Kodeks branżowy dostosowujący do RODO – czy trzeba go stosować?

25 maja 2018 r. weszło w życie “RODO”. Z tego względu wielu Klientów z sektora ochrony zdrowia zwraca się do nas z pytaniem co z kodeksami branżowymi. W tym, czy znowu konieczna będzie poprawa dokumentacji dotyczącej ochrony danych osobowych. 

Nie trzeba dostosować dokumentacji w szpitalu do kodeksu postępowania mającego pomóc we właściwym stosowaniu przepisów RODO (dalej: „kodeks medyczny”). Rekomendujemy jednak dobrowolne przyjęcie zapisów z tego dokumentu, po jego zatwierdzeniu.

Kodeksy branżowe, w tym medyczny nie będą miały rangi przepisów powszechnie obowiązującego prawa, do których trzeba się bezwzględnie stosować. Jednak ze spełnieniem wytycznych z tych dokumentów (tzw. soft law) będzie się wiązał szereg korzyści takich jak wykazanie, że placówka przetwarza i zabezpiecza dane osobowe zgodnie z obowiązującymi zasadami i przepisami.

Wdrożenie zapisów z kodeksu wpłynie także na wysokość: kary pieniężnej zarówno w postępowaniu administracyjnym związanym z naruszeniem zasad przetwarzania lub ochrony danych osobowych, jak odszkodowania oraz zadośćuczynienia w procesie cywilnym wytoczonym np. przez pacjenta, którego dane zostały naruszone. Nadal pozostanie możliwość certyfikacji, ale jest to procedura znacznie droższa niż wolne od opłat urzędowych wdrożenie kodeksu.

Wskazania wymaga, iż aby z dostosowaniem się do kodeksu wiązały się powyższe profity, będzie on musiał zostać zatwierdzony zgodnie z krajową procedurą. Kodeks mogą tworzyć np. zrzeszenia reprezentujące placówki medyczne, izby lekarskie. Projekt tego dokumentu będzie przekazywany do konsultacji społecznych. Dopiero potem odpowiedni organ, w świetle ustawy procedowanej w Sejmie  Prezes Urzędu Ochrony Danych Osobowych (dalej: „PUODO”) zatwierdzi, zarejestruje oraz opublikuje dany  kodeks. Stosowanie się do jego zapisów będzie monitowane przez niezależny podmiot, który uzyska akredytację PUODO.

W świetle powyższego należy wyraźnie odróżnić projekt kodeksu,  np. opublikowany w Internecie http://www.rodowzdrowiu.pl/  od kodeksu zatwierdzonego przez PUODO. Z tym pierwszym nie wiążą się jeszcze wskazane powyżej ustawowe domniemania zgodności z obowiązującymi przepisami.

Zasygnalizować należy również, że może powstać nie jeden, a wiele kodeksów, nawet dla branży medycznej. Warto więc śledzić, czy nie zostały zatwierdzone kodeksy, które to uwzględnią charakterystyczne dla danej formy działalności leczniczej czynności przetwarzania danych osobowych i ułatwią dookreślenie zasad postępowania z danymi osobowymi w placówce.

PODSTAWA PRAWNA:

  1. art. 5 ust. 2 („zasada rozliczalności”), 24 ust. 3, 32 ust. 3, 40 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE
  2. Rozdział 5 projektu Ustawy z 10 maja 2018 r. o ochronie danych osobowych (por. http://orka.sejm.gov.pl/opinie8.nsf/nazwa/2410_u/$file/2410_u.pdf )

AUTORZY:

Sławomir Molęda, Partner, Kancelaria KONDRAT i Partnerzy

Natalia Dyda, Aplikant radcowski, Kancelaria KONDRAT i Partnerzy

Kancelaria KONDRAT i Partnerzy biuro@kondrat.pl


Źródło zdjęcia: www.pixabay.com