- Firmy stosujące kodeks postępowania RODO będą mniej narażone na kary administracyjne - uważa Adam Klimowski, główny specjalista ds. ochrony danych osobowych w JAMANO Sp. z o.o.
Urząd Ochrony Danych Osobowych zatwierdził pierwszy kodeks postępowania RODO, opracowany przez Porozumienie Zielonogórskie i JAMANO. Dotyczy on przetwarzania danych osobowych w małych placówkach medycznych. Dlaczego musieliśmy czekać na to aż cztery lata?
To pytanie, którego adresatem powinien być UODO, prowadzący postępowania w sprawie zatwierdzenia kodeksów postępowania. Warto tu jednak wspomnieć o dwóch istotnych tematach dotyczących podmiotu monitorującego, mających istotny wpływ na wydłużenie prac. Mówiąc w skrócie: nie wystarczy, że dana placówka medyczna deklaruje, iż będzie przestrzegać kodeksu RODO - ktoś musi to jeszcze sprawdzać. Tym kimś jest tzw. podmiot monitorujący.
Żaden kodeks RODO nie może powstać, póki nie zostaną zatwierdzone przez prezesa UODO wymogi akredytacji podmiotu monitorującego. To jednak nie wszystko - konieczna jest także akceptacja Europejskiej Rady Ochrony Danych. Dopiero po jej uzyskaniu możliwe było wznowienie prac nad kodeksem dla placówek medycznych. Stosowna opinia EROD została zaś wydana dopiero w grudniu 2020 r.
Innym wyzwaniem był art. 41 ust. 6 RODO, który wyłącza możliwość monitorowania kodeksów dla publicznych zakładów opieki zdrowotnej. W związku z tym federacja Porozumienie Zielonogórskie podjęła decyzję, że podmioty publiczne muszą na razie zostać wyłączone z grona placówek medycznych mogących przystąpić do kodeksu.
Co kodeksy postępowania RODO dają firmom z konkretnego sektora? Czy trzeba do nich dołączać, a może należy obowiązkowo się do nich stosować?
Przede wszystkim kodeksy dają wskazówki postępowania dotyczące ochrony danych osobowych w konkretnej branży. Nie ma obowiązku przystępowania do nich, ale warto to rozważyć, ponieważ korzyści są znaczące.
Placówki stosujące kodeks dla małych placówek medycznych otrzymają znaczące wsparcie w zakresie przestrzegania postanowień RODO, np. dostęp do bazy wiedzy dla branży medycznej i wsparcie przy ewentualnych incydentach ochrony danych osobowych. Nie bez znaczenia jest także zmniejszone ryzyko nałożenia przez prezesa UODO administracyjnych kar za naruszenia (zgodnie z art. 83 ust. 2 lit. j RODO).
Urząd podkreśla, że kodeksy muszą klarownie wyjaśniać stosowanie RODO i uwzględniać stanowiska organów nadzorczych. Ilu administratorów, tyle może być stanów faktycznych. Czy da się stworzyć uniwersalne porady dla każdego z nich?
Przyznaję, że jest to trudne zadanie. Teoretycznie zarówno małe praktyki lekarskie, jak i duże szpitale muszą stosować te same przepisy dotyczące prowadzenia dokumentacji medycznej, jej wydawania podmiotom uprawnionym, prowadzenia monitoringu wizyjnego czy spełniania obowiązku informacyjnego. W praktyce jednak sposób realizacji tych obowiązków różni się znacząco, co jest oczywiste nie tylko dla pracowników sektora ochrony zdrowia, lecz także dla audytorów i ekspertów z zakresu ochrony danych osobowych.
Na poziomie kodeksu mamy zatem uniwersalne porady o pewnym stopniu ogólności (uwzględniające jednak specyfikę małych placówek medycznych). Będą one jednak wymagały dostosowania do lokalnego stanu faktycznego we współpracy z inspektorem ochrony danych konkretnej placówki medycznej i ekspertami podmiotu monitorującego.
Spółka RS JAMANO została pierwszym akredytowanym podmiotem monitorującym przestrzeganie postanowień kodeksu. Na czym polega wasze zadanie? Czy będziecie swoistym organem nadzorczym dla placówek przystępujących do kodeksu?
Naszym zadaniem będzie stałe monitorowanie, czy konkretni administratorzy danych, deklarujący stosowanie kodeksu, rzeczywiście to robią. W ramach realizacji swoich zadań będziemy prowadzić okresowe audyty, obsługiwać ewentualne skargi na placówki medyczne związane z kodeksem RODO i podejmować działania służące temu, by uchybienia z tego zakresu nie powtórzyły się w przyszłości.
Podmiot monitorujący nie przejmie jednak zadań UODO jako organu nadzorczego. Tak jak do tej pory poważne naruszenia, zgłoszenie inspektorów ochrony danych czy uprzednie konsultacje z art. 36 RODO będą wymagały kontaktu z prezesem UODO. Eksperci RS JAMANO będą zaś udzielać placówkom medycznym niezbędnego wsparcia w tym zakresie.
Rozmawiał Jakub Styczyński