Úřad pro ochranu osobních údajů


International


Vyhledávání

 

GDPR linka +420 234 665 800

Základní odkazy


Cesta: Titulní stránka

 

Centrální úložiště elektronických receptů

 

 
 

Zásadní kontrolou, provedenou v roce 2009, byla kontrola prováděná ve Státním ústavu pro kontrolu léčiv, a to na základě podnětů, které Úřadu zaslalo Grémium majitelů lékáren a Svaz pacientů ČR. Předmětem této kontroly bylo dodržování povinností stanovených zákonem o ochraně osobních údajů v souvislosti se zahájením provozu centrálního úložiště elektronických receptů. Státní ústav pro kontrolu léčiv (dále jen Ústav) zřídil centrální úložiště elektronických receptů 31. prosince 2008 jako svou organizační složku. V prvním čtvrtletí roku 2009 probíhal zkušební provoz a na základě rozhodnutí Ústavu měly být k centrálnímu úložišti do 31. března 2009 připojeny všechny lékárny. Ke konci roku 2009 však tento předpoklad naplnilo jen něco přes polovinu lékáren.

Centrální úložiště bylo zřízeno dle zákona o léčivech, pro umožnění předepisování léčivých přípravků prostřednictvím elektronických receptů. Cílem zavedení elektronických receptů bylo především zamezit podvodům s listinnými recepty, snížení počtu návštěv pacientů u lékaře a zjednodušení práce lékaře i lékárníka. Zákon předpokládal, že elektronický recept bude využíván rovnocenně s listinným receptem. Rozhodující pro vystavení elektronického receptu měla být dohoda lékaře s pacientem o formě receptu, s níž bude pacient souhlasit. Vzhledem k tomu, že v průběhu roku 2009 žádný lékař neaktivoval připojení k centrálnímu úložišti, nebylo vystavování elektronických receptů realizováno, a proto nebyla shromažďována žádná data generovaná na základě elektronického předepisování léčivých přípravků. Nutno dodat, že v souladu se zákonem neměla být v centrálním úložišti žádná jiná data, nežli data sloužící k vystavení elektronických receptů.

Na základě individuálního rozhodnutí Ústavu však došlo k rozšíření uplatnění nevyužitého centrálního úložiště. Do centrálního úložiště tak byla ukládána data o pacientech opisovaná z listinných receptů, a dále data o pacientech, kterým byly prodány léčivé přípravky s omezením.

Kontrola se tedy zaměřila na zákonnost shromažďování osobních údajů pacientů, které byly Ústavu posílány lékárnami formou hlášení, a to o vydaných léčivých prostředcích na základě listinného receptu, a o vydaných léčivých přípravcích s omezením.

Zákon o léčivech ukládá lékárnám a lékárníkům zajistit při výdeji léčivých přípravků evidenci jejich výdeje pomocí jejich kódů a tuto evidenci uchovávat po dobu 5 let. Dále jsou lékárny a lékárníci povinni poskytovat Ústavu údaje o vydaných léčivých přípravcích. Povinnost uchovávat informace o vydaných léčivých přípravcích na základě listinného receptu měly lékárny již podle předchozí právní úpravy. Ústav má dle zákona o péči o zdraví lidu právo na provádění dozorové kontrolní činnosti a v této souvislosti má právo se seznamovat i s osobními údaji pacientů. Novela zákona o léčivech tuto pravomoc Ústavu neomezila, ale ani nerozšířila. Ústavu tedy nebyla dána pravomoc shromažďovat osobní údaje, ale pouze informace o vydaných léčivých přípravcích. Ústav tak svým rozhodnutím překročil své kompetence dané mu zákonem. Kontrolující inspektor odmítl argumentaci Ústavu, že rozhodnutím o shromažďování informací o všech vydaných receptech, včetně osobních údajů pacienta, lékaře i lékárníka, plní požadavek sledovatelnosti a dohledatelnosti každého léčivého přípravku v celém řetězci od výroby až po konečného spotřebitele. Toto odmítá i příslušná směrnice EU č. 83/2001/ES, dle které cestu jednotlivých léčivých přípravků je nutno sledovat jen ve fázi distribuce, a ne ve fázi výdeje veřejnosti.

V rámci provedené kontroly bylo nutné se zabývat i dalšími požadavky na evidenci léčivých přípravků, jakou je mimo jiné i požadavek na plnění úkolu Ústavu zajistit předávání informací shromážděných v rámci systému farmakovigilance ostatním členským státům v Evropské lékové agentuře, a to v souladu s pokyny Komise a této agentury, nebo splnění povinnosti zajistit přehled o vydaných léčivých přípravcích ke splnění požadavku operativně a účinně a adekvátně v národním prostředí reagovat na opatření přijatá Evropskou komisí, Evropskou lékovou agenturou, dalšími orgány Evropské unie a WHO (World Health Organisation). Jedná se zejména o případy, kdy by Ústav stahoval léčivé přípravky z českého trhu v návaznosti na rozhodnutí jmenovaných orgánů a organizací. Kontrolou bylo konstatováno, že kompetence Ústavu v této oblasti nezahrnují zákonné zmocnění zpracovávat osobní údaje pacientů, lékařů a lékárníků. Kontrolující zcela odmítl argumentaci kontrolovaného, že shromažďování osobních údajů v souvislosti s evidencí léčivých přípravků vydaných na základě listinného receptu ukládá povinnost Ústavu při naplňování úkolů v oblasti cenové a úhradové agendy léčebných přípravků.

Kontrolující inspektor tedy v kontrolním protokolu konstatoval, že Ústavu není žádným zákonem uložena povinnost shromažďovat v centrálním úložišti ani nikde jinde osobní, resp. citlivé údaje pacientů formou hlášení o vydaných léčivých přípravcích na základě listinného receptu. Ústav tedy stanovil povinné poskytování osobních, resp. citlivých osobních údajů do centrálního úložiště lékárnám nad rámec zákona. Ústav stanovil tuto povinnost lékárnám a lékárníkům ve svém informačním prostředku – Věstníku, a to přes skutečnost, že dle § 9 písm. c) zákona o ochraně osobních údajů lze zpracovávat citlivé údaje pouze na základě zvláštního zákona. Rozhodnutí Ústavu však nemůže nahradit zákon a vůli zákonodárců v něm projevenou. Žádný zákon však Ústav nezmocnil ke shromažďování zdravotnických dat téměř všech občanů České republiky.

Ústav zpracování citlivých údajů stanovil svým opatřením, a to ve svém Věstníku. Takové stanovení zpracování citlivých údajů nebylo možné posoudit jako zpracování v souladu s § 9 písm. c) zákona o ochraně osobních údajů, neboť zpracovávat citlivé údaje lze pouze na základě zvláštního zákona. Věstník Státního ústavu pro kontrolu léčiv zákonem není.

Kontrola se dále zaměřila na shromažďování a zpracovávání osobních údajů v souvislosti s výdejem léčivých přípravků bez lékařského předpisu s omezením. Jedná se o léčivé přípravky obsahující pseudoefedrin, které jsou zneužívány k výrobě drog. Kontrola se zaměřila na oprávněnost komunikace mezi lékárnou, resp. lékárníkem a centrálním úložištěm, v rámci které je v první fázi zjišťováno, zda ten který zákazník již v minulosti obdržel z některé lékárny léčivý přípravek s omezením a v jakém množství. Ve druhé fázi pak lékárna odesílá formou hlášení do centrálního úložiště údaje o právě provedeném výdeji s tím, že dále má možnost s těmito údaji provádět operace prohlížení, změny nebo zrušení záznamu. O zařazení léčivého přípravku do skupiny léčivých přípravků vydávaných bez lékařského předpisu s omezením rozhodl Ústav svým správním rozhodnutím, kterým ukládá lékárnám a lékárníkům při výdeji léčivého prostředku s omezením zjišťovat prostřednictvím dálkového elektronického přístupu v centrálním úložišti předchozí výdej, a to buď dle čísla pojištěnce (rodné číslo) nebo prostřednictvím identifikačních osobních údajů pacienta, včetně oprávnění požadovat ke kontrole průkaz pojištěnce či občanský průkaz.

Kompetence Ústavu k vydávání rozhodnutí v oblasti léčivých přípravků je odvozena ze zákona o léčivech. Na základě zákonného zmocnění upravilo ministerstvo zdravotnictví vyhláškou č. 228/2008 Sb., o registraci léčivých přípravků, že v případě žádosti o zařazení přípravku mezi léčivé přípravky vydávané bez lékařského předpisu s omezením se předloží zdůvodnění navrhovaného způsobu výdeje a návrh omezujících opatření (např. kontrola věku, omezení počtu vydávaných balení, doporučení farmaceuta, evidence osob, evidence vydávaných balení). Povinnosti lékárnám a lékárníkům při výdeji léčivých přípravků bez lékařského předpisu s omezením upravuje a konkretizuje vyhláška ministerstva zdravotnictví č. 378/2007 Sb. Ta ukládá lékárníkům, nikoliv Ústavu, povinnost při výdeji léčivého přípravku bez lékařského předpisu s omezením ověřit, zda jsou splněny podmínky omezení výdeje stanovené v rozhodnutí o registraci, ověřit totožnost osoby vyžadující výdej léčivého přípravku a poskytnout této osobě informace nezbytné pro bezpečné použití tohoto léčivého přípravku. Dále je lékárnám vyhláškou uložena povinnost vést evidenci výdeje těchto přípravků, a to v rozsahu jméno, příjmení, číslo pojištěnce nebo datum narození a krátký záznam o zdravotním stavu osoby, které byl přípravek vydán, včetně záznamu o provedení pohovoru, který by měl být v rozsahu nezbytně nutném pro posouzení indikace.

Z výše uvedeného vyplývá, že žádný právní předpis neumožňuje Ústavu, aby po lékárnách vyžadoval, a následně shromažďoval a dále zpracovával, osobní údaje osob, které lékárna vede v evidenci výdeje léčivého přípravku bez lékařského předpisu s omezením. Povinnost zpracovávat a uchovávat osobní údaje přísluší ze zákona výhradně lékárně, nikoliv Ústavu.

Ústav byl při shromažďování údajů z lékáren v pozici správce osobních údajů. Lékárny, v rámci zasílání dat do Ústavu, byly pro Ústav v roli zpracovatele.

Kontrolou bylo zjištěno, že Ústav nezabezpečil ochranu dat zasílaných z lékáren tak, aby k datům neměly přístup neoprávněné osoby, a to i z řad nelékárníků. Rovněž Ústav nezpracoval a nedokumentoval příslušná technicko-organizační opatření k ochraně těchto dat. Ústav se zcela distancoval od dohledu nad lékárnami jako svými zpracovateli a od jejich kontroly.

Na základě všech zjištění konstatoval kontrolující inspektor, že Ústav porušil povinnosti správce osobních údajů, a stanovil nápravná opatření k odstranění zjištěných nedostatků. Základem uložených opatření bylo opatření, spočívající v povinnosti Ústavu neshromažďovat osobní a citlivé údaje osob v centrálním úložišti shromažďované prostřednictvím hlášení o výdeji léčivého přípravku na základě listinného receptu a dále prostřednictvím hlášení o výdeji léčivého přípravku bez lékařského předpisu s omezením. Dále stanovil Ústavu povinnost osobní a citlivé údaje již takto shromážděné zlikvidovat.

Ústav proti kontrolnímu zjištění podal řádný opravný prostředek. Ve svém podání zásadně nesouhlasil se závěry uvedenými v kontrolním protokolu. V druhoinstančním řízení předseda Úřadu námitkám kontrolovaného proti kontrolnímu protokolu nevyhověl a v plném rozsahu závěry kontrolujícího inspektora potvrdil, včetně argumentace v nich obsažené. Konstatoval, že žádný právní předpis nezakládá oprávnění kontrolovaného zpracovávat v centrálním úložišti osobní údaje zjištěným způsobem. V téže věci bylo vydáno rovněž druhé rozhodnutí předsedy Úřadu, které řešilo námitku podanou proti uloženému opatření o likvidaci. Uložené opatření stanovilo Ústavu povinnost likvidovat ty osobní údaje uložené v centrálním úložišti, které jsou v něm uchovávány bez zákonného důvodu. Předseda této námitce nevyhověl a svým druhoinstančním rozhodnutím konstatoval, že dle kontrolních zjištění je uchovávání shromážděných osobních údajů nezákonné, a potvrdil tak v plném rozsahu kontrolní protokol.

Na základě pravomocného rozhodnutí předsedy Úřadu zaslal ředitel Ústavu kontrolujícímu inspektorovi zprávu o tom, že všechna uložená nápravná opatření akceptuje, a v termínu mu uloženém je splní.

Na základě pravomocného rozhodnutí zahájil Úřad se Státním ústavem pro kontrolu léčiv správní řízení pro podezření ze spáchání správního deliktu. Řízení bylo pravomocně ukončeno a Ústavu byla uložena pokuta ve výši 2,3 mil. Kč.

Výsledky této mediálně sledované kontroly zcela zřetelně prokázaly, že Státní ústav pro kontrolu léčiv překročil své pravomoci a v rámci své činnosti opomenul práva pacientů na ochranu dat a jejich práva na soukromí. Potřeba chránit soukromí osob, ať už vývojové trendy budou jakékoli, zůstává základním úkolem nejenom pro ochránce dat, ale také pro ty, kterým leží na srdci základní práva a svobody. Nebudou-li brány v úvahu obavy o ochranu dat a soukromí, bude existovat skutečné nebezpečí, že budou podkopána nejzákladnější lidská práva a svobody. Nelze se přitom dovolávat např. nutnosti ochrany před osobami, které zneužívají léky k výrobě drog. Zcela jistě mělo být přijato jiné řešení, jak zabránit narkomanům ve zneužívání léků, nežli nezákonně zpracovávat osobní a citlivé údaje o většině občanů České republiky.

 
Zodpovídá: PhDr. David Pavlát
Vytvořeno / změněno: 13.12.2013 / 13.12.2013

 
 
 

Nacházíte se v módu "Bez grafiky", takže vidíte tuto stránku bez zdobné grafiky a pokročilého formátování. Pokud váš prohlížeč podporuje CSS2, můžete se přepnout do grafického módu.


Copyright © 2013 Úřad pro ochranu osobních údajů. Všechna práva vyhrazena.
web & design , redakční systém