GDPR

GDPR – z anglického: General Data Protection Regulation je všeobecně používaný a kratší název pro „Nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (Obecné nařízení o ochraně osobních údajů)“. Účinnost nařízení byla  stanovena na 25. května 2018.

V současné době na úrovni EU působí Evropský sbor pro ochranu osobních údajů (EPDB), který již vydal několik výkladových stanovisek k jednotlivým článkům GDPR a vodítka pro posouzení vlivu na ochranu osobních údajů. EPDB je evropským poradním orgánem na ochranu údajů a soukromí.

GDPR je obecné nařízení, jehož účinnost nastává automaticky v plném rozsahu s výjimkou ustanovení, kdy je členským státům umožněno upravit si je na vnitrostátní úrovni zákony, resp. legislativními akty. Těchto výjimek  je relativně mnoho, zejména pro resort zdravotnictví. GDPR je právní předpis, který představuje jeho přímou aplikovatelnost na všechny fyzické a právnické osoby, aniž by byla nutná implementace do národních právních řádů. GDPR je právním předpisem, který má celosvětový dopad, neboť se vztahuje na všechny subjekty, které nakládají s osobními údaji občanů EU nebo mají sídlo na území EU. Vztahuje se nejen na správce, ale i na zpracovatele osobních údajů. Ukládá povinnosti všem subjektům, které se na nakládání s osobními údaji podílí; sankce jsou pak uplatňovány ve vztahu ke každému takovému subjektu.Odpovědnost za ochranu osobních údajů leží pouze a jedině na správci či zpracovateli osobních údajů. Ani vydané osvědčení souladu sGDPR nezbavuje správce či zpracovatele jejich odpovědnosti.

Směrnice GDPR je charakteristická tím, že velmi podrobně specifikuje:

1. pojem „osobní údaje“
2. povinnosti při práci s osobními údaji
3. práva vlastníků osobních údajů
4. sankce za porušování povinností při nakládání s osobními údaji

Povinnost řídit se GDPR mají všechny subjekty, které s osobními údaji pracují. Vztahuje se to tedy samozřejmě i na zdravotnická zařízení všech typů. Zdravotnická zařízení jsou navíc specifická tím, že pracují s osobními údaji, které jsou velmi citlivé a intimní a kterých zneužití může mít velmi dramatické důsledky osobní i právní. Proto je nutné ve zdravotnických zařízeních dobře nastavit ochranu osobních údajů v souladu s GDPR.

MZ ČR zpracovalo v roce 2018 dvě metodiky pro implementaci GDPR, obě jsou dostupné na internetu (viz odkazy níže). První směrnice zpracovává všeobecné informace o implementaci GDPR ve zdravotnictví, druhá směrnice za zaměřuje na ambulantní sektor.

https://www.uzis.cz/res/file/gdpr/jak-implementovat-gdpr-ve-zdravotnictvi.pdf

https://www.uzis.cz/res/file/gdpr/jak-implementovat-gdpr-v-ambulantni-sfere.pdf

Také existuje celá řada firem, která nabízí pro zdravotnická zařízení buď pomoc s implementací GDPR nebo kompletní servis spojený s touto směrnicí.

Vzhledem k tomu, že podrobné instrukce ohledně GDPR ve zdravotnictví v ČR jsou dostupné, níže jenom velmi stručně uvádíme základní informace.

Jako základní vodítko pro implementaci GDPR může sloužit deset bodů:

1. Katalog osobních údajů

Je potřebné zpracovat katalog osobních údajů, tj. jaké údaje a v jakém rozsahu jsou zpracovány a také je důležitý účel a rozsah zpracování údajů. Je nutné v tomto kroku provést jistou formu inventury, je možné zjištění, že jsou vedeny údaje, které nejsou nezbytné nebo jsou některé údaje vedeny v rozsahu, který není adekvátní k danému účelu.

Dle GDPR se „osobními údaji” rozumí veškeré informace o identifikované nebo identifikovatelné fyzické osobě co je každá fyzická osoba, kterou lze přímo či nepřímo identifikovat, zejména odkazem na určitý identifikátor, například jméno, identifikační číslo, lokační údaje, síťový identifikátor nebo odkazem na jeden či více zvláštních prvků fyzické, fyziologické, genetické, psychické, ekonomické, kulturní nebo společenské identity této fyzické osoby. Jinými slovy, vše, z čeho lze usuzovat na konkrétní fyzickou osobu je osobním údajem.

2. Katalog operací zpracování osobních údajů

Je potřebné zpracovat jednoduchý přehled operací, které jsou  s údaji v provozu prováděny. Katalog operací může být spojen s katalogem osobních údajů, může být i samostatným dokumentem. Úkolem této operace je zjištění, jaké údaje jsou zpracovávány a proč.

3. Analýza připravenosti na GDPR a prokázání souladu s GDPR

Tento krok vede k jednoduchému rozboru, zda všechny údaje vedené a způsob jejich vedení odpovídají ustanovení GDPR, event. zda nejsou ohrožena práva a svobody subjektů údajů. Zde se již pohybujeme v nových výrazech či pojmech, které GDPR zavádí. Jedním z nich je posouzení vlivu na ochranu osobních údajů. GDPR jasně definuje, že posouzení vlivu se provádí v momentě, kdy je evidentní vysoké riziko pro práva a svobody subjektu údajů. Analýza požadovaná v tomto bodě by tedy měla vést k jednoduchému dokumentu, který pojmenovává slabá místa, kde může dojít k problémům se zpracováním osobních údajů; s tímto rozborem provázat přijatá opatření, která riziko minimalizují.

4. Jasně zavedená agenda přístupů k osobním údajům

Je nutné jasně pojmenovat osoby, které mají přístup k osobním údajům a jak je přístup zajištěn. Tuto agendu je dobré zavést nejlépe formou jakési vnitřní směrnice či postupu (stačí jedna stránka či tabulka). Je nutné nezapomenout na „obyčejná“ opatření, ke kterým patří například i zamykání ordinací či natočení monitoru tak, aby nebylo možné sledovat zobrazené údaje nepovolanými osobami, apod.

5. Proškolení osob

Je potřebné mít dokumentováno,, že osoby, které mají přístup k osobním údajům a pracují s nimi, byly řádně proškoleny, resp. poučeny – co dělat mají a co nesmí. Ideální je nechat toto poučení danými pracovníky podepsat – zejména tam, kde je takových osob více a může hrozit selhání lidského faktoru.

6. Technická a organizační opatření

Z pohledu GDPR je nutné mít přijatá technická a organizační opatření, aby nedošlo k nesprávné manipulaci s osobními údaji. Opět je možné tato opatření uvést do jednoduchých výše popsaných dokumentů, které popisují soulad s GDPR.

7. Řádně podepsaná smlouva s IT dodavateli

Smlouva vymezující povinnosti dodavatelů v zabezpečení IT systémů a v ochraně přístupů by měla obsahovat kapitolu o zpracování osobních údajů. Stačí i dodatek, je-li již původní smlouva uzavřena na delší období.

8. Srozumitelná informace pro pacienty

Jde o jednoduchý a jasný dokument, který pacienta informuje, že dané pracoviště řádně postupuje a osobní data chrání, informace by měla stručně shrnovat výše uvedené dokumenty a opatření, zejména s odkazem, že osobní údaje jsou zpracovávány na základě zákona.

9. Informovaný souhlas

Informovaný souhlas se netýká běžného provozu a poskytování zdravotních služeb, které jsou stanoveny zákonem, je však nezbytný zejména v případě zapojení do výzkumu, klinických studií či jakýchkoli aktivit a zpracování dat, které nesouvisejí s vlastním poskytováním péče.

10. Pravidelná kontrola a aktualizace

U všech výše uvedených bodů a kroků je třeba myslet na pravidelnou kontrolu a aktualizace, zejména u vedené dokumentace a školení. Doporučuje se alespoň jednou ročně, a samozřejmě dle potřeby v případě změn (např. při nástupu nového zaměstnance, při změně dodavatele, při změnách legislativy, apod.).