Právní aktuality

GDPR a zdravotnictví v praxi – otázky a odpovědi




12. 12. 2018 | Uplynulo již více než půl roku od chvíle, kdy vstoupilo v účinnost nařízení Evropského parlamentu a Rady (EU) 2016/679 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů. V tomto článku se budeme věnovat zejména tomu, jak tzv. GDPR (General Data Protection Regulation) funguje v praxi, blíže se však podíváme i na některé doposud sporné otázky, které se v souvislosti s novou úpravou nabízejí, a to zejména v oblasti zdravotnictví. Úvodem bychom rádi připomněli, jaké zásadní změny nám nová evropská úprava přinesla. Celkově vzato je v rámci nařízení kladen důraz zejména na právo fyzických osob být řádně informován o svých právech v oblasti ochrany osobních údajů. Dalším důležitým aspektem je právo vznést námitku proti zpracování osobních údajů, jakožto i tzv. právo být zapomenut, díky kterému může fyzická osoba požadovat, aby byly jeho osobní údaje vymazány v případě, že není dán žádný právní důvod pro jejich další uchování a zpracování. S výše uvedeným se pojí i rozsah pojmu „osobní údaje“. Nařízení pod tento pojem nově výslovně zařazuje i např. e-mailovou adresu, IP adresu či soubory cookie. Zvláštní kategorií osobních údajů jsou údaje genetické a biometrické, jejichž zpracování je podrobeno přísnějšímu režimu než ostatní.

V návaznosti na novou právní úprava se však začínají objevovat i nejasnosti ohledně rozsahu práv, resp. povinností v oblasti osobních údajů. Velké množství otázek se objevilo zejména v souvislosti s poskytováním zdravotních služeb, jelikož i ve spojení s lékařským ošetřením dochází ke zpracování osobních údajů. Nejčastějšími dotazy a nejasnostmi se zabýval mimo jiné Úřad pro ochranu osobních údajů (ÚOOÚ), který se věnoval např. předáváním zdravotnické dokumentace a s tím spojeným předáním některých osobních údajů. ÚOOÚ zde upozorňuje zejména na to, že GDPR nemá dopad na všechny procesy v této oblasti, např. při předávání zdravotnické dokumentace poskytovatele jinému, pacientem určenému poskytovateli, k žádným změnám nedochází, jelikož toto předání stále podléhá pouze a jenom úpravě obsažené v zákoně o zdravotních službách. S tím souvisí i stále trvající právo zdravotních pojišťoven na vyžádání detailní zdravotnické dokumentace, ale kupříkladu i právo Státního ústavu pro kontrolu léčiv a obdobných subjektů vyžadovat údaje ze zdravotnické dokumentace. Právo těchto subjektů na přístup k osobním údajům v rozsahu a způsobem stanoveným zákonem zůstává nedotčeno.

Často diskutovanou otázkou spojenou se zdravotnickou dokumentací je, zda má pacient právo na výmaz osobních údajů ze zdravotnické dokumentace. V tomto případě však platí, že právo na výmaz osobních údajů se neuplatní, pokud je nezbytné pro poskytování zdravotních služeb. Osobní údaje uvedené ve zdravotnické dokumentaci totiž stále podléhají režimu zákona o zdravotních službách a příslušné vyhlášce Ministerstva zdravotnictví, jež upravuje i dobu, po kterou má být dokumentace (a v ní uložené osobní údaje) uchována.

Nejistota spojená s novou úpravou však přinesla i otázku, zda jsou lékaři, příp. zdravotní sestry v ambulancích stále oprávněni „vyvolávat“ pacienty podle jejich příjmení. ÚOOÚ k tomu uvádí: „Praxe volání pacientů podle příjmení v čekárně není v rozporu s GDPR. Existují však oddělení, jako je venerologická ambulance nebo infekční oddělení, kde existuje riziko diskreditace, tedy spojení jména s choulostivými informacemi. V těchto případech je nutno zavést postupy vedoucí ke zvýšené ochraně osobních údajů pacientů. Je odpovědností správce, aby pečlivě uvážil vhodný režim pracoviště a jaká technická a organizační opatření přijme a zavede.“ V některých případech by tedy měl poskytovatel zdravotních služeb jakožto správce osobních údajů uvážit, zda není vhodné zavést diskrétnější vyvolávací systém např. prostřednictvím lístků s pořadovými čísly (zde pouze pro úplnost uvádíme, že toto pravidlo platilo již za účinnosti předchozí úpravy). Poslední často diskutovaným tématem je problematika sdělení diagnózy pacientovi za přítomnosti dalších osob, zejména tedy pokud se pacient nachází vícelůžkovém pokoji. Úřad tuto možnost nevylučuje, klade přitom však důraz na soukromí pacienta. Sdělení diagnózy v přítomnosti např. dalšího pacienta je tedy v souladu s GDPR, úřad však k tomuto uvádí, že při tomto aktu by neměly být přítomny další nepovolané osoby, které nejsou pacienty a zároveň nejsou zaměstnány u daného poskytovatele zdravotních služeb.

KMVS, advokátní kancelář, s.r.o.