Dlaczego warto przystąpić do kodeksu RODO dla placówek medycznych i jakie warunki trzeba spełnić?

kodeks rodo

Każdy przedsiębiorca, jako administrator danych, powinien przestrzegać przepisów o ochronie danych osobowych. W praktyce jednak nie każdy przedsiębiorca przetwarzający takie dane rzeczywiście robi to prawidłowo. Skąd więc klienci i kontrahenci mogą mieć pewność, że konkretne przedsiębiorstwo jest godne zaufania? Tu z pomocą przychodzi kodeks RODO.

Czym jest kodeks RODO?

Kodeks RODO dla placówek medycznych, to zbiór przydatnych wskazówek, które pozwolą prowadzić właściwą politykę bezpieczeństwa danych przetwarzanych w danym podmiocie medycznym. Dzięki znajdującym się w nim czytelnym instrukcjom możliwe jest wdrożenie odpowiednich rozwiązań w obszarze ochrony danych osobowych zgodnie z obowiązującymi przepisami. Przystąpienie do kodeksu RODO potwierdzone jest przyznaniem certyfikatu zatwierdzonego przez Prezesa Urzędu Ochrony Danych Osobowych.

Przystąpienie do kodeksu jest potwierdzeniem, że przedsiębiorstwo wdrożyło odpowiednie rozwiązania oraz ma pełną kontrolę nad procesami zachodzącymi w obszarze ochrony danych osobowych. W przypadku ewentualnego incydentu członkowie kodeksu otrzymają wsparcie zewnętrznego podmiotu monitorującego kodeks, który pomoże odpowiednio zarządzić incydentem, tak by zminimalizować lub uniknąć kary finansowej ze strony UODO. Przystąpienie do kodeksu buduje wiarygodność organizacji i będzie zatem dla urzędu zapewnieniem, że przedsiębiorstwo zapewnia i utrzymuje wysoki poziom ochrony danych osobowych.

Jak przystąpić do kodeksu RODO?

Kodeks został przygotowany dla członków Porozumienia Zielonogórskiego i tylko członkowie PZ mogą do niego przystąpić. Nie ma znaczenia wielkość placówki ani liczba obsługiwanych pacjentów. Do kodeksu może przystąpić każdy podmiot leczniczy, który w swoich strukturach posiada poradnie podstawowej opieki zdrowotnej (POZ) lub ambulatoryjnej opieki specjalistycznej (AOS).

Przystąpienie do kodeksu wymaga wcześniejszego przeprowadzenia procesu weryfikacji, czy podmiot realizuje zasady wskazane w kodeksie. Rzetelnego sprawdzenia dokonuje podmiot do tego upoważniony, który otrzymał akredytację UODO. Obecnie jeden podmiot, którym jest RS JAMANO, otrzymał akredytację Prezesa UODO w zakresie pełnienia funkcji podmiotu monitorującego stosowanie kodeksu postępowania RODO dla placówek medycznych i jako jedyny może dokonywać sprawdzenia zgodności z kodeksem.

Oznacza to więc, że wszystkie „certyfikaty RODO” oferowane przed podmioty bez takiej akredytacji nie stanowią rzetelnego potwierdzenia, że przedsiębiorstwo przestrzega przepisów dotyczących ochrony danych osobowych. Takie podmioty bez odpowiedniej akredytacji UODO nie muszą działać zgodnie z wytycznymi UODO, obowiązującymi przepisami, a przede wszystkim – nie mają uprawnień do wydawania tego rodzaju zaświadczeń. Jeśli więc placówka medyczna chce przystąpić do kodeksu, musi mieć pewność, że zgłasza się do właściwego organu – akredytowanego podmiotu monitorującego stosowanie kodeksu. Cała procedura sprowadza się wówczas do kilku kroków:

  • zgłoszenia chęci zostania członkiem kodeksu,
  • sprawdzenia, czy przedsiębiorstwo spełnia odpowiednie kryteria,
  • wydania certyfikatu kodeksu lub decyzji o odmowie jego wydania.

Po co przedsiębiorcy kodeks RODO?

W takim razie czy warto przystąpić do kodeksu RODO? Zdecydowanie tak i to przynajmniej z kilku powodów.

  1. Wsparcie przy zarządzaniu ewentualnym incydentem – w przypadku istotnego naruszenia danych w podmiocie, który nie przystąpił do kodeksu, informacje dotyczące tej sytuacji placówka musi sama zgłosić do UODO, przechodząc cały proces zarządzania incydentem i narażając się na karę. Kluczowym w takiej sytuacji jest odpowiednie zarządzenie incydentem, co minimalizuje konsekwencje w postaci kary finansowej. Członkowie kodeksu mają możliwość w omówienia incydentu z RS JAMANO, który jako podmiot monitorujący udzieli im wsparcia w powstałej sytuacji.
  2. Ewentualny łagodniejszy wymiar kary – nieprzestrzeganie wymogów z zakresu RODO może sprowadzić na placówkę karę pieniężną. Przy określaniu jej wysokości, organ nadzorczy weźmie pod uwagę konkretne kryteria – m.in. sprawdzi, czy przedsiębiorstwo stosowało tzw. zatwierdzone mechanizmy certyfikacji. Oznacza to, że posiadając aktualny certyfikat, można liczyć na ewentualną karę w łagodniejszym wymiarze.
  3. Większe zaufanie do placówki – jeśli placówka medyczna jest członkiem kodeksu, to pacjenci mogą mieć pewność, że dane osobowe są chronione w rzetelny sposób. Szczególne znaczenie ma to przy przetwarzaniu tzw. danych wrażliwych, do których zalicza się: dane ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych oraz dane genetyczne, dane biometryczne przetwarzane w celu jednoznacznego zidentyfikowania osoby fizycznej lub dane dotyczące zdrowia, seksualności lub orientacji seksualnej tej osoby. Kodeks stanowi niepodważalny dowód, że wszystkie normy RODO zostały spełnione.
  4. Dostęp do unikalnej bazy wiedzy dostosowanej do branży medycznej – przystąpienie do kodeksu, to też stały dostęp do aktualizowanej na bieżąco eksperckiej wiedzy dostosowanej do realnych problemów placówek medycznych. W gąszczu przepisów RODO praktyki medyczne mogą sięgać po eksperckie materiały, filmy, dokumenty oraz informacje z obszaru RODO i przepisów prawa dostosowane do branży medycznej.
  5. Przewaga nad konkurencją – skoro pacjenci i kontrahenci chętniej skorzystają z usług przedsiębiorstwa, które przestrzega norm RODO, to zdecydowanie posiadanie takiego zaświadczenia zapewnia przewagę nad konkurencją. To z kolei sprzyja rozwojowi organizacji i rośnięciu zysków.