RODO na ostatniej prostej. Czy kodeks branżowy wskaże placówkom kierunek zmian?

Autor: Jacek Wykowski/Rynek Zdrowia • • 15 marca 2018 17:58

RODO wprowadziło spore zamieszanie. Narracja zaczyna się od kar, straszenia. Podmioty lecznicze przestały zachowywać się racjonalnie - stwierdził w środę (14 marca) w Warszawie Wojciech Górnik, z-ca dyrektora CSIOZ ds. informacji i współpracy z regionami. Jednym z narzędzi, które ma pomóc placówkom w poruszaniu się po meandrach RODO, ma być kodeks branżowy.

Według Ewy Borek, prezes Fundacji My Pacjenci, niskie zaufanie pacjentów do ochrony zdrowia może przełożyć się na niskie zaufanie do chronionych danych. Fot. Jacek Wykowski

Podczas środowej (14 marca) konferencji "RODO w sektorze medycznym - gdzie jesteśmy, dokąd zmierzamy?" poinformowano, że została opublikowana robocza wersja kodeksu branżowego, który ma doprecyzować przepisy RODO i ułatwić stosowanie regulacji rozporządzenia przez szpitale, przychodnie czy lekarzy prowadzących indywidualne praktyki.

Przypomnijmy: placówki medyczne na terenie całej Unii od 25 maja br. obejmie obowiązek stosowania, w związku z przetwarzaniem danych osobowych i ich swobodnego przepływu, Ogólnego Rozporządzenia o Ochronie Danych Osobowych (RODO).

- RODO to rozporządzenie unijne, które jest bezpośrednio stosowane w państwach członkowskich. Oznacza to, że kraje te nie muszą nic robić (w sensie wprowadzania regulacji prawnych - red.), by prawa i obowiązki określone w RODO znajdowały zastosowanie. Nawet jeżeli do 25 maja nie powstanie w Polsce żadna nowa ustawa o ochronie danych osobowych, to i tak musimy się stosować do RODO - podkreśliła Agata Kruczyk, prawnik z kancelarii Domański Zakrzewski Palinka (DZP).

Jest już wstępny projekt kodeksu
Choć stworzenie kodeksu branżowego nie jest obowiązkowe, powstaje on, by ograniczać ryzyko prawne dla administratorów danych, a jednocześnie chronić interesy pacjentów.

- RODO dotyczy wszystkich administratorów danych, niezależnie od branży. Nie ma więc taryfy ulgowej dla ochrony zdrowia. Pamiętajmy, że ryzyko związane z nieuprawnionym ujawnieniem danych jest w medycynie - obok branży finansowej - najwyższe - wskazywał Piotr Najbuk, prawnik z DZP.

Poinformował, że na stronie www.rodowzdrowiu.pl jest już dostępny projekt kodeksu. Jak czytamy w jego treści, to „wersja robocza wyłącznie na potrzeby konsultacji wewnętrznych grupy inicjatywnej” i „nie stanowi oficjalnego stanowiska komitetu sterującego”.

Inicjatorem i partnerem merytorycznym prac nad kodeksem jest kancelaria DZP. Jego podmiotami tworzącymi są: Polska Federacja Szpitali, Fundacja Telemedyczna Grupa Robocza, Pracodawcy Medycyny Prywatnej, Konfederacja Lewiatan, Polska Izba Informatyki i Telekomunikacji oraz Federacja Związków Pracodawców Ochrony Zdrowia Porozumienie Zielonogórskie.

- To duże podmioty obejmujące swym zasięgiem ok. 50 proc. rynku medycznego w Polsce. Nadają więc odpowiedni ciężar gatunkowy pracom, które realizujemy - zauważył Piotr Najbuk.

Dodał, że kodeks powstawał także przy udziale strony publicznej (MZ, CSIOZ, CMJ) i wielu innych podmiotów wspierających.

Kodeks ma jasno określać, co oznacza przetwarzanie na duża skalę danych wrażliwych (co pozwoli m.in. na ustalenie, kto musi mieć inspektora danych osobowych), ponadto ma zaproponować przykładową, podstawową metodykę ryzyka oraz wskazywać katalog rekomendowanych zabezpieczeń i zasady powierzania przetwarzania.

- W ramach kodeksu nie regulujemy branż, które są branżami niemedycznymi. Dotyczy on tylko tych podmiotów, które wykonują działalność leczniczą zgodnie z ustawą o działalności leczniczej - skonstatował Najbuk.

Nowy branżowy drogowskaz?
Piotr Najbuk wskazywał na wiele przeszkód, które czekają branżę ochrony zdrowia wz. z wdrażaniem RODO. Mówił m.in. o problemie dużej liczby administratorów danych o różnej strukturze - od jednoosobowych praktyk po duże instytuty naukowo-badawcze, a co za tym idzie, o procesach przetwarzania o różnym stopniu złożoności; wspominał też o wysokim ryzyku związanym z przetwarzaniem danych medycznych, chociażby w kontekście działań cyberprzestępców, dla których takie informacje są bardzo cenne.

- Jeżeli mówimy o procesach, trudno znaleźć jedną wspólną listę dla wszystkich podmiotów wykonujących działalność leczniczą. Taką wskazówka jest mapowanie procedur, które realizowano na potrzeby wdrożenia ISO - tłumaczył.

Choć nie ma obowiązku stworzenia kodeksu, to, jak zauważał prawnik DZP, art. 40 ust. 1 i 2 RODO mówi, że "państwa członkowskie, organy nadzorcze, Europejska Rada Ochrony Danych oraz Komisja zachęcają do sporządzenia kodeksów postępowania mających pomóc we właściwym stosowaniu niniejszego rozporządzenia”.

Zatwierdzony kodeks postępowania ma podlegać okresowemu monitorowaniu przez wskazany podmiot - posiadający odpowiedni poziom wiedzy i akredytację od organu nadzorczego.

Najbuk przekonywał, że sektor medyczny ze stosowania kodeksu odniesie konkretne korzyści. Ma on ograniczać ryzyka prawne, może być wykorzystany jako element dla stwierdzenia przestrzegania przez administratora ciążących na nim obowiązków (art. 24 ust. 3 RODO), a, co istotne, według Najbuka ma mieć znaczenie przy decyzji o nałożeniu kary pieniężnej lub ustalaniu jej wysokości.

Kodeks musi zostać zaakceptowany przez GIODO nie wcześniej niż 25 maja 2018 r. Na razie ws. dokumentu można nadsyłać uwagi. Termin - do 3 kwietnia br.

Prawnik z DZP zwrócił uwagę, że jednostka monitorująca, której zadaniem będzie „pilnowanie przestrzegania kodeksu”, nie będzie mogła nadzorować podmiotów publicznych.

- Można się spodziewać, że podmiotem publicznym w świetle RODO będą SPZOZ-y. Czy to oznacza, że mają nie stosować kodeksu? Nie. Mogą to robić i do tego zachęcam. Wpłynie to pozytywnie na ich bezpieczeństwo. Zaznaczam, że przystąpienie do kodeksu nie jest obligatoryjne - wskazywał ekspert.

Wiedza o RODO: pomóc mogą CSIOZ i duże podmioty medyczne
- RODO wprowadziło spore zamieszanie. Narracja zaczyna się od kar, straszenia. Podmioty lecznicze przestały się zachowywać racjonalnie - zauważył Wojciech Górnik, zastępca dyrektora Centrum Systemów Informacyjnych Ochrony Zdrowia.

Zwrócił uwagę, że ten niepokój nie jest korzystny, a w procesach dostosowawczych najważniejszy jest zdrowy rozsadek, a nie patrzenie jedynie na przepisy.

- Stworzymy gotowe listy autokontrolne. Na przykładzie podmiotów, które wdrożyły nasze wzory dokumentów i danych, które od nich zbierzemy, za jakiś czas przedstawimy rekomendacje w formie najlepszych praktyk. Chodzi o to, żeby każdy miał równy dostęp do informacji - mówił Górnik.

Zapowiedział, że „rekomendacje wraz z listą kontrolną” będą „konkretnym produktem” CSIOZ, a w wybranych szpitalach Centrum przeprowadzi audyt, który ma być zakończony albo nadaniem certyfikatu CSIOZ albo co najmniej opinii.

Górnik wskazywał, że prowadzone przez Centrum szkolenia w zakresie informatyzacji jasno pokazują na bardzo duże dysproporcje w poziomie wiedzy w szpitalach o różnej strukturze.

- Czasem musimy tłumaczyć, co to jest elektroniczna dokumentacja medyczna - ubolewał.

Katarzyna Korulczyk, specjalista ds. ochrony danych osobowych Grupy Lux Med poruszyła kwestię definicji administratora danych osobowych w świetle RODO.

- Co do zasady, każdy PWDL (podmiot wykonujący działalność leczniczą - red.) jest odrębnym i niezależnym administratorem danych. Dlaczego? M.in. ma prawny obowiązek prowadzenia dokumentacji medycznej i przechowywania jej przez określony czas, ponadto jest wprost upoważniony przez RODO do przetwarzania szczególnej kategorii danych - wyjaśniła.

Podkreśliła, że RODO zobliguje jednostki do poszerzenia obowiązku informacyjnego wobec pacjentów. Czy to oznacza konieczność podpisywania przez chorych „sterty” dokumentów?

- Nasze podejście jest takie, że samo zamieszczanie obowiązku w formie, która pozwala na zapoznanie się z nim, powinno być wystarczające. Warto też się zastanowić nad zamieszczeniem tego typu informacji przy stanowiskach recepcyjnych. Ale raczej nie w postaci dokumentu, który pacjent będzie podpisywał, ale dostępnego plakatu z regulaminem - tłumaczyła Korulczyk.

Zwróciła również uwagę na inna wątpliwość - czy obowiązek informacyjny wykonywać wstecz.

- Uważam, ze przepisy rozporządzenia absolutnie nie wymagają wykonywania obowiązku informacyjnego wstecz. Proszę zwrócić uwagę na art. 13, który mówi, że ten obowiązek spoczywa na administratorze, który pozyskuje dane osobowe. Nie widzę podstaw, aby się cofać - wyjaśniała.

Ważna jest też perspektywa pacjencka
Ewa Borek, prezes Fundacji My Pacjenci zauważyła, że problem z danymi medycznymi polega na tym, że nie za bardzo możemy ich nie przetwarzać.

Przypomniała, że zaufanie pacjentów do systemu opieki zdrowotnej jest niskie, a na to może nałożyć się problem zaufania do ochrony obecnie digitalizowanych danych medycznych.

- Badania mówią, że 60 proc. brytyjskich obywateli nie wie, co to jest RODO, a z tych , którzy wiedzą, połowa nie rozumie, na czym polegają płynące z tej regulacji ich prawa. Natomiast zapytani o to, czy będą dochodzić swoich praw, jeżeli stwierdzą, że ich dane zostały użyte w niewłaściwy sposób, 80 proc. odpowiedziało twierdząco - mówiła Borek.

Podkreśliła, że RODO to nie tylko relacja pacjent-świadczeniodawca, ale jest w tym jeszcze strona trzecia - administracja publiczna.

Borek wskazywała, że potrzebna jest edukacja społeczna, jak pacjenci mogą bezpiecznie zarządzać swoimi danymi medycznymi oraz stworzenie społecznego nadzoru nad ochroną danych medycznych w postaci niezależnych instytutów i audytów.

Piotr Najbuk z DZP skonstatował, że RODO przyniesie korzyści także dla pacjentów, m.in. poprzez zwiększenie ochrony ich danych osobowych czy wskazanie środków do egzekwowania swoich praw.

Podaj imię Wpisz komentarz
Dodając komentarz, oświadczasz, że akceptujesz regulamin forum