Kontrakty z NFZ: podmioty lecznicze wykazujące dbałość o dane powinny być premiowane

Prezes UODO zwraca się do Ministra Zdrowia o rozważenie przeprowadzenia zmian legislacyjnych, w wyniku których podmioty medyczne stosujące kodeksy postępowania albo posiadające  certyfikaty w rozumieniu RODO mogłyby uzyskać dodatkowe punkty przy kontraktowaniu usług z NFZ.

Punktowanie za podejmowanie dodatkowych działań zabezpieczających dane byłoby dobrym krokiem prowadzącym do wzmocnienia praw pacjentów i pracowników sektora medycznego oraz Cyberbezpieczeństwa tych krytycznych dla społeczeństwa usług – stwierdza prezes UODO Mirosław Wróblewski.

Prezes UODO wystąpił do ministry zdrowia Izabeli Leszczyny o zmianę rozporządzenia o szczegółowych kryteriach wyboru ofert kontraktowych placówek zdrowotnych z NFZ (Dz. U. z 2025 r. poz. 328 ze zm.). Chodzi o to, by administratorzy lub podmioty przetwarzające z sektora medycznego, którzy posiadają formalny status podmiotu stosującego kodeks postępowania albo  pozytywnie przeszły proces certyfikacji (posiadają certyfikat) , mogły otrzymać  dodatkowe punkty w postępowaniu w sprawie zawarcia umów o udzielanie świadczeń opieki zdrowotnej z NFZ.

Kodeksy postępowania tworzą pewien standard, także dla wprowadzenia odpowiednich środków bezpieczeństwa. Jest to szczególnie istotne w obszarze ochrony zdrowia, w którym dochodzi coraz częściej do cyberataków, i w którym odnotowywane są liczne naruszenia ochrony danych.

W ostatnim czasie Prezes UODO zmuszony był nałożyć kary na placówki medyczne za niewdrożenie odpowiednich środków organizacyjnych i technicznych chroniących dane osobowe pacjentów i pracowników. To pokazuje, że problem istnieje. Tymczasem kodeksy mogą wesprzeć podmioty medyczne, pokazując im, co jest poprawne, legalne i etyczne w działaniach konkretnego sektora. Pozwalają też wzmocnić zaufanie osób, których dane dotyczą. Podobne korzyści dla administratorów i podmiotów przetwarzających wynikają z certyfikacji, w ramach której oceniana jest zgodność procesów przetwarzania danych osobowych z kryteriami certyfikacji, a potwierdzeniem tej zgodności jest certyfikat.  

Warto zauważyć, że do tej pory Prezes UODO zatwierdził dwa kodeksy postępowania – oba dla podmiotów z branży medycznej. Są nimi Kodeks postępowania dla sektora ochrony zdrowia dotyczący podmiotów wykonujących działalność leczniczą i podmiotów przetwarzających, którego wnioskodawcą była Polska Federacja Szpitali oraz Kodeks postępowania dotyczący ochrony danych osobowych przetwarzanych w małych placówkach medycznych, którego wnioskodawcą było Porozumienie Zielonogórskie. Jeśli chodzi o mechanizmy certyfikacji to żaden podmiot nie wystąpił do tej pory do Prezesa UODO o zatwierdzenie kryteriów certyfikacji. Prezes UODO współpracuje w tym obszarze z Polskim Centrum Akredytacji i prowadzi działania edukacyjne. Szczegółowe informacje o kodeksach postępowania są dostępne na stronie https://uodo.gov.pl/pl/426.

DPNT.413.22.2025