Pacient by nástup GDPR ve zdravotnictví neměl poznat. Pokud mu někdo bude dávat k podpisu nové papíry o souhlasu se zpracováním osobních údajů, pak GDPR nerozumí,“ řekl náměstek. Většina sběru dat ve zdravotnictví, například zdravotnická dokumentace nebo výkazy pojišťovnám, je totiž vedena ze zákona a souhlas nevyžaduje. „Pacient nemůže přijít s tím, že chce, aby byla zrušena jeho zdravotnická dokumentace,“ dodal. Souhlas je třeba už například se zařazením do výzkumu.
Podle Policara jsou základní pravidla velmi podobná jako u dosud platného zákona o ochraně osobních údajů. Ministerstvo pro ambulance i nemocnice připravilo metodiku. Všichni poskytovatelé zdravotnické péče by si měli udělat inventuru osobních údajů, jak s nimi nakládají, kdo k nim má přístup, jaká jsou technická a organizační opatření pro jejich správa a analyzovat možná rizika. Zaměstnanci by měli být proškolení. Všechno by měl být poskytovatel při kontrole schopen prokázat, u malých ambulancí stačí podle Policara několik jednoduchých dokumentů a tabulek.
Novinkou bude povinnost středních a velkých organizací zřídit post pověřence pro ochranu osobních údajů, který bude poradcem, vnitřním auditorem a styčnou osobou pro úřady. Analýzu nakládání s osobnímu údaji bude nutné obnovit například při pořízení nového informačního systému. V případě možného rizika úniku osobních údajů je nutní informovat Úřad na ochranu osobních údajů (ÚOOÚ) i osoby, jejichž dat se týká.
EU ani ÚOOÚ zatím neupřesnili, jak přesně chápe nová regulace „malou ambulanci“, na kterou se nevztahuje povinnost zřídit post pověřence. Policar uvedl, že prozatím se za malou považuje ambulance s devíti lékaři.
GDPR má za cíl pomoci hájit práva občanů EU proti zneužívání jejich dat. Týkat se bude veřejných institucí, firem i osob samostatně výdělečně činných, které evidují své zaměstnance, členy, zákazníky nebo příznivce. Zavádí právo na výmaz či přenos poskytnutých údajů i kontrolu jejich využití. Instituce budou muset přijmout opatření kvůli zabezpečení osobních údajů.