Právopedie: Ochrana osobních údajů (11)

Lékař i ostatní zdravotnický personál každý den pracují s osobními a citlivými údaji pacientů a jsou proto povinni s nimi nakládat tak, aby zajistili jejich ochranu před neoprávněným přístupem třetích osob. Mnohdy si však své povinnosti právě ve vztahu k ochraně osobních údajů neuvědomují a spoléhají na to, že v této oblasti vše zajišťuje management zaměstnavatele. Víte jaká jsou nejčastější porušení ochrany osobních údajů v ordinacích?

OSOBNÍ ÚDAJE

Osobní údaje = jakékoliv informace prostřednictvím kterých lze identifikovat konkrétní fyzickou osobu (zpravidla se jedná zejména o jméno, adresu, emailovou adresu, telefonní číslo, rodné číslo, fotografii, IP adresu apod.).

Zvláštní kategorie osobních údajů = informace, které vyžadují ještě vyšší stupeň ochrany než „běžné“ osobní údaje (jedná se o osobní údaje, které vypovídají o rasovém či etnickém původu, politických názorech, náboženském vyznání či filozofickém přesvědčení nebo členství v odborech, a zpracování genetických údajů, biometrických údajů za účelem jedinečné identifikace fyzické osoby a údajů o zdravotním stavu či o sexuálním životě nebo sexuální orientaci fyzické osoby).

(Viz Nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES „GDPR“)

NADBYTEČNÝ SOUHLAS SE ZPRACOVÁNÍM OSOBNÍCH ÚDAJŮ

Často se objevující nesprávný postup poskytovatelů zdravotních služeb v souvislosti s ochranou osobních údajů, je předkládání souhlasu se zpracováním osobních údajů pacientům. Při poskytování zdravotních služeb ho však není třeba, protože právním důvodem pro zpracování je splnění právní povinnosti správce (tj. poskytovatele zdravotních služeb), který je povinen vést zdravotnickou dokumentaci. 

(Souhlas se zpracováním osobních údajů je třeba pouze v situacích, které nesouvisejí s vlastním poskytováním péče, tj. např. při účasti na klinických studiích, výzkumu apod.)

Nadbytečné požadování souhlasu se zpracováním osobních údajů je podle Úřadu pro ochranu osobních údajů vadným postupem, který může být sankcionován, protože dává subjektu osobních údajů falešný pocit, že může svůj souhlas se zpracováním kdykoliv odvolat, což však u zpracování z důvodu splnění právní povinnosti není možné.

(Viz čl. 6 odst. 1 písm. c) GDPR)

PORUŠOVÁNÍ OCHRANY OSOBNÍCH ÚDAJŮ V ORDINACI

1. Velmi často se stává, že pacient, který přijde do ordinace, je usazen ke stolu lékaře, na kterém jsou rozloženy zdravotní karty dalších pacientů, kteří jsou na daný den objednaní. Pacient si tak může naprosto bez problémů přečíst jména těchto pacientů, jejich rodná čísla apod.

Řešení: Karty pacientů mohou být připravovány například do šuplíku, případně do stojanu, který bude otočen tak, aby na něj pacient neviděl. 

2. Obdobného porušení se lékař dopustí také například v případě, kdy vyhledává pacienta elektronicky (např. podle prvních čísel rodného čísla) a pacient má možnost na obrazovku počítače nahlédnout, protože vyhledávač mnohdy vyfiltruje více pacientů, jejichž rodné číslo začíná shodnými čísly a pacient tak má možnost tyto údaje vidět. 

Řešení: V tomto případě stačí pouze umístit obrazovku monitoru tak, aby na ni pacient neviděl a nenechávat obrazovku s příslušným programem otevřenou v případě, kdy je pacient ponechán v ordinaci sám.

3. Dalším porušením ochrany osobních údajů, které se velmi často objevuje, je telefonická komunikace s pacientem za (doslechové) přítomnosti jiného pacienta, kdy například zdravotní sestra komunikuje s pacientem a ověřuje si aktuálnost údajů, tj. „Nováková Jana, narozena 14. 12. 1990? Bydliště stále Ječná 13, Praha?…“.

Řešení: Ideálním řešením výše uvedeného problému je ověření pacienta prostřednictvím jím zvoleného číselného kódu, který bude zapsán ve zdravotnické dokumentaci, jako kód pro komunikaci. Dále je možné zeptat se pouze na to, zda došlo ke změně osobních údajů a případně požádat o nadiktování, které není třeba hlasitě znovu opakovat, přičemž v případě potřeby je možné pro ověření požádat volajícího o zopakování diktovaných údajů.

SANKCE

Výše popsaným jednáním dochází k porušení GDPR, které ukládá správci a zpracovateli povinnost přijmout taková opatření, která zabrání neoprávněným osobám v přístupu k osobním údajům. Za uvedené porušení je možné uložit pokutu až do výše 10 000 000 EUR. Při stanovování výše pokuty je pak rozhodující závažnost porušení, povaha, počet dotčených subjektů, kategorie osobních údajů apod., přičemž poskytovatel zdravotních služeb obvykle zpracovává zvláštní kategorie osobních údajů, na jejichž ochranu jsou stanoveny přísnější požadavky, jak je uvedeno výše.

(Viz čl. 32 a čl. 83 odst. 4 GDPR)