GDPR pacienty nezajímá a lékaře stresuje, firmy na něm vydělaly…

Nová evropská pravidla ochrany dat přinesla lékařům, lékárníkům a sestrám další administrativu, která jim ubrala čas na pacienty a zvýšila náklady. Pacienty GDPR nezajímá. Platná česká pravidla jim skýtala dostatečné záruky, proč by se měli svého doktora teď ptát, jak jejich data chrání? Zdravotníkům se GDPR jeví jako „strašák“ a zbytečná buzerace. Jejich obav z pokut za porušení pravidel GDPR využily firmy a za velké peníze jim nabídly sladění dosavadních systémů s evropskou legislativou. Zdravotníci nedostali od zákonodárců vodítko v podobě prováděcího zákona. Naštěstí se této úlohy chopila lékařská sdružení a profesní komory, pro členy vydaly manuály. Návod poskytlo také ministerstvo zdravotnictví. Zeptali jsme se zdravotníků po čtvrt roce fungování GDPR: Co vás nejvíce zarazilo na vstupu GDPR do českého zdravotnictví?

Přiznám se, že mám z celého GDPR spíše smíšené pocity. Pravidla pro zacházení s osobními daty jsou v českém zdravotnictví dávno velmi přísná a je jistě správné, že se EU snaží omezit obchodování s osobními daty za zády jejich majitelů. Na druhou stranu je i na předpisy EU překvapivé, jak velká míra byrokracie a papírování je spojena právě se vstupem GDPR. I ambulance o jednom lékaři musí zvážit a rozhodnout se (a pak o tom učinit zápis), jestli si zřídí tzv. zmocněnce. I ambulance o jednom lékaři musí sepsat cca deset slohových prací o tom, že si je vědoma, že pracuje s osobními daty, že má zámek na dveřích, který zamyká, když opouští ambulanci, že nikomu neoprávněnému nepůjčuje k nahlédnutí zdravotnickou dokumentaci, a tak dále, a tak dále. Trochu mi to připomíná kdysi platící povinnost mít v ambulanci u všech umyvadel návod na mytí rukou. To jsem zažil v mateřské školce a pak po zavedení tzv. interního auditu před cca deseti lety. V nastalé situaci jen doufám, že ÚOOÚ nám při kontrole bude opravdu radit, jak ještě lépe chránit data našich pacientů (v souladu s dávno platícími českými zákony), nikoli jen kontrolovat možné pravopisné chyby v těch slohových cvičeních.

Mám‑li být upřímný, tak asi nejvíce to, jak málo se zdravotnického zařízení velikosti nemocnice směrnice dotkla. V principu jsme vše měli nebo měli mít nastavené už podle českého zákona č. 101/2000 Sb., o ochraně osobních údajů. Hlavně nás směrnice přiměla k důslednému auditu a nastavení stupně ochrany osobních údajů jak v IT technologiích, tak v běžném provozu. Úplnou novinkou tedy je jen institut pověřence.

Takže za mě, celý mediální obraz zavedení GDPR ve zdravotnictví je spíše mnoho povyku pro nic. Jako občan si cením nastavení regulace ochrany osobních údajů, zejména v kybernetickém prostoru.

Na vstupu GDPR do zdravotnictví mě nic nezarazilo, protože se značnou mírou nepochopení i darebné dezinterpretace eurosměrnic počítám. Navíc velkou část stupidity si zpravidla dodáváme sami. V jiných zemích EU kolegy zdravotníky GDPR nijak netrápí. Je zřejmé, že GDPR by nemělo zastavit chod systému a že máme vědět, proč a jaká data sbíráme, případně kde jsou. Toť vše. Co k tomu navěsíme, je už jen na naší hlouposti či moudrosti. Ostatně žádný ředitel nemocnice ani primář kvůli GDPR sebevraždu nespáchal, mnozí jen nadávají, ti chytřejší jsou v klidu. Je spíše úsměvné, že GDPR mělo původně omezit darebný sběr osobních dat v podnikání, reklamě a obchodování, tam je nadále klid a podnikavo a z GDPR jsou nervózní při sčítání Mařenek a Honzíků v mateřských školkách, školách a ordinacích či špitálech. Konáme v zájmu lidu, podle instrukcí zástupců lidu a budeme to pozorovat filtrem času. Je pouze nemilé, že zástupci lidu zatím jaksi nestihli onen adaptační zákon k zamezení ptákovinám a vyjasnění nejasností, takže lid tápe a bojí se, k čemuž jsme však historicky trénovaní.

Vždycky, když se nějakým zásadním způsobem upravují právní předpisy, které platí i pro zdravotnictví, vyvolá to vlnu paniky mezi lékaři. Tato situace nahrává firmám, které rády vyhovějí a okamžitě nabídnou k uklidnění lékařské veřejnosti systém opatření, za která ovšem musí zdravotnické zařízení zaplatit. Aniž by se v běhu ordinace cokoliv změnilo, založí se několik dalších dokumentů a jede se dál. Při zavádění nových pravidel GDPR Česká lékařská komora stejně jako Sdružení ambulantních specialistů ČR a další odborná lékařská sdružení uklidňovala situaci. Dokonce právníci připravili jednoduchá doporučení, která měla posloužit k tomu, abychom vyhověli požadavkům předpisu a ušetřili peníze. Stejně se ale mezi lékaři obavy z možných pokut šířily jako lavina.

Nejvíce mě zarazilo, kolik lidí GDPR zarazilo. Jsou to vesměs zákony, které máme 17 let dodržovat, a teď najednou všichni bědovali a plakali… Na většinu věcí ani zákon není potřeba, stačí běžná slušnost a respekt vůči pacientovi a kolegům. Česká stomatologická komora všem členům bezplatně poskytla kompletní dokumentaci, s níž byla analýza a scoring vlastního systému otázkou chvilky. Kdo jen trochu chtěl, má vše v pořádku. Stálo ho to nula korun a hodinu, dvě času. Kdybychom měli jen problémy jako GDPR, to by se nám žilo!

Když se nad tím zamyslím, nejvíc mě zarazily tři věci:

• To, kolika lidem chyběly prováděcí předpisy, resp. vyhlášky. Pořád nadáváme na zbytečnou byrokracii a přebujelou legislativu, a když si konečně něco můžeme udělat úplně podle sebe, tak jsme nesví a čekáme, až nám „někdo shora“ poradí… To nechápu.

• To, že nikdo z autorit neprezentoval GDPR jako mimořádnou příležitost udělat si pořádek v chaosu a zavést pravidla, která měla platit už dávno, ale jako „strašáka z EU“. Slyšela jsem jen kritiku na to, že jsme si nedokázali vymoci výjimky. Přitom máme snad každý nějakou zkušenost se zneužíváním osobních údajů… A mluvilo se o tom jako o velice složité záležitosti vyžadující specializované odborníky, takže to jen nahrálo extrémně drahým firmám, které se vyrojily jako houby po dešti.

• To, že si někteří asi až se zaváděním opatření s GDPR souvisejících uvědomili, kolik a jak moc citlivých dat o pacientech mají, a ta přitom nejsou nijak zvlášť chráněna a nahlížet do nich může opravdu kdekdo…

Přiznám se, že při implementaci nařízení o ochraně osobních údajů (GDPR) mne nepřekvapilo vůbec nic. Naše politická reprezentace tradičně zaspala, a tak nemáme prováděcí zákon. Neschopní politici, tak jak je jejich zvykem, přehazují zodpovědnost na „zlý Brusel“ a snaží se vytřískat body z odporu vůči pravidlům, kterými se Evropská unie snaží chránit osobní údaje svých občanů.

Překvapením není ani to, že se agendy s předstihem chopili podnikaví „šmejdi“, kteří se snaží ždímat peníze z důvěřivých lékařů. Funguje to vždy obdobně. Nejprve vytvořit problém, poté vystrašit své potenciální oběti, které pak mohou za patřičnou sumu peněz „zachraňovat“ tím, že neexistující problém za ně řeší.

A překvapivou není ani přílišná horlivost některých úředníčků a „manažerů“, kteří si nafukují svá ega tím, že ztrpčují život a práci zdravotníkům nesmyslnými směrnicemi, jejichž prostřednictvím vyžadují plnění pravidel, která si ve své omezenosti sami vymysleli. Pokud byste se ptali, co mne potěšilo, pak racionální přístup Úřadu pro ochranu osobních údajů, jehož kompetentní představitelé shrnují implementaci GDPR ve zdravotnictví v podstatě do jednoduchého ponaučení:

„Pokud poskytovatelé zdravotních služeb i jednotliví zdravotníci dodržují již dříve platnou legislativu, tedy zejména zákon o zdravotních službách, zákon o ochraně osobních údajů a vyhlášku o vedení zdravotnické dokumentace, pak mají vystaráno a splněno.“

Na tuto otázku není jednoduchá odpověď. Vstup GDPR do českého zdravotnictví byl typicky „český“. Tím myslím to, že se vše odkládalo na poslední chvíli, nebyla dopředu prováděcí vyhláška k existující obecné právní úpravě, takže jsme si to vykládali po česku a strašilo se možným i nemožným. Myslím si, že mnozí doufali, že se to nakonec zase odloží, stejně jako se opakovaně odkládala povinnost elektronických receptů. Nestalo se. Nestalo se ani to, že bychom byli po 25. 5. 2018 zavaleni stovkami žádostí. Naštěstí. GDPR přineslo trošku řádu a nasměrovalo investiční prostředky na nutnou a často odkládanou modernizaci HW i SW. Ve zdravotnictví se dlouhodobě pracuje s citlivými osobními údaji, takže došlo spíše k potvrzení osvědčených zaběhnutých pravidel či k jejich drobným úpravám.

Na druhou stranu je třeba říct, že osvěta v oblasti ochrany osobních údajů a kybernetické bezpečnosti není na škodu. Chování uživatelů, ať v práci, či doma, není vždy úplně rozumné a bezpečné, ačkoli si to mnozí ani neuvědomují, s čím vším dávají souhlas při používání některé aplikace, jaké údaje o nich může někdo shromažďovat, prodávat, využívat. Tím nemyslím jen to, že na vás v banneru na internetu kouká reklama na produkty či stránky, na které jste naposledy koukali a něco vyhledávali. Takže pravidelná osvěta, upozornění na rizika a snaha o dodržování pravidel není úplně na škodu.

Nejvíce mě na vstupu GDPR do českého zdravotnictví zarazila marketingová kampaň, jež udělala z GDPR strašáka, který bez odborné pomoci zlikviduje provozovatele zdravotnických zařízení. Je až nechutné, kolik se vyrojilo firem, které za tisíce až desetitisíce korun vše vysvětlí a na klíč vypracují. Přitom je třeba si uvědomit, že v ČR již mnoho let platí zákon o ochraně osobních údajů, a GDPR tak není ničím až tak novým, jen některé věci upřesňuje. Tímto bych chtěl znovu poděkovat právnímu oddělení Sdružení praktických lékařů ČR, které ve spolupráci s právním oddělením České stomatologické komory zdarma vypracovalo a distribuovalo praktickým lékařům jednoduchý manuál, jak uchopit GDPR v ambulantní praxi.

Nezarazilo nás nic, protože jsme se na vstup GDPR pečlivě připravovali. Mnozí si stěžují, že narůstá administrativa a že GDPR nám v této souvislosti vůbec nepomohlo. Pro naši kliniku, a hlavně pro Kancelář Ombudsmana pro zdraví je tomu spíše naopak. Dále si dovoluji upozornit, že ve zdravotnictví fungují i jiné zavedené ochranné zákonné mechanismy. Například Listina základních práv a svobod hovoří o nedotknutelnosti osoby a jejího soukromí. Dále jsou tu mezinárodní úmluvy o ochraně osob se zřetelem na automatizované zpracování osobních dat a na ochranu lidských práv a důstojnosti lidské bytosti v souvislosti s aplikací biologie a medicíny. Zákon o zdravotních službách mluví v § 51 o povinné mlčenlivosti lékaře, problematiku řeší i občanský a trestní zákoník.

Sdružení praktických lékařů s dostatečným předstihem seznámilo své členy s principy a pravidly fungování GDPR a připravilo je na ostrý start. Ze strany všeobecných praktických lékařů tedy mohou občané očekávat dodržování všech pravidel zaměřených na ochranu svých práv při správě a nakládání s osobními údaji. Ptáte‑li se, co mne nejvíce zarazilo na vstupu GDPR do zdravotnictví, odpovím jednoduše. Je to absolutní nezájem veřejnosti, resp. pacientů o tuto problematiku. Zájem a nepochopení vyvolají zpravidla až omezení plynoucí ze striktního dodržení pravidel, která pacienti vnímají jako zbytečnou a obtěžující komplikaci. Týká se to zejména komunikace s lékařem či sestrou, která do nástupu GDPR probíhala k jejich spokojenosti prostřednictvím e‑mailu či SMS. Především se jedná o zasílání lékařských nálezů a zpráv.

Obecné nařízení o ochraně osobních údajů, platné od 25. května 2018, paradoxně zahýbalo naší odbornou veřejností více než nežádoucí účinky léčiv. Osobně jsem se iniciativně již na počátku roku 2018 dotazovala na ZP, jak se nás „smluvních lékařů“ bude dotýkat výše uvedený zákon. V té době ještě nikdo nic konkrétně nevěděl. Převažoval názor, že poskytovatelé zdravotních služeb nemusejí mít obavy. Následně pak probíhala mnohá jednání, včetně ubezpečení Úřadu pro ochranu osobních údajů, že zdravotnictví téměř všechny požadavky na GDPR skutečně splňuje a že není důvod pro nějaké potřebné změny, Ale praxe byla jiná.

Jako poskytovatel zdravotních služeb jsem správcem osobních údajů, a to znamená, že musím nejen pravidla GDPR dodržovat, ale také prokázat, že je dodržuji. Za léta praxe provádíme všechny požadované úkony rutinně, dáváme zaměstnancům podepisovat smlouvy o mlčenlivosti, principech nakládání a vedení dokumentace atd.

Z vlastní zkušenosti mohu jen uvést, že jsem musela provést mnoho nových smluvních ujednání stran ochrany osobních údajů nejen se zástupci uživatelského programu, účetní firmy, ale opětně zavést nové směrnice, smlouvy, souhlasy u zaměstnanců. Byla nutnost zavedení záznamu o činnosti zpracování osobních údajů, rizika práva a svobody, zhodnocení rizik, směrnice upravující eliminaci rizik při správě osobních údajů. Další pak provést písemně tzv. právní rozbor a vysvětlit, proč nebyl ustaven pověřenec pro ochranu osobních údajů. Podrobně popsat ve směrnici zabezpečení ordinace, vedení a nakládání s dokumentací, uchovávání atd. Zvláštním bylo ujednání pro nakládání s osobními spisy zaměstnanců. No, bylo toho hodně. Závěrem jen mohu říci, že jsem ráda, že už je to za mnou. Nevím, jak ostatní lékaři, ale osobně já bych onen dlouhý čas raději věnovala pacientům než této administrativě, která skutečně v dnešní době neustále každým dnem narůstá a času na pacienta a oddych je čím dál tím méně.

Abych pravdu řekl, po zkušenostech se zaváděním mnoha dalších povinností mě bohužel nezarazilo téměř nic. Předem bylo jisté, že bude potřeba analyzovat, následně upravit a dokumentovat mnoho různých procesů, které probíhají jak přímo při poskytování péče pacientům, stejně tak například směrem k zaměstnancům. Není proto překvapením náročnost spojená se zaváděním do praxe u jednotlivých subjektů, jak administrativní, tak finanční. Jako vždy je v obdobných situacích i aplikování pravidel GDPR složitější pro menší subjekty, které nemají v zádech své vlastní právníky a další zaměstnance věnující se specificky této problematice. Naše komora se proto snažila pomoci všem svým členům nejen prostřednictvím speciálního semináře, jehož záznam mají k dispozici na webu komory, ale také přípravou vzorových dokumentů a odpověďmi na nejčastější dotazy ke GDPR v lékárnách.

Z obecného hlediska zvyšuje každé další byrokratické nařízení nejen jednorázové i trvalé náklady provozovatelů, v tomto případě se i u malých lékáren jedná o řády až desetitisíců korun, které jim nejsou nikým uhrazeny, ale především odvádí zdravotníky od jejich základního poslání, tedy poskytování péče pacientům.

Dlouhou dobu se o nařízení EU nemluvilo, přestože se o něm vědělo s velkým předstihem. Asi rok před platností GDPR se začalo prostřednictvím právníků pracujících pro naše profesní sdružení a stomatologickou komoru pracovat na jeho implementaci. Díky jejich pomoci jsme to zvládli relativně v klidu a bez větších emocí. Co mne nejvíce překvapilo, bylo velké množství firem, které se vyrojily a začaly nabízet zpracování GDPR pro ordinace praktiků za poměrně vysoké finanční částky. Bez znalostí o problematice chodu ordinace slibovaly komplexní servis a často docházelo k tomu, že lékaři byli vyděšeni záplavou nových povinností a další administrativou spojenou se zpracováním GDPR ve své ordinaci. Překvapilo mne také poměrně značné množství písemného materiálu, který musí být zpracován ke GDPR. Faktem je, že GDPR nám přineslo další množství administrativy a leckdy komplikuje přeposílání odborných zpráv či výsledků pacienta doposud běžně užívaným způsobem. Komplikuje v době dovolených praktických lékařů a jejich zástupů používání „dostupné“ lékařské dokumentace. Vše musí být nyní s příslušným poučením, písemnou dohodou, podepsáním příslušných dokumentů a zapracováním do dokumentace ke GDPR atd. Doufám také, že novela vyhlášky o zdravotnické dokumentaci některé věci vyřeší a nebudeme muset získávat souhlasy pacientů např. na využití jejich e‑mailu. Připadá mi, že se někdy vytrácí zdravý selský rozum a prospěch pacienta je až někde na posledním místě, protože na prvním místě je ochrana jeho osobních údajů.

Grémia majitelů lékáren Pro lékárny, které dodržovaly platný český zákon na ochranu osobních údajů, se tak moc podstatného vlastně neměnilo, a tedy ani nás to nezaskočilo. Největší „práce“ byla s uvedením a nastavením vnitřních předpisů, a tedy procesů s nakládáním osobních údajů do souladu se směrnicí známou pod zkratkou GDPR v oblasti udělení souhlasu se zpracováním a také s jejich odebráním u zákaznických karet. Vzhledem k tomu, že lékárna je zdravotnické zařízení, pracuje jak s osobními, tak s citlivými údaji a procesy nakládání s nimi jsou dobře zažité v praxi.

Zdroj: MT