Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO) dotyczy wszystkich podmiotów, które przetwarzają dane osobowe osób fizycznych w związku z prowadzoną działalnością zawodową, zarobkową, statutową. Zostało skierowane do wielu branż, a jak wiadomo, każda branża jest inna, nie można porównać prowadzenia sklepu internetowego z wykonywaniem działalności leczniczej. Państwa członkowskie, organy nadzorcze, Europejska Rada Ochrony Danych oraz Komisja zachęcają do sporządzania kodeksów postępowania mających pomóc we właściwym stosowaniu rozporządzenia. Kodeks branżowy ma podawać minimalne wymogi związane z ochroną danych osobowych w placówkach ochrony zdrowia, które należy spełnić, by być w zgodności z RODO. Założeniem jest uszczegółowienie kwestii dotyczących m.in. zbierania danych, czynienia zadość obowiązkowi informacyjnemu, sposobu zastosowania środków technicznych, aby do naruszenia danych osobowych nie dochodziło. Praktycznie przepisy RODO są stosowane od 4 lat, a do tego czasu żaden kodeks branżowy nie obowiązuje, w tym także w zakresie ochrony zdrowia. Przepisy RODO stosowane bez odpowiedniej wykładni uniemożliwiałyby prowadzenie działalności leczniczej, która wiąże się z przetwarzaniem danych wrażliwych. Czy zatem pacjent w obecnie obowiązującym stanie prawnym ma zapewnioną odpowiednią ochronę?

The Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April 2016 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data, and repealing Directive 95/46/EC (GDPR) shall concern all those who process personal data of natural persons with regard to their professional, commercial and statutory activities. It was addressed to many industries, and as it is well known each industry is different, running an online store cannot be compared with the provision of health care or treatment. The Member States, the supervisory authorities, the European Data Protection Board and the Commission shall encourage the drawing up of codes of conduct intended to contribute to the proper application of this Regulation. The code of conduct is to provide the minimum requirements related to the protection of personal data in health care facilities that must be met in order to demonstrate compliance with the GDPR. The purpose of the code is, inter alia, the collection of the personal data, fulfilling the obligation to inform and the use of technical means to prevent personal data breach. Almost four years have passed since the application of the GDPR regulations and no code of conduct has been adopted for application, including the health protection. The GDPR applied without proper interpretation would make it impossible to conduct medical treatment which involve sensitive data processing. In the current legal situation is a patient provided with adequate protection?