Ochrana osobných údajov v zdravotníctve – od mája 2018 ešte prísnejšie pravidlá

Úvod

Je nespornou skutočnosťou, že práve v sektore zdravotníctva je dôsledná ochrana osobných údajov fyzických osôb kriticky dôležitá. Vyplýva to zo samotnej povahy spracúvaných osobných údajov, kde ich veľkú časť predstavujú informácie o zdravotnom stave fyzických osôb. Takéto údaje sú špeciálnou kategóriou osobných údajov vyžadujúcou ešte vyššie štandardy ochrany.

Téma ochrany osobných údajov sa často môže zdať ťažko uchopiteľná. Čo si pod ňou predstaviť? Prečo je vôbec dôležité osobné údaje chrániť? Ak hovoríme o ochrane osobných údajov, priliehavejšie by bolo parafrázovať názov GDPR ako prelomového právneho predpisu platného od 25. mája 2018, v ktorom sa uvádza, že ide o ochranu fyzických osôb pri spracúvaní osobných údajov. Sú to totiž práve fyzické osoby, ktorých osobné údaje sa spracúvajú a ktorým v dôsledku nedostatočnej ochrany osobných údajov pri ich spracúvaní hrozí ujma. Len pre ilustráciu uvediem jeden príklad: v roku 2017 sme boli vo svete svedkami viacerých hackerských útokov na nemocnice. Útočník tak môže napr. znemožniť lekárom prístup ku chorobopisom pacientov, alebo tieto pozmeniť. V dôsledku čoho reálne môže dôjsť k priamemu ohrozeniu života pacientov. Ochrana osobných údajov je aj o tom, aby sa takýmto útokom účinne predchádzalo, a ak už predsa len k bezpečnostnému incidentu došlo, aby mal minimálne negatívne následky pre dotknuté osoby.

Ochrana osobných údajov vo všeobecnosti, no o to viac v zdravotníctve, je témou skutočnou, zásadnou a v extrémnejších prípadoch môže dokonca zachraňovať životy. Preto je potrebné jej intenzívne venovať pozornosť.

Problematika ochrany osobných údajov je natoľko komplexná, že sa jej budem venovať aj v najbližších vydaniach Práva a manažmentu v zdravotníctve. V tejto časti čitateľov všeobecne uvediem do témy priblížením základných pojmov, zásad spracúvania a správneho procesu zosúladenia spracúvania osobných údajov so zákonnými požiadavkami. V nasledujúcich častiach sa zameriam na špecifiká v právnom postavení a právach a povinnostiach rôznych subjektov v rámci zdravotníctva (poskytovatelia zdravotnej starostlivosti, zdravotné poisťovne, pacienti).

Právna úprava osobných údajov dnes a od mája 2018

Problematika ochrany osobných údajov v našom právnom poriadku nie je nová. Prvýkrát sa objavila v roku 2002, kedy bol prijatý prvý zákon o ochrane osobných údajov. V roku 2013 bol pôvodný zákon zrušený novým zákonom č. 122/2013 Z. z. o ochrane osobných údajov. Slovensko má dlhodobo nastavené relatívne prísne pravidlá ochrany osobných údajov v porovnaní s niektorými členskými štátmi Európskej únie.

V apríli 2016 bolo prijaté všeobecné nariadenie o ochrane osobných údajov – toľko spomínané GDPR. Národná rada Slovenskej republiky zareagovala na GDPR novým zákonom č. 18/2018 Z. z. o ochrane osobných údajov, ktorý bol vyhlásený v Zbierke zákonov 30. januára 2018. Tento zákon de facto zrkadlovito prevzal GDPR.

V súčasnosti teda základný právny rámec ochrany osobných údajov tvoria nasledujúce predpisy:

• zákon č. 122/2013 Z. z. o ochrane osobných údajov účinný do 25. mája 2018,
• zákon č. 18/2018 Z. z. ochrane osobných údajov účinný od 25. mája 2018,
• nariadenie Európskeho parlamentu a Rady (EÚ) 2016/679 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, ktorým sa zrušuje smernica 95/46/ES (všeobecné nariadenie o ochrane údajov, tiež ako GDPR).

Vzhľadom na dlhodobú existenciu právnej úpravy ochrany osobných údajov nepovažujem právnu úpravu účinnú od 25. mája 2018 za revolúciu, ale len prirodzenú evolúciu zohľadňujúcu vývoj techniky, a s tým spojené nové riziká pre fyzické osoby pri spracúvaní osobných údajov.

Vysvetlenie niektorých základných pojmov v zmysle právnej úpravy účinnej od 25. mája 2018

Osobné údaje

Osobnými údajmi sú údaje týkajúce sa identifikovanej fyzickej osoby alebo identifikovateľnej fyzickej osoby, ktorú možno identifikovať priamo alebo nepriamo, najmä na základe všeobecne použiteľného identifikátora, iného identifikátora ako je napríklad meno, priezvisko, identifikačné číslo, lokalizačné údaje alebo online identifikátor, alebo na základe jednej alebo viacerých charakteristík alebo znakov, ktoré tvoria jej fyzickú identitu, fyziologickú identitu, genetickú identitu, psychickú identitu, mentáln