Přeskočit na obsah

GDPR v ambulantní praxi – kde začít a jak postupovat krok za krokem

Zřejmě jste si nemohli nevšimnout, že dne 25. 5. 2018 vstoupí v účinnost nařízení Evropského parlamentu a Rady č. 2016/679, o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů, známé rovněž pod zkratkou GDPR (z angl. General Data Protection Regulation). Následujícím článkem bychom rádi tematicky navázali na diskusi o praktické implementaci GDPR v jednotlivých zdravotnických zařízeních, a to ve vztahu k ambulantním praxím.



Kde začít

V první řadě je nutné uvést, že se samozřejmě kloníme k tvrzení některých kolegů, že ambulance dodržující stávající legislativu ochrany osobních údajů bude v naprosté většině splňovat i povinnosti vyplývající z GDPR, a nemá se tedy čeho obávat. Na druhou stranu však na základě našich praktických zkušeností musíme rovněž konstatovat, že problematika ochrany osobních údajů doposud nebyla na straně ambulantních praxí mnohdy vnímána jako nějak zvlášť palčivá, a nebyla jí tedy věnována náležitá pozornost. Souvisí to zřejmě s tím, že dosavadní povědomí o formálních pravidlech ochrany osobních údajů u široké veřejnosti bylo a nadále je velmi nízké.

K nápravě tohoto stavu bohužel nepřispívá ani GDPR samotné, jelikož pro právního laika se jedná o předpis velmi nesrozumitelný, a nedoporučujeme tak začít přípravu na GDPR čtením samotného předpisu.

Na internetu lze ve vztahu k GDPR dohledat obrovské množství článků a zaručených návodů, jak při jeho implementaci postupovat, ne u všech se však lze samozřejmě spolehnout na jejich správnost a odbornou erudici. V této souvislosti lze za relativně dobrý zdroj informací považovat např. Metodiku implementace GDPR v ambulantní sféře, vydanou Ministerstvem zdravotnictví ve spolupráci s ÚZIS ČR, která je volně dostupná na webových stránkách ministerstva – jedná se o přehledný a srozumitelný praktický manuál, z něhož lze konkrétní povinnosti vyplývající z GDPR pochopit mnohem lépe než ze samotného předpisu.

Zmíněná metodika Ministerstva zdravotnictví samozřejmě není jediným relevantním zdrojem praktických informací, při výběru alternativ z volně dostupných zdrojů nicméně doporučujeme zaměřovat se raději na materiály zpracované institucemi s prokazatelnými zkušenostmi s ambulantní praxí (např. Sdružení ambulantních specialistů ČR), nikoli na obecné články či jiné nástroje, které nemusejí specifikum lékařské činnosti vůbec zohledňovat.



Krok za krokem

Příprava na GDPR zahrnuje následující kroky, jejichž časová náročnost se z logiky věci odvíjí od velikosti ambulantní praxe a dosavadního stavu souladu zpracování osobních údajů se současným zákonem.



Krok první – zjištění aktuálního stavu

Aby bylo možné posoudit, zda je vaše činnost v souladu se stávající legislativou a GDPR, je z logiky věci nejprve nutné zjistit, jaký rozsah osobních údajů ve své ambulanci zpracováváte, jakými způsoby a pro jaké účely.

Klientům doporučujeme nejdříve si rozdělit subjekty údajů, jejichž osobní údaje jsou ambulancí zpracovávány, do jednotlivých kategorií (pacienti, zaměstnanci, uchazeči o zaměstnání, případně obchodní partneři atd.), a teprve poté k nim přiřazovat jednotlivé kategorie zpracovávaných údajů.

GDPR stejně jako stávající zákon rozlišuje mezi obecnými kategoriemi osobních údajů (jako je např. jméno a příjmení) a zvláštními kategoriemi osobních údajů (dle současného zákona údaji citlivými), jako jsou např. údaje o zdravotním stavu. U pacientů tak zcela jistě budou zpracovávány jak obecné osobní údaje (např. jméno a příjmení, rodné číslo, adresa, kód zdravotní pojišťovny, telefon, e‑mail apod.), tak údaje citlivé (anamnéza, diagnóza a další záznamy o zdravotním stavu a poskytované péči ve zdravotnické dokumentaci).

Po provedení rozčlenění je dále nutné identifikovat procesy, které ve vztahu k osobním údajům v ambulanci probíhají, tedy např. kdo od pacienta informace shromažďuje a jakým způsobem (ústním pohovorem × vyplněním dotazníku), kam jsou takové informace ukládány (zapisovány do písemné karty/ elektronicky vedené dokumentace), kdo je za to odpovědný, na jakou dobu jsou informace ukládány, kdo má přístup do kartotéky/elektronické databáze a za jakých podmínek, jak je s údaji zacházeno v případě úmrtí, přechodu k jinému lékaři atd.

Identifikace procesů opět musí proběhnout u všech definovaných kategorií subjektů údajů.

V neposlední řadě je pak nutné odpovědět si na otázku, pro jaké účely jsou osobní údaje zpracovávány. Kromě účelů vyplývajících ze zákona, jako je např. plnění povinností při poskytování zdravotní péče, může docházet k vedení věrnostních či obdobných programů, v jejichž rámci bývají pacientům poskytovány doplňkové služby (např. zasílání pozvánek na pravidelné prohlídky, možnost komunikace mimo pracovní dobu apod.).



Krok druhý – zjištění souladu aktuálního stavu s GDPR

Poté, co bude zjištěn aktuální stav, je teprve možné přistoupit ke zhodnocení jeho souladu s GDPR.

U všech identifikovaných kategorií subjektů údajů je nutné zaměřit se zejména na následující otázky:

 

  • zákonný důvod pro prováděné zpracování

 

Zpracováním osobních údajů se zjednodušeně řešeno rozumí cokoli, co s osobními údaji provádíte (např. jejich sběr, uchovávání, kopírování, oprava, úprava, výmaz, likvidace). Pro každé takovéto zpracování musí být dán jeden ze zákonných důvodů, jímž v případě běžné ambulance poskytující čistě zdravotní péči bez dalších specialit bude nejčastěji plnění zákonných povinností při poskytování zdravotní péče a plnění smlouvy s pacientem.

 

  • rozsah zpracovávaných osobních údajů

 

Obecné pravidlo GDPR říká, že rozsah zpracovávaných osobních údajů musí být přiměřený stanovenému účelu (a jemu odpovídajícímu zákonnému důvodu). V případě zpracovávání osobních údajů pacientů se v tomto ohledu nesetkáváme s výraznějšími excesy, kdy by zdravotnická dokumentace obsahovala naprosto nepřiměřené penzum informací. Např. u zaměstnanců se nicméně lze někdy setkat s kopírováním občanských průkazů či vyžadováním výpisů z rejstříku trestů u všech zaměstnanců bez ohledu na pozici, což za přiměřené obecně považováno není.

 

  • doba a způsoby zpracování

 

Z hlediska doby zpracování se nejčastěji setkáváme s neexistencí jakéhokoli systému pro výmaz dat, který tak probíhá pouze nárazově, případně vůbec. Dále se setkáváme i s případy, kdy sice s ohledem na omezené kapacity dochází k pravidelné skartaci listinných podkladů, nicméně v elektronické databázi jsou pacientská data evidována bez časového omezení a bez ohledu na to, zda poskytování zdravotních služeb vůči nim nadále trvá.

 

  • zabezpečení zpracování

 

Zabezpečení zpracování je nutné posuzovat jak z hlediska fyzických nosičů dat (nejčastěji listin), tak z hlediska elektronického.

Fyzické nosiče dat jsou běžně uchovávány v uzamykatelné ordinaci v uzamykatelných kartotékách, k nimž má přístup pouze lékař a na jeho pokyn zdravotní sestra, přičemž tento stav lze považovat za vyhovující. Bezpečnost je tak nutné hodnotit zejména ve vztahu k listinám nacházejícím se volně v ordinaci na stolech i po jejím opuštění všemi oprávněnými osobami a k možnosti přístupu nepovolaných osob k nim (např. při úklidu).

Z hlediska elektronických dat je nutné zaměřit se na to, zda jsou zařízení, z nichž je do vedené databáze přistupováno, chráněna přístupovými oprávněními, pravidelně aktualizovanými antivirovými programy apod.

 

  • předávání osobních údajů

 

V rámci analytické fáze je zároveň nutné zaměřit se na problematiku předávání osobních údajů třetím subjektům, a to jak nahodilým (např. jiným lékařům na žádost pacienta), tak pravidelným (např. údajů zaměstnanců externí mzdové účetní).

Pokud se bude jednat o případ, kdy ambulantní praxe bude v pozici správce osobních údajů (tj. bude určovat účel jejich zpracování) a spolupracující subjekt bude v pozici jejich zpracovatele (tj. bude dle zadání ambulance provádět určené činnosti – jako např. jmenovaná mzdová účetní), je nutné v této souvislosti zkontrolovat, zda je uvedená činnost upravena písemnou smlouvou o zpracování osobních údajů. Její potřeba je dána i v případech, kdy by ambulance naopak vůči jinému správci vystupovala v pozici zpracovatele, nicméně s těmito případy se běžně nesetkáváme.



Krok třetí – uvedení zpracování do souladu s GDPR

Posledním krokem je v návaznosti na učiněná zjištění uvedení zpracování osobních údajů do souladu s GDPR. V této fázi se nejčastěji jedná o následující úkony:

 

  • zpracování směrnice upravující ochranu osobních údajů na pracovišti

 

Předmětem tohoto interního předpisu by mělo být na základě provedené analýzy jednoznačné stanovení subjektů údajů, rozsah jejich osobních údajů, které jsou na pracovišti zpracovávány, účelů a zákonných důvodů, zaměstnanců oprávněných ke zpracování osobních údajů, povolených činností při zpracování a doby zpracování. Účelem přijetí takového předpisu je mj. ochránit ambulanci jakožto zaměstnavatele pro případ excesu ze strany zaměstnance.

 

  • příprava záznamů o činnostech zpracování

 

Záznamy o činnostech zpracování představují v podstatě formulář zobecňující informace uvedené ve směrnici, jak jsou popsány výše, který by měl být pravidelně aktualizován. Rozhodně tedy není povinností jakéhokoli správce vést separátní záznamy o každé jednotlivé činnosti (např. zápisu do zdravotnické dokumentace), jak je někdy mylně uváděno.

 

  • uzavření smluv o zpracování osobních údajů/dodatků k nim

 

Jestliže bude v rámci kroku 2 zjištěno, že v rámci ambulantní praxe dochází k předávání osobních údajů nějakému zpracovateli, s nímž není uzavřena písemná smlouva upravující ochranu osobních údajů, je nutné bezodkladně zajistit nápravu. Rovněž smlouvy řádně uzavřené v souladu se stávajícím zákonem bude nutné minimálně dodatkovat, jelikož GDPR klade na obsah smlouvy se zpracovatelem vyšší nároky.

 

  • příprava informace o zpracování osobních údajů

 

Povinností každého správce osobních údajů je (bez ohledu na to, zda osobní údaje získal přímo od subjektu údajů, či od třetí osoby) poskytnout subjektu údajů informace související se zpracováním. Výsledkem tohoto kroku by tedy mělo být zpracování příslušného informačního materiálu, který je vhodné vyvěsit např. v čekárně či na internetových stránkách.

 

  • posouzení otázky jmenování pověřence a posouzení vlivu

 

GDPR stanoví, že povinnost jmenovat pověřence a povinnost zpracovávat předchozí posouzení vlivu se vztahuje mj. na správce, jejichž hlavní činnosti spočívají v rozsáhlém zpracování citlivých údajů (např. údajů o zdravotním stavu).

Povinnost jmenovat pověřence a zpracovávat posouzení vlivu se s velkou jistotu nebude vztahovat na ambulance představované jednotlivým lékařem (klasický model 1 lékař + 1 sestra). U větších zařízení sdružujících více lékařů nicméně takovou jistotu již mít nelze, i když Ministerstvo zdravotnictví ve shora zmíněné metodice uvádí, že „u ambulantních poskytovatelů je jmenování pověřence zcela dobrovolné“. Tento závěr nicméně může být sporný a větším poskytovatelům ambulantní péče tak raději doporučujeme při posouzení této otázky ostražitost a konzultaci s odborníkem.

Zdroj: MT

Sdílejte článek

Doporučené

Ke Comirnaty pro děti se vyjádří EMA

23. 11. 2021

Vakcína proti COVID‑19 uzpůsobená dětem mezi pěti a jedenácti lety by mohla být brzy k dispozici i v Evropě. Každým dnem se očekává vyjádření…