O tom čo poskytovateľom zdravotnej starostlivosti prináša nariadenie Európskeho parlamentu a Rady (EÚ) 2016/679 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, ktorým sa zrušuje smernica 95/46/ES (všeobecné nariadenie o ochrane údajov) (ďalej len „GDPR “) a nový zákon č. 18/2018 Z. z. o ochrane osobných údajov a o zmene a doplnení niektorých zákonov (ďalej len „Zákon“) sme si už aj na stránkach tohto periodika prečítali viacero odborných príspevkov. Už dávno poznáme alebo aspoň vieme, kde hľadať zoznam povinností, ktoré má poskytovateľ zdravotnej starostlivosti v pozícii prevádzkovateľa, počnúc dodržiavaním zásad spracúvania údajov, cez uplatňovanie práv dotknutých osôb až po technickú a organizačnú stránku dátovej bezpečnosti.
Týmto článkom chce autor otvoriť sériu viacerých príspevkov zameraných na kontrolnú činnosť vykonávanú orgánmi dozoru v členských štátoch Európskej únie. Výsledky ich práce, rozhodnutia o porušení GDPR a ukladaní finančných sankcií nám pomôžu poukázať na najčastejšie problémy aplikačnej praxe, ktoré v prípade kontrolovaných subjektov mali za následok skoré odstránenie nedostatkov, ako aj zaplatenie pokút z pomerne širokého spektra ich výšky.
V úvodnom článku sa nevyhneme drobnej dávke teórie, aby sme v ďalšej časti nemuseli tápať v pojmoch ako prevádzkovateľ či citlivé údaje. Prevádzkovateľom je v medicínskej oblasti nepochybne každý poskytovateľ zdravotnej starostlivosti. Poskytovať zdravotnú starostlivosť bez súčasného spracúvania osobných údajov je v dnešnej dobe prakticky nemožné. Nie je to dané len zákonnou povinnosťou viesť zdravotnú dokumentáciou, ale aj spôsobom financovania cez systém verejného zdravotného poistenia. Poskytovateľ zdravotnej starostlivosti spravidla spracúva osobné údaje aj mimo zdravotnej dokumentácie, a to v rámci pracovnoprávnej agendy či nezriedka aj na účely marketingu. Na účely tohto článku však zostaňme najmä pri zdravotnej dokumentácii, ktorá ako informačný systém obsahujúci osobné údaje pacientov ako dotknutých osôb, súvisí s primárnou činnosťou poskytovateľa zdravotnej starostlivosti.
Osobné údaje spracúvané v zdravotnej dokumentácii označujeme ako údaje týkajúce sa zdravia. Sú to osobné údaje týkajúce sa fyzického alebo duševného zdravia pacienta vrátane údajov o poskytovaní služieb zdravotnej starostlivosti, ktorými sa odhaľujú informácie o jeho zdravotnom stave. Spolu s inými citlivými údajmi ich zaraďujeme medzi tzv. osobitné kategórie osobných údajov, so spracúvaním ktorých je spojený sprísnený režim oproti ostatným kategóriám dát.
Prejdime však k tomu, čo je hlavným predmetom tohto článku, a to ku chybám iných, z ktorých sa môžeme bezbolestne poučiť. Tento článok prináša informáciu o rozhodovacej činnosti dozorných úradov bezprostredne po účinnosti GDPR. V neskorších článkoch sa zameriame na najvyššie pokutované či iným spôsobom zaujímavé rozhodnutia.
Portugalská nemocnica
O razantný nástup GDPRdo zdravotníckeho sektora sa postaral portugalský dozorný orgán, ktorý realizoval svoju kontrolnú činnosť v zdravotníckom zariadení Centro Hospitalar Barreiro Montijo
1)
necelé dva mesiace od nadobudnutia účinnosti GDPR. Pokutu vo výške 400-tisíc eur možno pokojne označiť ako liečbu šokom. Rovnako extrémne však pôsobí aj dôvod takto vysokej sankcie. Problémom bolo až 985 účtov v nemocničnom informačnom systéme, pričom rozsah oprávnení týchto účtov bol administrátorom nastavený na úroveň "lekár". Nebolo by na tom nič divné, keby daná nemocnica nezamestnávala len 296 lekárov. Ujmu v tomto prípade možno identifikovať najmä na dôvernosti spracúvaných údajov, ktorá tvorí jednu zo základných zásad spracúvania osobných údajov podľa čl. 5 ods. 1 písm. f) GDPR. To, že takmer 700 nelekárskych pracovníkov malo účty s lekárskymi právami bolo jednoznačným dôkazom porušenia bezpečnosti v zmysle čl. 32 GDPR. Opatrenia prijaté prevádzkovateľom tak boli evidentne neprimerané a nedostatočné. Absentovala tiež autentifikácia, ako aj logovanie prístupov do systému.
Český regulátor pokutoval len symbolicky
Za podobný prípad udelil Úrad na ochranu osobných údajov Českej republiky prevádzkovateľovi Nemocnice Tábor, a.s.
2)
pokutu vo výške 40-tisíc českých korún. Hoci nejde o tak extrémny príklad ako v Portugalsku, aj v prípade českej nemocnice bol problém s prístupmi jednotlivých používateľských účtov v nemocničnom informačnom systéme. Českému úradu v tomto prípade prekážal rozsah prístupových práv, keď všetci lekári mali prístup ku kompletnej zdravotnej dokumentácii pacienta, a to bez ohľadu na ich špecializáciu. Výnimkou z takto široko koncipovaných práv bol našťastie aspoň prístup k dokumentácii psychiatrického oddelenia, ktorá zostala uzavretá výlučne pre svojich špecialistov. Aj v tomto prípade však jednoznačne došlo k porušeniu zásady dôvernosti spracúvaných údajov a rovnako ako v Portugalsku, aj český dozorný orgán mal problémy s nedostatočným logovaním prístupov k elektronickej dokumentácii a rozsahom užívateľských práv. Nemocnica podala proti rozhodnutiu regulátora námietky, ktoré boli zamietnuté v rámci druhostupňového konania. Veľmi nízku pokutu možno zdôvodniť snáď len bezodkladným odstránením nedostatkov či ďalšími poľahčujúcimi okolnosťami, a tým, že bola realizovaná ešte v režime zákona spred účinnosti GDPR.
Pre zobrazenie článku nemáte dostatočné oprávnenia.
Odomknite si prístup k odbornému obsahu na portáli.
Prístup k obsahu portálu majú len registrovaní používatelia portálu. Pokiaľ ste už zaregistrovaný, stačí sa prihlásiť.
Ak ešte nemáte prístup k obsahu portálu, využite 10-dňovú demo licenciu zdarma (stačí sa zaregistrovať).
