Úřad pro ochranu osobních údajů

Úřad pro ochranu osobních údajů dostává řadu dotazů na přesné a detailní nastavení praxe v různých zdravotnických zařízeních i na soulad zdravotnické legislativy s obecným nařízením o ochraně osobních údajů (dále jen „GDPR“). K tomu musí upozornit, že jako kontrolní orgán nemůže, namísto poskytování předběžných konzultací v situacích podle čl. 36 GDPR, plnit základní povinnosti správců a pověřenců při zavádění zpracování a svými vyjádřeními nahrazovat  posuzování dopadů podle čl. 35 GDPR, ani nahrazovat zásadní roli ministerstev a samosprávných organizací (komor), které jsou gestory legislativy, zejména zákona č. 372/2011 Sb., o zdravotních službách a podmínkách jejich poskytování (dále jen „zákon o zdravotních službách“), metodiky a správné praxe.

Může zaměstnavatel v době pandemie měřit tělesnou teplotu zaměstnanců a dalších osob při vstupu na pracoviště?

Měření tělesné teploty zaměstnanců, případně i dalších osob vstupujících na pracoviště, pomocí termokamer či rámů obsahujících senzor na měření teploty, je určitým a dosud bezprecedentním zásahem do osobní integrity člověka s možným dopadem do osobnostních práv v případě nevpuštění do objektu.

Zákoník práce ukládá zaměstnavateli povinnost vytvářet bezpečné a zdraví neohrožující pracovní prostředí a pracovní podmínky vhodnou organizací bezpečnosti a ochrany zdraví při práci a přijímáním opatření k předcházení rizikům. Tato povinnost se vztahuje na všechny fyzické osoby, které se s jeho vědomím zdržují na jeho pracovištích.

Režim zpracování osobních údajů a působnost pravidel jejich ochrany nastává, pokud zaměstnavatel hodlá zaznamenávat prováděná měření a dále pracovat s údaji o zvýšené tělesné teplotě ve spojení s dalšími údaji umožňujícími identifikaci osoby, které byla tělesná teplota změřena.

Ani v době nouzového stavu, případně v době trvání mimořádných opatření ministerstva zdravotnictví, není zpracování tělesné teploty zaměstnance výslovnou právní povinností, lze ho však s přihlédnutím k nutným hygienickým a protiinfekčním opatřením považovat za oprávněný zájem zaměstnavatele ve smyslu GDPR. To umožňuje zpracování údaje vypovídajícího o zdravotním stavu pro výkon zvláštních práv v oblasti pracovního práva, a napomůže zaměstnavateli dostát svým povinnostem při předcházení ohrožení zdraví ve stávajících výjimečných podmínkách, včetně kontaktování zdravotníků či hygieniků.  

Pokud zaměstnavatel na základě zjištění zvýšené teploty následně učiní další opatření a dohodne se zaměstnancem např. výkon práce z domova, jedná se z pohledu pravidel ochrany osobních údajů o oprávněný postup.

Nezbytnost měření teploty a zpracování osobních údajů ukládáním zjištěného údaje, byť v minimálním rozsahu, vypovídajícího o zdravotním stavu, však musí správce průběžně posuzovat, z hlediska charakteru pracoviště, počtu a koncentrace zaměstnanců, případně dalších osob přítomných na pracovišti i aktuálního vývoje pandemie. Tedy přinejmenším obdobně jako i v případech bez sběru a dalšího zpracování osobních údajů by tak měl zaměstnavatel postupovat po předběžné konzultaci se zdravotníky ohledně specifik prostor, počtu osob a vhodnosti a účinnosti měření teploty v konkrétních podmínkách.

Závěrem je vhodné zdůraznit, že opatření, která lze v mimořádné situaci považovat za nezbytná, budou po návratu k normálnímu stavu postrádat důvodnost a jejich znovuzavedení by mohlo přicházet v úvahu pouze v případě, že by se taková situace opakovala.

Může ministerstvo zdravotnictví nebo hygienická služba podávat informace o pacientovi, např. o věku pacienta a jeho případných dalších zdravotních komplikacích, případně jeho profesi, když nezveřejní jeho jméno? Jde v takovém případě o anonymní údaje, na které se ochrana osobních údajů nevztahuje?

Podmínku dostatečné anonymizace splňuje např. informace o osmdesátiletém muži z Prahy trpícím kromě nákazy i plicními potížemi. Nemusela by ji však splňovat již informace o bydlišti pacienta v malé obci. Je totiž třeba přihlédnout ke všem prostředkům, které mohou být i pro nepřímou identifikaci (např. spojením s informacemi z jiných zdrojů) dané osoby použity.

Riziku nevhodných zásahů do soukromí předcházejí ministerstvo i další orgány ochrany veřejného zdraví zejména tím, že nezveřejňují žádné konkrétnější informace o bydlišti pacientů. Agregované údaje jsou zveřejňovány na úrovni krajů.

Jestliže je zveřejněn věk pacientů, kteří onemocnění podlehli, a zdravotní komplikace s jejich úmrtím spojené, je třeba brát v úvahu, že ochrana osobních údajů se na údaje zemřelých osob nevztahuje. Zveřejněním anonymizovaných údajů nedochází ani k zásahu do soukromí blízkých osob zemřelého, které rovněž nemůže veřejnost takto identifikovat.

Má zdravotnické zařízení povinnost ohlašovat případy porušení zabezpečení osobních údajů způsobené napadením informačního systému škodlivým programem či jiným kybernetickým útokem?

Ano, ohlašování je třeba provádět v případech, kdy dojde ke znepřístupnění (ztrátě dostupnosti, zašifrování) osobních údajů pacientů, a to napadením informačního systému škodlivým programem či jiným kybernetickým útokem. Jedná se také o případy dočasného znepřístupnění osobních údajů, kdy jsou tyto následně obnoveny ze zálohy.

Úřadu musí být dle GDPR ohlášeno jakékoli porušení zabezpečení osobních údajů správce. Výjimkou jsou jen případy, kdy je nepravděpodobné, že by toto porušení mělo za následek riziko pro práva a svobody fyzických osob. Zdravotnická zařízení zpracovávají zvláštní kategorie osobních údajů ve smyslu GDPR, a to vždy minimálně v rozsahu údajů o zdravotním stavu. S ohledem na zvláštní režim ochrany, který GDPR těmto údajům přiznává, a s přihlédnutím k dosavadním poznatkům, můžeme konstatovat, že výše uvedená výjimka – možnost neohlásit incident Úřadu – nebude aplikovatelná.

V rámci provozu zdravotnického zařízení totiž nelze předpokládat, že incident s osobními údaji nebude mít za následek riziko pro práva a svobody fyzických osob. Úřad v této souvislosti připomíná, že ohlášení porušení zabezpečení musí být provedeno pokud možno do 72 hodin od okamžiku, kdy se o něm správce dozvěděl. Proto též předpokládané následky musí být vyhodnocovány bezprostředně po zjištěném znepřístupnění osobních údajů.

Má GDPR nějaký dopad na povinnosti spojené s předáváním zdravotnické dokumentace jinému lékaři zvolenému pacientem?

GDPR obecně upravuje podmínky pro zpracování tzv. zvláštních kategorií osobních údajů, mezi něž patří také údaje o zdravotním stavu, přičemž předpokládá, že zpracování údajů nezbytných pro účely zdravotní péče upravují zvláštní zákony. Předání zdravotnické dokumentace lékaři zvolenému pacientem je upraveno v zákoně o zdravotních službách. Postup při tomto předání je upraven v § 57 odst. 3 písm. d) zákona o zdravotních službách.  Je třeba, aby se tak stalo na základě písemné žádosti pacienta nebo zvoleného lékaře. 

Je možné, aby zdravotní pojišťovny vyžadovaly detailní zdravotnickou dokumentaci pacienta? 

Zákon o zdravotních službách pro účel výkonu kontroly umožňuje přístup ke zdravotnické dokumentaci revizním lékařům nebo odborným pracovníkům, a to v rozsahu odpovídajícím kontrole. Tento postup v určitých případech může zahrnovat i předávání zdravotnické dokumentace. S dotazem na postup v konkrétním případě je třeba se obrátit na pověřence pojišťovny.

Jsem malý poskytovatel zdravotních služeb s omezenými provozními a prostorovými kapacitami. Mohu uchovávat zdravotnickou dokumentaci pacientů v prostorách, kde se pohybují i další osoby (např. pacienti v čekárně)? 

Ano, s dostatečným zabezpečením. Správce má povinnost technicky a organizačně zabezpečit osobní údaje pacientů. Správce má povinnost přijmout taková opatření, aby zabránil neoprávněným osobám přistupovat k osobním údajům pacientů a tím zabránil neoprávněnému nahlížení do zdravotnické dokumentace, úpravě, výmazu, zničení, přenosu, odcizení či jinému zneužití osobních údajů obsažených ve zdravotnické dokumentaci.

Má pacient právo na výmaz osobních údajů ze zdravotnické dokumentace?

Nikoliv. Toto právo není absolutní a podle GDPR se neuplatní v případě, že zpracování osobních údajů je nezbytné pro poskytování zdravotní péče či léčby. Poskytovatel zdravotních služeb je povinen řídit se zákonem o zdravotních službách, který mu nařizuje vedení této dokumentace, a vyhláškou č. 98/2012 Sb., která mu ukládá dobu uložení zdravotnické dokumentace.

Po jakou dobu je praktický lékař povinen uchovávat zdravotnickou dokumentaci?

Obecně platí, že správce nemůže uchovávat osobní údaje po dobu delší, než je nezbytně nutná pro konkrétní účel zpracování. Konkrétní doby uchovávání zdravotnické dokumentace nebo jejích částí pro různé poskytovatele stanoví Ministerstvo zdravotnictví vyhláškou. Například v případě uchovávání zdravotnické dokumentace praktickým lékařem se jedná o dobu 10 let od změny registrujícího poskytovatele nebo 10 let od úmrtí pacienta.

Může poskytovatel zdravotní služby předávat údaje ze zdravotnické dokumentace jiným subjektům, například Státnímu ústavu pro kontrolu léčiv (SÚKL) nebo Ústavu zdravotnických informací a statistiky (ÚZIS), který je správcem Národního zdravotnického informačního systému (NZIS)?

Tyto subjekty jsou ze zákona oprávněny vyžadovat údaje podle zvláštních zákonů, které upravují jejich působnost. Ze strany osob povinných hlásit a předávat údaje se jedná o zpracování osobních údajů, které je nezbytné pro plnění právní povinnosti podle GDPR.  Subjekty oprávněné nahlížet do zdravotnické dokumentace bez souhlasu pacienta jsou uvedeny v § 65 odst. 2 zákona o zdravotních službách.

Může Ústav zdravotnických informací a statistiky (ÚZIS) požadovat předávání osobních údajů zaměstnanců poskytovatele zdravotních služeb do Národního registru zdravotnických pracovníků?

ÚZIS má povinnost zpracovávat údaje zdravotnických pracovníků (lékařů) a jiných odborných pracovníků ve zdravotnictví na základě právního důvodu uvedeného v GDPR (jde o plnění právní povinnosti). Zákon o zdravotních službách stanoví, jaké osobní údaje se zpracovávají v Národním registru zdravotnických pracovníků. ÚZIS je správcem tohoto systému. Podle zákona o zdravotních službách má poskytovatel zdravotních služeb (nemocnice, samostatný lékař) povinnost předávat údaje do NZIS.

Dodavatel služeb nám nabízí možnost oslovovat naše pacienty automatizovaně a pravidelně s různými reklamními a informačními sděleními. Je to v souladu s GDPR?

Nikoliv. Pacient není pouhý zákazník a zpracování údajů ve zdravotnictví má přesně vymezený rámec stanovený nejen obecně platnými zásadami a přístupy ochrany osobních údajů podle GDPR. V zásadě lze uvést, že zvláštní zdravotnické předpisy zpracování údajů pacientů pro marketing neumožňují. V různých případech záleží na lékařích a dalších poskytovatelích zdravotní služby, aby v souladu s lékařskou etikou zvážili, zda a jak je vhodné informovat jednotlivé pacienty.

Omezilo GDPR nějak dosavadní ambulantní praxi? Konkrétně: může sestřička v ambulanci pacienty volat podle příjmení? Může v nemocnici, kde jsou společná lůžka, říkat lékař diagnózu?

Praxe volání pacientů podle příjmení v čekárně není v rozporu s GDPR. Existují však oddělení, jako je venerologická ambulance nebo infekční oddělení, kde existuje riziko diskreditace, tedy spojení jména s choulostivými informacemi. V těchto případech je nutno zavést postupy vedoucí ke zvýšené ochraně osobních údajů pacientů. Je odpovědností správce, aby pečlivě uvážil vhodný režim pracoviště a jaká technická a organizační opatření přijme a zavede. V souladu s tím dá přesné pokyny svým zaměstnancům.

Pokud je to možné, personál nemocnice by se měl snažit o co největší soukromí pacienta. Sdělení diagnózy či dalších náležitostí zdravotnické dokumentace je možné. Nelze však doporučit, aby při tom byly přítomny další nepovolané osoby, které nejsou v péči ani zaměstnány u poskytovatele zdravotních služeb, například osoby, jež navštěvují pacienta na vedlejším lůžku.

V běžné praxi je takřka nemožné úplně zamezit přístupu úklidové služby k osobním údajům. Při rozhovoru zdravotnických pracovníků s pacienty může zaměstnanec úklidové firmy zachytit citlivé informace. Postačí mít takovéto případy ošetřeny s úklidovou službou smluvně (zavázat je k mlčenlivosti)?

Podle zákona o zdravotních službách platí povinnost mlčenlivosti též pro další osoby, které v souvislosti se svou činností vykonávanou na základě jiných právních předpisů zjistí informace o zdravotním stavu pacienta nebo informace s tím související. Podle GDPR jakákoliv osoba, která jedná z pověření správce a má přístup k osobním údajům, může tyto osobní údaje zpracovávat pouze na pokyn správce.

Může lék za pacienta vyzvedávat, a tedy seznamovat se s jeho osobními údaji, příbuzný či jiná osoba?

Léčivý přípravek, jehož výdej je vázán na lékařský předpis, může být vydán i jiné osobě, než které je léčivý přípravek předepsán. Výdej léků v lékárně upravuje § 83 zákona č. 378/2007 Sb., o léčivech. Tamtéž lze nalézt i vhodný postup farmaceuta v případě pochybností o věrohodnosti lékařského předpisu nebo osoby, které se lék vydává.

Přináší GDPR nějakou změnu pro provádění klinických hodnocení v ČR?

GDPR výslovně předpokládá, že „zpracování osobních údajů pro vědecké účely by mělo být v souladu i s dalšími  příslušnými právními předpisy upravujícími například klinická hodnocení“. 

Máme povinnost jmenovat pověřence, pokud jsme zdravotnická laboratoř poskytující laboratorní služby v širokém spektru z různých oborů pro praktické i specializované ambulantní lékaře, lůžková oddělení nemocnic a rovněž pro veterinární lékaře? Je nutné, aby laboratoř uzavírala smlouvu o zpracování osobních údajů?

Ano, musí jmenovat pověřence, neboť hlavní činností je každodenní zpracování údajů z vyšetření spolu s dalšími údaji pacientů. K rozsáhlosti zpracování viz pokyny Evropského sboru. Více zde.

Zdravotnická laboratoř je v postavení správce, neboť vykonává samostatnou činnost, a poskytovatel zdravotních služeb rovněž. Zpracovatelskou smlouvu mezi sebou podle GDPR uzavírat nemusejí.

Může poskytovatel zdravotních služeb sdělit informace o zdravotním stavu pacienta cizí osobě? A může předávat informace o zdravotním stavu telefonicky nebo e-mailem?

Sdělování informací o zdravotním stavu pacienta upravuje zákon o zdravotních službách. Pacient nebo jeho zákonný zástupce má možnost jasně a určitě definovat rozsah informací, které může poskytovatel zdravotní péče sdělovat, komu a jakou formou. Pacient nebo jeho zákonný zástupce má právo kdykoliv okruh osob, kterým je sdělována informace o zdravotním stavu, rozšířit nebo omezit.

Při sdělování a zasílání informací elektronickou cestou je vhodné rozlišovat, o jaké informace se jedná. K méně zásadním částem zdravotnické dokumentace (například rentgenové snímky) by měl mít poskytovatel poznamenáno v kartě pacienta nebo na zvláštním formuláři, jakým způsobem si pacient přeje sdělovat informace. Zásadnější části zdravotnické dokumentace (například celé lékařské zprávy) by měly být elektronicky přenášeny v zabezpečenější podobě, než je prostý e-mail. Důležité je vždy pacienta dopředu informovat o možných rizicích, která nezabezpečená elektronická komunikace může způsobit (například nahlédnutí neoprávněnou osobou, ztráta, zničení, neoprávněné zpřístupnění). V této věci je vhodné se obrátit se žádostí o metodický návod s popisem konkrétních situací na Ministerstvo zdravotnictví či na Českou lékařskou komoru.

Musí zdravotnická zařízení (např. praktická a specializovaná) uzavřít smlouvu o zpracování údajů společných pacientů? Je závodní lékař (poskytovatel pracovně lékařských služeb) ve vztahu k zaměstnavateli zpracovatelem osobních údajů?

Nikoliv. Jedná se o vztah správců vykonávajících samostatnou činnost. Skutečnost, že sdílejí pacienty, nezakládá povinnost uzavřít zpracovatelskou smlouvu. Stejně tak GDPR nezakládá povinnost uzavřít smlouvu o zpracování osobních údajů mezi zaměstnavatelem a poskytovatelem pracovně lékařských služeb.