Komunikat nadwykonania w POZ info w części kodowanej serwisu FPZ oraz mailach Procedura systemu kontroli wewnętrznej jakości i bezpieczeństwa pacjenta info w części kodowanej serwisu FPZ Procedura w przypadku zalania dokumentacji medycznej - info w części kodowanej serwisu FPZ oraz mailach. Udostępniamy dla Państwa platformę, dzięki której już teraz mogą Państwo przystępować do Kodeksu RODO info w części kodowanej serwisu FPZ oraz mailach. KOMUNIKAT STANDARD OCHRONY MAŁOLETNICH info w części kodowanej serwisu FPZ oraz mailach.
6 lat RODO w Polsce
Biuro Federacji PZ, 2024-07-09 11:47:50

6 lat temu zaczęło obowiązywać ogólne rozporządzenie o ochronie danych. O RODO można było wówczas usłyszeć wszędzie. Media najczęściej malowały czarny obraz, koncentrując się na obowiązkach, absurdach, a później także karach pieniężnych.

W tym czasie administratorzy danych – w tym placówki medyczne – musiały zmienić swoje dotychczasowe podejście do tematu ochrony danych osobowych. Wiele z nich zdecydowało się na wyznaczenie inspektora ochrony danych lub skorzystanie z usług firm, oferujących wsparcie w zakresie bezpieczeństwa informacji. Największym wyzwaniem stało się zrozumienie, że ochrona danych osobowych jest procesem wymagającym ciągłej uwagi. Nie można raz przeprowadzić audytu, zamknąć dokumentacji kadrowej w szafie kartotecznej czy wprowadzić procedury wydawania dokumentacji medycznej. Działania te trzeba powtarzać i sprawdzać ich skuteczność, uwzględniając specyfikę branży ochrony zdrowia, zmianę przepisów czy nowe wytyczne urzędów.

W 2024 r. można stwierdzić, że większość podmiotów medycznych przyswoiła sobie tę prawdę. Jest to szczególnie istotne w kontekście zagrożeń, które wymagają stałej czujności: naruszeń ochrony danych osobowych, w tym cyberataków. Muszą być na nie gotowe wszyscy – od szpitali po indywidualne praktyki lekarskie. Brak środków bezpieczeństwa czy procedur (lub niewłaściwe ich stosowanie) może oznaczać złe wieści dla placówki medycznej czy jej pacjentów.

Konsekwencją powyższych braków może być także kara finansowa, nałożona przez Prezesa Urzędu Ochrony Danych Osobowych. Przez ostatnie 6 lat Prezes UODO korzystał z tej możliwości ponad 70 razy. Jedna z kar, nałożonych w lutym 2021 r., dotyczyła placówki medycznej. Doszło do poważnego naruszenia ochrony danych osobowych, które zostało (zgodnie z RODO) zgłoszone do organu nadzorczego. Ten przyjął zgłoszenie, ale jednocześnie stwierdził, że o sprawie należy zawiadomić także pacjentów, poszkodowanych wyciekiem. Placówka nie zrealizowała żądań Prezesa UODO w tym zakresie i została w związku z tym zobowiązana do zapłaty 85.588 zł.

Jedna kara tego typu została już więc nałożona – i nie ma powodu przypuszczać, że na niej się skończy. Każda placówka musi być więc przygotowana na takie ryzyko. Konieczne jest także podejmowanie działań, które pomogą w zapobieżeniu najczarniejszemu scenariuszowi – jednym z takich działań może być przystąpienie do kodeksu postępowania zatwierdzonego przez Prezesa UODO.

Od marca 2023 roku możliwe jest przystępowanie do kodeksu opracowanego przez Federację Porozumienie Zielonogórskie dla placówek sektora ochrony zdrowia. Jest to pierwszy w Polsce kodeks zatwierdzony przez Prezesa UODO. Kodeks zawiera konkretne informacje, dotyczące dostosowania działalności do przepisów o ochronie danych – już samo to jest istotną korzyścią dla podmiotu medycznego. Co jednak istotne, przystąpienie do Kodeksu oznacza także odmienne traktowanie w razie wystąpienia naruszenia ochrony danych osobowych. Prezes UODO na swojej stronie przedstawił następującą informację:

Niewątpliwą korzyścią stosowania kodeksu jest także swoista ochrona w kontekście ewentualnych kar pieniężnych. Organ nadzorczy w razie nakładania na podmiot kary w każdym przypadku bierze bowiem pod uwagę, czy właściwie stosował on zatwierdzony kodeks postępowania, którego jest członkiem.” < https://uodo.gov.pl/pl/426/2316

Za każdym razem, gdy w placówce medycznej dochodzi zatem do poważnego naruszenia, Prezes UODO badając sytuację, bierze pod uwagę okoliczności łagodzące. Jedną z nich jest właśnie stosowanie kodeksu. Oznacza to, że jeżeli podmiot zagrożony karą pieniężną przystąpiłby wcześniej do stosowania kodeksu, to kara ta mogłaby w ogóle nie być nałożona albo jej wysokość byłaby zmniejszona. Organ nadzorczy wychodzi bowiem wówczas z założenia, że placówka należąca do kodeksu poważnie podchodzi do tematu ochrony danych osobowych, a ewentualne naruszenie jest wypadkiem przy pracy.

Przyjęcie kodeksu dla małych placówek medycznych jest niewątpliwym osiągnięciem ostatnich 6 lat RODO w Polsce. Warto z niego korzystać, by ułatwić sobie ciężkie, ale ważne zadanie, jakim jest dbanie o ochronę danych osobowych w podmiocie medycznym.

Adam Klimowski




ZWIĄZKI      LINKI      PARTNERZY      REKLAMA      KONTAKT