Pierwsze dwa branżowe projekty tzw. dobrych praktyk w ochronie danych osobowych spotkały się już z akceptacją organu nadzoru. Jeden z nich to „Kodeks postępowania dotyczącego ochrony danych osobowych przetwarzanych w małych placówkach medycznych” opracowany przez Federację Porozumienie Zielonogórskie. Drugi to „Kodeks postępowania dla sektora ochrony zdrowia” przygotowany przez Polską Federację Szpitali.
Prezes Urzędu Ochrony Danych Osobowych (UODO), który pozytywnie zaopiniował oba projekty, stwierdził, że są one zgodne z unijnym rozporządzeniem (RODO) i stanowią odpowiednie zabezpieczenia określone w jego art. 40 ust. 5. Ocenił, że postanowienia tych kodeksów pomogą podmiotom medycznym wypełniać wymogi RODO, a także upowszechnią wiedzę o ochronie danych wśród pacjentów.
W pierwszym z projektowanych aktów prezes UODO zwraca uwagę na zapewnienie niezbędnych zabezpieczeń ochronnych przez wskazanie: zakresu danych, które mogą lub nie mogą być przetwarzane przez członków grupy stosującej kodeks, procedur związanych ze zbieraniem danych ze szczegółowym określeniem czasu retencji danych oraz zabezpieczeń przy przechowywaniu dokumentacji papierowej. Są tam też przykłady zarządzania dokumentacją, a także szczegółowe i konkretne pomoce do dokonania analizy ryzyka w placówce medycznej.
W drugim kodeksie wymagania unijne są spełnione według prezesa UODO m.in. przez zaspokojenie określonej potrzeby ustanowienia kodeksu, ułatwienie skutecznego stosowania RODO i jego doprecyzowanie oraz zapewnienie wystarczających zabezpieczeń.
Postanowienia zawarte w kodeksach odnoszą się do najczęstszych przypadków przetwarzania danych w placówkach medycznych. Odwołano się w nich do przepisów prawa medycznego powiązanych z zagadnieniami ochrony danych osobowych, zawarto porady i przykładowe procedury.
Po zatwierdzeniu kodeksów ich stosowanie będzie brane pod uwagę przez organ nadzoru przy podejmowaniu decyzji wobec danego podmiotu w razie stwierdzenia naruszenia RODO w celu naprawienia sytuacji.