Aplikácia kľúčových zásad GDPR nevyhnutných pre bezpečný postup lekára v praxi

Vedomosti o zásadách spracúvania osobných údajov musia mať všetci zdravotnícki i nezdravotnícki pracovníci, ktorí sa dostávajú do kontaktu s osobnými údajmi pacientov. Je preto nevyhnutné, aby prísne dodržiavali všetky zásady, ktorým sa budeme venovať v tomto článku. Bližšie sa budeme zaoberať zásadou zákonnosti, zásadou obmedzenia účelu, zásadou minimalizácie osobných údajov, zásadou správnosti a zásadou minimalizácie uchovávania osobných údajov. V nadväzujúcom článku, ktorý uverejníme v ďalšom čísle časopisu, sa bližšie pozrieme na zásadu integrity a dôvernosti, ktorá úzko previazaná s mlčanlivosťou zdravotníckych pracovníkov, sprístupňovaním a poskytovaním údajov a zásade zodpovednosti prevádzkovateľa.

Zásady, ktoré musia lekári pri práci s osobných údajmi dodržiavať

Ide o tieto zásady:

1. Zásada zákonnosti.
2. Zásada obmedzenia účelu.
3. Zásada minimalizácie osobných údajov.
4. Zásada správnosti.
5. Zásada minimalizácie uchovávania.
6. Zásada integrity a dôvernosti
7. Zásada zodpovednosti.

Cieľom zásad je zabezpečiť, aby poskytovateľ zdravotnej starostlivosti a jeho zamestnanci – lekári, sestry a ďalší zdravotnícki a nezdravotnícki pracovníci (ďalej v texte budeme zjednotene označovať len ako lekár) spracúvali osobné údaje tak, aby boli rešpektované práva pacientov, ktorých GDPR [Nariadenie Európskeho parlamentu a Rady (EÚ) 2016/679 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, ktorým sa zrušuje smernica 95/46/ES (všeobecné nariadenie o ochrane údajov)] označuje ako dotknuté osoby a aby spracúvaním ich osobných údajov nedochádzalo k porušovaniu práva na zachovanie ľudskej dôstojnosti pacientov alebo k iným neoprávneným zásahom do práva na ochranu súkromia pacientov.

Zásada obmedzenia účelu

Prvou zásadou, ktorej sa budeme venovať, je zásada obmedzenia účelu. V praxi to znamená, že lekár ešte pred samotným spracúvaním osobných údajov pacientov musí vedieť, za akým účelom spracúva údaje o pacientovi a o tomto účele pacienta poučiť. Musí si preto položiť otázky: Za akým účelom ja spracúvam osobné údaje? Alebo čo sledujem spracúvaním osobných údajov?

Tieto otázky si lekár musí položiť vždy ešte pred samotným spracúvaním osobných údajov a až potom môže dôjsť k spracúvaniu osobných údajov (získavanie osobných údajov od pacienta, vedenie zdravotnej dokumentácie, vytváranie elektronických zdravotných záznamov v elektronickej zdravotnej knižke, preskripčného záznamu, sprístupnenie a poskytovanie údajov zo zdravotnej dokumentácie oprávneným osobám, výkazy zdravotným poisťovniam a iné).

Účel má byť vymedzený dostatočne jasne a určito, aby z neho bolo jasné, aké spracovateľské operácie na jeho základe budú alebo nebudú prebiehať, alebo aké spracovateľské operácie môžu pacienti očakávať, že sa s ich osobnými údajmi na základe jeho vymedzenia budú uskutočňovať. Tieto účely vymedzuje prevádzkovateľ, to znamená poskytovateľ zdravotnej starostlivosti a lekár v pozícii zamestnanca musí prísne dodržiavať účely vymedzené zamestnávateľom, pričom nesmie spracúvať osobné údaje pacientov na iné účely ako tie, ktoré vymedzil zamestnávateľ!

Spracúvať osobné údaje na iný účel, než na ktorý boli získané, je zakázané! Až na výnimky keď by iný účel úzko súvisel s pôvodným účelom spracúvania, resp. bol s ním zlučiteľný.

Odpovede na položené otázky sú preto nasledujúce:

Vo väčšine prípadov budú lekári spracúvať osobné údaje pacientov za účelom poskytovania zdravotnej starostlivosti pacientovi a plnenia s tým súvisiacich zákonných povinností.

Je vylúčené, aby lekár mohol osobné údaje svojich pacientov spracúvať na iný ako vopred vymedzený účel, a o ktorom nebol pacient poučený. V zásade to znamená, že je zakázané spracúvať osobné údaje pacientov na iný účel ako poskytovanie zdravotnej starostlivosti a prípadne plnenie iných zákonných povinností lekárov pri poskytovaní zdravotnej starostlivosti.

Samozrejme, aj v rámci zdravotnej starostlivosti sa môžu osobné údaje pacientov spracúvať aj na iné účely ako poskytovanie zdravotnej starostlivosti, napríklad, ak by poskytovateľ zdravotnej starostlivosti využíval rôzne druhy marketingu alebo mal v čakárňach nainštalované kamerové systémy a podobne. V týchto prípadoch by však rovnako poskytovatelia zdravotnej starostlivosti museli mať vopred zadefinované účely (v prípade marketingu by takýmto účelom bola propagácia alebo uplatnenie na trhu poskytovateľa zdravotnej starostlivosti a v prípade kamerových systémov by účelom bola napríklad ochrana majetku poskytovateľa zdravotnej starostlivosti, ochrana zdravia, práv a oprávnených záujmov lekárov a pacientov). Súčasne by poskytovateľ musel mať riadne vymedzený právny základ (napríklad oprávnený záujem alebo súhlas, závisí to od konkrétnej činnosti) a pacienti by museli byť o týchto účeloch a právnych základoch riadne poučení.

Poskytovanie zdravotnej starostlivosti je špecifickou oblasťou, pretože mnohé spracovateľské operácie s osobnými údajmi vyplývajú lekárovi priamo zo zákona. V ňom nachádzame právny základe a rovnako aj účel spracúvania osobných údajov. Lekár preto často nemusí rozmýšľať nad účelom spracúvania osobných údajov, pretože mu vyplýva priamo z niektorého z právnych predpisov (zákon č. 576/2004 Z. z. o zdravotnej starostlivosti, službách súvisiacich s poskytovaním zdravotnej starostlivosti a o zmene a doplnení niektorých zákonov v znení neskorších predpisov – ďalej aj „zákon o zdravotnej st