Кодекси поведінки відповідно до GDPR: значення та зміст

Про роль та переваги кодексів поведінки в захисті персональних даних і що потрібно знати про їх дотримання (і наслідки рішення дотримуватися, але насправді цього не робити).

У цій статті:

• Що таке кодекс поведінки відповідно до положень GDPR 
• Про прийняття першого польського кодексу поведінки для медичних установ
• Персональні дані пацієнтів та опитування
• Отримання згоди суб’єкта даних при відеоспостереженні 
• Чому кодекс поведінки – це гарна ідея?

As a reminder: Що таке кодекс поведінки та навіщо він потрібен

Про кодекси поведінки зазначено в статті 40 GDPR як про спосіб належного застосування GDPR. Загальний регламент про захист персональних даних також заохочує асоціації та інші органи, які представляють контролерів або процесорів, розробляти кодекси поведінки для своїх організацій. Затверджений компанією кодекс поведінки є однією із ознак, що компанія знає, що і як їй потрібно робити, щоб проводити законну обробку персональних даних. 

Про перший польський кодекс поведінки, який відповідає вимогам GDPR 

Наприкінці 2022 року наглядовий орган Польщі (“UODO”) схвалив «Кодекс поведінки щодо захисту персональних даних, які обробляються в малих медичних установах». Як вказано в самому документі, метою кодексу є роз’яснення принципів захисту даних, які містяться в GDPR та підвищення рівня захисту персональних даних в малих медичних установах. 

Оскільки медичні установи відповідно до положень GDPR є контролерами даних, вони відповідальні за належне забезпечення обробки персональних даних пацієнтів. Важливо, що кодекс також містить практичні рекомендації щодо виконання конкретних зобов’язань, які виникають через дію положень GDPR, зважаючи на специфіку функціонування медичних закладів.

Польський кодекс поведінки поширює свою дію лише на персональні дані, які обробляються у зв’язку з медичною діяльністю малих медичних установ і не поширюється на обробку персональних даних співробітників, або кандидатів на роботу в медичну установу.

Певна річ, медичні установи мають безпосереднє відношення саме до спеціальних категорій даних (чутливих даних). Такі категорії як генетичні, біометричні дані, дані стосовно стану здоров’я за загальним правилом не можуть бути опрацьованими, окрім як 

• за явною згодою суб’єкта даних, чи 
• для цілей виконання обов’язків і здійснення спеціальних прав контролера або суб’єкта даних у сфері зайнятості та права соціального забезпечення і соціального захисту, або 
• коли опрацювання є необхідним для захисту життєво важливих інтересів суб’єкта даних або іншої фізичної особи, якщо суб’єкт даних фізично чи юридично неспроможний надати згоду. 

Всі підстави опрацювання таких категорій даних містяться в параграфі 2 статті 9 GDPR.

Відповідно до положень Кодексу поведінки кожна медична установа має розмістити на своєму вебсайті (якщо такий є) повідомлення про наявність Кодексу поведінки відповідно до положень GDPR та сам Кодекс для ознайомлення. Крім того, на сайті має бути розміщено інформацію про можливість та спосіб подання скарги на медичну установу через порушення положень прийнятого Кодексу.

Для чого медична установа може збирати згоду на обробку даних?

Обробка персональних даних пацієнтів для цілей, які не пов’язані безпосередньо з наданням медичної допомоги та лікуванням можлива лише за згодою пацієнта. 

Для яких цілей медичні заклади можуть використовувати персональні дані осіб? Перш за все, для маркетингу, розсилок на вказану пацієнтом електронну адресу, або будь-яких інших цілей з метою отримання позитивних відгуків, коментарів і залучення нових пацієнтів.

Ще одним прикладом можливості використання персональних даних є проведення наукових досліджень. Ось такий приклад запиту явної згоди пацієнта наведений в польському кодексі:

“MPM prosi o wyraźną zgodę pacjenta na przekazanie jego dokumentacji medycznej do eksperta z biobanku, do którego MPM zwraca się o dokonanie analizy naukowej. Z uwagi na szczególny charakter tych informacji MPM prosi o podpis osobę, której dane dotyczą, w celu uzyskania ważnej wyraźnej zgody oraz aby móc później wykazać, że taką wyraźną zgodę od tego pacjenta otrzymano”.

Тобто медична установа запитує згоду пацієнта на передачу його медичної документації (з біобанку в цьому випадку) для проведення наукового аналізу. Підпис суб’єкта даних буде вважатися такою чіткою згодою.

Чи можна відкликати свою згоду?

Звичайно можна. Кожен пацієнт-суб’єкт даних має бути проінформований, що його згода на обробку персональних даних чинна до моменту її відкликання. На практиці це означає, що якщо згода була отримана, наприклад, через вебсайт, її також має бути можливо відкликати через цей вебсайт.

Чи можна використовувати персональні дані пацієнтів для проведення різних видів опитувань?

Відповідно до положень затвердженого Кодексу – якщо установа хоче провести опитування, наприклад, щодо якості надання послуг, чи умов, організації лікування, такі опитування мають бути анонімними. До того ж неприйнятним буде використання персональних даних пацієнта для надсилання запрошення взяти участь в опитуванні або самого опитування. Звичайно ж результати опитування не можуть бути пов’язані з негативними наслідками для пацієнта, який критично оцінив лікаря чи якість надання послуг.

Камери спостереження в медичних установах

Як закріплено в Кодексі, перед початком використання відеоспостереження медичний заклад повинен повідомити людей, які можуть перебувати в зоні дії таких камер. Фактично ці відеоспостереження за пацієнтом може обмежити можливості анонімного переміщення та анонімного використання послуг. 

Під час роботи з відеоспостереженням слід завжди ретельно враховувати загальні принципи статті 5 GDPR. Проблеми захисту даних, які виникають у кожній ситуації з урахуванням використання відеотехнологій, можуть відрізнятися, як і юридичний аналіз при використанні тієї чи іншої технології. 

Окрім питань конфіденційності, існують також ризики, пов’язані з можливими несправностями цих пристроїв, оскільки програмне забезпечення, яке використовується, наприклад, для ідентифікації обличчя, розпізнавання чи аналізу, працює по-різному залежно від віку, статі та етнічного походження людини, яку воно ідентифікує.

Отже, медичний заклад повинен повідомити суб’єкта даних про відеоспостереження через розміщення інформаційних табличок на території, або інформаційних бюлетенях чи офіційному вебсайті.

При визначенні строків зберігання записів медичними закладами необхідно перш за все враховувати мету, для якої вони створюються. Як вказано в Кодексі:

“Jako maksymalny okres przechowywania nagrania wskazano 3 miesiące od daty jego sporządzenia. Nagrania można przechowywać dłużej niż 3 miesiące w szczególności w przypadku, kiedy są one dowodem w postępowaniu (np. kiedy policja poprosiła o zabezpieczenie nagrania). ”

Тобто максимально можливий період зберігання відеозапису в цьому випадку – 3 місяці, крім випадку, коли він є доказом у судовому провадженні.

Чому прийняття кодексу поведінки – це гарна ідея?

Прийняття та наступне дотримання кодексів поведінки допомагає продемонструвати дотримання компанією вимог GDPR. Тому в рішенні щодо прийняття кодексу і далі його не дотримуватися не можна легковажити. 

На завершення, дотримання схвалених кодексів поведінки є необхідним для  контролерів та процесорів, які серйозно ставляться до опрацювання персональних даних суб’єктів даних і розуміють, що захист персональних даних – це безперервний процес та зважають на положення GDPR щодо відповідальності за порушення зобов’язань щодо такого захисту.