Nemocnicím zbývá 8 měsíců, aby začaly pečlivěji chránit osobní údaje

Až 20 milionů eur, nebo 4 % svého ročního obratu budou muset zaplatit instituce, které nevyhoví novému nařízení Evropské unie. Jde o ochranu osobních údajů, mezi které patří třeba i rentgenové snímky pacientů, nebo portrétní fotografie zaměstnanců. Nová regulace začne účinkovat 25. května roku 2018 a bude automaticky závazná pro všechny členské státy EU.

Evropská unie doposud řešila ochranu osobních údajů směrnicí 95/46/ES, kterou různé země implementovaly odlišně. Například v České republice máme zákon č. 101/2000 Sb., poměrně brzy však nastane změna. 25. května příštího roku nabude účinnosti nařízení 2016/679 (General Data Protection Regulation, zkráceně GDPR), vydané Evropským parlamentem a Radou národních ministrů, kde najdeme několik novinek a které musíme dodržovat.

„GDPR se nevyhnutelně dotkne každého, kdo shromažďuje nebo zpracovává osobní údaje obyvatel evropských zemí,“ řekla včera na brněnské Konferenci personalistů právnička Eva Janečková. Zároveň uklidňovala: „Není to žádná revoluce. Většinu povinností byste už měli znát a splňovat podle stávající právní úpravy.“

Novinky, účinné od 25. května 2018

Nová regulace podle svých obhájců reaguje na rychlý technický vývoj a obavy občanů. Například upřesňuje definici osobních údajů, mezi které počítejme třeba taky:

  • rentgenové snímky
  • fotografie zaměstnanců označené občanskými jmény a zveřejněné na sociální síti Facebook.com (tam můžeme bezproblémově publikovat “dokumentární” nebo ilustrační snímky, kupříkladu z vánočního večírku, pokud nejsou účastníci označeni)
  • IP adresy (identifikátory síťového rozhraní v počítačové síti)
  • cookies (záznamy o vaší návštěvě na konkrétním webu) apod.

Jmenujme hlavní změny:

  • Občan, tedy pacient nebo zaměstnanec rozhoduje, zdali budou jeho údaje shromažďovány a případně v jakém rozsahu, což může kdykoli odvolat! Souhlas proto nevyžadujme tam, kde není potřeba – například když děláme nutnou personální agendu. Jinak může vzniknout prekérní situace: Zaměstnanec odvolá souhlas se zpracováním svých osobních údajů, které však potřebujeme kvůli jiným zákonům.
  • Už nyní platí řada zásad, osobní data můžeme například zpracovávat jenom za legitimním účelem. Navíc však přibude princip odpovědnosti: Správce osobních údajů (nemocnice) plně odpovídá za dodržování pravidel a svoji případnou výjimku musí být schopen doložit relevantní analýzou!
  • Nemocnice jmenuje takzvaného pověřence, který bude kontaktní osobou pro veřejnost. Může pověřit interního zaměstnance i externistu. Pověřenec však potřebuje povědomí o právním kontextu, zkušenosti s ochranou osobních údajů a ideálně taky rozumí informačním technologiím. Podle některých právních výkladů nemusí takového člověka najímat samostatně působící lékař, protože neprovádí “rozsáhlé pravidelné  a systematické monitorování subjektů údajů” (článek 37).
  • Nemocnice musí vést takzvané “záznamy o činnostech zpracování” podle článku 30 GDPR. Tam uvede například účely, za jakými osobní data shromažďuje apod.
  • GDPR zavádí nová práva pacientů a zaměstnanců: právo na přenositelnost údajů (například při změně zaměstnavatele), právo vznést námitku proti zpracování svých osobních údajů a právo “nebýt předmětem žádného rozhodnutí založeného výhradně na automatizovaném zpracování”.
  • Případné bezpečnostní incidenty, které znamenají riziko pro práva a svobody pacientů nebo zaměstnanců, nemocnice do 72 hodin nahlásí Úřadu pro ochranu osobních údajů (ÚOOÚ), ve vážných případech taky dotčenému člověku. Například když je tiskárna na veřejně přístupné chodbě a mzdová účetní tam zapomeneme kopii pracovní smlouvy, která specifikuje mzdu konkrétního zaměstnance.

Pokuta 20 milionů euro, nebo 4 % ročního obratu

Za porušení obecného nařízení hrozí pokuta maximálně 20 milionů euro, nebo 4 % celkového ročního obratu (vyšší částka má přednost; poměrně vysoké limity jsou vyměřené údajně proto, aby byly odstrašující i pro globální komerční korporace). Odpovědnost nese nemocnice, ale pokud má dobře sepsanou smlouvu, může požadovat kompenzaci od svého pověřence, který by proto měl být dostatečně pojištěn.

Petr Woff

O tématu GDPR jsme už psali:

Tuzemské pokuty nemohou být výrazně nižší než v západní Evropě Petr Woff – 21.9.2017

I na fotky dětí na školním webu bude kvůli GDPR potřeba povolení rodičů Jiří Reichl –  15.9.2017

Starostové o GDPR: Kvůli novému nařízení často najmou “sdíleného pověřence” Petr Woff – 13.9.2017

Vnitro v tichosti vydalo manuál pro obce k GDPR: Pověřence musí mít všechny obce! Jiří Reichl –  8.9.2017

GDPR změní praxi i v trestní a soudní oblasti Jiří Reichl – 25.8.2017

Vnitro posílá do „meziresortu“ české GDPR. Očekávají se stovky připomínek Jiří Reichl – 24.8.2017

GDPR – pověřenec pro ochranu osobních údajů bude nedostatkové zboží Petr Maličovský – 21.8.2017

Miliardový dopad GDPR na obce a města Jiří Reichl – 4.8.2017

Obce a města musejí shánět odborníky na IT a právo v jednom. Kvůli implementaci… Jiří Reichl – 24.7.2017

Vnitro připravuje manuál pro obce k GDPR, vznikající paniku mírní Jiří Reichl – 19.7.2017

Senátoři vracejí sněmovně zákon o kontrole, argumentují zájmem malých obcí Jiří Reichl – 30.8.2017

Vnitro a ÚOOÚ chtějí snížit hranici pro souhlas se sběrem dat nezletilých na 13… Jiří Reichl – 24.8.2017

Advokáti se připravují na směrnici o ochraně osobních údajů, ČAK je musí zabezpečit – 10.7.2017

Unie posílí ochranu osobních údajů. Ludvík: Bude to stát strašné peníze Petr Woff – 25.5.2017

EET má další problém. Nemohou ho využívat tisíce zrakově postižených Jiří Reichl – 29.3.2017