Zařízení, která poctivě dodržovala stávající zákon o ochraně osobních údajů, nemusí mít z GDPR strach (GDPR – General Data Protection Regulation, Obecné nařízení o ochraně osobních údajů). Nečekají je horentní náklady za externí služby, stačí revize provedená nejlépe vlastními silami, vzkazuje zdravotnickým zařízením náměstek pro legislativu Radek Policar. Jak správně postupovat, navíc poradí metodika, kterou nyní dokončuje ministerstvo zdravotnictví. Problematikou se odborníci zabývali na konferenci Zdravotnictví a právo, která se konala včera ve Fakultní nemocnici Motol.

 

„K pomoci a metodice nás hnaly mimo jiné texty, které vycházejí v různých médiích. Upozorňují, kolik miliard to bude stát český stát a co všechno se bude muset nakoupit nového. Vyznění našeho sdělení určitě není, že nebude třeba udělat nic, ale na druhou stranu je třeba rozumný přístup. Ministerstvo u svých přímo řízených organizací určitě nepodporuje nákupy drahých externích služeb, protože většinu a možná i všechny aktivity, které je třeba udělat při přípravě na GDPR, lze provést nejlépe vlastními silami. Předpis je vlastně o udělání si pořádku doma – o inventuře, nastavení vnitřních pravidel a režimů. A vnitřek organizace nejlépe znají lidé, kteří v ní pracují,“ přibližuje Radek Policar, který je také předsedou revizní komise Společnosti medicínského práva ČLS.

Jan Mach, místopředseda výboru Společnosti medicínského práva ČLS JEP a právník České lékařské komory, tyto zprávy vítá. „Jsme totiž svědky toho, že spousta soukromých firem oznamuje soukromým lékařům, manažerům nemocnic i jiných zdravotnických zařízení: ano, bude tady šílená věc a šílené pokuty, my jediní vám ale za šílené peníze zachráníme situaci tím, že si nás objednáte a my všechno zařídíme,“ popisuje Mach.

Nařízení Evropského parlamentu a Rady 2016/679 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů bylo publikováno 4. května loňského roku, použito ale bude od 25. května 2018. K tomuto dni tak bude zrušen zákon 101/2000 o ochraně osobních údajů. Zároveň ministerstvo vnitra přichystalo nový zákon o zpracování osobních údajů a změnový zákon, který vloží speciální pravidla do několika úprav.

Mohlo by vás zajímat

„Nařízení nepřináší extrémní změny v tom, jak lze pracovat s osobními údaji. Pokud dnes činnost subjektu probíhá v souladu se zákonem 101 o ochraně osobních údajů, není změn až tolik. Velký problém to ovšem bude pro ty, kdo pozapomínají na zákon, nebo si ho příliš nevšímají. Pokud tedy dnes organizace dodržuje vše, co má, půjde o evoluci. Jestli se tomu ale nevěnovala, tak pokud nebude chtít být předmětem velkých sankcí, bude to bohužel velká revoluce,“ poukazuje Policar.

K většině zpracování osobních údajů v nemocnicích nebude souhlas třeba

Jak by se tedy měla zdravotnická zařízení na evropské nařízení připravit? [mn_protected] Pokud subjekt zpracovává osobní údaje, musí si uvědomit, co ho k tomu opravňuje. Důvodů zákonnosti zpracování je v obecném nařízení šest: souhlas subjektu údajů, splnění smlouvy, splnění právní povinnosti, ochrana životně důležitých zájmů, splnění úkolu ve veřejném zájmu nebo při výkonu veřejné moci a pro účely oprávněných zájmů příslušného správce či třetí strany. Ve zdravotnictví je přitom většina dat zpracovávána za účelem právní povinnosti (povinnost vést zdravotnickou dokumentaci, osobní spis zaměstnance, posílat údaje do Národního zdravotního registru atd.), takže není důvod požadovat souhlas subjektu údajů.

Takzvané citlivé osobní údaje v nařízení nahrazuje pojem zvláštní kategorie osobních údajů, mezi něž patří mimo jiné údaje o zdravotním stavu (rozumí se údaje o působení na zdravotní stav pacientů, tedy např. o provedení výkonu). Tato kategorie podléhá přísnějším důvodům zpracování, mezi něž patří: subjekt údajů udělil výslovný souhlas, pro účely povinností v oblasti pracovního práva a práva v oblasti sociálního zabezpečení a sociální ochrany, pro účely zdravotní nebo sociální péče, z důvodů veřejného zájmu v oblasti veřejného zdraví a pro účely archivace ve veřejném zájmu, pro účely vědeckého výzkumu nebo pro statistické účely.

V nařízení je přitom zakotveno právo na opravu, pokud jsou údaje nepřesné či neúplné, a také právo na výmaz. To se týká případů, kdy již osobní údaje nejsou potřebné, byly zpracovány protiprávně, musí být vymazány ke splnění právní povinnosti, subjekt odvolá souhlas či vznese námitky proti zpracování. Zároveň se ale stanovuje, že právo na výmaz se neuplatní, pokud je zpracování nezbytné pro splnění právní povinnosti, z důvodu veřejného zájmu v oblasti veřejného zdraví, pro účely archivace ve veřejném zájmu, pro účely vědeckého výzkumu či statistické účely nebo pro určení, výkon či obhajobu právních nároků. Neplatí tedy, že by pacient měl právo například na to, aby si nechal vymazat zdravotnickou dokumentaci.

Nákup nejnovějších softwarů netřeba

Jak bylo zmíněno na začátku, v praxi se často objevují obavy z nutnosti nákupu nákladných softwarů a dalších opatření v oblasti kybernetické bezpečnosti. Nařízení přitom stanovuje zavedení vhodných technických a organizačních opatření „s přihlédnutím ke stavu techniky, nákladům na provedení, povaze, rozsahu, kontextu a účelům zpracování i k různě pravděpodobným a různě závažným rizikům pro práva a svobody fyzických osob, jež s sebou zpracování nese.“

„Neříká se tam tedy, aby se provedla nejlepší ochranná opatření, ale zvažujte – udělejte si analýzu rizik, jak moc hrozí, že by někdo mohl k datům proniknout, jak moc je závažné, když k nim pronikne, jakou máte dnes techniku. Význam tedy je: nezanedbávejte to, udělejte pro to, co lze, ovšem s přihlédnutím k těmto aspektům,“ vysvětluje Radek Policar.

Zároveň by se mělo provádět posuzování vlivu na ochranu osobních údajů v případě, že se s osobnímu údaji pracuje novým způsobem (např. se nakoupí nový informační systém). V takovém případě je proto na místě provést analýzu rizik. Každý správce také bude muset vést záznamy o činnostech zpracování, což by měl být výsledek inventury. Podívá se tedy, s jakými daty pracuje, co se s nimi dělá, z jakých důvodů a pro jaké účely je zpracovává či kdo jsou případní příjemci informací. Tyto záznamy pak jako důkaz předkládá kontrolním orgánům.

Povinností bude i to, že pokud dojde k porušení zabezpečení osobních údajů, je nutné co nejrychlejší ohlášení, ideálně do 72 hodin, na Úřadu pro ochranu osobních údajů. Oznámit by se měla i přijatá opatření. Pokud hrozí vysoké riziko pro práva a svobody fyzické osoby, nahlašuje se porušení zabezpečení i subjektu údajů.

Novinka: pověřenec pro ochranu osobních údajů

Novinkou, kterou nařízení zavádí, je pověřenec pro ochranu osobních údajů. „To může znamenat náročnou činnost i nemalé náklady,“ připouští Radek Policar. Pověřence přitom musí mít orgány veřejné moci či veřejný subjekt, případně je na místě tehdy, když hlavní činnosti správce či zpracovatele spočívají v rozsáhlém zpracování zvláštních kategorií údajů. Právě do druhé kategorie přitom bezesporu spadají i nemocnice. Povinnost se na druhou stranu nevztahuje na malé ambulance, zatím ovšem Úřad pro ochranu osobních údajů zcela neobjasnil, co všechno ono „rozsáhlé zpracování“ zahrnuje – tedy zda například poliklinika s několika ambulancemi spadá do povinnosti mít pověřence či ne.

Pověřenec by přitom měl radit, jak systém nastavovat, pomáhá s metodickou činností a celou oblast audituje. Podle nařízení má být „jmenován na základě svých profesních kvalit, zejména na základě svých odborných znalostí práva a praxe v oblasti ochrany osobních údajů“. Může jít buď o zaměstnance, nebo lze tuto službu outsourcovat. Správce by také měl spadat pod nejvyšší vedení organizace, mít nezávislé postavení a nebýt ve střetu zájmů. Nesmí tedy jít o šéfa personalistiky či IT, který by tak kontroloval sám sebe.

V neposlední řadě pak evropské nařízení (podobně jako zákon o ochraně osobních údajů) stanovuje, co musí obsahovat smlouva se zpracovatelem údajů. Nejen návod k tomu, jak smlouvu vytvořit, přitom najdou poskytovatelé zdravotních služeb v metodice připravované ministerstvem zdravotnictví. Ta má zdravotnickým zařízením umožnit, aby se s novým nařízením GDPR úspěšně poprala. Brožura s názvem Jak implementovat nařízení Evropského parlamentu a rady 2016/679 do resortu zdravotnictví má deset kapitol, osm příloh a celkem 110 stran, tvůrci ji také neopomněli konzultovat s Úřadem pro ochranu osobních údajů. Materiál pak má být ročně či dle potřeby aktualizován. Metodika by měla být publikována do konce roku a distribuce je plánována na leden. V současnosti jsou přitom informace zpracovávány i pro ambulantní sféru.

„Cílem je i odstranit obavy. Každý má strach z GDPR, ale kdo v současné době dodržuje zákon 101, neměl by mít veliké obavy, i když by ani neměl být nezodpovědný,“ potvrzuje slova Radka Policara zástupkyně ředitele ÚZIS Vladimíra Těšitelová.

[/mn_protected]

Michaela Koubová