+420 541 210 068 info@eurozahn.cz

Zásadní změny právní ochrany osobních údajů aneb GDPR v praxi zubních lékařů


O GDPR obecně

General data protection regulation (GDPR) je nařízení Evropského parlamentu a Rady EU, které přináší přímo do českého právního řádu od 25. května 2018 zásadní změny v oblasti právní ochrany osobních údajů fyzických osob. Tyto změny dopadají významným způsobem také na zubní lékaře, kteří vždy zpracovávají osobní údaje minimálně v podobě zdravotnické dokumentace svých pacientů a mají tak povinnost nastavit ve svých ordinacích nové standardy jejich ochrany. Chráněny však nejsou jen osobní údaje pacientů, ale také zaměstnanců či obchodních partnerů, pokud jsou fyzickými osobami. Splnění požadavků GDPR nebude ničím komplikovaným u těch správců údajů, kteří se již řídili zákonem č. 101/2000 Sb., o ochraně osobních údajů a zákonem č. 372/2011 Sb., o zdravotních službách. Přesto u všech subjektů doporučujeme řádné nastavení ochrany včas konzultovat s odborníky (autor článku komplexní poradenství poskytuje), neboť za porušení povinností hrozí ze strany Úřadu pro ochranu osobních údajů vysoké pokuty až do výše 4 % ročního obratu lékaře.

Osobní údaje chráněné GDPR

Osobními údaji jsou ve smyslu GDPR veškeré informace o fyzické osobě (pacientovi), díky kterým ji lze přímo či nepřímo identifikovat, např. skrze jméno, příjmení, rodné číslo, adresu, telefon či informaci o zdravotním stavu. Údaji o zdravotním stavu pacienta jsou osobní údaje týkající se tělesného nebo duševního zdraví fyzické osoby, včetně údajů o poskytnutí zdravotních služeb, které vypovídají o zdraví pacienta. GDPR přiznává údajům o zdravotním stavu zvýšenou ochranu pro jejich značnou citlivost. Zubní lékař nepotřebuje k zpracování údajů o zdravotním stavu výslovný souhlas na rozdíl od jiných subjektů, neboť mu svědčí výjimka – zmocnění vyplývající přímo ze zákona o zdravotních službách. K zpracování jiných osobních údaje, které nejsou nezbytné pro poskytování zdravotních služeb (např. za účelem marketingu), je nutný výslovný souhlas pacienta.

Povinnosti zubního lékaře vyplývající z GDPR

Osobní údaje musí být zpracovány korektním, zákonným a transparentním způsobem. GDPR stanovuje nově celou řadu práv a povinností. Uvádíme proto jen ty nejzásadnější. Zubní lékař je povinný především informovat pacienta o tom, jaké osobní údaje o něm bude zpracovávat, za jakým účelem, po jak dlouhou dobu a komu je dále poskytne (např. obchodním partnerům). Musí vést řádně zdravotnickou dokumentaci, vyžadovat pouze takové údaje, které souvisejí s léčbou pacienta a tyto získané údaje náležitě chránit pomocí vhodných technických a organizačních opatření, např. prostřednictvím uzamykatelné kartotéky umístěné v zabezpečené místnosti či dostatečně bezpečného softwaru pro správu elektronické karty pacienta s vhodně nastavenými oprávněními k přístupu. Zubní lékař by si měl ověřit u poskytovatele softwaru, zda užívaná elektronická kartotéka odpovídá požadavkům GDPR, zda je software dostatečně zabezpečený např. šifrováním a tzv. pseudonymizací dat. Ke zpracování všech osobních údajů musí mít zubní lékař právní důvod, kterým je v jeho případě poskytování zdravotní péče či služeb. Dále musí lékař zabezpečit, aby získané osobní údaje pacienta nebyly zpracovány k jinému než legitimnímu účelu, tj. poskytování zdravotních služeb. Nově musí být správce údajů – zde zubní lékař, schopen doložit, že osobní údaje dostatečně chrání a náležitě užívá. Tyto skutečnosti lze doložit díky dodržování kodexů chování podle čl. 40 nařízení. Pacient může také nově požadovat potvrzení lékaře o tom, jaké údaje o něm zpracovává a jakým způsobem. Další povinností správce údajů je například ohlásit Úřadu pro ochranu osobních údajů porušení zabezpečení údajů – neoprávněný únik údajů.

Poskytování osobních údajů pacienta obchodnímu partnerovi

GDPR neomezuje možnost zubního lékaře poskytnout potřebné osobní údaje svým obchodním partnerům, pacient však musí být na tuto možnost předem upozorněný, ať už v rámci poskytnutí obecných informací o zpracovávaných údajích nebo i později zvlášť, ale ještě před jejich předáním zpracovateli. K tomu se navíc nabízí možnost poskytovat pouze tzv. pseudonymizované údaje, které neumožňují přímou identifikaci pacienta. Obchodnímu partnerovi tak lze zpřístupnit např. pouze otisk zubů označený přiřazeným identifikačním číslem, a to bez jména či rodného čísla.

Zubní lékař jako správce údajů odpovídá za výběr vhodného zpracovatele (obchodního partnera), který musí zaručovat naplnění požadavků GDPR a měl by s ním uzavřít rámcovou smlouvu, která určí, jakým způsobem má zpracovatel s údaji nakládat.

Nová právní úprava tak obchodní spolupráci zubního lékaře se společností EUROZAHN s. r. o. nebrání; navíc tato společnost již proces posuzování ochrany osobních údajů podle GDPR absolvovala, veškeré požadavky nové právní úpravy řádně splňuje a svou smluvní dokumentaci tomuto přizpůsobila tak, aby mohla legálně zpracovávat pseudonymizované osobní údaje pro své zákazníky na základě jednoduchých rámcových smluv.

Dopady změn na praxi zubních lékařů

GDPR klade na zubní lékaře nové požadavky, které mají přispět k zásadnímu zlepšení úrovně ochrany soukromí fyzických osob a může být impulzem k revizi shromažďovaných osobních údajů a zhodnocení míry jejich zabezpečení. GDPR je možné vnímat jako příležitost přizpůsobit zubní ordinaci novodobým potřebám zejména v oblasti IT.  Zubní lékaři by proto měli provést analýzu ochrany osobních údajů jak po právní stránce, tak i po stránce technické (kartotéky, hardware, software) a učinit potřebná opatření, aby naplnili nové požadavky ochrany, a to ve vztahu k pacientům, zaměstnancům i obchodním partnerům. Měli by zvážit, které osobní údaje nutně potřebují a pouze tyto zpracovávat. Rozhodně by měli pacientům poskytovat informace o zpracování osobních údajů (vzor zdarma na internetových stránkách www.petrholub.cz). Pokud zubní lékař osobní údaje pacientů dále poskytuje obchodním partnerům, musí o takovém postupu pacienta informovat, mít uzavřenou rámcovou smlouvu s obchodním partnerem a zároveň mít jistotu, že obchodní partner splňuje podmínky GDPR.

Výše uvedené informace nejsou vyčerpávající a představují pouze uvozující náhled na problematiku právní ochrany osobních údajů v kontextu GDPR.

JUDr. Petr Holub,

Advokát působící v oblasti GDPR

www.petrholub.cz, info@petrholub.cz



Zobrazit všechny články

Máte ještě nějaké otázky?

Napište nám zprávu nebo nám zavolejte. Jsme tu pro vás!

Kontaktujte nás