@kpmg.pl

tel.: +48 (22) 528 18 49

tel. kom.: +48 784 079 721

W przypadku podejrzenia, naruszenia przepisów kodeksu lub niewłaściwego wdrażania jego postanowień przez podmiot wykonujący działalność leczniczą lub podmiot przetwarzający, które są członkami kodeksu, można złożyć skargę do podmiotu monitorującego.

Co powinna zawierać skarga?

W skardze należy podać:

  1. swoje dane (imię, nazwisko, adres korespondencyjny, adres e-mail, numer telefonu);
  2. dane podmiotu, którego dotyczy skarga (nazwa, adres);
  3. przedmiot skargi – opis nieprawidłowości/zdarzenia, data i przebieg zdarzenia, ewentualne dowody na poparcie przytoczonych okoliczności lub wskazanie takich dowodów, w tym również wskazanie świadków itp.;
  4. informację, czy taka sama skarga była już kierowana do Prezesa Urzędu Ochrony Danych Osobowych lub sądu powszechnego.

Można skorzystać z formularza umieszczonego tutaj - Wzór skargi.pdf.

Jak będziemy przetwarzać dane osobowe skarżących?

Administratorem danych osobowych jest KPMG Advisory sp. z o.o. sp. k., ul. Inflancka 4a, 00-189 Warszawa. Wszelkie informacje dotyczące przetwarzania danych osobowych dostępne są w Szczegółowej informacji o przetwarzaniu danych osobowych.

Jak złożyć skargę?

Skargę można nam przekazać na kilka sposobów.

Listownie, na adres:

KPMG Advisory sp. z o. o. sp. k.

Zespół Monitorujący

ul. Inflancka 4A

00-189 Warszawa

Pocztą elektroniczną na adres:

kodeksRODO_PWDL@kpmg.pl

Telefonicznie pod numerem:

+48 600960201

Z rozmowy telefonicznej pracownik Zespołu Monitorującego sporządzi notatkę z opisem skargi.

Osobiście:

Możesz także umówić się na spotkanie z pracownikiem Zespołu Monitorującego w naszej siedzibie.

 

Uwaga! Prosimy nie dołączać do skargi oryginałów ani kopii/skanów dokumentacji medycznej. Jeżeli do rozpatrzenia skargi niezbędne będą dodatkowe informacje lub dokumenty, pracownik Zespołu Monitorującego będzie kontaktował się z autorem skargi.

Skarga zostanie zarejestrowana w podmiocie monitorującym, a następnie wysłane zostanie potwierdzenie jej przyjęcia.

Rozpatrzenie skargi

  • Skarga zostanie przeanalizowana przez pracownika Zespołu Monitorującego. W razie potrzeby, może się on  skontaktować z autorem skargi w celu uzyskania dodatkowych wyjaśnień lub informacji.
  • Skarga zostanie rozpatrzona w ciągu 30 dni. Jeżeli sprawa okaże się skomplikowana albo konieczne będzie przeprowadzenie audytu w podmiocie, którego dotyczy skarga, termin rozpatrzenia skargi może zostać przedłużony o 2 miesiące. Autor skargi zostanie o tym poinformowany.
  • Po rozpatrzeniu skargi autor zostanie poinformowany o działaniach podjętych w tej sprawie przez Podmiot Monitorujący.
  • Rozpatrzenie skargi jest bezpłatne.
  • Szczegółowa procedura rozpatrywania skarg i odwołań dostępna jest tutaj - PM-PWDL-06_skargi i odwołania - Wyciąg.pdf.

Informacja w sprawie wysokości opłat

W poniższej tabeli przedstawiono ceny audytu wstępnego oraz monitorowania stosowania Kodeksu w zależności od wielkości PWDL

Indywidualne praktyki zawodowe

Indywidualna praktyka lekarska, pielęgniarska, fizjoterapeutyczna

OCENA WNIOSKU I AUDYT WSTĘPNY

Weryfikacja dokumentacji, wywiad telefoniczny (wideokonferencja)

Opłata jednorazowa

5.400zł netto

MONITOROWANIE

Ankieta monitoringowa – corocznie

Wywiad telefoniczny – w okresie 5 lat, na próbie

Opłata roczna

1.950zł netto

Jednostka organizacyjna zakładu leczniczego – do 10 osób wykonujących zawody medyczne

W szczególności:

  • grupowe praktyki zawodowe,
  • zakłady podstawowej opieki zdrowotnej,
  • pracownie diagnostyczne, zabiegowe, protetyczne itp.

OCENA WNIOSKU I AUDYT WSTĘPNY

Weryfikacja dokumentacji, wywiad telefoniczny (wideokonferencja)

Opłata jednorazowa

8.100zł netto

MONITOROWANIE

Ankieta monitoringowa – corocznie

Wywiad telefoniczny – w okresie 5 lat, na próbie

Opłata roczna

2.800zł netto

Jednostka organizacyjna zakładu leczniczego – od 11 do 100 osób wykonujących zawody medyczne

W szczególności:

  • poradnie specjalistyczne,
  • podmioty udzielające stacjonarnych i całodobowych świadczeń zdrowotnych:
    • szpitale,
    • zakłady opiekuńczo-lecznicze i pielęgnacyjno-opiekuńcze, jednostki lecznictwa uzdrowiskowego, ośrodki opieki pozaszpitalnej itp.,
    • podmioty udzielające świadczeń pomocy doraźnej i ratownictwa medycznego,
    • zakłady podstawowej opieki zdrowotnej,
    • laboratoria

OCENA WNIOSKU I AUDYT WSTĘPNY

Weryfikacja dokumentacji

Wywiad telefoniczny (wideokonferencja), wizyta na miejscu

Opłata jednorazowa

16.900zł netto

MONITOROWANIE

Ankieta monitoringowa – corocznie

Wywiad telefoniczny, wizyta na miejscu - w okresie 5 lat, na próbie

Opłata roczna

5.400zł netto

Jednostka organizacyjna zakładu leczniczego – od 101 do 250 osób wykonujących zawody medyczne

W szczególności:

  • poradnie specjalistyczne,
  • podmioty udzielające stacjonarnych i całodobowych świadczeń zdrowotnych:
    • szpitale,
    • zakłady opiekuńczo-lecznicze i pielęgnacyjno-opiekuńcze, jednostki lecznictwa uzdrowiskowego, ośrodki opieki pozaszpitalnej itp.,

OCENA WNIOSKU I AUDYT WSTĘPNY

Weryfikacja dokumentacji

Wywiad telefoniczny (wideokonferencja), wizyta na miejscu

Opłata jednorazowa

28.700zł netto

MONITOROWANIE

Ankieta monitoringowa – corocznie

Wywiad telefoniczny, wizyta na miejscu - w okresie 5 lat, na próbie

Opłata roczna

8.100zł netto

Jednostka organizacyjna zakładu leczniczego – powyżej 250 osób wykonujących zawody medyczne

W szczególności:

  • poradnie specjalistyczne,
  • podmioty udzielające stacjonarnych i całodobowych świadczeń zdrowotnych:
    • szpitale,
    • zakłady opiekuńczo-lecznicze i pielęgnacyjno-opiekuńcze, jednostki lecznictwa uzdrowiskowego, ośrodki opieki pozaszpitalnej itp.,

OCENA WNIOSKU I AUDYT WSTĘPNY

Weryfikacja dokumentacji

Wywiad telefoniczny (wideokonferencja), wizyta na miejscu

Opłata jednorazowa

41.000zł netto

MONITOROWANIE

Ankieta monitoringowa – corocznie

Wywiad telefoniczny, wizyta na miejscu - w okresie 5 lat, na próbie

Opłata roczna

11.400zł netto

Obowiązuje od 1 kwietnia 2024 roku

Wszystkie podane kwoty są wartościami netto, do których będzie doliczany podatek VAT według obowiązującej stawki.

Stawki nie obejmują kosztów transportu i zakwaterowania audytorów związanych z przeprowadzeniem wizyt na miejscu.

W przypadku negatywnego wyniku audytu wstępnego, wynagrodzenie za ponowne przeprowadzenie audytu wynosi 50% stawki podstawowej. Ponowna ocena przeprowadzana jest w odniesieniu do wymagań, do których wydane zostały zalecenia po audycie wstępnym.

Wynagrodzenie z tytułu monitorowania stosowania Kodeksu będzie corocznie indeksowane o wartość rocznego wskaźnika cen towarów i usług konsumpcyjnych publikowanego przez Główny Urząd Statystyczny.

W odniesieniu do jednostek organizacyjnych zakładu leczniczego prowadzonych przez jednego Administratora, w których obowiązuje wspólna dokumentacja systemu ochrony danych osobowych (polityki, procedury), cena za audyt będzie ustalana w następujący sposób:

  • największa jednostka organizacyjna Administratora – 100% ceny standardowej
  • pozostałe jednostki organizacyjne Administratora – 50% ceny standardowej.

Jeżeli u jednego Administratora liczba jednostek organizacyjnych zakładów leczniczych tej samej wielkości wynosi 4 lub więcej, audyt wstępny i monitorowanie będą prowadzone na próbie.

W odniesieniu do podmiotów przetwarzających, szacowanie wynagrodzenia będzie odbywać się zgodnie z praktyką KPMG, w oparciu o przewidywany czas niezbędny na wykonanie oceny wniosku i audytu wstępnego oraz monitorowania.

Webinaria i publikacje