Úřad pro ochranu osobních údajů se postavil proti návrhu skupiny poslanců výboru pro zdravotnictví, který mj. povoluje Ústavu zdravotnických informací a statistiky (ÚZIS) přístup k neanonymizovaným a vysoce citlivým osobním údajům v informačním systému eRecept. Naše stanovisko nemůže být souhlasné, sdělil tiskový mluvčí úřadu Zdravotnickému deníku. Podle něj nebyly dodrženy základní věcné požadavky, principy a procedury vyžadované nařízením Evropské unie GDPR. Ministerstvo zdravotnictví, které se na přípravě poslaneckého návrhu podílelo, je však přesvědčeno, že vše je v pořádku.
Úřad pro ochranu osobních údajů (ÚOOÚ) se negativně vymezil vůči pozměňovacímu návrhu k novele zákona o léčivech, který zásadně rozšiřuje přístupová práva Ústavu zdravotnických informací a statistiky ČR (ÚZIS) k údajům uloženým v informačním systému eRecept. Návrh byl načten skupinou poslanců v čele s Tomem Philippem (KDU-ČSL) minulý pátek v průběhu druhého čtení novely.
Podle mluvčího úřadu Tomáše Řepky „nebyly dodrženy základní věcné požadavky, principy a procedury vyžadované obecným nařízením Evropské unie o ochraně osobních údajů (GDPR), a proto ÚOOÚ nemůže z věcného hlediska návrh posoudit. I to je důvod, proč stanovisko Úřadu k pozměňovacímu návrhu nemůže být souhlasné,“ sdělil Řepka Zdravotnickému deníku.
SÚKL: Zásadní změna z hlediska ochrany osobních údajů
V současné době může ÚZIS přistupovat k údajům vedeným v informačním systému eRecept, který spravuje Státní ústav pro kontrolu léčiv (SÚKL), pro statistické účely a pouze anonymizovaně. To znamená, že nedokáže získaná data ztotožnit s konkrétními pacienty. V systému eRecept se ukládají údaje o elektronické preskripci, provedeném očkování a elektronicky vydaných poukazech na zdravotnické prostředky. Jeho součástí je také lékový záznam a správa pacientských souhlasů s tím, kdo může či nemůže do lékového záznamu nahlížet.
Zmíněný pozměňovací návrh ruší povinnost lékařů zapisovat provedené očkování do informačního systému eRecept tak, jak jim to dnes ukládá zákon o léčivech. Namísto toho by je měli zaznamenávat do centrálního vakcinačního registru, jednoho z modulů Informačního systému infekčních onemocnění (ISIN), který lékaři začali naplňovat s počátkem očkování proti covidu-19 na základě mimořádného opatření ministerstva zdravotnictví. Ten zase spravuje ÚZIS. Teprve odsud by se měl zápis o očkování následně automaticky přenést do systému eRecept. Jde o řešení, které má nejen podporu lékařů, ale i rezortu zdravotnictví.
V této souvislosti by měl systém eRecept podle návrhu nově zabezpečovat „přístup ÚZIS k elektronickým receptům a záznamům o očkování.“ To má sloužit k plnění „úkolů stanovených zákonem o zdravotních službách (např. sběr dat, sledování vývoje, příčin a důsledků závažných onemocnění apod. – pozn.red.) jako druhý datový zdroj pro validaci či doplnění údajů vedených v NZIS.“ ÚZIS jako správce Národního zdravotnického informačního systému (NZIS) definuje právě zákon o zdravotních službách. Autoři pozměňovacího návrhu zároveň navrhují vyškrtnout v současnosti platné ustanovení o tom, že ÚZIS má k datům přístup pouze v anonymizované podobě.
Jak ale upozornil SÚKL, toto představuje zásadní změnu z hlediska pravidel pro ochranu osobních údajů. „K neanonymizovaným datům a vysoce citlivým údajům zvláštní kategorie v systému eRecept by mohla přistupovat nová instituce,“ sdělila již dříve Zdravotnickému deníku mluvčí ústavu Klára Brunclíková.
MZ: Žádný bezprecedentní přístup
Pochybnosti o přiměřenosti či rovnou nepřijatelnosti takového rozšíření přístupových práv ÚZIS vznášeli opoziční poslanci i během diskuze v rámci zmíněného druhého čtení novely. Poslanec Kamal Farhan (ANO) to rovnou označil za „absolutně přes čáru“, protože se rozšiřuje okruh osob, které budou mít přístup k informacím například o tom, kdo užívá jaké léky.
Kvůli stejným pochybnostem nepodpořili v úterý tento konkrétní návrh ani poslanci zemědělského výboru. Právě tento výbor byl totiž určen jako garanční výbor k návrhu novely (tj. nikoli výbor pro zdravotnictví, jak by se u novely zákona o léčivech dalo očekávat), protože materiál se primárně zabývá úpravou pravidel pro nakládání s veterinárními léčivy a medikovanými krmivy. Zde se poslancům k návrhu vyjádřil za rezort zdravotnictví náměstek ministra pro legislativu a právo Radek Policar. Ten sice bez bližších podrobností připustil, že již existuje v této věci negativní stanovisko ÚOOÚ, rezort nicméně návrh stále podporuje. Byl ostatně připraven v úzké spolupráci s ministerskými úředníky.
Podle Policara totiž nejde o žádný nový „bezprecedentní“ přístup ÚZIS k datům, jak to zaznívalo na plénu Sněmovny. „ÚZIS již dnes spravuje veškeré národní registry, včetně Národního registru hrazených zdravotních služeb. To je úplně veškerá vykázaná péče hrazená zdravotními pojišťovnami v ČR, což je asi 99 procent veškeré péče v ČR. Zároveň spravuje ISIN, takže tato data vidí. Z tohoto pohledu jsou eReceptová data jen menším střípkem do té plné mozaiky informací, s nimiž ÚZIS pracuje. A ÚZIS samozřejmě pracuje v souladu s pravidly GDPR,“ obhajoval poslanecký návrh náměstek. „A neznám jedinou kontrolu zaměřenou na ochranu osobních údajů, která by tam (v ÚZIS) dopadla negativně. Neznám jediný případ zneužití nebo úniku dat, který by tam měli. Z tohoto pohledu mi to nepřijde jakkoliv problematické a nebezpečné, byť chápu, že k tomu mohou být námitky,“ dodal Policar.
A stejně to vidí i předkladatel návrhu poslanec Tom Philipp. „Bude potřeba kolegům vysvětlit, že nikomu nenarušujeme soukromí. Někteří z toho mají strach, ale není proč – ÚZIS je státní instituce a s daty pracuje běžně. Nevím o tom, že by byl někdy problém s jejich zneužitím nebo vyzrazením,“ uvedl Philipp po skončení druhého čtení novely na svém twitterovém účtu.
ÚOOÚ: Rozsáhlé zpracování osobních údajů zvláštní kategorie, mělo být projednáno
Úřad pro ochranu osobních údajů může poskytovat Parlamentu a vládě vyjádření k návrhu právního předpisu, který upravuje zpracování osobních údajů, vysvětluje v této souvislosti mluvčí ÚOOÚ Tomáš Řepka. „ K tomu je ovšem nezbytný nejen dostatečný časový prostor, ale také to, aby návrh právního předpisu obsahoval zpracované posouzení vlivu na ochranu osobních údajů,“ pokračuje. Tím, že odůvodnění poslaneckého návrhu žádné takové posouzení neobsahuje (minimálně nebylo k návrhu přiloženo), nejen, že se úřad k tomu nemůže věcně vyjádřit, ale zároveň nebyla podle Řepky splněna povinnost takové posouzení zpracovat, jak ukládá GDPR.
„Na povinnost posouzení vlivu na ochranu osobních údajů u návrhů právních předpisů podle čl. 35 odst. 10 GDPR přitom navazuje předchozí konzultace s dozorovým úřadem, tedy ÚOOÚ,“ pokračuje mluvčí. GDPR tady výslovně uvádí, že návrhy legislativních opatření či opatření na nich založených, které má přijmout vnitrostátní parlament a souvisí se zpracováním osobních údajů, musí být s tímto dozorovým úřadem projednány.
„Podle návrhu by se přitom mělo jednat o rozsáhlé zpracování osobních údajů zvláštní kategorie podle článku 9 GDPR,“ konstatuje Tomáš Řepka. „Bez elementárního rozboru problematiky ochrany osobních údajů se ale v tomto případě nemáme k čemu vyjadřovat, ani nemůžeme návrh odpovědně posoudit.“ A proto úřad nemůže vydat k takovému návrhu kladné stanovisko, uzavírá mluvčí.
Helena Sedláčková