Často kladené otázky ze zdravotnictví - souhrn názorů Úřadu pro ochranu osobních údajů na GDPR ve zdravotnictví

Úřad pro ochranu osobních údajů dostává řadu dotazů na přesné a detailní nastavení praxe v různých zdravotnických zařízeních i na soulad zdravotnické legislativy s obecným nařízením o ochraně osobních údajů (dále jen „GDPR“). K tomu musí upozornit, že jako kontrolní orgán nemůže, namísto poskytování předběžných konzultací v situacích podle čl. 36 GDPR, plnit základní povinnosti správců a pověřenců při zavádění zpracování a svými vyjádřeními nahrazovat  posuzování dopadů podle čl. 35 GDPR, ani nahrazovat zásadní roli ministerstev a samosprávných organizací (komor), které jsou gestory legislativy, zejména zákona č. 372/2011 Sb., o zdravotních službách a podmínkách jejich poskytování (dále jen „zákon o zdravotních službách“), metodiky a správné praxe.

Metodický výklad k aplikaci pravidel pro ochranu osobních údajů při činnostech, na které se současně vztahují zdravotnické zákony a podzákonné předpisy, naleznete na webových stránkách Ministerstva zdravotnictví.

Má GDPR nějaký dopad na povinnosti spojené s předáváním zdravotnické dokumentace jinému lékaři zvolenému pacientem?

GDPR obecně upravuje podmínky pro zpracování tzv. zvláštních kategorií osobních údajů, mezi něž patří také údaje o zdravotním stavu, přičemž předpokládá, že zpracování údajů nezbytných pro účely zdravotní péče upravují zvláštní zákony. Předání zdravotnické dokumentace lékaři zvolenému pacientem je upraveno v zákoně o zdravotních službách. Postup při tomto předání je upraven v § 57 odst. 3 písm. d) zákona o zdravotních službách.  Je třeba, aby se tak stalo na základě písemné žádosti pacienta nebo zvoleného lékaře. Blíže viz metodika Ministerstva zdravotnictví.

Je možné, aby zdravotní pojišťovny vyžadovaly detailní zdravotnickou dokumentaci pacienta?

Zákon o zdravotních službách pro účel výkonu kontroly umožňuje přístup ke zdravotnické dokumentaci revizním lékařům nebo odborným pracovníkům, a to v rozsahu odpovídajícím kontrole. Tento postup v určitých případech může zahrnovat i předávání zdravotnické dokumentace. S dotazem na postup v konkrétním případě je třeba se obrátit na pověřence pojišťovny.

Jsem malý poskytovatel zdravotních služeb s omezenými provozními a prostorovými kapacitami. Mohu uchovávat zdravotnickou dokumentaci pacientů v prostorách, kde se pohybují i další osoby (např. pacienti v čekárně)? Ano, s dostatečným zabezpečením. Správce má povinnost technicky a organizačně zabezpečit osobní údaje pacientů podle čl. 32 GDPR. Správce má povinnost přijmout taková opatření, aby zabránil neoprávněným osobám přistupovat k osobním údajům pacientů a tím zabránil neoprávněnému nahlížení do zdravotnické dokumentace, úpravě, výmazu, zničení, přenosu, odcizení či jinému zneužití osobních údajů obsažených ve zdravotnické dokumentaci.

Má pacient právo na výmaz osobních údajů ze zdravotnické dokumentace?

Nikoliv. Toto právo není absolutní a podle čl. 17 GDPR se neuplatní v případě, že zpracování osobních údajů je nezbytné pro poskytování zdravotní péče či léčby. Poskytovatel zdravotních služeb je povinen řídit se zákonem o zdravotních službách, který mu nařizuje vedení této dokumentace, a vyhláškou č. 98/2012 Sb., o zdravotnické dokumentaci, která mu ukládá dobu uložení zdravotnické dokumentace.

Po jakou dobu je praktický lékař povinen uchovávat zdravotnickou dokumentaci?

Obecně platí, že správce nemůže uchovávat osobní údaje po dobu delší, než je nezbytně nutná pro konkrétní účel zpracování. Konkrétní doby uchovávání zdravotnické dokumentace nebo jejích částí pro různé poskytovatele stanoví Ministerstvo zdravotnictví vyhláškou. Například v případě uchovávání zdravotnické dokumentace praktickým lékařem se jedná o dobu 10 let od změny registrujícího poskytovatele nebo 10 let od úmrtí pacienta.

Může poskytovatel zdravotní služby předávat údaje ze zdravotnické dokumentace jiným subjektům, například Státnímu ústavu pro kontrolu léčiv (SÚKL) nebo Ústavu zdravotnických informací a statistiky (ÚZIS), který je správcem Národního zdravotnického informačního systému (NZIS)?

Tyto subjekty jsou ze zákona oprávněny vyžadovat údaje podle zvláštních zákonů, které upravují jejich působnost. Ze strany osob povinných hlásit a předávat údaje se jedná o zpracování osobních údajů, které je nezbytné pro plnění právní povinnosti podle čl. 6 odst. 1 písm. c) GDPR.  Subjekty oprávněné nahlížet do zdravotnické dokumentace bez souhlasu pacienta jsou uvedeny v § 65 odst. 2 zákona o zdravotních službách.

Může Ústav zdravotnických informací a statistiky (ÚZIS) požadovat předávání osobních údajů zaměstnanců poskytovatele zdravotních služeb do Národního registru zdravotnických pracovníků?

ÚZIS má povinnost zpracovávat údaje zdravotnických pracovníků (lékařů) a jiných odborných pracovníků ve zdravotnictví na základě právního důvodu uvedeného v čl. 6 odst. 1 písm. c) GDPR (jde o plnění právní povinnosti). Zákon o zdravotních službách stanoví, jaké osobní údaje se zpracovávají v Národním registru zdravotnických pracovníků. ÚZIS je správcem tohoto systému. Podle zákona o zdravotních službách má poskytovatel zdravotních služeb (nemocnice, samostatný lékař) povinnost předávat údaje do NZIS.

Dodavatel služeb nám nabízí možnost oslovovat naše pacienty automatizovaně a pravidelně s různými reklamními a informačními sděleními. Je to v souladu s GDPR?

Nikoliv. Pacient není pouhý zákazník a zpracování údajů ve zdravotnictví má přesně vymezený rámec stanovený nejen obecně platnými zásadami a přístupy ochrany osobních údajů podle GDPR. V zásadě lze uvést, že zvláštní zdravotnické předpisy zpracování údajů pacientů pro marketing neumožňují. V různých případech záleží na lékařích a dalších poskytovatelích zdravotní služby, aby v souladu s lékařskou etikou zvážili, zda a jak je vhodné informovat jednotlivé pacienty.

Omezilo GDPR nějak dosavadní ambulantní praxi? Konkrétně: může sestřička v ambulanci pacienty volat podle příjmení? Může v nemocnici, kde jsou společná lůžka, říkat lékař diagnózu?

Dopady GDPR do ambulantní praxe a zdravotnické legislativy naleznete v metodice Ministerstva zdravotnictví. Praxe volání pacientů podle příjmení v čekárně není v rozporu s GDPR. Existují však oddělení, jako je venerologická ambulance nebo infekční oddělení, kde existuje riziko diskreditace, tedy spojení jména s choulostivými informacemi. V těchto případech je nutno zavést postupy vedoucí ke zvýšené ochraně osobních údajů pacientů. Je odpovědností správce, aby pečlivě uvážil vhodný režim pracoviště a jaká technická a organizační opatření přijme a zavede. V souladu s tím dá přesné pokyny svým zaměstnancům.

Pokud je to možné, personál nemocnice by se měl snažit o co největší soukromí pacienta. Sdělení diagnózy či dalších náležitostí zdravotnické dokumentace je možné. Nelze však doporučit, aby při tom byly přítomny další nepovolané osoby, které nejsou v péči ani zaměstnány u poskytovatele zdravotních služeb, například osoby, jež navštěvují pacienta na vedlejším lůžku.

V běžné praxi je takřka nemožné úplně zamezit přístupu úklidové služby k osobním údajům. Při rozhovoru zdravotnických pracovníků s pacienty může zaměstnanec úklidové firmy zachytit citlivé informace. Postačí mít takovéto případy ošetřeny s úklidovou službou smluvně (zavázat je k mlčenlivosti)?

Podle zákona o zdravotních službách platí povinnost mlčenlivosti též pro další osoby, které v souvislosti se svou činností vykonávanou na základě jiných právních předpisů zjistí informace o zdravotním stavu pacienta nebo informace s tím související. Podle čl. 29 GDPR jakákoliv osoba, která jedná z pověření správce a má přístup k osobním údajům, může tyto osobní údaje zpracovávat pouze na pokyn správce.

Může lék za pacienta vyzvedávat, a tedy seznamovat se s jeho osobními údaji, příbuzný či jiná osoba?

Léčivý přípravek, jehož výdej je vázán na lékařský předpis, může být vydán i jiné osobě, než které je léčivý přípravek předepsán. Výdej léků v lékárně upravuje § 83 zákona č. 378/2007 Sb., o léčivech. Tamtéž lze nalézt i vhodný postup farmaceuta v případě pochybností o věrohodnosti lékařského předpisu nebo osoby, které se lék vydává.

Přináší GDPR nějakou změnu pro provádění klinických hodnocení v ČR?

GDPR výslovně předpokládá, že „zpracování osobních údajů pro vědecké účely by mělo být v souladu i s dalšími  příslušnými právními předpisy upravujícími například klinická hodnocení“. V současné době (2. polovina roku 2018), do projednání adaptační legislativy k GDPR, tedy změny zvláštních právních předpisů, není tato otázka zcela vyjasněna, je nutné obracet se v této věci s dotazy na Ministerstvo zdravotnictví.

Máme povinnost jmenovat pověřence, pokud jsme zdravotnická laboratoř poskytující laboratorní služby v širokém spektru z různých oborů pro praktické i specializované ambulantní lékaře, lůžková oddělení nemocnic a rovněž pro veterinární lékaře? Je nutné, aby laboratoř uzavírala smlouvu o zpracování osobních údajů?

Ano, musí jmenovat pověřence, neboť hlavní činností je každodenní zpracování údajů z vyšetření spolu s dalšími údaji pacientů. K rozsáhlosti zpracování viz pokyny Evropského sboru, zejména https://www.uoou.cz/poverenci/ds-5005/p1=5005.

Zdravotnická laboratoř je v postavení správce, neboť vykonává samostatnou činnost, a poskytovatel zdravotních služeb rovněž. Zpracovatelskou smlouvu podle čl. 28 odst. 3 GDPR uzavírat mezi sebou nemusejí.

Může poskytovatel zdravotních služeb sdělit informace o pacientovi osobě, která se přišla zeptat osobně na stav pacienta? Může poskytovatel zdravotních služeb předávat informace o zdravotním stavu telefonicky nebo emailem?

Sdělování informací o zdravotním stavu pacienta upravuje zákon o zdravotních službách. Pacient nebo jeho zákonný zástupce má možnost jasně a určitě definovat rozsah informací, které může poskytovatel zdravotní péče sdělovat, komu a jakou formou. Pacient nebo jeho zákonný zástupce má právo kdykoliv okruh osob, kterým je sdělována informace o zdravotním stavu, rozšířit nebo omezit.

Při sdělování a zasílání informací elektronickou cestou, je vhodné rozlišovat, o jaké informace se jedná. K méně zásadním částem zdravotnické dokumentace (například rentgenové snímky) by měl mít poskytovatel poznamenáno v kartě pacienta nebo na zvláštním formuláři, jakým způsobem si pacient přeje sdělovat informace. Zásadnější části zdravotnické dokumentace (například celé lékařské zprávy) by měly být elektronicky přenášeny v zabezpečenější podobě, než je prostý email. Důležité je vždy pacienta dopředu informovat o možných rizicích, která nezabezpečená elektronická komunikace může způsobit (například nahlédnutí neoprávněnou osobou, ztráta, zničení, neoprávněné zpřístupnění). V této věci je vhodné se obrátit se žádostí o metodický návod s popisem konkrétních situací na Ministerstvo zdravotnictví či na Českou lékařskou komoru.

Musí zdravotnická zařízení (např. praktická a specializovaná) uzavřít smlouvu o zpracování údajů společných pacientů?  Je závodní lékař (poskytovatel pracovně lékařských služeb) ve vztahu k zaměstnavateli zpracovatelem osobních údajů?

Nikoliv. Jedná se o vztah správců vykonávajících samostatnou činnost. Skutečnost, že sdílejí pacienty, nezakládá povinnost uzavřít zpracovatelskou smlouvu.  Stejně tak GDPR nezakládá povinnost uzavřít smlouvu o zpracování osobních údajů mezi zaměstnavatelem a poskytovatelem pracovně lékařských služeb.

 -gyns-