Stosowanie unijnych przepisów o ochronie danych osobowych (czyli RODO) wkracza na wyższy poziom. Do Prezesa Urzędu Ochrony Danych Osobowych wpłynął wniosek o zatwierdzenie „Kodeksu branżowego w ochronie zdrowia”. Ze szczegółami dotyczącymi wniosku możecie się zapoznać tutaj.
To dość spory dokument, który szczegółowo odnosi się do przetwarzania danych osobowych przez podmioty działające w sektorze ochrony zdrowia. Innymi słowy, szpitale i przychodnie będą mogły dobrowolnie zgodzić się na stosowanie tych regulacji tak aby w przejrzysty sposób dostosować swoją działalność do przepisów RODO.
Za proces przygotowania kodeksu postępowania odpowiadają organizacje branżową, tj. zrzeszające różne podmioty z danej branży. W przypadku kodeksu branżowego w ochronie zdrowia jest to Polska Federacja Szpitali. Ważne - każde zrzeszenie może (ale oczywiście nie musi) przygotować swój projekt kodeksu. Tworzenie i stosowanie takich kodeksów jest dobrowolne.
Z tej okazji stwierdziłem, że warto napisać dla Was kilka słów przypomnienia tego, czym są kodeksy branżowe i jak mogą one pomóc w spełnieniu wymogów wynikających z przepisów RODO.
Czym są kodeksy postępowania z RODO?
Kodeksy postępowania to specjalne regulacje dotyczące przetwarzania danych osobowych, przygotowane przez różne organizacje branżowe, zrzeszenia przedsiębiorców albo stowarzyszenia osób z różnych grup zawodowych. Takie stowarzyszenia piszą sobie swoje własne, wewnętrzne akty prawne, w których opisują to jak ich członkowie (którzy zgodzili się na stosowanie kodeksu) powinni przetwarzać dane osobowe. Mogą one dotyczyć zarówno kwestii związanych z podstawami prawnymi dotyczącymi przetwarzania danych, jak i kwestii związanych z bezpieczeństwem, audytami, upoważnieniami, powierzaniem przetwarzania danych osobowych jak również innymi obowiązkami wynikającymi z RODO. Nie ma przeszkód, aby regulacje te były bardziej szczegółowe niż samo RODO – ma to na celu doprecyzowanie niektórych ogólnych obowiązków znanych z rozporządzenia – np. w zakresie stosowanych środków bezpieczeństwa.
Co się dzieje z kodeksem postępowania?
Taki kodeks postępowania podlega zatwierdzeniu przez organ nadzorczy – czyli w naszym przypadku, przez Prezesa Urzędu Ochrony Danych Osobowych. Organ może uznać, że kodeks jest zgodny z RODO albo wydać opinię o konieczności zmiany lub rozszerzenia regulacji zawartych w kodeksie. Dzięki temu będziemy mieli pewność, że to co zostało zapisane w kodeksie jest akceptowane przez Prezesa Urzędu Ochrony Danych Osobowych – tym samym możemy uznać, że kodeks wyznacza pewien powszechny standard w zakresie ochrony danych osobowych, mający poziom dużo bardziej szczegółowy niż same przepisy RODO. Co może stanowić duże ułatwienie nie tylko dla podmiotów, które zgodzą się na stosowanie kodeksu, ale także innych organizacji, które będą korzystały z wskazówek zawartych w kodeksie w celu prawidłowego dostosowania się do RODO.
Kto będzie kontrolował przestrzeganie kodeksu?
Zrzeszenie branżowe, które zdecydują się na stworzenie kodeksów branżowych mogą wyznaczyć specjalny podmiot, posiadający odpowiedni poziom wiedzy fachowej, który będzie monitorował przestrzeganie kodeksu. Tym samym, będą istniały specjalne podmioty, które będą kontrolowały przestrzeganie kodeksów przez te organizacje, które zadeklarowały stosowanie jego postanowień. Podmioty monitorujące będą akredytowane przez organ nadzorczy – co oznacza, że Prezes Urzędu sprawdzi, czy rzeczywiście posiadają wiedzę dot. ochrony danych osobowych, są niezależni i mają możliwości weryfikowania czy inne podmioty przestrzegają przepisów dotyczących danych osobowych. Ponadto, oczywiście swoje uprawnienia kontrolne wobec podmiotów stosujących kodeks zachowuje Prezes Urzędu.
Jeżeli chcielibyście zapoznać się ze szczegółowymi regulacjami dotyczącymi kodeksów branżowych, to znajdziecie je w przepisach art. 40 i 41 RODO. Ja tymczasem z niecierpliwością czekam na decyzję Prezesa Urzędu Ochrony Danych Osobowych dotyczącą zatwierdzenia kodeksu postępowania, złożonego przez Polską Federację Szpitali.