Mirosław Wróblewski, prezes Urzędu Ochrony Danych Osobowych (UODO), w piśmie skierowanym do Ministerstwa Zdrowia wskazuje, że uzasadnione byłoby podjęcie prac legislacyjnych nad wprowadzeniem zmian w rozporządzeniu ministra zdrowia w sprawie szczegółowych kryteriów wyboru ofert w postępowaniu w sprawie zawarcia umów o udzielanie świadczeń opieki zdrowotnej. Docelowo miałyby one doprowadzić do tego, by podmioty ubiegające się o zawarcie umowy z Narodowym Funduszem Zdrowia o udzielanie świadczeń opieki zdrowotnej finansowanych ze środków publicznych otrzymały możliwość uzyskania dodatkowych punktów w ramach procedury oceny ofert w związku z wykazaniem stosowania kodeksu postępowania, albo posiadania certyfikatu dotyczącego przestrzegania RODO. Chodzi tutaj o dokumenty oficjalnie zatwierdzone przez urząd. 

Czytaj też w LEX: Prezes Urzędu Ochrony Danych Osobowych, Kiedy trzeba przeprowadzić ocenę skutków dla ochrony danych?> 

Dodatkowa motywacja 

Prezes UODO przypomina, że przetwarzanie danych osobowych i świadczenie opieki zdrowotnej to procesy, które są ze sobą ściśle powiązane. W placówkach medycznych musi być przestrzegane RODO, a za realizację obowiązku odpowiada wyznaczony administrator. Z kolei stosowanie zatwierdzonych kodeksów postępowania lub zatwierdzonego mechanizmu certyfikacji może być wykorzystane jako element dla stwierdzenia przestrzegania przez administratora ciążących na nim obowiązków. W Polsce są również dostępne dwa dokumenty przeznaczone konkretnie dla branży medycznej, uwzględniające jej specyfikę. Chodzi o Kodeks postępowania dla sektora ochrony zdrowia dotyczący podmiotów wykonujących działalność leczniczą i podmiotów przetwarzających (którego wnioskodawcą była Polska Federacja Szpitali) oraz Kodeks postępowania dotyczący ochrony danych osobowych przetwarzanych w małych placówkach medycznych (wnioskodawcą było Porozumienie Zielonogórskie). 

Jak zauważa prezes UODO, w ostatnim czasie jako organ kilkukrotnie był zmuszony nałożyć kary na placówki medyczne za niewdrożenie odpowiednich środków organizacyjnych i technicznych chroniących dane osobowe pacjentów i pracowników. To pokazuje, że problem istnieje. - Tymczasem kodeksy mogą wesprzeć podmioty medyczne, pokazując im, co jest poprawne, legalne i etyczne w działaniach konkretnego sektora. Pozwalają też wzmocnić zaufanie osób, których dane dotyczą. Podobne korzyści dla administratorów i podmiotów przetwarzających wynikają z certyfikacji, w ramach której oceniana jest zgodność procesów przetwarzania danych osobowych z kryteriami certyfikacji, a potwierdzeniem tej zgodności jest certyfikat - zaznacza. 

Dlatego w piśmie skierowanym do MZ wyjaśnia, że warte rozważenia jest wprowadzenie zmian, które umożliwiłyby przyznawanie dodatkowych punktów podczas oceny ofert w postępowaniach w sprawach zawierania umów o udzielanie świadczeń opieki zdrowotnej członkom kodeksów postępowania lub podmiotom posiadającym certyfikat. Resort ma teraz 30 dni na to, by odnieść się do propozycji. 

Czytaj również: UODO: Cyberbezpieczeństwo w szpitalu trzeba traktować poważnie

Zobacz wzór w LEX: Rejestr czynności przetwarzania danych osobowych dla szpitala>