GDPR – pohroma pro vaši ordinaci či lékárnu, nebo nafouknutá bublina?

7 minut čtení 4. 12. 2017 Mgr. Martin Dymáček, LL.M., JUDr. Alena Šildová, Vyšlo v titulu Medical Tribune

Jak jste již možná zaznamenali, dne 24. dubna 2016 vstoupilo v platnost nařízení Evropského parlamentu a Rady č. 2016/679 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů, známé rovněž pod zkratkou GDPR (z angl. General Data Protection Regulation). Do 25. května 2018, kdy GDPR nabude účinnosti, sice na první pohled zbývá ještě poměrně dost času, nicméně po přečtení tohoto článku patrně sami dospějete k závěru, že i takto vzdálený termín pro přípravu na GDPR může být za určitých podmínek šibeniční.

V souvislosti s GDPR se nejen v tisku objevily mnohé někdy až poplašné zprávy, které se již stihly rozšířit v povědomí veřejnosti coby „obecné pravdy“ prokazující nesmyslnost této unijní regulace. Cílem tohoto úvodního článku na dané téma je tedy zejména upozornit vás na „polopravdy“, s nimiž se ve své praxi setkáváme nejčastěji, uvést je na pravou míru a pokusit se popsat důsledky pro vaši lékařskou či lékárenskou praxi.

Mýtus první – k GDPR zatím nejsou přijaty české předpisy, možná tedy ani nezačne platit

GDPR má z hlediska formálního podobu nařízení Evropského parlamentu a Rady, jedná se tedy o přímo použitelný předpis Evropské unie, který ke své aplikaci nevyžaduje jakýkoli prováděcí český zákon.

Pro platnost nebo účinnost nové regulace tedy není třeba vydání jakéhokoli dalšího předpisu, ať už českého, či unijního. Je pravdou, že v současné době prochází legislativním procesem návrh prováděcího zákona k GDPR. Ten však bude upravovat pouze jednotlivosti na základě ustanovení GDPR, která výslovně připouštějí (nicméně nevyžadují), aby si jednotlivé členské státy určité záležitosti upravily odlišně. GDPR bude jednoduše platit i bez ohledu na takový případný zákon.

Mýtus druhý – GDPR přináší ohromné množství zcela nových povinností

Jak již bylo řečeno, GDPR historicky navazuje na předchozí právní úpravu a do značné míry z ní i obsahově vychází. Plníte‑li tedy ve své ordinaci či lékárně již dnes řádně veškeré své povinnosti vyplývající ze zákona č. 101/2000 Sb., o ochraně osobních údajů (který má svůj základ ve více než 25 let staré evropské směrnici), nebude pro vás přizpůsobení se GDPR představovat zásadní problém.

V praxi však bohužel není povědomí široké veřejnosti o povinnostech vyplývajících z uvedeného zákona příliš velké a poměrně často je zákon z velké části jednoduše ignorován. Za takové situace může samozřejmě příprava na vstup GDPR v účinnost představovat poměrně náročný proces po všech stránkách, včetně té časové. Taková příprava bude vyžadovat minimálně

provedení analýzy stávajícího rozsahu a způsobů zpracování osobních údajů na daném pracovišti,

posouzení rizik z toho vyplývajících,

přípravu interních předpisů zaměstnavatele,

prověření technického zabezpečení používaného hardwaru a softwaru.

Do 25. května 2018 byste měli stihnout nejen zanalyzovat existující stav, ale také vymyslet či nechat si navrhnout možná řešení (v případě, že zjistíte nedostatky a nesoulad s nově vyžadovanými povinnostmi) a ta uvést do praxe. To samozřejmě nelze zajistit ze dne na den.

Pokud tedy chcete věc řešit, doporučovali bychom zjistit si alespoň základní informace o stavu zpracování osobních údajů a možných dopadech GDPR pro vaši praxi co nejdříve. Když začnete o Velikonocích, nemusíte vše stihnout včas. Neznamenalo by to samozřejmě konec světa, ale pokud jste se nerozhodli celou problematiku vyloženě bojkotovat, není opravdu namístě přípravu odkládat.

Mýtus třetí – v případě nejasností je vždy lepší vyžádat si souhlas

Stávající zákon o ochraně osobních údajů i GDPR obecně vyžadují, aby se jakékoli zpracování osobních údajů opíralo o platný právní důvod neboli titul. Jedním z těchto titulů je i souhlas se zpracováním osobních údajů, s nímž se lze setkat zcela běžně na nejrůznějších formulářích, v mobilních aplikacích, ve smlouvách apod.

Podle obou uvedených právních předpisů platí, že souhlas se zpracováním osobních údajů je tím posledním titulem, tedy měl by být použit teprve až v případě, kdy není dán žádný jiný důvod pro zpracování osobních údajů.

Takovým jiným důvodem může být jednoduše to, že s někým máte uzavřenou smlouvu (např. pracovní smlouvu, smlouvu o spolupráci, smlouvu o poskytnutí zdravotních služeb s pacientem apod.). Pokud je uzavřena smlouva, pak v rozsahu, ve kterém jsou osobní údaje nutné pro její splnění, další souhlas se zpracováním osobních údajů již vyžadovat nemáte. Zaměstnanci vyplácíte mzdu na jeho účet bez dalšího souhlasu, zdravotnickou dokumentaci pacienta vedete (včetně citlivých údajů o jeho zdravotním stavu) bez dalšího souhlasu apod. Obdobně pokud osobní údaj musíte mít a zacházet s ním za účelem splnění zákonné povinnosti, souhlas se zpracováním osobních údajů netřeba (typicky např. rodné číslo pacienta pro účely vypořádání nároků z veřejného zdravotního pojištění).

Pokud tedy dnes osobní údaje řešíte tak, že si automaticky opatřujete souhlas „na všechno“, je to špatně (pozor, neplést si s tzv. informovaným souhlasem o poskytovaných zdravotních službách, ten si samozřejmě až na zákonné výjimky opatřit musíte, ať už konkludentně, nebo ve vymezených případech písemně). Je dobré mít na paměti, že rozhodovací praxe Úřadu pro ochranu osobních údajů považuje nadbytečné vyžadování souhlasu se zpracováním osobních údajů za postup odporující zákonu. Subjekt údajů je při takovém postupu uváděn v omyl stran možnosti daný souhlas odvolat, kterou ve skutečnosti vůbec nemá. Zdravotnickou dokumentaci o pacientovi samozřejmě nemůžete jednoduše zlikvidovat jen proto, že si to pacient přeje.

Z uvedených důvodů doporučujeme v rámci příprav na GDPR provést rovněž revizi užívaných smluvních vzorů, formulářů a jiných dokumentů, které jsou často v oběhu beze změny již spoustu let a stávající legislativě zdaleka ne vždy vyhovují.

Mýtus čtvrtý – databázi pacientů nikomu dál neprodávám, předávání osobních údajů se mě tedy netýká

Jednou z oblastí, které je podle stávajícího zákona o ochraně osobních údajů i GDPR nutné řešit, je předávání osobních údajů třetím subjektům.

U našich klientů se často setkáváme s optimistickou představou, že pokud s jimi vedenými databázemi osobních údajů třetích osob (zaměstnanců, pacientů, klientů apod.) cíleně neobchodují nebo je nepředávají třetí osobě jako celek, příslušné povinnosti se na ně nevztahují.

V této souvislosti je nutno uvést, že k předávání osobních údajů dochází zcela běžně již jen prostým zasíláním údajů o zaměstnancích externí účetní za účelem zpracování mezd. Platíte zaměstnancům penzijní připojištění? Posíláte je na školení k externí agentuře? Mají přístup k údajům o vašich zaměstnancích externí dodavatelé IT služeb? Pak jde o předávání osobních údajů jinému zpracovateli. Takové předání osobních údajů musí být již dnes upraveno písemnou smlouvou se stanovenými náležitostmi, které GDPR navíc podstatně rozšiřuje.

V rámci přípravy na GDPR tedy dále doporučujeme provést rovněž revizi smluvních vztahů s externími dodavateli (tj. všemi subjekty, které nejsou zaměstnanci příslušného správce osobních údajů) a včas případně zahájit jednání o jejich aktualizaci.

Mýtus pátý – počínaje 25. květnem 2017 budou za porušení GDPR ukládány likvidační pokuty

GDPR umožňuje za porušení povinností v něm stanovených uložit osobě odpovědné za zpracování osobních údajů pokutu až do výše 20 milionů EUR nebo do čtyř procent ročního obratu za celou skupinu podniků celosvětově podle toho, která z uvedených částek je vyšší.

Předně je nutné uvést, že uvedené hranice jsou horními hranicemi možných pokut. Dle ustálené judikatury Ústavního soudu České republiky platí, že při ukládání jakékoli sankce musí být vždy přihlédnuto k okolnostem konkrétního případu, zejména závažnosti porušení, majetkovým poměrům pokutovaného, jeho snaze o zajištění nápravy apod. Ukládané sankce smějí být pro dotyčného citelné, ovšem nikoli likvidační.

Dosud je v zákoně o ochraně osobních údajů stanovena jako maximální hranice pro uložení pokuty částka 10 milionů Kč, která však zatím nikdy nebyla plně využita ani v případě těch nejflagrantnějších porušení zákona ze strany velkých podnikatelů. V současné době tedy nemáme důvod domnívat se, že by Úřad pro ochranu osobních údajů nějak zásadně změnil svou dosavadní praxi a začal ze dne na den ignorovat skutečnost, že částka 20 milionů EUR, tj. více než půl miliardy Kč, je pro drtivou většinu případných hříšníků zcela mimo jakoukoli realitu.

Jak je vidět jen z letmého nastínění obsahu GDPR, může být proces přípravy na jeho vstup v účinnost poměrně náročný, a to zejména pokud budete začínat zcela od nuly.

Na druhou stranu, pokud nyní nedodržujete povinnosti podle zákona o ochraně osobních údajů, pácháte tím s největší pravděpodobností již dnes přestupek a vystavujete se tak již dnes riziku uložení pokuty; v tom GDPR nepřináší nic závratně nového. Pokud tak lze na GDPR najít něco pozitivního, pak je to určitě příležitost provést si interní kontrolu stavu zpracování osobních údajů a pokusit se o nápravu případně zjištěných nedostatků a vymetení pomyslných kostlivců ze skříní.

Zdroj: MT

IMPORT: tituly

GDPR – pohroma pro vaši ordinaci či lékárnu, nebo nafouknutá bublina?

Doporučené

Prof. Hrdlička: Dětský věk bez překážek není zárukou dobré psychické odolnosti

Elektronické ponožky detekují nezdravý styl chůze diabetiků

Královéhradecký kraj řeší v kardiologii hlavně dlouhé čekací doby

Studie ke zlepšení léčby poruchy srdečního rytmu zařazuje prvního pacienta

Doporučené

Prof. Hrdlička: Dětský věk bez překážek není zárukou dobré psychické odolnosti

Elektronické ponožky detekují nezdravý styl chůze diabetiků

Královéhradecký kraj řeší v kardiologii hlavně dlouhé čekací doby

Studie ke zlepšení léčby poruchy srdečního rytmu zařazuje prvního pacienta

Přihlaste se k odběru novinek.

Obsah je určen odborným pracovníkům ve zdravotnictví. Informace nejsou určeny pro laickou veřejnost.