První rok s GDPR

V první polovině roku 2018 jsme byli svědky a někdy i účastníky mimořádné až hysterické pozornosti věnované ochraně osobních údajů. Nebylo to pochopitelně samo sebou. Ke konci května 2018 totiž vstoupilo v účinnost již dva roky platné obecné nařízení Evropské unie o ochraně osobních údajů, známé jako GDPR.

V našem hodně mediálním a zkratkovitém světě jsme naráželi na GDPR na každém kroku. Notně vyděšeni tím, co nás čeká, a naštvaní na Brusel a jeho zbytečné buzerace jsme propadali panice. Tu živily na jedné straně neznalost a na druhé straně podnikavost těch, kdo využili příležitosti a zkusili na naší neznalosti (po kolikáté již) trochu vydělat.

Nepochybuji o tom, že většina z kritiků a panikářů si zmíněné nařízení ani nepřečetla. Málokdo se zamyslel nad samotnou podstatou tématu ochrany osobních údajů. Jen výjimečně jsme si uvědomili, že téma ochrany osobních údajů v naší zemi není nové, že zde již od roku 2000 platí zákon na ochranu osobních údajů. Pro ty, kdo se jím řídili, nepřineslo evropské nařízení mnoho nového.

Ochrana osobních údajů, chcete‑li soukromí, nebo dokonce lékařské tajemství, je součástí zdravotnictví chtělo by se říci odjakživa. Je přirozené, že lékaři a zdravotníci zacházejí důvěrně s tajemstvím svých pacientů (s citlivými osobními údaji). Pacient má plné právo to od zdravotníků očekávat. Pacient se lékaři svěřuje se svými obavami, se svým tajemstvím, studem, soukromím, strachem. Vzájemná důvěra je základním stavebním kamenem vztahu mezi pacientem a jeho lékařem a zachování lékařského tajemství je její nedílnou součástí.

Uplynul rok a panika kolem GDPR rychle utichla. Skoro to vypadá, že jsme na ochranu citlivých osobních údajů zapomněli. Přitom s nimi ve zdravotnictví každý den pracujeme. Z naší praxe, kdy se setkáváme s desítkami zdravotníků, víme, že jen málo z nich dobře zná pravidla, podle kterých by se měli při práci s osobními údaji každý den řídit. Neznalost nás ohrožuje jak směrem k porušování důvěrnosti, tak na druhou stranu k přehnaným a zbytečným komplikacím.

Pravidla pro práci s osobními daty ve zdravotnictví jsou jasná a logická. Jejich dodržování není nijak náročné. V souvislosti s příchodem jednotných evropských pravidel, která GDPR přináší, máme příležitost udělat si v těchto věcech pořádek. Zastavit se na chvíli, zamyslet se nad tím, jak s citlivými informacemi zacházíme, kde děláme chyby a jak se jich vyvarovat. Namísto toho někteří, bohužel, uvěřili tomu, že pro vypořádání se s GDPR stačí mít v šanonu připravené potřebné dokumenty, které předložíme případné kontrole, a vše je jako dříve. To je ale velký omyl.

Každý správce osobních údajů, a tím je každé zdravotnické zařízení včetně všech samostatných ordinací jednotlivých lékařů, má povinnost zajistit správné zacházení s citlivými osobními údaji, chránit je před ztrátou, neoprávněným zásahem a neoprávněným přístupem. Institut pro postgraduální vzdělávání ve zdravotnictví pravidelně připravuje pro zdravotníky vzdělávací programy zaměřené na základní pravidla pro vedení zdravotnické dokumentace a ochranu osobních údajů při poskytování zdravotních služeb. Kromě prezenčních kursů připravil IPVZ i distanční elektronický kurs. Ten je určen pro všechny zdravotnické pracovníky a pomůže i těm nejmenším zaměstnavatelům splnit zákonnou povinnost a řádně proškolit všechny, kdo se zdravotnickou dokumentací pracují.

Škarohlídi tvrdí, že zájem o ochranu osobních údajů opět vzroste, až úřady udělí první mastné pokuty nebo až se objeví žaloby na zdravotnická zařízení. Nemyslím, že je třeba na to spoléhat. Většina zdravotníků chce svou práci dělat dobře a rozumějí tomu, že lékařské tajemství bylo a zůstává hodnotou, kterou respektujeme. Jen je třeba se v dnešním tak rychle se měnícím světe využívajícím mnoho nových komunikačních technologií zamyslet nad tím, jak na to.

Zdroj: MT