Jak implementovat GDPR krok za krokem

Jak implementovat GDPR krok za krokem

Černobílé pohledy na GDPR

Ještě minulý rok se odborná veřejnost dělila na dva diametrálně odlišné tábory. Jedna strana byla přesvědčena že Evropská unie „si na nás zase něco zbytečného vymyslela“, případně nakrmila poptávku IT a konzultačních firem a vyhrožuje strachem z vysokých pokut (ve výši až 20 milionů Kč nebo 4 % ročního globální obratu firmy) těm, kdo by nařízení porušili. Druhá strana GDPR bránila s přesvědčením, že je motivováno chvályhodnou potřebou ochránit fyzické osoby před zneužitím jejich osobních údajů, přičemž se jedná o snahu narovnat dlouho zanedbávaný nepoměr mezi jejich masivním využíváním informačními technologiemi a legislativním rámcem, v němž k tomu dochází.

Cílem nařízení je vyvážit přínosy a rizika sběru dat tak, aby se údaje shromažďovaly skutečně jen v případech, pro něž dal dotyčný souhlas, a byly zaznamenány jen po dobu, kdy jsou k tomuto účelu využívány. Mělo by také být zaznamenáno, kdo a kdy s údaji pracoval. Nařízení dále subjektům umožňuje vzít svůj souhlas se zpracováním údajů zpět a opravňuje je k vymazání těchto údajů z databází, pokud už nejsou užívány pro účely, pro něž byly získány. Dodržováním nařízení by se mělo zamezit (polo)automatizovanému předávání velkého objemu dat několika institucím najednou nebo jejich předávání mezi nimi, aniž by dotyčný měl přehled, jak se s nimi nakládá.

Lékaři jako správci či zpracovatelé osobních údajů

Ve své každodenní praxi lékaři pracují s údaji o zdravotním stavu, které podle nařízení spadají pod data zvláštní kategorie, u nichž hrozí vysoké riziko zneužití. Tyto údaje je tedy možné zpracovávat, jen pokud s tím pacient vysloví souhlas nebo je to nutné pro ochranu jeho života či života třetí osoby a sám není fyzicky či právně způsobilý souhlas udělit. Odpovídá to naštěstí současné legislativní úpravě nakládání s osobními daty ve zdravotnictví, zejména pak ustanovení v §§ 53–69 zákona č. 372/2011 Sb., o zdravotních službách a podmínkách jejich poskytování (hlava II Zdravotnická dokumentace), a navazující prováděcí vyhlášce ministerstva zdravotnictví č. 98/2012 Sb., o zdravotnické dokumentaci.

V GDPR je odpovědnost za ochranu osobních údajů uvalena na tzv. správce údajů, případně tzv. zpracovatele údajů. V obou těchto rolích se lékaři při vedení vlastní praxe mohou ocitnout. Správce či zpracovatel musejí zajistit dostatečnou ochranu dat před zneužitím, zacházet s nimi korektním, zákonným a transparentním způsobem. Pacient by měl mít také možnost nechat si své údaje elektronicky přenést k jinému správci. V tomto ohledu je samozřejmě třeba dodržovat povinnost archivace některých informací např. pro potřeby zdravotní pojišťovny.

Co sahá nad rámec české legislativní úpravy, je skutečnost, že správce musí hlásit porušení ochrany údajů Úřadu pro ochranu osobních údajů (ÚOOÚ) a tzv. subjektu údajů, tedy pacientovi, případně jmenovat pověřence pro ochranu osobních údajů. Tato pozice slouží k dohledu nad implementací GDPR a jako konzultační podpora. Jmenování pověřence pro ochranu osobních údajů naštěstí není v případě jednotlivé ambulance vyžadováno, jedná se pouze o doporučení vhodná pro větší ambulantní zařízení. Pověřenec navíc může mít na starosti i několik správců / zpracovatelů údajů.

Metodický postup podle MZ

S nekonkrétností a nejednoznačností nařízení se takříkajíc „za pět minut dvanáct“ vyrovnalo i ministerstvo zdravotnictví a měsíc před platností nařízení vydalo dvě metodiky pro jeho zavádění do podmínek českého zdravotnictví. První se týká zařízení ambulantní péče, druhá pak zařízení lůžkové péče. Rozsah opatření vyplývajících z GDPR je dále určen velikostí zdravotnického zařízení – jiný přístup vyžaduje ordinace s jedním lékařem a jednou sestrou, jiný pak poskytovatelé zdravotnických služeb, na nichž se podílí velké množství zdravotníků. V prvním případě tíha odpovědnosti leží na lékaři samotném, ve druhém na poskytovateli, který případně volí externí zajištění.

Metodika ministerstva zdravotnictví doporučuje implementovat GDPR do ambulantní sféry v následujících krocích:

  • Nejprve je třeba provést inventuru osobních údajů, konkrétně zpracovat katalog osobních údajů a operací, jež se s nimi provádí. Měl by být doplněn o informace o tom, kde jsou uvedené operace dokumentovány a kdo je za ně zodpovědný. Tyto základní dokumenty je třeba v pravidelných intervalech aktualizovat.
  • Poté je nutné zanalyzovat, zda je inventář zpracovávaných údajů a operací v souladu s nařízením GDPR, a zhodnotit, jak jsou v dané ambulanci plněny zásady GDPR. Následovat by měla analýza rizik, která dle ministerstva není nezbytná, pokud jsou osobní údaje zpracovávány na základě platné domácí legislativy, tedy zákona o zdravotních službách a jeho prováděcích předpisů.
  • Na základě výsledku analýzy je třeba přijmout technická a organizační opatření spočívající ve výběru vhodných technických prostředků ochrany osobních údajů (zde je možné vycházet z bezpečnostních norem ISO 27002 a systém řízení nastavit podle normy ISO 27001) a úpravě normativních aktů nastavujících pravidla chování zaměstnanců i pravidla přístupu k údajům a dále upravit veškeré smlouvy o zpracování osobních údajů.
  • Pokud má lékař zaměstnance, je třeba je proškolit a nastavit pravidelnou frekvenci auditů provedených opatření a pravidla aktualizace katalogu údajů a operací. Jestliže lékař nebude sám zodpovědný za ochranu osobních údajů, s nimiž pracuje, je třeba někoho takového – jednotlivce či tým – stanovit. Pro poskytovatele primární péče naštěstí platí výjimka – nemusejí zpracovávat tzv. posouzení vlivu na ochranu osobních údajů, nijak to ovšem nemění skutečnost, že je třeba dbát na ostatní povinnosti vyplývající z GDPR.

Závěr

Lze tedy konstatovat, že GDPR sice od poskytovatelů zdravotní péče vyžaduje jistá procesní, organizační a technická opatření, ale na druhou stranu dává pacientům kontrolu nad tím, jak se s jejich osobními údaji nakládá. Vzhledem k tomu, že se v konečném důsledku jedná o přínos pro všechny zúčastněné, jistě stojí za to o něj usilovat.

(pok)

Zdroje:

1. Mucha C. GDPR: hrozba, nebo pomoc? Practicus 2018; 3: 30.
2. Poulová K. Tajemné GDPR – strašák soukromých lékařů. AM Review 2017; 24: 4–8.  
3. MZ ČR, ÚZIS ČR. Jak implementovat v ambulantní sféře nařízení Evropského parlamentu a Rady 2016/679, o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES do resortu zdravotnictví. Ústav zdravotnických informací a statistiky ČR, Ministerstvo zdravotnictví ČR, 2018. Dostupné na: https://zdravotnickepravo.info/wp-content/uploads/2018/01/gdpr_AMBUL_20180129_metodika_implementace_ambulantni_sfera.pdf

Doporučené odborné články