Přísné šifrování dat a pověřenec pro ochranu osobních údajů. GDPR výrazně změní správu osobních údajů ve zdravotnictví

6.10.2017 | Mgr. Vratislav Urbášek | Mgr. Barbora Janebová | Medicínské právo a management

S účinností od 25. května 2018 nastanou v celé Evropské unii změny v ochraně osobních údajů. Začne totiž platit Obecné nařízení o ochraně osobních údajů, známější pod zkratkou anglického názvu General Data Protection Regulation (GDPR). Dotkne se všech správců a zpracovatelů osobních údajů. Řada lékařů a zdravotnických zařízení se domnívá, že se jich GDPR netýká, opak je ale pravdou.

Na lékaře a zdravotnická zařízení GDPR dopadne hned v několika rovinách. Vztahují se na ně všechna ustanovení o zajištění ochrany osobních údajů v obchodních a pracovněprávních vztazích, nadto se na ně vztahují přísná pravidla zpracování tzv. zvláštních kategorií údajů, neboť při poskytování zdravotních služeb dochází ke zpracování údajů o zdravotním stavu pacientů v podobě zdravotnické dokumentace. Pojďme se na některé povinnosti podívat podrobněji.

Informační povinnost

GDPR zavádí obecnou informační povinnost správce (zpracovatele) osobních údajů vůči subjektům. U poskytovatelů zdravotních služeb jsou subjekty zaměstnanci, pacienti, obchodní partneři – fyzické osoby a další.

Všechny tyto osoby musejí být od května 2018 plně informovány o tom, kdo a jak jejich osobní údaje zpracovává, za jakým účelem, na jakém základě, jak dlouho bude mít osobní údaje k dispozici, a o dalších podrobnostech o zpracování osobních údajů. Dojde tak k výraznému rozšíření současné informační povinnosti.

Pověřenec pro ochranu osobních údajů

GDPR ukládá povinnost jmenovat pověřence pro ochranu osobních údajů mimo jiné těm správcům, jejichž hlavní činnost spočívá v rozsáhlém zpracování zvláštních kategorií údajů. Dosavadní výkladová stanoviska mezi tyto správce řadí rovněž nemocnice. Dosud se má za to, že pro samostatné lékaře tato povinnost neplatí. Pověřenec pro ochranu osobních údajů je nezávislý a je přímo podřízen vrcholovým řídícím pracovníkům správce. Mezi jeho úkoly patří poskytování informací a poradenství správcům osobních údajů, monitorování souladu nakládání s osobními údaji s GDPR či spolupráce s Úřadem pro ochranu osobních údajů.

Pověřencem musí být osoba, která má profesní předpoklady pro výkon této funkce, zejména odborné znalosti práva, praxi v oblasti ochrany osobních údajů a rovněž schopnost plnit úkoly. V současnosti není zcela zřejmé, jaké konkrétní profesní předpoklady to mají být, nicméně náležitě kvalifikovaných osob je v České republice nedostatek a trh začíná být nenasycený. Při hledání vhodných kandidátů tak může nastat problém.

Opatření k ochraně osobních údajů

Správce je povinen zavést vhodná technická a organizační opatření, kterými bude zajištěno zpracování osobních údajů v souladu s GDPR. Přijatá opatření musejí být individualizovaná a musejí reflektovat povahu, rozsah, kontext a účely zpracování osobních údajů a rovněž musejí odpovídat rizikům, která ze zpracování vyplývají pro práva a svobody fyzických osob.

Opatření k ochraně osobních údajů je možné rozdělit do několika skupin, a to opatření, která se týkají samotného nastavení pravidel zpracování, opatření za účelem zajištění ochrany osobních údajů ve fyzické (papírové) podobě, opatření za účelem zajištění ochrany osobních údajů v elektronické podobě a další.

Zpracovávají-li se osobní údaje, má správce povinnost přijmout taková opatření, kterými zajistí naplnění základních zásad jejich zpracování: minimalizaci zpracovávaných údajů, pseudonymizaci a šifrování osobních údajů, pravidelné testování účinnosti zavedených technických a organizačních opatření a mnohé jiné.

Vhodná opatření ke zpracování osobních údajů podle GDPR

pseudonymizace
šifrování osobních údajů
zajištění neustálé důvěrnosti, integrity, dostupnosti a odolnosti systémů a služeb zpracování
schopnost obnovit dostupnost osobních údajů a včasný přístup k nim
proces pravidelného testování

Zmíněná technická a organizační opatření představují zbývající skupiny opatření, kterými se zabezpečí osobní údaje v papírové i elektronické podobě. Může se jednat o vnitřní pravidla, jak správně nakládat se zdravotnickou dokumentací, kdo bude mít přístup ke zdravotnické dokumentaci a do archivu zdravotnické dokumentace, a dále přístupová oprávnění do HR informačního systému a nemocničního informačního systému a dalších.

S tím úzce souvisí zvýšené nároky na IT zabezpečení, proto právní řešení musí být propojeno s řešením softwarovým. Je nezbytné provést důkladnou analýzu softwarového vybavení a ochrany osobních dat a následné nastavení systémů.

Nejvyšší čas na přípravy

I když se zdá, že do účinnosti GDPR zbývá ještě relativně mnoho času, není tomu tak. GDPR totiž neobsahuje žádné přechodné období pro přizpůsobení. Adaptace na GDPR je časově poměrně náročná a vyžaduje detailní analýzu současného stavu zpracování osobních údajů u konkrétního správce, resp. zpracovatele osobních údajů. GDPR v sobě pak zahrnuje tři oblasti, a to právní (tj. nastavení vnitřních procesů zpracování osobních údajů), rovinu IT (tj. nastavení zabezpečení ochrany osobních údajů v elektronické podobě) a oblast procesů (nastavení interních provozních pravidel).

Je tedy vhodné provést přípravy pro všechny tři aspekty GDPR současně. Většina právních poradců a IT firem úzce spolupracuje, čímž je zajištěna kompatibilita zpracování a ochrany osobních údajů. Nadto je takové přizpůsobení rychlejší, ekonomičtější, efektivnější a na správce nečekají nepříjemná překvapení v podobě informačního systému, který neumí zpracovat požadavky právního a provozního auditu.

Jakkoli to vypadá složitě, situace není fatální ani nepřekonatelná, stačí jen s přípravami na GDPR začít už teď.

Klíčová slova: