1 dzień temu
Nowelizacja rozporządzenia Ministra Zdrowia – zakres proponowanej zmiany
W wystąpieniu z 15.7.2025 r. Prezes Urzędu Ochrony Danych Osobowych, działając w oparciu o art. 52 ust. 2 ustawy z 10.5.2018 r. o ochronie danych osobowych (t.j. Dz.U z 2019 r. poz. 1781), zwrócił się do Ministra Zdrowia z wnioskiem o rozważenie zasadności nowelizacji rozporządzenia Ministra Zdrowia z 5.8.2016 r. w sprawie szczegółowych kryteriów wyboru ofert w postępowaniach dotyczących zawierania umów o udzielanie świadczeń opieki zdrowotnej (Dz.U. z 2025 r. poz. 328), finansowanych ze środków publicznych. Proponowana zmiana miałaby polegać na umożliwieniu przyznawania dodatkowych punktów podmiotom leczniczym, które przedstawią dowód przestrzegania zatwierdzonych kodeksów postępowania lub posiadania certyfikatu zgodności z rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z 27.4.2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz.Urz. UE L z 2016 r. Nr 119, s. 1; dalej: RODO). Takie rozwiązanie byłoby analogiczne do funkcjonujących już rozwiązań premiujących posiadanie certyfikatów systemów zarządzania jakością.
Prezes UODO wskazuje, iż wprowadzenie tego rodzaju kryterium oceny ofert stanowiłoby istotne wzmocnienie systemu ochrony danych osobowych w sektorze ochrony zdrowia, który cechuje się wysokim poziomem ryzyka ze względu na przetwarzanie danych szczególnej kategorii oraz wzrastającą liczbę incydentów cyberbezpieczeństwa. Propozycja mieści się również w celach rozporządzenia, które przewiduje możliwość różnicowania ofert świadczeniodawców ze względu na jakość i bezpieczeństwo świadczonych usług.
Rola kodeksów postępowania i certyfikacji w systemie zgodności z RODO
W uzasadnieniu Prezes UODO obszernie odniósł się do roli zatwierdzonych kodeksów postępowania (art. 40 RODO) oraz mechanizmów certyfikacji (art. 42 RODO) jako dobrowolnych instrumentów wspierających zgodność z ogólnym rozporządzeniem o ochronie danych. Kodeksy postępowania służą doprecyzowaniu wymagań RODO w konkretnych sektorach i dla określonych kategorii administratorów lub podmiotów przetwarzających, co umożliwia im lepsze dostosowanie środków organizacyjnych i technicznych do rodzaju prowadzonej działalności. RODO przewiduje również możliwość tworzenia kodeksów międzysektorowych, jeżeli tylko pozwala na to wspólny charakter przetwarzania danych.
Z kolei certyfikacja, choć również dobrowolna, pozwala administratorowi lub podmiotowi przetwarzającemu uzyskać zewnętrzne potwierdzenie zgodności operacji przetwarzania z przepisami RODO. Certyfikat przyznawany jest na maksymalnie trzy lata i może zostać cofnięty w przypadku stwierdzenia naruszeń, co dodatkowo wzmacnia jego funkcję kontrolną i mobilizującą.
Warto podkreślić, iż Prezes UODO zatwierdził już dwa kodeksy postępowania skierowane do podmiotów z sektora ochrony zdrowia: jeden opracowany przez Polską Federację Szpitali, drugi przez Porozumienie Zielonogórskie. Oba dokumenty zawierają praktyczne wytyczne dotyczące bezpiecznego i zgodnego z prawem przetwarzania danych medycznych. Jednocześnie – jak wskazuje UODO – żaden podmiot leczniczy nie uzyskał jeszcze certyfikacji RODO, co może wynikać z niewystarczającej zachęty regulacyjnej oraz braku mechanizmów promujących takie działania.
Znaczenie praktyczne postulowanej zmiany dla sektora zdrowia
Proponowana nowelizacja rozporządzenia miałaby nie tylko znaczenie formalne, ale przede wszystkim praktyczne. Wprowadzenie dodatkowego kryterium punktowego premiującego zgodność z RODO może stanowić silny impuls dla placówek ochrony zdrowia do wdrażania wysokich standardów w zakresie ochrony danych osobowych. W efekcie poprawie uległoby nie tylko bezpieczeństwo przetwarzanych informacji, ale także poziom zaufania pacjentów do systemu publicznej opieki zdrowotnej.
Inicjatywa Prezesa UODO wpisuje się również w kontekst rosnącej liczby naruszeń ochrony danych w sektorze medycznym. W ostatnich latach Urząd podejmował działania nadzorcze wobec placówek, które nie wdrożyły odpowiednich środków bezpieczeństwa. Przykładem może być kara w wysokości 66 500 zł, nałożona na Uniwersytecki Dziecięcy Szpital Kliniczny w Białymstoku, czy decyzje wobec Centrum Medycznego Ujastek w Krakowie za nieprawidłowe monitorowanie sal neonatologii. Zjawiska te wskazują, iż potrzebne są nie tylko sankcje, ale także pozytywne bodźce promujące zgodność i prewencję.
Warto również odnotować, iż członkostwo w kodeksie postępowania lub posiadanie certyfikatu RODO nie stanowi zwolnienia z odpowiedzialności za ewentualne naruszenia. Stanowi natomiast istotny element wykazania należytej staranności i realizacji zasady rozliczalności. W opinii Prezesa UODO taka dokumentacja zgodności mogłaby być traktowana jako dowód w postępowaniach kontrolnych oraz przed sądami administracyjnymi.
Kierunek dalszych działań legislacyjnych
W konkluzji swojego wystąpienia Prezes UODO zadeklarował gotowość do współpracy z resortem zdrowia na etapie prac legislacyjnych i wsparcia eksperckiego przy tworzeniu szczegółowych rozwiązań. Podkreślił również, iż postulowana zmiana pozostaje spójna z założeniami rozporządzenia Ministra Zdrowia, które już dziś premiuje posiadanie certyfikatów jakościowych – propozycja UODO ma charakter doprecyzowujący i rozszerzający katalog ocenianych elementów.
Choć wystąpienie Prezesa UODO nie stanowi jeszcze formalnego projektu legislacyjnego, to może ono zainicjować proces zmian, które znacząco wpłyną na praktykę kontraktowania świadczeń zdrowotnych. Propozycja ta odpowiada na rzeczywiste potrzeby systemu i wpisuje się w szerszy nurt rozwoju dobrowolnych mechanizmów zgodności w sektorze publicznym. jeżeli zostanie przyjęta, może stanowić model do zastosowania również w innych obszarach usług publicznych, gdzie ochrona danych osobowych ma najważniejsze znaczenie.
