Nové nařízení Evropské unie účinné od 25. května 2018 o ochraně osobních údajů Doporučujeme nepřijímat nabídky na „kompletní zavedení GDPR v lékařské ordinaci“ ani pozvánky na „odborná školení“. Počátkem roku 2018 bude vydán komplexní materiál obsahující Metodiku pro zavedení GDPR ve zdravotnictví. Ambulantních lékařů se aplikace nového nařízení dotkne jen minimálně.
__
__
GDPR - o co jde?
Evropská rada a Evropský parlament vydaly 27. dubna 2016 nařízení Evropské unie č. 2016/679 týkající se ochrany osobních údajů v členských zemích Evropské unie, které bude přímo aplikovatelné, aniž bude třeba k němu vytvářet nový zákon. Bude tedy nutné podle tohoto nařízení o ochraně osobních údajů postupovat, jinak hrozí citelné sankce. V této souvislosti samozřejmě dojde k zásadní novele dosavadního zákona č. 101/2000 Sb., o ochraně osobních údajů, který bude z velké části – s výjimkou funkcí Úřadu pro ochranu osobních údajů a jeho kompetencí – nahrazen uvedeným nařízením Evropské rady a Evropského parlamentu. Samozřejmě i ve zdravotnictví se pracuje s tzv. citlivými osobními údaji, které budou nově označovány jako „Zvláštní kategorie osobních údajů“, do níž budou patřit veškeré údaje o zdravotním stavu lidí i zdravotní péči o pacienty. Poskytovatelé zdravotních služeb budou tedy povinni jednat podle nového nařízení Evropské unie GDPR od 25. května 2018.
V této souvislosti došlo k obvyklé české zvýšené aktivitě různých soukromých firem, které se hodlají obohatit na nejistotě majitelů českých firem a často i českých lékařů a vnucují své služby, hrozí mnohamilionovými pokutami, které může poskytovatel zdravotních služeb dostat, pokud vše nebude mít do tohoto termínu perfektně zajištěno podle příslušného nařízení, přičemž oni za nemalé poplatky vše dokážou připravit, případně nabízí poměrně drahá školení k obeznámení s předmětným nařízením Evropské unie. K tomu je třeba uvést, že v současné době se problematikou aplikace uvedeného nařízení Evropské unie na podmínky českého zdravotnictví zabývá jak Ministerstvo zdravotnictví ČR, tak Úřad pro ochranu osobních údajů, a zejména Ústav zdravotnických informací a statistiky, který připravuje podrobnou metodickou pomůcku k aplikaci uvedeného nařízení právě pro
oblast zdravotnictví. Přitom ÚZIS v tomto směru úzce spolupracuje s Úřadem pro ochranu osobních údajů a přijatá metodika bude společným dokumentem pracovní skupiny složené z pracovníků Úřadu pro ochranu osobních údajů a ÚZIS. Metodika dosud není ve finální podobě připravena a její vydání lze očekávat počátkem roku 2018. Bude mít deset kapitol, sto osmnáct stran, včetně osmi příloh. V kapitole devět bude poměrně prakticky vyloženo, co bude třeba ze strany poskytovatelů zdravotních služeb jednotlivých kategorií v rámci aplikace GDPR učinit do 25. května 2018, a budou zde také ukázky praktických dokumentů, které v tomto směru bude třeba připravit.
Tato aplikace dosud není hotová a vyvíjí se, přičemž se bude vycházet i ze zhruba 50 výjimek pro zdravotnictví, které předmětné nařízení Evropské unie obsahuje.
Z toho tedy vyplývá, že je naprosto zbytečné v současné době, kdy komplexní metodický materiál o aplikaci uvedeného nařízení na poměry zdravotnictví a poskytovatelů zdravotních služeb se teprve připravuje, činit jakákoli opatření, zejména pověřovat jakékoli soukromé společnosti, aby připravily aplikaci GDPR na podmínky jednotlivých poskytovatelů zdravotních služeb.
Informace náměstka ministra zdravotnictví a zástupkyně ředitele ÚZIS o GDPR na konferenci Společnosti medicínského práva ČLS JEP
Dne 21. listopadu 2017 se konala konference Společnosti medicínského práva České lékařské společnosti Jana Evangelisty Purkyně, která měla jako jeden z bodů programu
i aplikaci GDPR na podmínky českého zdravotnictví. Na konferenci vystoupil náměstek ministra zdravotnictví pro právo a legislativu JUDr. Radek Policar, který sdělil, že vše lze udělat vlastními silami bez externích placených spolupracovníků a prakticky jde o to, „udělat si doma pořádek“, pokud jde o ochranu osobních údajů pacientů. Někteří poskytovatelé zdravotních služeb se již nyní dotazují, zda bude třeba nechat si od každého pacienta podepsat souhlas se zpracováváním osobních údajů – tedy například s vedením zdravotnické dokumentace tak, aby byl k dispozici „souhlas subjektu údajů“ pro jejich zpracování podle GDPR. Takový souhlas samozřejmě v podmínkách zdravotnictví není třeba opatřovat, protože souhlas subjektu údajů není podle nařízení Evropské unie potřebný, pokud je zpracováváním osobních údajů plněna právní povinnost. Vedení zdravotnické dokumentace je právní povinností poskytovatele zdravotních služeb, která vychází jak ze zákona, tak z příslušné vyhlášky č. 98/2012 Sb., o zdravotnické dokumentaci, proto zpracování osobních údajů tak, jak ukládá zákon a prováděcí právní předpis, je pro poskytovatele zdravotních služeb závazné a nemusí (ani nemohou) žádat o souhlas pacienta, tedy subjekt údajů. Jde o něco jiného než například v případě zákazníka v obchodě, který vyplní dotazník, se kterým posléze prodejce nějakým způsobem dále pracuje a k tomu, aby mohl s osobními údaji příslušného zákazníka pracovat, musí mít skutečně jeho písemný souhlas. To však ve zdravotnictví neplatí.
Pro poskytovatele zdravotních služeb tedy nemá smysl seznamovat se s celým předmětným nařízením a jeho aplikací na české poměry (která zdaleka není ještě připravena,
neboť novela zákona o ochraně osobních údajů a dalších právních předpisů, které se vztahují k zavedení GDPR, se teprve připravuje). Lze očekávat i novelu vyhlášky o zdravotnické dokumentaci č. 98/2012 Sb., která se rovněž teprve připravuje. Tedy jakákoli příprava aplikace GDPR na podmínky jednotlivých poskytovatelů zdravotních služeb je v tuto chvíli zbytečná a předčasná! Snad nejdůležitější novinkou je institut pověřence pro ochranu osobních údajů u těch subjektů, které provádí tzv. „rozsáhlé zpracovávání osobních údajů“. Tato skutečnost se zcela jistě nebude týkat tzv. „malých poskytovatelů zdravotních služeb“, typicky tedy poskytovatele, který představuje zpravidla jednoho lékaře a jednu zdravotní sestru. Naproti tomu pověřence pro ochranu osobních údajů budou muset mít nemocnice, avšak může to být jak externista, tak zaměstnanec nemocnice a může plnit samozřejmě i jiné úkoly, než je péče o ochranu osobních údajů, nesmí se však sám podílet na zpracovávání osobních údajů pacientů, které má za úkol kontrolovat a zavádět. Není dosud zcela jasné, zda pověřence pro ochranu osobních údajů bude muset mít například poliklinika, která sice poskytuje ambulantní služby, ale zpracovává osobní
údaje většího množství pacientů, případně některé akciové společnosti nebo společnosti s ručením omezeným, poskytující například jednodenní péči, kdy se na péči podílí již větší počet zdravotnických pracovníků a zpracovává se již více osobních údajů pacientů. Otázka, kdo má a kdo nemá zavádět institut pověřence pro ochranu osobních údajů, bude patrně vyřešena v příslušné metodice, kterou připravuje ÚZIS a bude vydána počátkem roku 2018. Rozhodně je již nyní jasné, že pokud půjde o ordinaci jednoho lékaře a jedné zdravotní sestry, pověřence mít nemusí. Naproti tomu je stejně tak jasné, že nemocnice pověřence bude muset mít.
Aplikaci GDPR na podmínky českého zdravotnictví a vydání příslušné metodiky řídí v ÚZIS zástupkyně ředitele JUDr. Mgr. Vladimíra Těšitelová, která rovněž na konferenci Společnosti medicínského práva ČLS JEP vystoupila a sdělila, jaký je stav přípravy této metodiky, jak bude tato metodika vypadat, včetně ukázky praktických dokumentů a smluv, které budou poskytovatelé zdravotních služeb v některých případech muset uzavřít, přičemž tento metodický materiál bude dílem pracovní skupiny složené jak ze zástupců Úřadu pro ochranu osobních údajů, tak ÚZIS a Ministerstva zdravotnictví ČR a lze jej považovat za naprosto seriózní podklad k tomu, co jednotliví poskytovatelé zdravotních služeb budou muset udělat do 25. května 2018 v rámci aplikace GDPR – nařízení Evropské rady a Evropského parlamentu o ochraně osobních údajů.
Je třeba počkat na vydání metodiky
Lze tedy poradit všem poskytovatelům zdravotních služeb, aby vyčkali na vydání příslušné metodiky, kterou vydá ÚZIS ve spolupráci s Ministerstvem zdravotnictví ČR, Úřadem pro ochranu osobních údajů, případně s dalšími dotčenými orgány a organizacemi a která by měla obsahovat podrobné konkrétní informace, co je třeba v rámci aplikace GDPR u jednotlivých typů poskytovatelů zdravotních služeb zabezpečit. Připomínám radu náměstka ministra zdravotnictví pro právo a legislativu ve smyslu, že nepůjde o nic jiného než „udělat si doma pořádek“ a vše lze zajistit vlastními silami bez placené pomoci externích firem.
Zdroj: JUDr. Jan Mach, ředitel právní kanceláře ČLK