Ochrana osobních údajů

Zpracování osobních údajů pacientů v souvislosti s vedením účetnictví

• kod diagnozy pacienta nepatří na fakturu
• Faktura se zakládá do účetnictví
• Splňuje i bez kódu diagnózy pacienta náležitosti daňového dokladu
• Kód diagnózy pacienta na faktuře
• Ohrozil bezpečnost zpracovaných osobních údajů
• Faktura se stává součástí účetnictví s přístupem třetích osob
• Informaci o kódu diagnózy pacienta použil k jinému účelu, než ke kterému byla shromážděna (čj. SPR-0496/10)

Nakládání se zdravotnickou dokumentací

• Zdravotnickou dokumentaci
• Obsahuje osobní údaje pacienta v rozsahu nezbytném pro
• Identifikaci pacienta
• Zjištění anamnézy
• Informace o onemocnění pacienta
• O průběhu a výsledku vyšetření
• Léčení
• Dalších významných okolnostech souvisejících se zdravotním stavem
• S postupem při poskytování zdravotní péče
• § 67b odst. 9 zákona č. 20/1966 Sb. zvláštním zákonem, kterým je zákon č. 101/2000 Sb.
• údaje obsažené ve zdravotnické dokumentaci jsou nepochybně osobní údaje ve smyslu § 4 písm. a) zákona č. 101/2000 Sb.
• Správce osobních údajů svých pacientů ve smyslu § 4 písm. j) zákona č. 101/2000 Sb.
• Povinen přijmout taková opatření, aby nemohlo dojít k
• Neoprávněnému nebo nahodilému přístupu k osobním údajům
• K jejich změně
• Zničení či ztrátě
• Neoprávněným přenosům
• Jinému neoprávněnému zpracování
• Jinému zneužití osobních údajů
• K jinému účelu pouze pokud k tomu dal subjekt údajů předem souhlas
• Je nezbytné disponovat souhlasem osoby, které se předmětná dokumentace týká, s jejím předáním třetí osobě

Podmínky zpracování citlivých údajů

• Správce povinen stanovit účel zpracování osobních údajů
• účel zpracování nemůže být stanoven naprosto libovolně
• Zcela nepřípustné, aby jakýkoli státní orgán svévolně rozšiřoval své kompetence vymezené právními předpisy, a bez řádné opory v zákoně zřídil a provozoval informační systém sdružující rozsáhlé množství osobních a dokonce i citlivých údajů
• Bez vědomí či souhlasu dotčených jedinců
• Správce osobních údajů povinen zpracovávat osobní údaje pouze
• se souhlasem subjektu údajů
• https://www.uoou.cz/podminky%2Dzpracovani%2Dcitlivych%2Dudaju/d-1767v případech uvedených v § 5 odst. 2 písm. a) až g) zákona č. 101/2000 Sb. Podle § 9 zákona č. 101/2000 Sb.

Zdravotnictví – vedení zdravotnické dokumentace a zpracování osobních údajů

• Zdravotnické zařízení, tedy i lékař se soukromou praxí
• Povinnost vést zdravotnickou dokumentaci, která obsahuje též osobní údaje pacienta včetně údajů citlivých.
• Podle § 67b odst. 9 zákona č. 20/1966 Sb. - č. 101/2000 Sb.
• Povinnosti stanovené v § 5 odst. 1 písm. f) zákona č. 101/2000 Sb.
• Lze zpracovávat osobní údaje pouze v souladu s účelem, ke kterému byly shromážděny, pokud zvláštní zákon nestanoví jinak
• Za předpokladu, že mu zvláštní zákon, tedy zákon č. 20/1966 Sb., neumožňuje jiný postup
• Osoby, oprávněné nahlížet do zdravotnické dokumentace
• Taxativně vyjmenovány v § 67b odst. 10 zákona č. 20/1966 Sb
• V případě změny ošetřujícího lékaře
• Dosavadnímu ošetřujícímu lékaři stanoví povinnost předat nově zvolenému všechny informace potřebné pro zajištění návaznosti poskytování zdravotní péče
• žádný právní předpis který opravňoval lékaře k zaslání dokumentací pacientů třetí osobě
• Byť je s nimi v příbuzenském vztahu
• V souladu s účelem, tedy s druhem a rozsahem péče poskytované výdejnou prostředků zdravotnické techniky
• K jakémukoli jinému účelu zpracování osobních údajů je nutný souhlas subjektu údajů
• Skutečnost, že provozovatel zdravotnického zařízení je současně i výrobcem nebo distributorem zdravotnických prostředků
• Neopravňuje tohoto provozovatele k využívání osobních údajů shromážděných v souvislosti s provozem zdravotnického zařízení k nabídce svých výrobků.

• Návody a informace, dodávané spolu se zdravotnickým prostředkem, musejí být osobám používajícím tyto prostředky vždy znovu dostupné, pokud o ně z jakéhokoli důvodu požádají
• Nelze spatřovat oporu pro zasílání nevyžádaných informací a nabídek na zdravotnické prostředky
• Obzvláště když od doby, kdy adresát nabídky předmětné zdravotnické prostředky používal, uplynuly více než dva roky

• Zdravotní pojišťovna je oprávněna kontrolovat využívání a poskytování zdravotní péče hrazené ze zdravotního pojištění
• I prostřednictvím informačních dat v rozsahu stanoveném zákonem
• Používání údajů z informačního systému zdravotní pojišťovny pro vlastní potřebu je podle § 21 odst. 2 zákona č. 280/1992 Sb., o resortních, oborových, podnikových a dalších zdravotních pojišťovnách, jejím výhradním právem.
• Včetně nezbytné součinnosti zdravotnického zařízení
• Povinnost předkládat požadované doklady, sdělovat údaje a poskytovat vysvětlení
• Zasláním listiny obsahující údaje o pojištěnci z informačního systému zdravotní pojišťovny statutárnímu orgánu smluvního zdravotnického zařízení nedochází k porušení povinností správce osobních údajů stanovených zákonem č. 101/2000 Sb., o ochraně osobních údajů a o změně některých zákonů, zejména pak § 5 odst. 1 písm. f)
• neboť zpracování osobních údajů je stanoveno zvláštním zákonem, který je v poměru speciality vůči zákonu č. 101/2000 Sb. a předmětný způsob zpracování umožňuje. ( čj. 25/03-OSR )

K nakládání se zdravotnickou dokumentací v souvislosti se změnou ošetřujícího lékaře

• Lékař, povinen přijmout taková opatření, aby nemohlo dojít k
• Nahodilému přístupu k osobním údajům ve zdravotnické dokumentaci obsažených
• Povinen sám vyhodnotit rizika
• Stanovit prostředky a způsob ochrany osobních údajů, které zpracovává
• Lékař porušil povinnost (při změně oš. lékaře)
• Předáním dat jednomu z pacientů v místě bydliště a nepřijal nezbytná opatření, aby nedošlo k nahodilému přístupu k těmto osobním údajům, k jejich ztrátě či zničení
• V případě změny ošetřujícího lékaře:
• Povinnost ošetřujícímu (registrujícímu) lékaři při převzetí do péče
• Vyplnit registrační list
• Současně si vyžádat od předchozího registrujícího lékaře informace potřebné k zajištění návaznosti zdravotní péče
• Předchozí registrující lékař je povinen novému registrujícímu lékaři tyto informace předat písemně

• Předat výpis ze zdravotnické dokumentace v zapečetěné obálce prostřednictvím soudu není standardní
• By bylo možno realizovat pouze se souhlasem dotčeného subjektu údajů
• tedy musí se jednat o jeho výslovný souhlas

K zabezpečení osobních údajů zpracovávaných v rámci zdravotnické dokumentace

• Bez ohledu na to, jedná-li se o osobu právnickou nebo fyzickou osobu podnikající
• Vyhodnocení všech rizik předmětného zpracování osobních údajů, v návaznosti na konkrétní organizaci zpracování a okolnosti, za nichž ke zpracování dochází
• Přijetí a provedení odpovídajících opatření
• Pro každou ojedinělou operaci s osobními údaji, případně s jejich nosiči, která vybočuje z běžné činnosti správce nebo zpracovatele
• Přeprava písemností (zdravotnické dokumentace) na jiné místo
• Předávání jiným subjektům
• Skartace písemností uchovávaných v archivu
• rizikem odcizení dokumentace nebo jiných nosičů, tedy i osobních údajů, které obsahují

K souhlasu se zpracováním citlivých osobních údajů

• Za výslovný souhlas podle § 9 písm. a) zákona č. 101/2000 Sb. lze považovat pouze takový právní úkon, kterým
• Subjekt údajů výslovně svoluje ke zpracování svých citlivých osobních údajů
• Nejpozději současně s udělením souhlasu informován o tom,
• Pro jaký účel zpracování
• K jakým osobním údajům je souhlas dáván
• Jakému správci
• Na jaké období
• Správce osobních údajů je dále povinen
• Předem subjekt údajů poučit o jeho právech podle § 12 a 21 zákona č. 101/2000 Sb.
• Právu přístupu ke zpracovávaným informacím
• Právech subjektu údajů v případě, kdy se domnívá, že zpracování není prováděno v souladu se zákonem
• Uvedené informace nemusejí být zahrnuty přímo do textu souhlasu se zpracováním osobních údajů
• Je povinen existenci souhlasu, tj. řádně informovaného souhlasu, prokázat po celou dobu zpracování.
• Nezletilé osoby
• Nezbytné požadovat souhlas zákonného zástupce
• Mladistvým osobám (tj. ve věku od patnácti do osmnácti let) by již bylo možné způsobilost k souhlasu se zpracováním osobních údajů přiznat
• pouze za předpokladu, že by tomuto úkonu předcházelo poskytnutí zákonem č. 101/2000 Sb. požadovaných informací, formulovaných způsobem, kterému by byli mladiství schopni bez problému porozumět

Bezpečnost Informačního systému nemocnic?

• V rámci vymáhání náhrady škody vzniklé při léčbě poškozené pacientky byly předloženy informace pořízené neoprávněně z nemocničního informačního systému.
• žena, po které pojišťovna vymáhala úhradu léčebných nákladů, použila informace z nemocničního informačního systému obsahující osobní údaje a citlivé údaje poškozené pacientky
• že tato žena současně pracuje v příslušné nemocnici na úseku, který komunikuje s jednotlivými zdravotními pojišťovnami za nemocnici
• že si v rozporu s obecnou povinností nakládání se zdravotnickou dokumentací podle zákona o péči o zdraví lidu a obecnou povinností upravenou zákonem o ochraně osobních údajů vyhledala a následně vytiskla informace ze zdravotní dokumentace
• Nemocnice nebyla schopna zpětně vyhledat a doložit informace o osobách, které nahlížely prostřednictvím IT systému do databáze pacientů a do jednotlivých zdravotnických dokumentací
• Nemocnice nesplnila povinnost uloženou jí zákonem o ochraně osobních údajů
• Aby takové oprávněné osoby měly přístup pouze k osobním údajům odpovídajícím stanoveným oprávněním
• Nemocnice nezajistila logování, čímž porušila povinnost uloženou zákonem o ochraně osobních údajů
• umožnila zneužití osobních údajů bez možnosti jejich následného dohledání

Předávání zdravotnické dokumentace

• Dětská lékařka při předávání zdravotnické dokumentace novému lékaři využila přepravní službu, která na základě smlouvy převáží zdravotnické laboratorní vzorky mezi krajskou nemocnicí a jednotlivými lékaři
• Zdravotní dokumentaci ponechala na místě, odkud si běžně přebíral zásilky pracovník firmy zajišťující jejich převoz
• Aniž požadovala potvrzení o převzetí
• Zásilková společnost má uzavřenu smlouvu pouze s krajskou nemocnicí, a to na převoz zdravotnického materiálu a laboratorních vzorků
• Běžnou praxí se stalo využívání převozní služby i pro předávání lékařské korespondence mezi všemi lékaři ve městě.
• Došlo k nedodržení povinnosti uložené správci osobních údajů přijmout taková technicko-organizační opatření, aby
• Nemohlo dojít ani k nahodilé ztrátě osobních údajů
• obecnou povinnost upravenou v zákoně o ochraně osobních údajů

Je rodné číslo v ČR citlivým údajem podle § 4 písm. b) zákona o ochraně osobních údajů?

• Rodné číslo není ve výčtu citlivých údajů uvedeno, nelze jej považovat za citlivý údaj
• Je však nepochybně osobním údajem ve smyslu podle § 4 písm. a) zákona o ochraně osobních údajů
• úprava jeho využití je upravena v zákoně č. 133/2000 Sb., o evidenci obyvatel a rodných číslech a o změně některých zákonů.
• Za citlivý údaj je považován údaj:
• Vypovídající o národnostním, rasovém nebo etnickém původu
• Politických postojích
• členství v odborových organizacích
• Náboženství
• Filozofickém přesvědčení
• Odsouzení za trestný čin
• Zdravotním stavu
• Sexuálním životě subjektu
• Genetický údaj
• Biometrický údaj, který umožňuje přímou identifikaci nebo autentizaci
• zvýšený důraz na jejich ochranu při jejich zpracování dle zákona o ochraně osobních údajů.

Na jaké činnosti Obecné nařízení nedopadá?

• Z působnosti Obecného nařízení jsou vyloučeny činnosti fyzické osoby [viz článek 2 odst. 2 písm. c) Obecného nařízení], při kterých jsou zpracovávány osobní údaje výlučně pro osobní či domácí činnost.

Jaké jsou podmínky udělení souhlasu se zpracováním osobních údajů?

Aby bylo možné dosáhnout svobodnosti, konkrétnosti, informovanosti a jednoznačnosti projevu vůle subjektu údajů, stanovuje Obecné nařízení v článku 7 podmínky vyjádření souhlasu. Zásadní je tzv. odlišitelnost souhlasu, což znamená, že souhlas musí být odlišen od jiných skutečností, ke kterým se subjekt údajů vyjadřuje. Pro názornost, souhlas tak musí být oddělený např. od smlouvy či obchodních podmínek, resp. již není možné, aby byl jejich nedílnou součástí. Zároveň nesmí být uzavření smlouvy (např. na službu) podmiňováno poskytnutím souhlasu se zpracováním osobních údajů. Je však samozřejmé, že v závislosti na službě či výrobku bude správce muset zpracovávat (bez souhlasu) určité množství osobních údajů subjektu údajů právě pro účely plnění smlouvy či plnění zákonem stanovené povinnosti.
Je souhlas odvolatelný?
Subjekt údajů má právo svůj souhlas kdykoli odvolat. Odvoláním není dotčena zákonnost zpracování vycházejícího ze souhlasu, který byl dán před jeho odvoláním. Je nutné si uvědomit, že souhlas byl dáván k určitým účelům a odvolání souhlasu nemusí vždy představovat pro správce povinnost osobní údaje zlikvidovat, ale bude představovat pro správce pouze povinnost přestat osobní údaje zpracovávat pro určitý účel, ke kterému byl souhlas udělen. Stejně tak i v případě, kdy správce použil souhlas pro případy, kdy mu svědčí jiný právní důvod zpracování osobních údajů, neznamená odvolání souhlasu (tedy úkonu, který nebyl nezbytný pro zpracování) povinnost osobní údaje zlikvidovat či je přestat zpracovávat např., pokud osobní údaje musí mít pro zákonem stanovené účely.
Jak to bude se současnými souhlasy za použitelnosti Obecného nařízení?
Obecné nařízení v recitálu 171 předpokládá přechod souhlasu, avšak s podmínkou, že souhlas byl udělen způsobem a v souladu s podmínkami Obecného nařízení. To bude pro mnoho správců problematické, jelikož jimi získávaný souhlas nebude splňovat podmínky stanovené v článku 7 Obecného nařízení, například podmínku odlišitelnosti souhlasu (souhlas nesmí být neoddělitelnou součástí obchodních podmínek) či podmínku nepodmiňovat poskytnutí služby vyžadováním udělení souhlasu se zpracováním osobních údajů.