Jisté je jen to, že zdravotnickému sektoru se ochrana osobních údajů nevyhnula a lékaři a další zdravotnický personál musí dodržovat nová pravidla. Česká republika spolu s dalšími osmi zeměmi Evropské unie nestihla přijmout prováděcí předpisy k GDPR, i když na to měly čas od roku 2016, kdy začala běžet legislační lhůta k přípravě. Teď se vše snažíme dohnat v Poslanecké sněmovně, kde je momentálně ve druhém čtení návrh adaptačního zákona. K stabilitě nepřispívá ani různost tuzemských názorů. Někteří tvrdí, že ochrana údajů tady již byla a že GDPR vlastně nepřináší nic nového. Jiní naopak bijí na poplach, protože je to převratná novinka a nesmí se nijak podcenit.
Telefon, email a pošta vs. GDPR
Největší dopad má GDPR na přenos osobních dat časoprostorem. „Zvláštní kategorie osobních údajů“ nahrazující předchozí „citlivé osobní údaje“ se v první řadě týká přenosu mezi lékařem a pacientem. Posílat lékařské zprávy a nálezy elektronickou cestou je možné, pokud o to pacient sám o své vůli požádá, a to nejlépe písemně nebo z dané emailové adresy. Současně musí pacient vzít na vědomí, že zvolená vzájemná komunikace není nijak zabezpečena proti případnému zneužití. Pokud se lékař s pacientem dohodne na komunikaci pomocí registrované pošty s licencí, nepotřebuje dopředu pacientův souhlas. Poslední možností je použití telefonu: komunikovat s pacientem telefonicky lze dále pouze za použití hesla.
Druhý komunikační koridor je mezi poskytovateli zdravotních služeb. Při využití elektronické komunikace je nutná předchozí ochrana. Komunikovat tímto způsobem je možné jen na základě smlouvy s kvalifikovanou společností, která se zaváže, že zajistí bezpečný přenos dat. V konečném důsledku ale nese odpovědnost vůči pacientovi poskytovatel zdravotních služeb. V poštovním styku při zasílání lékařských zpráv není třeba souhlasu pacienta, ale je nutné využít služeb držitele poštovní licence. Pro komunikaci s podřízenými musí mít poskytovatel zdravotních služeb zaměstnancem potvrzené písemné poučení, ve kterém bude uvedena povinnost chránit osobní údaje pacientů, zachovávat mlčenlivost a povinnost nakládat s jakýmikoli údaji o zdravotním stavu pacientů jako s chráněnými osobními údaji.
U zdravotnické dokumentace ke změnám nedochází, protože i nadále zůstává možnost jejího pořizování a vedení bez souhlasu pacienta, a to z důvodu, že tato povinnost vyplývá z předchozích právních předpisů.
Výjimkou může být evidence smlouvy o poskytování dohodnutých služeb, které nejsou hrazeny ze zdravotního pojištění, kde je pacientův souhlas nutný. Obecné nařízení také požaduje zabezpečení zdravotnické dokumentace, ale nijak blíže toto zabezpečení nespecifikuje.
Lékaři se musí připravit na nové vyřizování námitek ze strany pacientů.
Usoudí-li pacient, že informace o něm vedené jsou nepřesné, chybné nebo nepravdivé, může žádat jejich změnu.
Pokud lékař změny neprovede, může se pacient domáhat nápravy u Úřadu na ochranu osobních údajů (ÚOOÚ).
Stejně tak může pacient žádat od lékaře informace, kdo všechno má přístup k jeho údajům. V ordinaci nebo na webových stránkách by také měly být veřejně přístupné informace o zpracování osobních údajů.
Pověřenec
V případě vážné nehody je povinností poskytovatele zdravotních služeb ohlásit tuto skutečnost ÚOOÚ do 72 hodin.
S tímto úkolem mu může pomoci nově zavedená funkce pověřence, kterou ale není nutné zřizovat za každou cenu.
Zatím není jasné, kdo všechno bude muset tuto pozici ustavit. Výjimkou jsou ordinace s jedním lékařem a jednou sestrou, k čemuž se jasně vyjádřila pracovní skupina WP 29. Návrh číslo 9 vyznačuje hranici devíti lékařů, nad kterou budou muset poskytovatelé zřizovat funkci pověřence povinně.
Současně tuto skutečnost budou muset nahlásit ÚOOÚ. V případě, že pověřenec nebude ustaven, tato povinnost odpadá, ale poskytovatel zdravotních služeb to bude muset zdůvodnit ve svém vnitřním předpise. Pověřencem se může stát někdo ze stávajících zaměstnanců nebo třetí osoba. Pověřenec má být nezávislý, podřízený pouze vrcholovému managementu a jeho cílem je hledat u poskytovatele rizika velkého rozsahu a navrhovat adekvátní opatření.
Výše pokut
Přestože hned v prvních hodinách účinnosti GDPR byly v rámci Evropské unie podány žaloby proti společnostem, jako je Facebook nebo Google, Česká republika touto cestou nejde a dle vyjádření Úřadu na ochranu osobních údajů se pokuty nebudou ukládat hned od 25. května, ale až po nabytí účinnosti prováděcího předpisu ke GDPR. Přes jejich možnou výši – až 20 mil euro nebo 4 % z obratu – by pokuty neměly mít likvidační charakter, protože to není jejich cílem. Bude se přihlížet k zásadám správního práva a výše pokut mají být přiměřené a založené na individuálním přístupu.
O autorovi| Mgr. René Šifta, Ústav práva a právní vědy