Pod koniec zeszłego miesiąca, 26 lipca 2017 r., w siedzibie Centrum Systemów Informacyjnych Ochrony Zdrowia miało miejsce spotkanie inaugurujące współpracę administracji publicznej z organizacjami branżowymi działającymi w sektorze zdrowotnym. W jego efekcie podpisano list intencyjny, na mocy którego postanowiono, iż do końca tego roku powstanie branżowy kodeks postępowania, który następnie zostanie przedstawiony Generalnemu Inspektorowi Ochrony Danych Osobowych.

Zgodnie z prawem i branżową praktyką

Przepisy europejskiego, ogólnego rozporządzenia o ochronie danych (RODO, ang. GDPR) przewidują możliwość przyjmowania tzw. zatwierdzonych kodeksów postępowania (ang. code of conduct). To specjalne dokumenty, których celem jest pomoc we właściwym stosowaniu rozporządzenia w określonych branżach. Kodeksy postępowania powinny w sposób szczególny uwzględniać specyfikę różnych sektorów przedsiębiorstw, które przetwarzają dane osobowe w ramach prowadzonej przez siebie działalności. Zgodnie z założeniami RODO, kodeksy powinny mieć szczególne znaczenie dla sektora mikro i małych przedsiębiorstw.

Treść kodeksu może zostać zredagowana przez zrzeszenia lub inne podmioty reprezentujące grupy administratorów bądź podmiotów przetwarzających (tzw. procesów). Dokument może w sposób szczególny odnosić się do zasad przetwarzania danych, ich przejrzystości czy rzetelności w odniesieniu do określonej branży.

Kodeks postępowania jako standard ochrony danych

W intencji prawodawcy, kodeksy postępowania będą ujednolicać zagadnienia związane ze zbieraniem danych osobowych i obowiązkami administratorów danych branż, związanych z ich zabezpieczeniem. Znajdziemy w nich wskazówki i zalecenia związane przyjmowaniem polityk ochrony danych, sposobami ochrony danych w fazie projektowania, a także sposobami dokonywania oceny ryzyka związanego z przetwarzaniem danej kategorii danych osobowych.

Ponad powyższe, monitorowaniem przestrzegania branżowego kodeksu postępowania może zająć się podmiot trzeci, który zostanie akredytowany przez właściwy organ ds. ochrony danych osobowych (najpewniej przez nowego Prezesa Urzędu Ochrony Danych Osobowych). Podmiot taki będzie mógł oceniać zdolność konkretnych administratorów i procesorów do stosowania kodeksu branżowego jak i monitorować przestrzeganie przez nich jego
przepisów.

Praktyczna formuła na realne problemy

Jeśli projekt kodeksu zostanie przygotowany i uchwalony zgodnie z ustaleniami, to już za niespełna 5 miesięcy będziemy mogli poznać zasady, których stosowanie zagwarantuje szczególną ochronię danych medycznych pacjentów. Dokument może stać się drogowskazem dla licznych firm i instytucji z sektora zdrowotnego, zapobiegając groźnym incydentom. A te mogą być bardzo dotkliwe. Jednym z ostatnich przypadków jest udostępnienie danych osobowych pacjentów szpitala w Kole, do którego doszło w czerwcu tego roku, w następstwie skandalicznego zaniedbania personelu placówki.

Sektor zdrowotny nie jest osamotniony w swoich działaniach na rzecz sporządzenia kodeksu postępowania zgodnego z RODO. Podobne zostały podjęte już m. in. w bankowości (artykuł na stronie Związku Banków Polskich), przemyśle zabawkarskim (artykuł na stronie GIODO), czy też dostawców chmur obliczeniowych (opis projektu na stronie europejskiej grupy roboczej Cloud Select Industry Group).