3 roky GDPR pravidel v českých ordinacích, jak to funguje v praxi?
Autor: MUDr. Moderní Lékař
WEBOVÁ ORDINACE LÉKAŘE je Vám k dispozici 24 hodin denně 7 dní v týdnu. Ve vzájemné spolupráci s více než 4300 lékaři po celé České republice pro Vás…
V České republice, stejně jako v ostatních členských státech Evropské unie (dále jen „EU“) vstoupilo jednotně dne 25.5.2018 v platnost nařízení Evropského parlamentu a Rady EU 2016/679 ze dne 27.4.2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů) (dále jen „nařízení Evropského parlamentu a Rady EU 2016/679“). Obecné nařízení na ochranu osobních údajů neboli GDPR (General Data Protection Regulation) „představuje právní rámec ochrany osobních údajů na celém území EU, který hájí práva jejích občanů proti neoprávněnému zacházení s jejich daty a s osobními údaji. GDPR přebírá všechny dosavadní zásady ochrany a zpracování údajů, na nichž unijní systémy ochrany osobních údajů stojí, a potvrzuje, že ochrana cestuje přes hranice současně s osobními údaji“[1].
V České republice toto nařízení nahradilo právní úpravu ochrany osobních údajů v podobě směrnice 95/46/ES a související zákon č. 101/2000 Sb., o ochraně osobních údajů. Regulátorem v oblasti ochrany osobních údajů byl a nadále zůstává Úřadpro ochranu osobních údajů, kterému po vstupu platnosti nařízení EU 2016/679 přibyly pravomoci, ale současně se stává i podřízen Evropskému sboru pro ochranu osobních údajů[2]. GDPR se týká každého, kdo shromažďuje nebo zpracovává osobní údaje. Týká se firem, institucí, ale i jednotlivců, kteří s osobními daty zaměstnanců, zákazníků, klientů, pacientů či dodavatelů ze zemí EU zacházejí. GDPR se vztahuje také na ochranu digitálních práv občanů EU, proto se týká také e-shopů, bankovních institucí, veřejné správy či zdravotnictví. Tyto všechny subjekty musí upravit způsob zpracovávání osobních údajů[3].
Nařízení Evropského parlamentu a Rady EU 2016/679 v bodě 35 v oblasti poskytování zdravotních služeb stanoví, že mezi osobní údaje by měly být zahrnuty veškeré údaje související se zdravotním stavem, vypovídající o minulém, současném, a i budoucím tělesném nebo duševním zdraví. Dále veškeré informace o dané fyzické osobě shromážděné v průběhu registrace pro účely zdravotní péče a jejího poskytování dané fyzické osobě. Osobním údajem je ale také číslo, symbol nebo specifický údaj přiřazený fyzické osobě za účelem její identifikace pro zdravotnické účely, informace získané během provádění testů nebo vyšetřování části těla nebo tělesných látek, včetně údajů z genetických a biologických vzorků, jakékoliv informace o nemoci, postižení, riziku onemocnění, anamnéze, léčbě bez ohledu na to, zda pocházejí od lékaře nebo jiného zdravotníka[4]. Dle bodu 53 Nařízení Evropského parlamentu a Rady EU 2016/679 všechny tyto údaje zasluhují vyšší stupeň ochrany.
Ministerstvo zdravotnictví (dále jen „ministerstvo“) a Ústav zdravotnických informací a statistiky ČR (dále jen „ÚZIS“) zpracovaly dva metodické materiály v oblasti GDPR určené pro resort zdravotnictví s cílem orientovat se v problematice GDPR při poskytování zdravotních služeb. Prvním z nich je dokument Jak implementovat NAŘÍZENÍ EVROPSKÉHO PARLAMENTU A RADY (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů) do resortu zdravotnictví, z 30.11.2017, který je určen zejména pro přímo zřízené organizace ministerstva a ÚZIS, tedy velké nemocnice a větší organizační celky. V menší míře pak pro menší poskytovatele zdravotních služeb, tj. pro menší organizačné celky a ambulantní sféru[5]. Druhý dokument Jak implementovat v ambulantní sféře NAŘÍZENÍ EVROPSKÉHO PARLAMENTU A RADY (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů) do resortu zdravotnictví (na co si dát pozor v ambulantní sféře), z 31.3.2018, je určený zejména pro poskytovatele ambulantních zdravotních služeb s popisem základních problémů v praxi[6]. V oblasti implementace GDPR do praxe jsou svým členům nápomocny také Česká lékařská komora a Česká stomatologická komora.
Za porušení pravidel GDPR mohou být uloženy vysoké pokuty, a proto bylo a je v zájmu ambulantních poskytovatelů zdravotních služeb, pravidla dodržovat. Samotná implementace nařízení Evropského parlamentu a Rady EU 2016/679 v roce 2018 přinesla ordinacím navýšení administrativní zátěže spojené nejen s vlastním nastudováním pravidel, ale i s přípravou kroků směřujících k naplnění pravidel. Materiál ministerstva a ÚZIS o implementaci nařízení v ambulantní sféře nastiňuje několik kroků směřujících k zavedení GDPR do praxe ordinace, které lze zvládnout vlastními silami (lékař – sestra) a ve spolupráci s externími dodavateli, např. IT techniky.
Ordinace by měla mít zpracovaný seznam osobních údajů pacienta (jejich účel a rozsah). Zpravidla se jedná o jméno, identifikační číslo, bydliště, telefon, e-mail. Zpracování údajů o rasovém, etnickém původu, náboženském vyznání, zpracování genetických údajů, biometrických údajů, údajů o sexuálním životě nebo sexuální orientaci či údaje o zdravotním stavu je možné zpracovávat za účelem preventivního lékařství, diagnostiky, poskytování zdravotní či sociální péče a ochrany veřejného zdraví i přesto, že GDPR zpracování těchto údajů zakazuje[7]. Dále by ordinace měla mít zpracovaný seznam operací vedoucích ke zpracování osobních údajů (sběr, umístění, předání dat, zpřístupnění dat jiným příjemcům, zpracování dat o pacientovi). Oba tyto seznamy mohou sloužit k prokázání souladu s GDPR v rámci kontroly.
Přístup k osobním údajům pacienta mohou mít pouze pověřené osoby, které jsou jasně vyjmenované. Opatření zahrnuje také zamykání ordinace, kartotéky, uložení klíčů, odhlášení z počítače při nečinnosti, zabezpečení přihlašovacích hesel, zamezení sledovat monitor počítače nepovolanými osobami. Osoby, které nakládají s osobními daty pacienta musí být proškoleny (musí vědět co dělat mají a co nesmí). Mlčenlivost je jednou ze zásadních povinností zdravotnických pracovníků. Ordinace jsou v dnešní době napojeny na IT techniku. Proto musí mít s poskytovateli těchto služeb sepsány smlouvy či doplňky smluv tak, aby byly vymezeny povinnosti dodavatelů v zabezpečení IT systémů, ochrana při zpracování osobních údajů a ochranu přístupů. Česká lékařská komora nabízí na svých webových stránkách vzorové dokumenty[8].
Důležitým a nezbytným dokumentem v ordinaci jsou srozumitelné informace pro pacienty o tom, že ordinace shromažďuje a zpracovává jejich osobní údaje na základě zákona[9]. Pacienti má právo na opravu osobních údajů a na jejich výmaz, včetně práva na podání stížnosti u dozorového úřadu[10]. Neméně důležitým a dozorovým úřadem kontrolovaným dokumentem je informovaný souhlas pacientů, který se však netýká poskytování zdravotních služeb podle zákona, ale aktivit a zpracování dat, které nesouvisí s vlastním poskytování služeb, např. sdělování informací o pacientovi jiné osobě na základě hesla, zasílání informací prostřednictvím e-mailové pošty, zapojení pacienta do výzkumu či klinických studií. Pravidelná kontrola (alespoň 1x ročně) dodržování těchto pravidel, aktualizace dat, zaškolování nových pracovníků a školení v rámci změn dodavatelů či legislativy je posledním krokem směřujícím k naplňování GDPR opatření.
[1] Úřad pro ochranu osobních údajů. [cit. 2021-08-16] Dostupné z: Obecné nařízení o ochraně osobních údajů (GDPR): Úřad pro ochranu osobních údajů (uoou.cz)
[2] GDPR. [cit. 2021-08-16] Dostupné z: Co je GDPR a jak bude aplikováno v Česku | GDPR.cz
[3] GDPR. [cit. 2021-08-16] Dostupné z: Co je GDPR a jak bude aplikováno v Česku | GDPR.cz
[4] nařízení Evropského parlamentu a Rady EU 2016/679 ze dne 27.4.2016
[5] Jak implementovat NAŘÍZENÍ EVROPSKÉHO PARLAMENTU A RADY (EU) 2016/679 ze dne 27. dubna 2016 [cit. 2021-08-16] Dostupné z: https://www.uzis.cz/res/file/gdpr/jak-implementovat-gdpr-ve-zdravotnictvi.pdf
[6] Jak implementovat v ambulantní sféře NAŘÍZENÍ EVROPSKÉHO PARLAMENTU A RADY (EU) 2016/679 ze dne 27. dubna 2016 [cit. 2021-08-16] Dostupné z: Jak implementovat v ambulantní sféře GDPR (uzis.cz)
[7] Jak implementovat v ambulantní sféře NAŘÍZENÍ EVROPSKÉHO PARLAMENTU A RADY (EU) 2016/679 ze dne 27. dubna 2016. [cit. 2021-08-16] Dostupné z: Jak implementovat v ambulantní sféře GDPR (uzis.cz)
[8] Česká lékařská komora. [cit. 2021-08-16] Dostupné z: ČLK > / Pro lékaře / GDPR / Implementace nařízení (EU) 2016/679 v běžné lékařské ordinaci - vzory dokumentů (lkcr.cz)
[9] Jak implementovat v ambulantní sféře NAŘÍZENÍ EVROPSKÉHO PARLAMENTU A RADY (EU) 2016/679 ze dne 27. dubna 2016. [cit. 2021-08-16] Dostupné z: Jak implementovat v ambulantní sféře GDPR (uzis.cz)
[10] Úřad pro ochranu osobních údajů