Úřad pro ochranu osobních údajů

V textu je odkazováno na znění zákona (resp. jiného právního předpisu), které již není účinné. Tato skutečnost však nemá vliv na zde obsažený právní názor.

V souvislosti se zpracováním osobních údajů ve zdravotnické dokumentaci (podle § 67a a § 67b zákona č. 20/1966 Sb., o péči o zdraví lidu) a při nakládání s ní je především nezbytné přijmout a důsledně dodržovat odpovídající opatření směřující k tomu, aby nedošlo k neoprávněnému nebo nahodilému přístupu k osobním údajům nebo k jejich ztrátě.

Povinnost přijmout taková opatření vyplývá z § 13 odst. 1 zákona o ochraně osobních údajů tomu, kdo zdravotnickou dokumentaci vede, tedy zdravotnickému zařízení (bez ohledu na to, jedná-li se o osobu právnickou nebo fyzickou osobu podnikající). Obsahem této povinnosti je vyhodnocení všech rizik předmětného zpracování osobních údajů, v návaznosti na konkrétní organizaci zpracování a okolnosti, za nichž ke zpracování dochází, a dále přijetí a provedení odpovídajících opatření. Vhodná opatření pro zabezpečení ochrany osobních údajů je nezbytné přijmout nejen ve vztahu k běžným činnostem zdravotnického zařízení jako správce či zpracovatele osobních údajů, ale také zvláště pro každou ojedinělou operaci s osobními údaji, případně s jejich nosiči, která vybočuje z běžné činnosti správce nebo zpracovatele, jako je např. přeprava písemností (zdravotnické dokumentace) na jiné místo, jejich předávání jiným subjektům anebo skartace písemností uchovávaných v archivu. Při vyhodnocování rizik a přijímání opatření ve smyslu § 13 odst. 1 zákona o ochraně osobních údajů je dále nezbytné vypořádat se i s rizikem odcizení dokumentace nebo jiných nosičů, tedy i osobních údajů, které obsahují.

Je třeba zdůraznit, že přijetí odpovídajících bezpečnostních opatření je zvláště důležité vzhledem k tomu, že v rámci zdravotnické dokumentace jsou zpracovávány kromě "obyčejných" osobních údajů i údaje citlivé ve smyslu § 4 písm. b) zákona o ochraně osobních údajů.

(čj. 8/06/SŘ-OSČ, 9/06/SŘ-OSČ, 22/06/SŘ-OSČ)