GDPR už za pár týdnů…

Zdravotníci respektující české zákony mají z velké části splněno, co od 25. května žádá obecné nařízení na ochranu osobních údajů (GDPR). Ambulance čekají slohová cvičení, kde doloží, co už teď konají. Nemocnice mapují procesy zpracování a ochrany dat. Toho využívají firmy, jež vyvolávají pocit, že nesplnění požadavků povede k likvidačním pokutám, a nabízejí za velké peníze spásné řešení. Objevují se názory, že GDPR znamená finanční zátěž, nárůst administrativy a omezení času na pacienty. EK prý minula cíl, větší riziko zneužití osobních dat hrozí z práce v kyberprostoru, monitoringu digitálního chování, polohových služeb mobilů, z dat bank, státních registrů či úřadů. Zeptali jsme se zdravotníků: Co bylo třeba udělat, aby vaše zařízení splňovalo kritéria GDPR? Máte dostatečné informace, co je zapotřebí učinit a co to v případě vašeho zařízení obnáší?

• Ing. Gabriela Štěpanyová,

tisková mluvčí Ministerstva zdravotnictví

Ministerstvo zdravotnictví o tématu GDPR aktivně komunikuje s organizacemi sdružujícími poskytovatele zdravotní péče a snaží se jim maximálně pomáhat v přípravě na účinnost této normy. Vedle vysvětlování dopadů GDPR na konferencích a seminářích ministerstvo připravilo metodiku implementace pro subjekty ve zdravotnictví a její jednodušší podobu pro malé ambulance. Obě publikace jsou volně dostupné na internetových stránkách ministerstva. Institut postgraduálního vzdělávání ve zdravotnictví, vzdělávací instituce Ministerstva zdravotnictví, organizuje řadu kursů zaměřených přímo na GDPR ve zdravotnictví. Ministerstvo také aktivně pracuje se svými podřízenými organizacemi, metodicky jim pomáhá a sleduje jejich přípravu. V každém případě je možné uvést, že na pacienty nebude mít účinnost nové normy žádný dopad a neměli by účinnost GDPR poznat.

• MUDr. Milan Kubek,

prezident České lékařské komory, angiologická ambulance, Poliklinika Prosek

Nařízení o ochraně osobních údajů (GDPR) je formulováno velmi obecně, a ponechává tak i zdravotnickým zařízením dostatek volnosti k tomu, aby pravidla ochrany osobních údajů přizpůsobila svým podmínkám. Zároveň se jedná o proces, to znamená, že ochrana osobních dat se bude vyvíjet v čase a nikdo z kompetentních institucí nepředpokládá, že od května 2018 dojde k zásadním změnám v provozu našich ordinací. Poskytovatelé zdravotních služeb, kteří respektují požadavky stanovené zákonem č. 372/2011 Sb., o zdravotních službách, a vyhláškou č. 98/2012 Sb., o zdravotnické dokumentaci, a neporušují platný zákon č. 101/2000 Sb., o ochraně osobních údajů, ti mají v podstatě již splněno.

Je třeba zachovat chladnou hlavu a používat zdravý rozum. Řada firem pořádajících kursy a přednášky na téma GDPR vytváří neopodstatněný tlak s cílem vyvolat v posluchačích pocit, že nesplnění nařízení do data nabytí účinnosti povede k ukládání likvidačních pokut, přičemž tyto firmy vždy nabízejí spásné řešení spočívající ve zpracování informací, které bude v souladu s nařízením, samozřejmě za nemalý finanční obnos. Je to prostě jejich byznys.

Základem je ochrana ordinace, která musí být uzamykatelná. Obdobně kartotéka musí být v uzamykatelné místnosti, tedy nikoli volně dostupná. Počítače s osobními údaji pacientů samozřejmě musejí mít zaheslovaný vstup.

K předávání zdravotnické dokumentace mezi sebou by zdravotnická zařízení neměla využívat nešifrované e‑maily. Naopak pacient, pokud si to přeje, může dokumentaci obdržet obyčejnou poštou či e‑mailem.

Poskytovatel zdravotních služeb by měl proškolit o ochraně osobních údajů své zaměstnavatele a s dodavateli služeb, zejména se to týká IT, ale třeba i úklidu ordinací, je třeba uzavřít smlouvu o povinné mlčenlivosti.

Pacient by měl být v zásadě informován o tom, zda lékař o něm shromažďuje jiné údaje než ty, které potřebuje k jeho léčbě, a za jakým se to děje účelem. Jedná se například o nejrůznější odborné studie.

V souvislosti s GDPR se lavinovitě šíří panika. Přispívají k ní nejenom firmy, které vycítily obchodní příležitost, ale bohužel i státní orgány, jejichž úředníci nejsou schopni problematiku srozumitelně vysvětlovat. Naším cílem je lékařům pomáhat a chránit je před zbytečným vyhazováním peněz. Proto právní kancelář ČLK ve spolupráci s Úřadem pro ochranu osobních údajů připravila na 12. dubna v Kongresovém centru Nemocnice Na Homolce pro lékaře a manažery ve zdravotnictví odbornou konferenci.

• Doc. MUDr. Roman Šmucler, CSc.,

prezident České stomatologické komory, Klinika estetické medicíny Asklepion

Zákony ve smyslu GDPR platí už přes deset let a v citlivé estetické medicíně, ale i v onkologii je v Asklepionu úzkostlivě dodržujeme. Snaha o odcizení dat je v ČR poměrně intenzivní a neustálá. GDPR tak pro nás neznamená v zásadě problém, jen jsme si vše znovu prošli a zkontrolovali.

Co se týká stomatologie jako celku, Česká stomatologická komora pro své členy vypracovala jednoduchý systém a intenzivně školí. Členové mají řešení poskytnuto bezplatně. Tento systém převzali i mnozí ambulantní lékaři a systém jsme nabídli také Ministerstvu zdravotnictví, ale bez úspěchu. Zdá se, že ho budeme i exportovat, neboť se kolegům v zahraničí líbí. Kolem GDPR je spousta mýtů, které vyvolali ti, kteří na něm chtěli hodně vydělat… Za to ale EU nemůže a vyšší ochrana soukromí pacienta je namístě.

• PharmDr. Lubomír Chudoba,

prezident České lékárnické komory

O problematice GDPR se snažíme členskou základnu informovat prostřednictvím webových stránek a stavovského časopisu. Na duben jsme zajistili uspořádání pěti seminářů s hlavním přednášejícím v osobě právního poradce ČLnK, který se tématu GDPR dlouhodobě věnuje. Aktivní účast přislíbil i představitel Úřadu pro ochranu osobních údajů (ÚOOÚ). Semináře by měly přinést aktuální informace o tom, jak si s GDPR poradit v provozu lékáren, o současném stavu výkladu ke konkrétním způsobům zpracování osobních údajů vlastním pro lékárny a o tom, jakým způsobem může lékárnám s GDPR pomoci lékárnická komora.

Předpokládáme, že v průběhu příštích měsíců komora ve spolupráci s ÚOOÚ připraví a zveřejní stanoviska např. k povinnosti posouzení vlivu na ochranu osobních údajů, k rozsahu záznamů o činnostech zpracování, k podobě a užívání souhlasu k zacházení s osobními údaji, povinnosti ustanovení pověřence nebo úpravy smlouvy o zpracování osobních údajů (typicky lékárenský software). Po předběžné konzultaci s ÚOOÚ je zřejmé, že ne každý provozovatel lékárny bude povinen jmenovat pověřence. U provozovatelů jednotlivých menších lékáren by šlo o nesplnitelný požadavek. V oblasti zdravotnictví je rizikovost zacházení s osobními údaji i přes jejich „citlivost“ snížena tím, že podléhá přísným regulím už ze samotné právní úpravy poskytování zdravotních služeb. Proto se lze spoléhat na to, že se s údaji o pacientech i bez GDPR zachází opatrně, a k tomu se přihlíží i při posuzování přísnosti při plnění povinností podle nařízení. Bude‑li tedy lékárna poskytovat běžnou lékárenskou péči v menším provozu a bez marketingového podchycení pacientů, nebude muset pověřence jmenovat. Jedním z našich komorových záměrů je vypracování kodexu chování předpokládaného článkem 40 nařízení a jeho schválení dozorovým úřadem, jímž je v ČR právě ÚOOÚ. Kodex by pak měl být vodítkem provozovatelům lékáren, které by jim mělo ulehčit uplatňování GDPR v jejich lékárně. V neposlední řadě musíme také zabezpečit adaptaci samotné komory na GDPR.

Jde o celoevropskou novinku, s níž nejsou žádné praktické zkušenosti a s blížícím se datem účinnosti roste množství výkladů nařízení. GDPR nelze dát jednoduše aplikovatelný univerzální návod nebo jednotné řešení. Každý si proto bude muset sám zrevidoval svůj způsob zacházení s osobními údaji, zhodnotit soulad svého přístupu se zásadami podle GDPR, přizpůsobit se jim a splnit i další povinnosti vyžadované nařízením.

Je jisté, že půjde o další dosti náročný administrativní proces vynucený novou legislativou. Jeho nákladnost musí být zdravotnickým zařízením vč. lékáren zohledněna v platbách z veřejného zdravotního pojištění. Jinak ji zaplatí samotní pacienti.

• MUDr. Zorjan Jojko,

předseda Sdružení ambulantních specialistů ČR, Kardiomed, s. r. o.

V rámci Sdružení ambulantních specialistů jsme v pondělí 19. března dali na náš web všem členům k dispozici „kuchařku“, jak postupovat. Věc jsme samozřejmě předtím konzultovali se specializovanými právníky, Ministerstvem zdravotnictví i Úřadem pro ochranu osobních údajů. Sám jsem se i podílel na finální formulaci, přičemž práce nám trvala cca tři měsíce.

Počítám s tím, že budeme nadále sledovat, jak se bude vyvíjet postoj rozhodujících orgánů (teď myslím hlavně MZ a ÚOOÚ – t. č. např. není jasné, podle jakého kritéria bude stanovena hranice pro povinnost ustanovení tzv. pověřence) a také zda se Parlament ČR nerozhodne přijmout speciální zákon ke GDPR, což by mohlo některé v současné době platné postuláty změnit. Nicméně dle mých dosavadních informací ambulance, v níž pracuji – ostatně jako asi naprostá většina soukromých lékařů v ČR – fakticky dávno pravidla nastavená směrnicí GDPR plní. Co je, bohužel, nové a co považuji za otravu, je to, že o tom, že fungujeme, jak máme, musíme nově zpracovat cca deset slohových cvičení, která sice asi nebudou muset být moc dlouhá, ale i tak mi to přijde jako zbytečné obtěžování další administrativou.

• MUDr. Eduard Bláha,

prezident Svazu léčebných lázní ČR, generální ředitel Léčebné lázně Jáchymov a. s. a Lázně Luhačovice a. s., MediClinic, a. s.

Nejen v lázních, ale i v síti ambulancí MediClinic, kterou provozuji se svým společníkem Ing. Mgr. Pavlem Vajskebrem, se tím nyní intenzivně zabýváme. Aktuálně se nás týká inventura námi spravovaných dat, jejich provozní potřeba či zákonná legitimace k jejich správě a revize postupů okolo jejich zpracování. Řada povinností nám přijde absurdní a zatíží naše podnikání dalšími náklady i administrativou, která bují neskutečně. Stát ztrácí efektivitu, vysává podnikům pracovní sílu, zaměstnává sám sebe a projídá daně, které tak ještě dál snižuje.

Každopádně stále je okolo toho řada nejasností i zištných věrozvěstů a je evidentní, že tím EK minula cíl. Největší riziko zneužití osobních dat hrozí z práce v kyberprostoru, monitoringu našeho digitálního chování, polohových služeb mobilů, z dat bank, státních registrů či úřadů.

• MUDr. Vladimír Dvořák, Ph.D.,

předseda Sdružení soukromých gynekologů ČR, Centrum ambulantní gynekologie a porodnictví

Implementace GDPR ve zdravotnickém zařízení je dle mého názoru nemožná bez subjektu, který se dané problematice profesionálně věnuje. Teď vyhodnocujeme nabídky. Půjde o další finanční zátěž zdravotnického zařízení, značný nárůst administrativy a ztrátu času, který by poskytovatel mohl věnovat pacientům. Jsem přesvědčen, že GDPR nepřinese nic pozitivního ani lékařům, ani pacientům. Mnozí kolegové tvrdí, že to je další z řady kroků, které mají donutit drobné podnikatele nejen ve zdravotnictví, aby s činností skončili, a ty mladé, aby o podnikání vůbec neuvažovali.

• Mgr. Radek Knop,

vedoucí Samostatného oddělení pověřence pro ochranu osobních údajů, Fakultní nemocnice v Motole

Bylo třeba vyjít z dikce obecného nařízení o ochraně osobních údajů, které ukládá jednotlivé povinnosti pro příslušné správce a zpracovatele osobních údajů. Ministerstvo zdravotnictví poskytlo metodický pokyn k této oblasti, takže jsme měli jako nemocnice výhodu a alespoň částečně stanoviska k jednotlivým článkům nařízení.

Z praktického hlediska jsme dopracovali (rozšířili) katalog osobních údajů, připravili záznamy o činnostech zpracování osobních údajů a jsme ve fázi změn stávajících interních předpisů, které pokryjí zbytek povinností pojících se s novými právy subjektu údajů.

Z povahy rozsáhlosti a typu zpracování osobních údajů jsme jmenovali pověřence pro ochranu osobních údajů, jenž celkově zastřešuje koncepci zavádění GDPR v naší nemocnici. Bohužel v současné době stále některé části obecného nařízení přinášejí otazníky, například právo na kopii osobních údajů v bezplatné formě. Dalším úskalím jsou různé články, především na internetu, ve kterých je řešena problematika GDPR neerudovaným způsobem, a vznikla hysterie kolem celého nařízení. Některé svévolné výklady pronikly i k nám do nemocnice, jako příklad mohu uvést problematiku objednávání pacientů po telefonu, vyvolávání pacientů z čekáren apod., kdy je použita mantra „GDPR nám zakazuje“; pokud bychom tyto výklady nekorigovali, ohrozili bychom samotnou podstatu nemocnice a znemožnilo by se poskytování zdravotní péče.

• MUDr. Pavel Vepřek,

člen představenstva Nemocnice Plzeňského kraje, a. s., Sdružení Občan

V současné době se v našich nemocnicích dokončuje analýza, která nám přinese odpovědi právě na tyto otázky. Na jejím základě se rozhodneme, zda bude nutné přizvat externí firmu, nebo zda se s tím popasujeme vlastními silami. Obdobné rozhodnutí nás čeká s osobou pověřence. Osobně se přikláním k co nejúspornějšímu řešení. Je škoda, že náš stát zaspal v přípravě adaptačního zákona, který vstoupí na scénu s těžko odhadnutelným zpožděním. Takže od 25. 5. 2018 budou muset být procesy v našich nemocnicích nastaveny ve shodě s nařízením Evropského parlamentu a Rady 2016/679 a až následně mohou být modifikovány podle národní regulace. Přes všechny zmatky, které aplikaci GDPR ve zdravotnictví provázejí, je jednotná regulace způsobu nakládání s osobními údaji v EU nutnou podmínkou pro rozmnožení našich evropských svobod. K volnému pohybu zboží, osob, služeb a kapitálu se připojí data, což bez plošné garance jejich ochrany nebylo dosud možné.

• Prof. MUDr. Jan Žaloudík, CSc.,

ředitel Masarykova onkologického ústavu v Brně, místopředseda Výboru pro zdravotnictví a sociální politiku Senátu Parlamentu ČR

Masarykův onkologický ústav je z podstaty své činnosti navyklý řešit rány osudu. Činí tak statečně, trpělivě a s pozitivním přístupem, ať už lze zvítězit zcela, nebo jen získat další cenné zkušenosti. To se týká i řádné a bezpečné správy dat o jmění, zaměstnancích, pacientech i rakovině. GDPR vnímáme jako další příležitost být lepšími, solidnějšími, bezpečnějšími a eurokompatibilnějšími. V rámci instalace této eurosměrnice jsme tedy provedli inventuru, které osobní údaje, resp. kategorie osobních údajů, proč a za jakých podmínek zpracováváme. Popsali jsme důkladněji procesy zpracování osobních údajů, identifikovali, které osoby s údaji důvodně pracují, po jakou dobu jsou osobní údaje uchovávány a komu jsou zpřístupňovány. Na základě těchto zjištění jsme provedli analýzu souladu zpracování osobních údajů v našem ústavu se směrnicí GDPR a určili, které kroky a v jakém časovém horizontu bude nutné do účinnosti GDPR provést. Jeden z těchto důležitých kroků představovalo také jmenování pověřence pro ochranu osobních údajů, který u nás již svou činnost svědomitě vykonává, a významně se tak podílí na celém procesu implementace GDPR do praxe. Po veškerých právních a procesních analýzách v současnosti především pracujeme na úpravách stávajících i zpracování nových dokumentů, revalidaci stávajících procesů zpracování údajů a přijímání vhodných organizačních a technických opatření. Výše zmíněná i další opatření jsou prováděna v souladu se stanoviskem Řídící komise pro implementaci GDPR v MOÚ, která byla pro tyto účely zřízena, stejně jako v souladu s metodikou zpracovanou ze strany našeho zřizovatele, tedy Ministerstva zdravotnictví, které celý proces implementace GDPR do praxe přímo řízených nemocnic dozoruje. Věříme v pokrok a lepší svět, ať už má jakkoli klopotné cesty či projevy. Počítáme s tím, že jako v pasteveckých společenstvích byla hlavním problémem pastva a její následky, v době průmyslové revoluce průmysl a jeho následky, tak v současné informační společnosti přetékající daty a informacemi nás bude hojně a nadále zaměstnávat zejména práce s informacemi a jejich následky.

• Ing. Tomáš Oborný,

tiskový mluvčí Fakultní nemocnice Ostrava

Fakultní nemocnice Ostrava se na toto nařízení stále připravuje. Byla provedena analýza stávajícího stavu ochrany osobních dat a vznikl katalog operací pro zpracování osobních údajů, procesů, katalogy osobních údajů apod. Jedná se o složitou problematiku s celou řadou nových povinností. Největším problémem bude revize a aktualizace smluvních vztahů mezi FNO a zpracovateli. Samozřejmě stále probíhají konzultace s právníky a řeší se aktuální otázky, které při snaze o zavádění pravidel GDPR vyvstávají. Nepochybujeme o tom, že to bude proces dlouhodobý a složitý. Technická a organizační opatření k úspěšné implementaci GDPR jsou kontinuálně realizována od roku 2017.

• Mgr. Martin Šalek,

tiskový mluvčí Nemocnice Na Bulovce

Nemocnice Na Bulovce má momentálně zpracovaný Katalog osobních údajů a Katalog operací osobních údajů dle interního metodického materiálu MZ ČR ze 14. 8. 2017 a v současné době probíhá příprava interní směrnice o povinnostech dle GDPR. Zároveň jsme provedli školení o GDPR právním oddělením na všech odděleních a klinikách Nemocnice Na Bulovce, včetně porady vedení a administrativních zaměstnanců jednotlivých úseků nemocnice. Osobu pro plnění role pověřence prozatím vybranou nemáme, roli pověřence však chceme zajišťovat vlastním zaměstnancem.

• MUDr. Martin Jan Stránský, MD, FALP,

Poliklinika na Národní

V naší Poliklinice na Národní jsme se v souvislosti s GDPR nesetkali s žádnými problémy. Neměli jsme potíže získat informace o tom, co bude nutné v souladu s GDPR učinit v zařízení našeho typu, a to jak z veřejně dostupných zdrojů, tak i například účastí na školení či konferenci. Na 25. květen jsme již připraveni.

• Mgr. Martina Dostálová,

tisková mluvčí Nemocnice Na Homolce

V Nemocnici Na Homolce proběhla v této věci vstupní analýza, která se postupně rozčlenila do desítek konkrétních úkolů. Ty napříč nemocnicí postupně upravujeme a zajišťujeme, abychom mohli ve většině oblastí zpracování osobních údajů dosáhnout potřebné úrovně souladu. Mezí základní problémové oblasti patří plnění podmínek spojených se zpracováním osobních údajů v rámci interních IT systémů, kde v řadě případů musíme v reakci na zjištěné nesoulady přijmout návrh organizačně‑technických opatření a v delším časovém úseku vynaložit finanční náklady spojené s realizací bezpečnostních úprav. V zásadě nepovažujeme toto nařízení EU za revoluční legislativu, ale za posun, který svým dopadem především ochrání práva fyzických osob v dnešním elektronickém světě.

• PhDr. Filip Brož,

tiskový mluvčí Všeobecné fakultní nemocnice v Praze

Problematice GDPR jsme se začali věnovat v dostatečném předstihu. Díky tomu jsme zvládli pro tak velkou organizaci sami a efektivně uřídit celou mapovací část. Konkrétně se jedná o stanovení role pověřence pro ochranu osobních údajů; mapování procesů zpracovávajících osobní údaje v celé VFN – vytvoření katalogu zpracování osobních a citlivých údajů; mapování úložišť osobních údajů – informační systémy, datová úložiště, fyzická úložiště – vytvoření katalogu IT aplikací; proškolení vedoucích pracovníků v oblasti GDPR (školení pro všechny zaměstnance je součástí implementačních kroků); revize stávající předpisové základny; analýza IT rizik zaměřená na ochranu osobních údajů; právní a procesní analýza dopadů požadavků GDPR na stávající stav ve VFN; formulace opatření, která je třeba přijmout pro zajištění souladu s GDPR; schválení všech těchto opatření a spuštění jejich implementace (nyní probíhá). Co je důležité, že jsme GDPR uchopili nejen jako povinnost, ale také jako příležitost – snažíme se jednotlivé fáze projektu dělat tak, aby z nich profitovaly další oblasti, jako např. efektivnější fungovaní nemocnice, kvalitnější poskytovaní léčebné péče a lepší plnění práv subjektů osobních údajů. Významné také je, že jsme zmapovali administrativní i klinickou část natolik detailně, že výstup bude možné v budoucnosti využít jako vstup pro implementaci zákona o kybernetické bezpečnosti.

• Mgr. Jan Svoboda,

pověřenec pro ochranu osobních údajů, Všeobecná zdravotní pojišťovna

Problematice nové právní úpravy ochrany osobních údajů se ve VZP samozřejmě podrobně věnujeme, rozhodně však není třeba se jí obávat.

Z hlediska nakládání s osobními údaji nepřináší GDPR pro VZP žádné zásadní změny. Disponujeme dostatečnými informacemi, jaké kroky je třeba v této oblasti učinit. Je potřeba si uvědomit, že VZP zpracovává osobní údaje většinou v rámci své úřední agendy. Diskutované novinky, jako je mj. právo na výmaz osobních údajů a právo na přenositelnost údajů, se tak u nás projeví minimálně, neboť ke zpracování osobních údajů dochází převážně na základě zákona.

Základním krokem pro VZP bylo udělat různé systémové analýzy, tedy posouzení toho, co bude třeba zajistit nad rámec dosavadních pravidel ochrany soukromí, udělat si v této oblasti inventuru. Provedli jsme kontrolu osobních údajů a tam, kde se jde nad rámec zákonných zmocnění, jsme zkontrolovali poskytnuté souhlasy se zpracováním, provádíme související kontrolu smluv včetně těch k vedeným informačním systémům a upravíme je tam, kde nevyhovují. Rovněž přijmeme k ochraně osobních údajů jednoduchý vnitřní předpis, ze kterého bude zjevné, co má kdo na starosti. Jedním z prvních kroků, které VZP provedla, bylo jmenování pověřence pro ochranu osobních údajů.

Nařízení EU č. 2016/679 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů, označované jako GDPR, sice nahrazuje doposud platnou a účinnou směrnici 95/46/ES, která byla implementována do českého právního řádu prostřednictvím zákona č. 101/2000 Sb., o ochraně osobních údajů, ale stojí na stejných principech jako směrnice 95/46/ES, které dále posiluje výslovným uvedením některých práv subjektů údajů, přísnějšími sankcemi a nezbytností vést detailní dokumentaci o zpracování údajů. Nepřináší však žádné zásadní principiální novinky. Ten, kdo dodržuje platný zákon o ochraně osobních údajů, nebude muset s výjimkou podrobnější evidence, případného ohlašování bezpečnostních incidentů a jmenování pověřence pro ochranu osobních údajů dělat mnoho navíc.

• Mgr. Jitka Zinke,

tisková mluvčí Ústřední vojenské nemocnice – Vojenské fakultní nemocnice Praha

ÚVN se zabývá sesouladěním procesů v souvislosti s účinností GDPR s mnohaměsíčním předstihem. Již v loňském roce vznikla skupina, která pracovala v součinnosti s se zřizovatelem ÚVN – Ministerstvem obrany ČR. Byl připraven harmonogram postupů. Poté byl na základě výběrového řízení vybrán smluvně vázaný externí auditor.

Je namístě připomenout, že zajištění bezpečnosti a ochrany osobních údajů není ve zdravotnických zařízeních novinkou a že v ÚVN jsou procesy k zajištění bezpečnosti a ochrany osobních údajů dlouhodobě nastaveny.

Přesto bylo nezbytné provést kontrolu a sesouladit dosud platné procesy s GDPR. Nejprve byla provedena vstupní kontrola a analýza zpracování a ochrany osobních údajů v požadovaném rozsahu. Dále byla uskutečněna rozdílová analýza zpracování a ochrany osobních údajů, kde výstupem je zpráva posuzující soulad zavedených procesů na ochranu osobních údajů s GDPR, včetně návrhů řešení v případech, kde je nezbytné procesy upravit tak, aby byly ve shodě s požadavky GDPR. Na to je navázána analýza informačních rizik a vytvoření úpravy či doplnění základní koncepce zpracování ochrany osobních údajů, která umožní prokázat naplnění základních principů GDPR. V kontextu uskutečněných analýz a jejich závěrů je nyní zpracovávána směrnice o ochraně osobních údajů, která stanovuje pravidla pro ostatní právní předpisy nemocnice. Od 1. 4. 2018 má ÚVN jmenovaného pověřence k ochraně osobních údajů. 

Zdroj: MT