Kodeks branżowy dla branży medycznej

Dla branży medycznej powstał projekt Kodeksu branżowego (dalej: Kodeks), którego celem jest pomoc podmiotom leczniczym we właściwym stosowaniu RODO. Projekt ten aktualnie oczekuje na zatwierdzenie przez organ nadzorczy. Kompletny tekst projektu jest dostępny na stronie: www.rodowzdrowiu.pl.

Administrator, który będzie stosował zatwierdzony już Kodeks branżowy, wykaże realizację nałożonej na niego przez RODO zasady rozliczalności. Sprowadza się ona do konieczności wykazania przestrzegania zasad dotyczących przetwarzania danych osobowych.
Kodeks zakłada możliwość jego stosowania przez wszystkie podmioty prowadzące działalność leczniczą (PWDL) bez względu na:

  • formę prawną prowadzenia działalności (jednoosobowa działalność gospodarcza, spółka itp.),
  • strukturę właścicielską i podmiot tworzący,
  • uczestnictwo w systemie opieki zdrowotnej finansowanym ze środków publicznych,
  • zakres i rodzaj prowadzonej działalności leczniczej.

Podmiotem prowadzącym działalność leczniczą w rozumieniu Kodeksu jest podmiot leczniczy oraz lekarz, pielęgniarka lub położna, fizjoterapeuta wykonujący zawód w ramach działalności leczniczej jako praktykę zawodową, o których mowa w przepisach ustawy z dnia 15 kwietnia 2011 r. o działalności leczniczej.
Kodeks reguluje przetwarzanie danych przede wszystkim w związku z prowadzoną działalnością leczniczą (zazwyczaj na podstawie RODO w związku z przepisami ustawy, bez konieczności uzyskania osobnej zgody na przetwarzanie), ale również przetwarzanie danych w innych celach (zazwyczaj na podstawie zgody pacjenta).

Podstawy przetwarzania danych

W Kodeksie określono podstawy przetwarzania danych osobowych pacjentów przez PWDL, co pomoże m.in. przy tworzeniu klauzul informacyjnych, o których mowa w art. 13 i 14 RODO. Rekomendowane jest przy tym przez twórców Kodeksu, aby jako podstawę prawną przetwarzania danych, w przypadku gdy wynika ona z krajowych przepisów prawa medycznego, wskazywać poprzez odwołanie się co najmniej do przepisu RODO i nazwy krajowego aktu prawnego. Kodeks podpowiada przy tym, na jakie przepisy można się powołać.
Warto pamiętać, aby nie pobierać zgody od pacjenta na przetwarzanie danych w sytuacji, gdy podstawą przetwarzania jest właśnie przepis prawa. Jest to błędna praktyka. Sytuacje, w jakich nie ma konieczności pobierania zgody, dotyczą realizacji w szczególności następujących celów zdrowotnych:

  • profilaktyki zdrowotnej,
  • medycyny pracy, w tym oceny zdolności pracownika do pracy,
  • diagnozy medycznej i leczenia,
  • zapewnienia opieki zdrowotnej oraz zarządzania systemami i usługami opieki zdrowotnej,
  • zapewnienia zabezpieczenia społecznego oraz zarządzania systemami i usługami zabezpieczenia społecznego.

Kodeks wyraźnie przy tym zaznacza, że przetwarzane dane muszą być adekwatne, stosowne oraz ograniczone do tego, co niezbędne, do celów, w jakich są przetwarzane, a zazwyczaj adekwatne do celów zdrowotnych (oprócz danych, które muszą znaleźć się w dokumentacji medycznej) jest gromadzenie takich danych, jak adres e-mail czy numer telefonu.
Jeżeli podmiot prowadzący działalność leczniczą chce przetwarzać dane pacjenta, np. w celu marketingowym, wówczas powinien dysponować jego zgodą. Przykładowy wzór klauzuli zgody stanowi załącznik nr 1 do projektu Kodeksu.

Załącznik nr 1

Wzór zgody na przetwarzanie danych osobowych według projektu Kodeksu postępowania dla sektora ochrony zdrowia wydanego zgodnie z art. 40 RODO
 

Ja, niżej podpisany [____][1], wyrażam zgodę na przetwarzanie moich danych osobowych [____][2] w celu [____][3] przez administratora, tj. [____][4].
 

________________________________

             Podpis i data[5]


W przypadku kilku celów należy pobierać zgodę osobno dla każdego z celów. Rekomendujemy ich umieszczenie w osobnych checkboxach, zgodnie z poniższym wzorem:
 

Ja, niżej podpisany [____][6], wyrażam zgodę na przetwarzanie moich danych osobowych w celach:

[cel nr 1], zakres danych [____][7],

[cel nr 2], zakres danych [____][8],

przez Administratora, tj. [____][9].

 

________________________________

             Podpis i data[10]


W celu zapewnienia, że zgoda udzielana jest w sposób świadomy, należy przed jej udzieleniem przekazać pacjentowi treść obowiązku informacyjnego, o którym mowa w art. 13 RODO.

Administrator danych osobowych

Należy podkreślić, że samodzielnym administratorem danych nie będzie podmiot leczniczy wykonujący zawód medyczny, jeżeli prowadzi jednoosobową działalność gos­podarczą, ale pozostaje z innym podmiotem leczniczym w stosunku prawnym, a ten inny podmiot leczniczy jest prawnie zobowiązany do prowadzenia, przechowania i udostępniania dokumentacji medycznej, a także zapewnienia ochrony danych zawartych w tej dokumentacji w sposób wskazany w art. 24 ustawy o prawach pacjenta i Rzeczniku Praw Pacjenta we własnym imieniu i na własny rachunek.

Kodeks w pkt 4.6.3 podaje przykłady takich sytuacji:

„W szczególności administratorem danych osobowych pacjentów nie jest osoba wykonująca zawód medyczny, prowadząca jednoosobową działalność gospodarczą, pozostająca w stosunku prawnym z innym PWDL, w zakresie, w jakim wykonuje swoje zadania w ramach działalności leczniczej prowadzonej przez ten PWDL w miejscu pobytu Pacjenta, w tym[11]:

  • indywidualna praktyka lekarska wyłącznie w zakładzie leczniczym na podstawie umowy z podmiotem leczniczym prowadzącym ten zakład;
  • indywidualna specjalistyczna praktyka lekarska wyłącznie w zakładzie leczniczym na podstawie umowy z podmiotem leczniczym prowadzącym ten zakład;
  • indywidualna praktyka pielęgniarki wyłącznie w zakładzie leczniczym na podstawie umowy z podmiotem leczniczym prowadzącym ten zakład;
  • indywidualna specjalistyczna praktyka pielęgniarki wyłącznie w zakładzie leczniczym na podstawie umowy z podmiotem leczniczym prowadzącym ten zakład;
  • indywidualna praktyka fizjoterapeutyczna wyłącznie w zakładzie leczniczym na podstawie umowy z podmiotem leczniczym prowadzącym ten zakład[12];
  • PWDL w formie indywidualnej praktyki lub indywidualnej specjalistycznej praktyki lekarskiej, pielęgniarskiej lub fizjoterapeutycznej, w odniesieniu do danych pacjentów przetwarzanych w związku z prowadzeniem działalności leczniczej w zakładzie innego podmiotu leczniczego.

Upoważnienie dla personelu

Dane osobowe pacjentów mogą przetwarzać zarówno osoby wykonujące zawód medyczny, jak i personel pomocniczy na podstawie posiadanych upoważnień.
Obligatoryjne elementy upoważnienia wskazane są w pkt 4.7.5 Kodeksu:

  • „jednoznaczna identyfikacja osoby, której jest udzielane;
  • jednoznaczne określenie zakresu i celu przetwarzania danych w ramach upoważnienia, co może być dokonane w szczególności poprzez wskazanie umowy będącej podstawą współpracy z PWDL;
  • wskazanie okresu obowiązywania poprzez oznaczenie konkretnego warunku lub terminu, w szczególności poprzez odwołanie się do okresu obowiązywania umowy będącej podstawą współpracy z PWDL[13].
  1. Imię i nazwisko osoby udzielającej zgody, a także dodatkowe informacje pozwalające na jednoznaczne ustalenie tożsamości osoby: rekomendujemy datę urodzenia lub PESEL lub adres miejsca zamieszkania.
  2. Do uzupełnienia kategorie danych osobowych, które będą przetwarzane w oparciu o zgodę. Można wskazać kategorie bezpośrednio (np. imię, nazwisko, adres email) lub w przypadku, w którym zgoda umieszczana jest pod formularzem zawierającym dane osobowe, można dodać wzmiankę: „zawartych w niniejszym formularzu”.
  3. W tym miejscu konieczne jest zaznaczenie w sposób precyzyjny celu, w którym dane osobowe mają być przetwarzane (np. w celu marketingowym, w celu wysyłania newslettera, w celu zapraszania na wydarzenia promocyjne).
  4. W tym miejscu należy podać nazwę administratora danych osobowych oraz jego adres.
  5. Podpis osoby udzielającej zgody.
  6. Imię i nazwisko osoby udzielającej zgody, a także dodatkowe informacje pozwalające na jednoznaczne ustalenie tożsamości osoby: rekomendujemy PESEL lub serię i numer dowodu tożsamości.
  7. Do uzupełnienia kategorie danych osobowych, które będą przetwarzane w oparciu o zgodę. Można wskazać kategorie bezpośrednio (np. imię, nazwisko, adres email) lub w przypadku, w którym zgoda umieszczana jest pod formularzem zawierającym dane osobowe, można dodać wzmiankę: „zawartych w niniejszym formularzu”.
  8. Jw.
  9. W tym miejscu należy podać nazwę administratora danych osobowych oraz jego adres.
  10. Podpis osoby udzielającej zgody.
  11. W przypadku, gdy w Kodeksie mowa o pielęgniarce i lekarzu, rozumie się przez to również odpowiednio położną i lekarza dentystę.
  12. Jeżeli taka bądź analogiczna forma prowadzenia działalności leczniczej zostanie wprowadzona przez obowiązujące przepisy prawa”.
  13. Pojęcia „warunek” lub „termin” należy definiować zgodnie z Kodeksem cywilnym. Warunkiem w szczególności może być rozwiązanie umowy zawartej na czas nieokreślony lub nieoznaczony”.