Povinnosti prevádzkovateľov zdravotníckych zariadení v oblasti ochrany osobných údajov

Rovnako možno niektorí čitatelia v minulosti zachytili aj v médiách prezentovaný prípad z Českej republiky, keď pracovníci zberného dvora našli kompletnú zdravotnú dokumentáciu vedenú v papierovej forme pre veľké množstvo pacientov jednej nemenovanej nemocnice. V rámci vyšetrovania sa zistilo, že v nemocnici prebiehala rozsiahlejšia stavebná rekonštrukcia a v rámci premiestňovania zdravotnej dokumentácie došlo omylom k zaradeniu jednej jej časti medzi odpad určený na vyvezenie a zneškodnenie. Len vďaka tomu, že pracovníci zberného dvora promptne zalarmovali políciu, nebola zdravotná dokumentácia dotknutých osôb k dispozícii ďalším osobám.

Alebo do tretice príklad z ambulantnej praxe. Na pracovnom stole sestry alebo lekára sa počas vyšetrenia jedného pacienta nachádza otvorená zdravotná dokumentácia iného pacienta, ktorý navštívil ambulanciu skôr. Vyšetrovaný pacient pritom vidí časť cudzej zdravotnej dokumentácie obsahujúcej osobné údaje, najmä tie citlivé.

Zablokovanie dát tvoriacich zdravotnú dokumentáciu môže priamo ohrozovať zdravie a životy pacientov, môže spôsobiť rušenie naplánovaných operácií, či znemožniť alebo výrazne sťažiť poskytovanie aj bežnej zdravotnej starostlivosti. Popri tom netreba zabúdať na prípadné nepríjemné zásahy do „sociálnych“ životov osôb, ktorých osobné údaje, najmä tie citlivé o ich zdravotnom stave, mohli byť odcudzené a neoprávnene použité. Obdobne je tomu v prípade straty zdravotnej dokumentácie alebo v prípade zneužitia jej obsahu tretími osobami bez ohľadu na to, akým neoprávneným spôsobom sa osobné údaje dotknutých osôb dostali do dispozície týchto tretích osôb.

Toto sú hmatateľné príklady toho, čo ochrana osobných údajov v praxi poskytovateľov zdravotnej starostlivosti znamená, resp. môže znamenať, prečo je dôležitá a aké sú alebo môžu byť dôsledky nedostatočnej alebo dokonca chýbajúcej ochrany osobných údajov. Práve prostredníctvom uvedených príkladov som mal za cieľ podčiarknuť skutočnosť, že pri ochrane osobných údajov nejde ani zďaleka len o vypracovanie akýchsi „pro forma“ interných dokumentov, ale o konkrétne „živé“ opatrenia najmä organizačného, technického a fyzického charakteru.

Hoci si dovolím tvrdiť, že 100 %-ná ochrana osobných údajov je utópiou – tak v online prostredí, ako aj pri dátach obsiahnutých na fyzických nosičoch vrátane papiera – treba robiť všetko preto, aby k bezpečnostným incidentom nedochádzalo, predchádzalo sa im a aby sa zabezpečilo, že ak už aj k nim dôjde, ich negatívne dôsledky na práva dotknutých osôb budú minimálne.

Tento článok nadväzuje na predchádzajúce dva články na tému ochrany osobných údajov v zdravotníctve, preto sa v ňom budem venovať otázkam, ktoré v predchádzajúcich číslach tohto časopisu ešte neboli adresované. Bližšie uvediem rozsah spracúvaných osobných údajov, právne základy spracúvania, a kľúčové povinnosti poskytovateľov zdravotnej starostlivosti. Načrtnem tiež tému posudzovania vplyvu na ochranu osobných údajov (DPIA – „Data Protection Impact Assessment“) a ustanovenia tzv. zodpovednej osoby (DPO) v rozlíšení pre ambulantnú sféru a nemocnice.

Rozsah spracúvaných osobných údajov a právne základy spracúvania

Poskytovatelia zdravotnej starostlivosti, a to bez ohľadu na to, či ide o samostatných lekárov alebo nemocnice, spracúvajú osobné údaje o rôznych dotknutých osobách, a to najmä o:

• pacientoch,
• blízkych osobách pacientov,
• zamestnancoch poskytovateľov zdravotnej starostlivosti.

Osobné údaje pacientov

Vo všeobecnosti platí v zmysle čl. 9 všeobecného nariadenia o ochrane údajov [Nariadenie Európskeho parlamentu a Rady (EÚ) 2016/679 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, ktorým sa zrušuje smernica 95/46/ES (všeobecné nariadenie o ochrane údajov) (Ú.v. EÚ L 119, 4.5.2016)], ktoré nadobudne účinnosť 25. mája 2018 zákaz spracúvania osobitných kategórií osobných údajov, medzi ktoré okrem iných patria aj údaje o zdravotnom stave dotknutej osoby. Z tohto generálneho zákazu však existujú výnimky, pričom pre poskytovateľov zdravotnej starostlivosti sú zrejme najdôležitejšími:

• výnimka podľa ustanovenia čl. 9 ods. 2 písm. a) všeobecného nariadenia o ochrane údajov, v zmysle ktorej „dotknutá osoba vyjadrila výslovný súhlas so spracúvaním týchto osobných údajov na jeden alebo viacero určených účelov, s výnimkou prípadov, keď sa v práve Únie alebo v práve členského štátu stanovuje, že zákaz uvedený v odseku 1 nemôže dotknutá osoba zrušiť“,
• výnimka podľa ustanovenia čl. 9 ods. 2 písm. c) všeobecného nariadenia o ochrane údajov, a teda „spracúvanie je nevyhnutné na ochranu životne dôležitých záujmov dotknutej osoby alebo inej fyzickej osoby v prípade, že dotknutá osoba nie je fyzicky alebo právne spôsobilá vyjadriť svoj súhlas“. Táto výnimka sa štandardne bude uplatňovať v situáciách, keď je pacient v priamom ohrození života, v bezvedomí alebo v inom natoľko vážnom stave, že nie je schopný udeliť súhlas so spracúvaním jeho osobných údajov,
• výnimka podľa ustanovenia čl. 9 ods. 2 písm. h) všeobecného nariadenia o ochrane údajov, a teda „spracú