Už jen pár týdnů, a (nejen) poskytovatelé zdravotní péče budou mít nové povinnosti. Od 25. května se totiž po dvouleté přechodné době budou muset začít řídit evropským nařízením GDPR. Novinku ovšem doprovázejí nemalé obavy zdravotnických zařízení, která mnoha případech stále tápají, co se po nich v rámci plnění nařízení vlastně chce. Česká lékařská komora proto uspořádala seminář, kde lékařům problematiku osvětlila vedoucí oddělení Úřadu pro ochranu osobních údajů Soňa Matochová. Rady, jak postupovat, nyní přináší také Zdravotnický deník.
Ačkoliv účinnost unijního nařízení už je za dveřmi, na nový český zákon o zpracování osobních údajů si budeme ještě muset chvilku počkat. Ve sněmovně se totiž nepovedlo schválit zrychlené čtení, takže se k úpravě vrátí zřejmě až v červenci. Liknavost státu ve věci GDPR ovšem nepotěšilo Českou lékařskou komoru. „Stát selhal. Je chybou, že nemáme implementační zákon GDPR, ale trestuhodná chyba je to, že neexistuje žádná slušná, srozumitelná informační kampaň a všichni jsme ponecháni na milost a nemilost nejrůznějším šmejdům, kteří nám za drahé peníze nabízí proškolení, zkontrolování, vystavení neexistujících certifikátů a podobně,“ zlobí se prezident ČLK Milan Kubek.
Přinejmenším co se týče absence zákona, ale Soňa Matochová z ÚOOÚ uklidňuje. „Některé věci, které musí dělat vnitrostátní právo a v tu chvíli je neudělá, nebudou vynutitelné a nebude je možné prosazovat. Bude to tedy znamenat v některých ohledech volnější režim. V žádném případě to nebude k újmě povinných subjektů,“ vysvětluje Soňa Matochová, podle níž se nyní mají subjekty řídit přímo evropským nařízením. To je také dle jejích slov snazší, než využívat metodiky ministerstva zdravotnictví či vnitra, které se někdy mohou zdát dost komplikované (na webu MZ je ovšem srozumitelný manuál pro ordinace). Stejně jako zástupci ministerstva zdravotnictví každopádně Soňa Matochová potvrzuje, že kdo dosud dodržoval zákon 101/2000 o ochraně osobních údajů, ten nebude mít s nařízení GDPR zásadní problém. „Zjišťujeme ale, že zákon nebyl vždy v praxi aplikován,“ konstatuje Matochová.
Přesný a konkrétní návod, jak vlastně mají subjekty postupovat, ovšem k dispozici není. „Budou se hledat přístupy, které i eticky odpovídají dané profesi, což je u lékařů obzvláště podstatná složka. Konkrétní řešení tak může být jiné na chirurgii a jiné u praktika, protože potřeba ochrany nebude zcela stejná,“ přibližuje Matochová.
Každá oblast si přitom musí obecné principy GDPR napasovat na vlastní pravidla. „Konkretizaci a specifika na daném pracovišti si musí každý udělat. Náklady a povinnosti z obecného nařízení se velmi liší. U malých subjektů je to několik stránek papíru, kde bude zpracováno, jaké mají osobní údaje a jak s nimi zacházejí. Oproti tomu u velkých zdravotnických zařízení, kde je klinický výzkum a tak dále, to může znamenat obrovské náklady a situace je mnohem složitější,“ vysvětluje Soňa Matochová.
Základní principy GDPR
Při shromažďování osobních údajů bude každopádně nutné ptát se na okruh základních otázek. Ty směřují na to, zda je shromažďování korektní, tedy dle pravidel, a zákonné, kdy je důvod shromažďování dán alespoň jedním právním titulem. Ty jsou stanoveny článkem 6 nařízení a zahrnují právní povinnost (platí i u poskytování péče), životně důležité zájmy subjektu údajů, oprávněné zájmy subjektu údajů, veřejnou povinnost (výklad bude následovat po přijetí zákona), smlouvu či souhlas.
Další otázka, na kterou je třeba se ptát, míří na transparentnost, tedy aby všechny informace byly jasné, stručné a přehledné. Údaje je navíc možno shromažďovat jen tehdy, když je k tomu konkrétní účel, a zahrnuto je jen nezbytné množství údajů nutných pro výkon dané činnosti (tedy například poskytování péče). „Žádné „pro jistotu“ a „nad rámec“. Osobní údaje shromážděné nad rámec pravidel nemají co být shromažďovány a je na místě je zlikvidovat,“ zdůrazňuje Matochová.
Údaje by také měly být přesné a aktuální a zároveň by už v době jejich shromažďování mělo být jasně dáno omezení uložení. Data jsou tak uchovávána jen po dobu danou právními předpisy, nebo z logiky věci – například údaje potřebné k případnému soudnímu řízení se budou uchovávat do lhůty promlčení. Podmínkou pro shromažďování údajů je také integrita a důvěrnost, což znamená technická a organizační opatření (zabezpečující počítačové programy a interní předpisy bránící v přístupu k informacím těm, kdo s nimi nemohou pracovat).
„Začíná se od nejjednodušších věcí – tedy podívat se na to, kde mám uloženy zdravotní karty. Je to skříň, zásuvka? Je k ní klíč zajišťující přiměřené zabezpečení? Kdo k němu má přístup? Kdo má přístup do ordinace, když odejdu?“ přibližuje princip Matochová. „Rozhodně není možné, aby zdravotnické karty byly v nezajištěné místnosti, aby se běžně na pracovním stole povalovaly osobní údaje někoho jiného nebo aby vám někdo šel do počítače, když si zrovna odskočíte, a tam si údaje zjistil,“ dodává.
Nově je pak pojata také odpovědnost. „Nyní je to jen na subjektu údajů, který je úplně a samostatně odpovědný za to, aby si udělal všechna opatření,“ doplňuje Matochová.
Neoficiální hranice pro pověřence: devět plných lékařských úvazků
Jak by to tedy mělo vypadat v praxi? Každé zařízení by si mělo provést mapování a inventuru (proč, v jakém rozsahu a kde osobní údaje uchovávám, do budoucna pak při každém novém opatření provést rozvahu), určit, na jakém právním základě budu postupovat (v případě zdravotnických zařízení často právní povinnost), zjistit, jaké povinnosti se na prováděné zpracování vztahují, stanovit uchovávací lhůty, vypracovat přehled opatření, jak věci plnit a dokumentovat (často formou vnitřních předpisů) a případně si pořídit pověřence, což je pro české prostředí další novinka (už jsme informovali např. zde či zde). Tuto profesi, ve většině okolních států již známou, by měl vykonávat odborník se vzděláním z oblasti práva či IT (druhou odbornost si doplní, rozhodně by ovšem měl znát zdravotnickou legislativu).
„Žádná oficiálně stanovená certifikace není, a pokud se nabízí, je to naprosto neoficiální. Časem ale i v České republice může být certifikace požadavek,“ uvádí Matochová s tím, že problematiku upravuje článek 37 až 39 nařízení. Každopádně však nesmí jít o osobu, která je ve střetu zájmů, tedy třeba vedoucí IT oddělení, interní auditor nebo vedoucí personalista. Zároveň je třeba dát si pozor na důvěryhodnost osoby, protože přijde do styku s veškerými osobními údaji na pracovišti. Už přímo v nařízení je proto stanovena mlčenlivost, která se promítne do pracovní smlouvy. Náročnost práce pověřence přitom může být různá – od nenáročných požadavků u malého zařízení až po velmi fundovaná rozhodnutí ve velkých nemocnicích. Podle toho je pak také dán úvazek, na který má pověřenec pracovat.
A kdo všechno pověřence musí mít? Pořizovat si ho nemusí malé ordinace, nemocnice se mu ale nevyhnou. „Zcela neoficiálně se objevil názor, že by bylo vhodné pověřence zvažovat podle počtu lékařských úvazků s tím, že pokud by bylo více než devět plných úvazků, bylo by doporučeno ho mít,“ radí Jan Mach, ředitel právní kanceláře ČLK. V hraničních případech by si zařízení, pokud se rozhodne pověřence nepořizovat, mělo napsat na papír odůvodnění takového rozhodnutí. To v případě problémů bude důkazem, že se tím odpovědně zabývalo.
ÚOOÚ nechystá vysoké sankce
V některých případech se ovšem zařízením naskytne i jiná možnost, než dodržovat všechna opatření potřebná k ochraně osobních údajů. Existuje totiž možnost využít dvou institutů, které subjekty odbřemeňují. První z nich je pseudonymizace, kde jsou jména u zdravotních údajů převedena na čísla. Pokud se tak třeba do počítačového systému dostane hacker a nemá k dispozici klíč, který by měl být bedlivě uschovaný, pak odpadá povinnost hlásit bezpečností incident na ÚOOÚ. Druhá cesta je anonymizace, kde už jméno a osobní údaje vůbec nefigurují. Právě tento přístup využívají statistická pracoviště.
Dobrou zprávou pro poskytovatele péče je také to, že ÚOOÚ nechystá masové kontrolní akce ani drakonické sankce. Kontroly implementace nařízení budou dle Matochové úměrné významu a velikosti daného zařízení. Na tomto místě také Matochová vyvrací fámu, že by kontrolu implementace měly provádět i úřady práce.
Michaela Koubová
