Rovněž nové evropské nařízení o ochraně osobních údajů GDPR), které bude přímo účinné již od května 2018, považuje zpracování údajů o zdravotním stavu za rizikové. Poskytovatelé zdravotních služeb tak musí plnit řadu povinností, aby ochránili citlivé osobní údaje svých klientů a aby byli v případě sporu či kontroly schopni doložit, že mají zavedený dostatečný systém pro ochranu těchto dat. Pokud by se jim to nepodařilo, vystavují se riziku prohry v případném soudním sporu či uložení sankce Úřadem pro ochranu osobních údajů, přičemž finanční sankce může při závažném selhání, úniku či přímo zneužití dat vyšplhat až na 20 milionů EUR nebo 4 % z celosvětového obratu dané skupiny podniků za předchozí finanční rok, podle toho, která částka bude vyšší.

Důležitosti správné implementace GDPR v této oblasti při zohlednění specifik poskytování zdravotních služeb a příslušné sektorové regulace si je vědomo i Ministerstvo zdravotnictví. To pro snadnější zavedení GDPR vydalo následující dokumenty:

• Metodika implementace GDPR ve zdravotnictví
• Metodika implementace GDPR v ambulantní sféře

Jak Ministerstvo zdravotnictví výstižně uvádí, ani v oblasti zdravotnictví se nelze GDPR vyhnout, lze se na něj pouze připravit. Oba dokumenty přinášejí základní návod, jak v oblasti poskytování zdravotních služeb, ať už obecně, nebo specificky v ambulantní sféře, přistupovat k implementaci jednotlivých povinností vyplývajících z GDPR. Metodiky se tak zabývají zjištění současného rozsahu a procesů pro zpracování osobních údajů, ale i nových povinností rizikové analýzy, vést dokumentaci o činnostech zpracování dat, povinnosti jmenovat pověřence pro ochranu osobních údajů a nutnosti revidovat a případně rozšířit zabezpečení zpracovávaných osobních údajů.

V oblasti bezpečnosti dat metodické materiály odkazují na postupy dle norem ISO řady 27000, které zavádějí systém řízení bezpečnosti informací (Information Security Management System). Ministerstvo rovněž konstatuje, že vhodným nástrojem jak pro zjištění výchozího stavu, tak pro následnou kontrolu zavedených opatření v oblasti ochrany osobních údajů, je audit prováděný podle standardizovaných postupů.

Poskytovatel zdravotních služeb nejčastěji provádí zpracování osobních údajů v těchto oblastech:

1. Poskytování zdravotních služeb

Tato oblast je detailně upravena ve zvláštních zákonech a podzákonných předpisech. Jedná se zejména o zákon č. 372/2011 Sb., o zdravotních službách, který mj. upravuje povinnost vést zdravotnickou dokumentaci, její obsah a omezení přístupu k ní, stejně jako zpracování dat v Národním zdravotnickém informačnímu systému. Jednotlivé vyhlášky pak upravují například konkrétní náležitosti zdravotnické dokumentace včetně lhůt pro jejich uchování dle specializace daného poskytovatele zdravotních služeb (vyhláška č. 98/2012 Sb., o zdravotnické dokumentaci). V obecné rovině je rovněž nutno aplikovat základní pravidla pro poskytování zdravotních služeb dle nového občanského zákoníku.

Ve zdravotnictví zvláštní předpisy pomáhají konkretizovat řadu povinností, které jsou v GDPR formulovány poměrně obecně. Poskytovatel související zpracování osobních a citlivých údajů provádí jako plnění své právní povinnosti, nepotřebuje k němu tedy souhlas dotčené osoby. Zvláštní předpisy rovněž přesně specifikují rozsah údajů, dobu jejich uchování, účely, pro které je možné informace ze zdravotnické dokumentace využít, některé nezbytné bezpečnostní prvky atd.

Na druhou stranu i při zpracování údajů při poskytování zdravotních služeb je nezbytné plnit řadu nových povinností, které GDPR přináší a které sektorová úprava nijak nekonkretizuje. Poskytovatel zdravotních služeb je povinen vést záznamy o zpracování, při přípravě zpracování citlivých dat za dalším účelem nebo výrazně novým způsobem provádět dopadovou analýzu či nastavit proces pro interní eskalace a následné oznamování případů porušení zabezpečení osobních údajů Úřadu pro ochranu osobních údajů a v některých případech i dotčeným osobám.

Střední a větší poskytovatelé zdravotní péče budou rovněž povinni jmenovat pověřence pro ochranu osobních údajů (DPO), a to právě proto, že zpracovávají citlivé osobní údaje ve větším rozsahu. Mezi úkoly pověřence patří především poskytovat poradenství vedení společnosti i jednotlivým zaměstnancům, kteří interně rozhodují o některých aspektech zpracování osobních údajů, monitorovat soulad organizace s pravidly pro zpracování dat, sloužit jako kontaktní bod pro dotčené osoby, jejichž údaje organizace zpracovává, i jako kontaktní bod pro Úřad pro ochranu osobních údajů. Pověřencem pak musí být jmenována osoba, která má dostatečné znalosti práva i praxe zpracování osobních údajů.

2. Zpracování dat zaměstnanců

Pravidla pro zpracování osobních údajů samozřejmě platí nejen pro klienty, pacienty, ale i při zpracování osobních údajů zaměstnanců. Zpracování údajů zaměstnanců obvykle probíhá jak pro splnění právních požadavků (informační povinnost vůči orgánům státu, evidence odpracované doby, mzdové účetnictví, evidence kvalifikace a průběžného vzdělávání zaměstnanců atd.), tak i pro některé další účely stanoveném zaměstnavatelem.

Pokud zaměstnavatel, poskytovatel zdravotnických služeb, určité zpracování dat provádí pro splnění své zákonné povinnosti nebo proto, aby doložil, že některou svoji povinnost plní, nebude takové zpracování a nastavení jeho konkrétních parametrů obvykle v praxi činit větší obtíže.

V případě, že o zpracování dat zaměstnanců rozhodne poskytovatel zdravotních služeb sám, bez bližší úpravy ve zvláštním zákoně, musí rovněž sám rozhodnout, jak bude dané zpracování probíhat, v jakém rozsahu bude data shromažďovat, jak dlouho je uchovávat, na základě jakého právního důvodu, jakým způsobem bude plnit informační povinnost, zda má provést posouzení dopadu zamýšleného zpracování osobních údajů do práv dotčených osob atd. V praxi se typicky bude jednat o ochranu života a zdraví zaměstnanců prostřednictvím kamer, o zajištění právem chráněných zájmů, např. při sledování činnosti zaměstnanců na internetu či při lepší komunikaci s klienty spojené např. se zveřejněním fotografií a kontaktních údajů jednotlivých pracovníků, lékařů, na webových stránkách poskytovatele.

3. Soukromoprávní vztah

Poskytovatel zdravotních služeb může rovněž zpracovávat osobní údaje v situacích, na které se specifická sektorová regulace neuplatní. Typicky se může jednat o zpracování osobních údajů návštěvník knihovny, o ochranu svého majetku prostřednictvím kamerových či jiných sledovacích zařízení monitorujících veřejný prostor, tedy nikoliv zaměstnance, zpracování osobních údajů návštěvníků webových stránek atd. I v těchto případech poskytovatel zdravotních služeb musí plnit obecné povinnosti dle GDPR.

GDPR Audit Tool jako první stupeň auditu

Jde o základní nástroj pro zjištění připravenosti organizace na soulad s GDPR vycházející z metodiky, kterou vydala pracovní skupina GDPR - WP29. O jeho homologaci do českého legislativního prostředí se postarala společnost TAYLLORCOX. Jde o přehledný a srozumitelný auditní nástroj. Struktura otázek, doplňujících vysvětlení i připravených odpovědí splňuje roadmapu implementace. Představuje tak i srozumitelný a objektivní checklist projektu. V 19 otázkách a odpovědích zjistíte, co vás čeká a jak jste připraveni na zajištění souladu s obecným nařízením na ochranu osobních údajů. Nástroj je určen široké veřejnosti, nejenom Pověřencům pro ochranu osobních údajů (DPO). A co je nejdůležitější, tento sebehodnotící Maturity Model je zcela zdarma!