Poskytovateľ zdravotnej starostlivosti je podľa GDPR zodpovedný za ochranu osobných údajov

VZŤAHUJE SA OCHRANA OSOBNÝCH ÚDAJOV AJ NA POSKYTOVATEĽOV ZDRAVOTNEJ STAROSTLIVOSTI?

Pravidlá ochrany osobných údajov sa vzťahujú na všetkých poskytovateľov zdravotnej starostlivosti, a to bez rozdielu. Nezáleží na tom, či ide o poskytovateľa ambulantnej alebo ústavnej zdravotnej starostlivosti, rovnako nezáleží na tom, či ide o poskytovateľa s jedným lekárom a sestrou alebo veľkú nemocnicu. Zdravotnícke zariadenia sa pravidlám ochrany osobných údajov nevedia vyhnúť. Na nové pravidlá ochrany osobných údajov sa možno len pripraviť. Pravidlá ochrany osobných údajov zdravotnícki pracovníci boli a sú povinní dodržiavať aj v zmysle súčasnej legislatívy. Možno konštatovať, že pred prijatím nariadenia GDPR bolo v rámci zdravotníckeho sektora povedomie nižšie, prípadne povinnosti boli opomínané.

KTO JE ZODPOVEDNÝ?

Za implementáciu a dodržiavanie pravidiel ochrany osobných údajov zodpovedá samotný poskytovateľ zdravotnej starostlivosti, ktorý je v pozícii prevádzkovateľa. Avšak samotná ochrana osobných údajov pri poskytovaní osobných údajov sa týka všetkých subjektov zúčastnených na spracovaní v akejkoľvek podobe, to znamená na lekára, sestry a iných zdravotníckych pracovníkov, ktorí sa na poskytovaní zdravotnej starostlivosti zúčastňujú. Ako sme už uviedli, za dodržiavanie pravidiel ochrany osobných údajov zodpovedá poskytovateľ zdravotnej starostlivosti, ktorý je povinný prijať vhodné technické a organizačné opatrenia na zabezpečenie a preukázanie ochrany osobných údajov.

Napriek tomu, ak dôjde k porušeniu pravidiel ochrany osobných údajov lekárom alebo sestrou, ktorí sú u poskytovateľa zamestnaní, neznamená to, že za svoje „omyly“ nebudú zodpovední, uvedené závisí od charakteru porušenia.Nariadenie GDPR spája s porušením jeho ustanovení vysoké pokuty, pričom pracovnoprávne alebo iné finančné sankcie sa budú týkať aj samotných lekárov (s ohľadom na konkrétne porušenie), ktorí sú v pracovnoprávnom alebo inom obdobnom vzťahu s ambulanciou alebo nemocnicou.

DÔLEŽITÉ POVINNOSTI VYPLÝVAJÚCE Z GDPR PRE POSKYTOVATEĽOV ZDRAVOTNEJ STAROSTLIVOSTI

Poskytovateľ zdravotnej starostlivosti musí dodržiavať viaceré povinnosti, ktoré mu vyplývajú najmä z nariadenia GDPR a zo zákona č. 18/2018 Z. z. o ochrane osobných údajov. Medzi najdôležitejšie povinnosti možno zaradiť:

1. Informovanie dotknutej osoby

Poskytovateľ zdravotnej starostlivosti ako prevádzkovateľ informačných systémov, v ktorých sa spracúvajú osobné údaje má informačnú povinnosť voči svojim pacientom a zamestnancom. Táto informačná povinnosť spočíva v informovaní pacienta a zamestnanca o jeho právach ako dotknutej osoby. V tomto poučení je potrebné vysvetliť, akým spôsobom sa spracúvajú osobné údaje pri jednotlivých činnostiach ambulancie. V poučení musí byť uvedený aj právny základ a účel spracúvania osobných údajov. Taktiež je nevyhnutné pacientov a zamestnancov poučiť o dobe uchovávania osobných údajov, o následkoch neposkytnutia osobných údajov, ako aj o práve podať sťažnosť na Úrad na ochranu osobných údajov.

2. Záznam o spracovateľských činnostiach

Ďalšou povinnosťou je viesť záznam o spracovateľských činnostiach. Záznam musí obsahovať kontaktné údaje prevádzkovateľa, teda ambulancie, účel spracúvania osobných údajov, opis kategórií dotknutých osôb a kategórií osobných údajov. Ďalej musia byť v zázname uvedené kategórie príjemcov (aj príjemcovia v tretej krajine), predpokladané lehoty na výmaz osobných údajov a všeobecný opis technických a organizačných bezpečnostných opatrení.

3. Sprostredkovateľská zmluva

Medzi ďalšie povinnosti patrí povinnosť uzavrieť zmluvu o spracúvaní osobných údajov s každým subjektom, ktorý v mene ambulancie spracúva osobné údaje. Najčastejším subjektom bude dodávateľ zdravotníckeho softvéru, externá účtovníčka, či externý technik. Pozor, ak spracúvajú osobné údaje zamestnanci prevádzkovateľa, takí zamestnanci nie sú sprostredkovatelia.

4. Poučenie osoby oprávnenej spracúvať osobné údaje

Poskytovateľ má podľa nariadenia GDPR povinnosť zabezpečiť, aby každý zamestnanec, ktorý ma prístup k osobným údajom, spracúval tieto osobné údaje výlučne podľa pokynov zamestnávateľ