Ide o tzv. GDPR General Data Protection Regulation.
V českom denníku Mladá Fronta Dnes bol uverejnený rozhovor s podpredsedom Najvyššieho súdu Romanom Fialom. V rozhovore sa uvádza, že R. Fialu oslovila lekárka, ktorá má psychiatrickú ambulanciu, a pýtala sa ho, čo nový spôsob ochrany osobných údajov bude pre ňu znamenať. Má totiž chorobopisy pacientov, v ktorých sú uvedené citlivé údaje. Čo ak jej pacienti povedia, že ich chcú vymazať?
A aké zmeny bude predstavovať nový spôsob pre slovenské inštitúcie v zdravotníctve, napríklad poisťovne, NCZI, komory či samotných zdravotníkov a pacientov.
Slovenská lekárnická komora uvádza, že konzultuje účinnosť tejto smernice s firmou, ktorá sa zaoberá prípravou a realizáciou projektov ochrany osobných údajov. „Zároveň sme s konkrétnymi otázkami oslovili aj Úrad na ochranu osobných údajov,“ doplnil prezident SLeK PharmDr. Ondrej Sukeľ.
NCZI v súčasnosti posudzuje dopad požiadaviek nariadenia o ochrane osobných údajov EÚ vo vzťahu k systému ezdravie a pripravuje odporúčania pre dodržanie súladu systému ezdravie s nariadením.
„Nariadením EÚ o GDPR sa intenzívne zaoberáme už od jeho vydania. Pracujeme na zosúladení interných procesov a IT systémov s týmto nariadením,“ komentoval hovorca ZP Dôvera Matej Štepiansky.
Všeobecná zdravotná poisťovňa podrobne analyzovala Nariadenie EP a Rady EÚ 2016/679 (GDPR) a aj nový zákon o ochrane Osobných údajov (OÚ) č. 18/2018 Z. z. „a požiadavky realizuje tak, aby k dátumu účinnosti (25. 5. 2018) spracúvala osobné údaje v súlade s novou legislatívou,“ uviedla hovorkyňa VšZP Viktória Vasilenková. Dodala, že ide napríklad o „zavedenie jednej zodpovednej osoby za VšZP. V súčasnosti má poisťovňa viacero zodpovedných osôb pre jednotlivé oblasti spracúvania osobných údajov; úpravu zmlúv, na základe ktorých zmluvná strana (sprostredkovateľ) spracúva OÚ v mene VšZP (prevádzkovateľa) či aktualizáciu vnútorných predpisov“. S tým, že podľa nej pre každý informačný systém s osobnými údajmi treba tiež vypracovať analýzu rizík, posúdenie vplyvu na ochranu osobných údajov, záznamy o spracovateľských činnostiach či organizačné a technické bezpečnostné opatrenia na ochranu osobných údajov atď.
Zmeny
Či GDPR bude znamenať v praxi nejaké zmeny pre zdravotníkov a pacientov, je zatiaľ otázne. „Tieto otázky sú aktuálne predmetom analýzy jednak zo strany SLeK, ako aj zo strany dodávateľov informačných systémov pre lekárne,“ uviedol O. Sukeľ.
V systéme by podľa NCZI nemalo dôjsť k žiadnym zásadným zmenám vo vzťahu k zdravotníckym pracovníkom či pacientom.
„V prípade poskytovateľov zdravotnej starostlivosti GDPR nepredstavuje zásadný prelom. Tak ako doteraz, poskytovatelia nebudú potrebovať súhlas pacienta so spracovaním osobných údajov, pretože údaje spracúvajú na základe zákona,“ komentoval advokát z advokátskej kancelárie Škodler & Partners, s. r. o. Mgr. Zdenko Seneši. Väčší poskytovatelia zdravotnej starostlivosti – nemocnice budú podľa neho musieť ustanoviť zodpovedného zástupcu; povinnosť sa netýka ambulancií. „Poskytovatelia ako spracovatelia osobných údajov už teraz majú povinnosť prijať primerané technické a organizačné opatrenia; GDPR vymenúva niektoré opatrenia – šifrovanie, pseudonymizácia, pravidelné testovanie bezpečnosti spracúvania údajov,“ dodal Z. Seneši.
„Poistencov veľké zmeny nečakajú. Je to najmä preto, že aj doposiaľ bola ochrana osobných údajov na vysokej úrovni,“ vyjadril sa M. Štepiansky.
Podobne reagovala aj V. Vasilenková. „Pre poistencov to neznamená nič nové, keďže VšZP zbiera údaje o poistencoch v rozsahu zákona č. 581/2004 Z. z. o zdravotných poisťovniach.“
NCZI predpokladá, že zaznamenávanie údajov či zapracovávanie prípadných zmien sa uskutoční bez problémov, v súlade s nariadením a s ohľadom na dotknuté osoby (zdravotnícky pracovník, pacient).
Problém?
Čo však v situácii, ak pacient odmietne zápis do dokumentácie?
„Podľa nášho názoru pacient nebude mať možnosť odmietnuť zápis do zdravotnej dokumentácie alebo žiadať o vymazanie údajov, pretože sú spracúvané na základe zákona za účelom ochrany zdravia a života. Zároveň výmazom osobných údajov by mohlo dôjsť k tomu, že poskytovateľ by nevedel preukázať poskytnutie zdravotnej starostlivosti, resp. správnosť poskytnutia zdravotnej starostlivosti,“ povedal Z. Seneši.
„Poistenec musí poskytnúť údaje podľa zákona o zdravotnom poistení. Získané údaje poisťovňa uchováva 5 – 15 rokov od skončenia poistenia (§16 zákona č. 581/2004 Z. z.),“ zmienila sa V. Vasilenková a uviedla príklad. „Ste poistenec a zmeníte poisťovňu. Nemôžete predchádzajúcu poisťovňu požiadať o zabudnutie (ide o nové právo byť zabudnutý), resp. môžete, ale poisťovňa tomu nebude môcť vyhovieť. Poisťovňa preverí, či osobné údaje sú spracúvané aj v iných informačných systémoch na inom právnom základe a ak zistí, že áno, zabezpečí vymazanie takýchto údajov.“
„Ak budú procesy nastavené v súlade s nariadením o GDPR, problémy neočakávame,“ uzavrel M. Štepiansky.
Právny pohľad
JUDr. Ivan Humeník, PhD., Mgr. Katarína Tomková z h&h PARTNERS, advokátska kancelária s. r. o. – GDPR hovorí aj o právach pacientov
Od mája má fungovať nový spôsob ochrany osobných dát podľa nariadenia EÚ, tzv. GDPR. O čo ide?
Oficiálny názov je Nariadenie Európskeho parlamentu a Rady (EÚ) 2016/679 z 27. apríla 2016 o ochrane fyzických osôb pri spracovaní osobných údajov a voľnom pohybe týchto údajov a o zrušení smernice 95/46/ES (Všeobecné nariadenie o ochrane osobných údajov).
Ide o všeobecné nariadenie, ktoré obsahuje pravidlá ochrany osobných údajov a s tým súvisiace povinnosti pre všetkých, ktorí spracúvajú osobné údaje o občanoch EÚ alebo majú sídlo v EÚ. Rovnako sú v tomto nariadení upravené práva, ktoré majú dotknuté osoby. Pri poskytovaní zdravotnej starostlivosti pod dotknutými osobami rozumieme pacientov, o ktorých poskytovateľ zdravotnej starostlivosti spracúva osobné údaje.
GDPR sa vzťahuje aj na Slovenskú republiku. Účinnosť tohto nariadenia nastáva automaticky v plnom rozsahu s výnimkou ustanovení, pri ktorých je členským štátom umožnené/uložené upraviť si ich na vnútroštátnej úrovni prostredníctvom zákonov, resp. inými právnymi predpismi.
Týchto „výnimiek“ je relatívne veľa, najmä pre oblasť zdravotníctva. Ide o právny predpis, ktorý je priamo aplikovateľný a záväzný pre všetky fyzické a právnické osoby, ktoré spracúvajú osobné údaje, bez toho, aby bolo nutné prevziať ho do národných právnych poriadkov.
Znamená to, že pre všetky členské štáty EÚ toto nariadenie platí a nie je možné sa mu vyhnúť. Slovensko si však môže niektoré oblasti, pri ktorých to nariadenie dovoľuje, upraviť aj samo vo svojom zákone.
Vnútroštátnu právnu úpravu ochrany osobných údajov nachádzame v zákone č. 18/2018 Z. z. o ochrane osobných údajov. V zásade však platí pravidlo, že ak by v zákone č. 18/2018 boli niektoré ustanovenia v rozpore s nariadením GDPR, tak platí GDPR.
Čo to bude znamenať pre zdravotníckych pracovníkov a pacientov?
Hlavnou činnosťou ambulancií, nemocníc a iných zdravotníckych zariadení je poskytovanie zdravotnej starostlivosti. Poskytovanie zdravotnej starostlivosti sa nezaobíde bez každodennej práce s osobnými údajmi týkajúcimi sa zdravia, ktoré GDPR, resp. zákon č. 18/2018 zaraďuje do osobitnej kategórie osobných údajov. Netreba zabúdať ani na genetické, biometrické a iné údaje, ktorým sa zdravotnícki pracovníci nevedia vyhnúť a vo všeobecnosti platí sprísnený režim ich spracúvania. Ochrana osobných údajov v zdravotníckom sektore sa nevzťahuje len na samotných pacientov, ale rovnako aj napríklad zamestnancov zdravotníckeho zariadenia.
Pravidlá ochrany osobných údajov sa vzťahujú na všetkých poskytovateľov zdravotnej starostlivosti, a to bez rozdielu. Zdravotnícke zariadenia sa pravidlám ochrany osobných údajov nevedia vyhnúť. Na nové pravidlá ochrany osobných údajov sa možno len pripraviť. Pravidlá ochrany osobných údajov zdravotnícki pracovníci boli a sú povinní dodržiavať aj v zmysle súčasnej legislatívy. Možno konštatovať, že pred prijatím nariadenia GDPR bolo v rámci zdravotníckeho sektora povedomie nižšie, prípadne povinnosti boli zanedbávané.
Za implementáciu a dodržiavanie pravidiel ochrany osobných údajov zodpovedá samotný poskytovateľ zdravotnej starostlivosti, ktorý je pri vedení zdravotnej dokumentácie v pozícii prevádzkovateľa. Avšak samotná ochrana osobných údajov pri poskytovaní osobných údajov sa týka všetkých subjektov zúčastnených na spracovaní v akejkoľvek podobe, to znamená lekár, zdravotná sestra a iní zdravotnícki pracovníci, ktorí sa na poskytovaní zdravotnej starostlivosti zúčastňujú.
Ak dôjde k porušeniu pravidiel ochrany osobných údajov lekárom alebo zdravotnou sestrou, ktorí sú u poskytovateľa zamestnaní, to neznamená, že za svoje „omyly“ nebudú zodpovední, uvedené závisí od charakteru porušenia.
Podľa novej právnej úpravy odpadajú niektoré povinnosti poskytovateľom zdravotnej starostlivosti, napríklad oznamovacia povinnosť niektorých informačných systémov.
Podľa novej právnej úpravy sú niektoré povinnosti len oblečené v novom šate ako napríklad špecificky a štandardne navrhnutá ochrana osobných údajov a bezpečnosť spracúvania. Súčasne pribúdajú aj nové povinnosti, ktoré do samotnej prevádzky zdravotníckeho zariadenia vedia zasiahnuť organizačne alebo finančne, pričom typickým príkladom je poskytovanie informácií na žiadosť pacienta, povinnosť oznamovať porušenie ochrany osobných údajov v určitých prípadoch Úradu na ochranu osobných údajov a pacientom alebo posúdenie vplyvu na ochranu osobných údajov. Novou povinnosťou je aj predchádzajúca konzultácia s Úradom na ochranu osobných údajov v prípade, že výsledkom posúdenia vplyvu je vysoké riziko a nie je možne prijať účinné a primerané prostriedky na jeho zmiernenie.
Veľmi dôležitou povinnosťou je určenie zodpovednej osoby, avšak nie pre všetky zdravotnícke zariadenia. Typickým príkladom, keď prevádzkovateľ musí mať určenú zodpovednú osobu, je nemocnica, ktorej hlavnou činnosťou je poskytovanie zdravotnej starostlivosti, pri ktorom dochádza k spracúvaniu osobitnej kategórie osobných údajov týkajúcich sa zdravia, a to vo veľkom rozsahu.
GDPR hovorí rovnako aj o právach pacientov, a to požadovať od poskytovateľa prístup k osobným údajom, právo na opravu osobných údajov, právo na vymazanie osobných údajov, právo na obmedzenie spracúvania osobných údajov, právo namietať spracúvanie osobných údajov a ďalšie. Pri poskytovaní zdravotnej starostlivosti však dochádza k obmedzeniu niektorých práv pacientov, ako je právo na výmaz vzhľadom na právny základ, ktorým je plnenie povinnosti poskytovateľa zdravotnej starostlivosti viesť zdravotnú dokumentáciu.
Aké problémy sa môžu vyskytnúť v súvislosti so zaznamenávaním niektorých údajov? Ako postupovať, ak pacient odmietne zápis alebo bude požadovať vymazanie niektorých údajov?
V kontexte nových pravidiel spracovania osobných údajov pri poskytovaní zdravotnej starostlivosti je okrem GDPR a predpisov upravujúcich vyslovene ochranu osobných údajov (nový zákon 18/2018 Z. z.) potrebné zohľadňovať aj ďalšie pravidlá, ktoré upravujú napríklad vedenie zdravotnej dokumentácie. Významným prvkom, ktorý bude naberať na dôležitosti, sú aj povinnosti poskytovateľov a zdravotníckych pracovníkov vyplývajúce z ezdravia (zákon 153/2013 a 578/2004). Základným východiskom pre spracovanie osobných údajov v zdravotnej dokumentácii je skutočnosť, že tieto operácie poskytovateľ realizuje na základe zákona o zdravotnej starostlivosti.
V zmysle § 18 ods. 2 zákona o zdravotnej starostlivosti sa súhlas pacienta na spracovanie jeho osobných údajov v zdravotnej dokumentácii nevyžaduje. Právnym základom na spracovanie osobných údajov pacienta v zdravotnej dokumentácii je teda samotný zákon. Súčasne je však potrebné upozorniť na skutočnosť, že poskytovateľ na základe zákona (bez súhlasu) môže spracovať len tie osobné údaje pacienta, ktoré špecifikuje zákon o zdravotnej starostlivosti v § 19 ods. 2. Je otázne, a ukáže to až prax uplatňovania GDPR, ako aj nového zákona o ochrane osobných údajov, či poskytovateľ bude môcť spracúvať aj širší rozsah osobných údajov pacienta (ako ten, ktorý mu ukladá zákon o zdravotnej starostlivosti) na báze iných „bezsúhlasových“ právnych základov.
Poskytovatelia sú dnes povinní plniť povinnosti týkajúce sa zápisov do elektronickej zdravotnej knižky pacienta (EZKP). De facto aj uvedené predstavuje spracovateľskú operáciu týkajúcu sa nakladania s osobnými údajmi pacienta. Právnym základom pre túto činnosť poskytovateľa a zdravotníckeho pracovníka je predovšetkým zákon 153/2013 Z. z., zákon 578/2004 Z. z. a 576/2004 Z. z..
Elektronická zdravotná knižka nemá povahu zdravotnej dokumentácie pacienta v zmysle, ako ju upravuje zákon o zdravotnej starostlivosti. EZKP predstavuje osobitný informačný systém, do ktorého sa vkladajú a v ktorom sa vedú údaje zo zdravotnej dokumentácie pacienta. Povinnosť vykonať elektronický záznam do EZKP poskytovateľovi ukladá zákon č. 578/2004, pričom rozsah zapisovaných údajov upravuje Príloha č. 2 k zákonu 153/2013. Podobne ako je to pri vedení zdravotnej dokumentácie, tak aj pri realizovaní povinností týkajúcich sa záznamov do EZKP poskytovateľ koná na základe zákona a na splnenie svojej povinnosti nepotrebuje súhlas pacienta. Právnym základom na realizovanie záznamov do EZKP nie je súhlas pacienta, ale samotný zákon.
Poskytovateľ by pacientovi mal vysvetliť, že bez ohľadu na jeho názor či želanie musí elektronický záznam po poskytnutí zdravotnej starostlivosti vykonať. Takúto povinnosť by nemal, ak by išlo o pacienta, ktorý nie je poistencom verejného zdravotného poistenia alebo poistencom iného členského štátu s bydliskom v Slovenskej republike.
V českom denníku Mladá Fronta Dnes bol uverejnený rozhovor s podpredsedom Najvyššieho súdu Romanom Fialom. V rozhovore sa uvádza, že R. Fialu oslovila lekárka, ktorá má psychiatrickú ambulanciu, a pýtala sa ho, čo nový spôsob ochrany osobných údajov bude pre ňu znamenať. Má totiž chorobopisy pacientov, v ktorých sú uvedené citlivé údaje. Čo ak jej pacienti povedia, že ich chcú vymazať?
A aké zmeny bude predstavovať nový spôsob pre slovenské inštitúcie v zdravotníctve, napríklad poisťovne, NCZI, komory či samotných zdravotníkov a pacientov.
Slovenská lekárnická komora uvádza, že konzultuje účinnosť tejto smernice s firmou, ktorá sa zaoberá prípravou a realizáciou projektov ochrany osobných údajov. „Zároveň sme s konkrétnymi otázkami oslovili aj Úrad na ochranu osobných údajov,“ doplnil prezident SLeK PharmDr. Ondrej Sukeľ.
NCZI v súčasnosti posudzuje dopad požiadaviek nariadenia o ochrane osobných údajov EÚ vo vzťahu k systému ezdravie a pripravuje odporúčania pre dodržanie súladu systému ezdravie s nariadením.
„Nariadením EÚ o GDPR sa intenzívne zaoberáme už od jeho vydania. Pracujeme na zosúladení interných procesov a IT systémov s týmto nariadením,“ komentoval hovorca ZP Dôvera Matej Štepiansky.
Všeobecná zdravotná poisťovňa podrobne analyzovala Nariadenie EP a Rady EÚ 2016/679 (GDPR) a aj nový zákon o ochrane Osobných údajov (OÚ) č. 18/2018 Z. z. „a požiadavky realizuje tak, aby k dátumu účinnosti (25. 5. 2018) spracúvala osobné údaje v súlade s novou legislatívou,“ uviedla hovorkyňa VšZP Viktória Vasilenková. Dodala, že ide napríklad o „zavedenie jednej zodpovednej osoby za VšZP. V súčasnosti má poisťovňa viacero zodpovedných osôb pre jednotlivé oblasti spracúvania osobných údajov; úpravu zmlúv, na základe ktorých zmluvná strana (sprostredkovateľ) spracúva OÚ v mene VšZP (prevádzkovateľa) či aktualizáciu vnútorných predpisov“. S tým, že podľa nej pre každý informačný systém s osobnými údajmi treba tiež vypracovať analýzu rizík, posúdenie vplyvu na ochranu osobných údajov, záznamy o spracovateľských činnostiach či organizačné a technické bezpečnostné opatrenia na ochranu osobných údajov atď.
Zmeny
Či GDPR bude znamenať v praxi nejaké zmeny pre zdravotníkov a pacientov, je zatiaľ otázne. „Tieto otázky sú aktuálne predmetom analýzy jednak zo strany SLeK, ako aj zo strany dodávateľov informačných systémov pre lekárne,“ uviedol O. Sukeľ.
V systéme by podľa NCZI nemalo dôjsť k žiadnym zásadným zmenám vo vzťahu k zdravotníckym pracovníkom či pacientom.
„V prípade poskytovateľov zdravotnej starostlivosti GDPR nepredstavuje zásadný prelom. Tak ako doteraz, poskytovatelia nebudú potrebovať súhlas pacienta so spracovaním osobných údajov, pretože údaje spracúvajú na základe zákona,“ komentoval advokát z advokátskej kancelárie Škodler & Partners, s. r. o. Mgr. Zdenko Seneši. Väčší poskytovatelia zdravotnej starostlivosti – nemocnice budú podľa neho musieť ustanoviť zodpovedného zástupcu; povinnosť sa netýka ambulancií. „Poskytovatelia ako spracovatelia osobných údajov už teraz majú povinnosť prijať primerané technické a organizačné opatrenia; GDPR vymenúva niektoré opatrenia – šifrovanie, pseudonymizácia, pravidelné testovanie bezpečnosti spracúvania údajov,“ dodal Z. Seneši.
„Poistencov veľké zmeny nečakajú. Je to najmä preto, že aj doposiaľ bola ochrana osobných údajov na vysokej úrovni,“ vyjadril sa M. Štepiansky.
Podobne reagovala aj V. Vasilenková. „Pre poistencov to neznamená nič nové, keďže VšZP zbiera údaje o poistencoch v rozsahu zákona č. 581/2004 Z. z. o zdravotných poisťovniach.“
NCZI predpokladá, že zaznamenávanie údajov či zapracovávanie prípadných zmien sa uskutoční bez problémov, v súlade s nariadením a s ohľadom na dotknuté osoby (zdravotnícky pracovník, pacient).
Problém?
Čo však v situácii, ak pacient odmietne zápis do dokumentácie?
„Podľa nášho názoru pacient nebude mať možnosť odmietnuť zápis do zdravotnej dokumentácie alebo žiadať o vymazanie údajov, pretože sú spracúvané na základe zákona za účelom ochrany zdravia a života. Zároveň výmazom osobných údajov by mohlo dôjsť k tomu, že poskytovateľ by nevedel preukázať poskytnutie zdravotnej starostlivosti, resp. správnosť poskytnutia zdravotnej starostlivosti,“ povedal Z. Seneši.
„Poistenec musí poskytnúť údaje podľa zákona o zdravotnom poistení. Získané údaje poisťovňa uchováva 5 – 15 rokov od skončenia poistenia (§16 zákona č. 581/2004 Z. z.),“ zmienila sa V. Vasilenková a uviedla príklad. „Ste poistenec a zmeníte poisťovňu. Nemôžete predchádzajúcu poisťovňu požiadať o zabudnutie (ide o nové právo byť zabudnutý), resp. môžete, ale poisťovňa tomu nebude môcť vyhovieť. Poisťovňa preverí, či osobné údaje sú spracúvané aj v iných informačných systémoch na inom právnom základe a ak zistí, že áno, zabezpečí vymazanie takýchto údajov.“
„Ak budú procesy nastavené v súlade s nariadením o GDPR, problémy neočakávame,“ uzavrel M. Štepiansky.
Právny pohľad
JUDr. Ivan Humeník, PhD., Mgr. Katarína Tomková z h&h PARTNERS, advokátska kancelária s. r. o. – GDPR hovorí aj o právach pacientov
Od mája má fungovať nový spôsob ochrany osobných dát podľa nariadenia EÚ, tzv. GDPR. O čo ide?
Oficiálny názov je Nariadenie Európskeho parlamentu a Rady (EÚ) 2016/679 z 27. apríla 2016 o ochrane fyzických osôb pri spracovaní osobných údajov a voľnom pohybe týchto údajov a o zrušení smernice 95/46/ES (Všeobecné nariadenie o ochrane osobných údajov).
Ide o všeobecné nariadenie, ktoré obsahuje pravidlá ochrany osobných údajov a s tým súvisiace povinnosti pre všetkých, ktorí spracúvajú osobné údaje o občanoch EÚ alebo majú sídlo v EÚ. Rovnako sú v tomto nariadení upravené práva, ktoré majú dotknuté osoby. Pri poskytovaní zdravotnej starostlivosti pod dotknutými osobami rozumieme pacientov, o ktorých poskytovateľ zdravotnej starostlivosti spracúva osobné údaje.
GDPR sa vzťahuje aj na Slovenskú republiku. Účinnosť tohto nariadenia nastáva automaticky v plnom rozsahu s výnimkou ustanovení, pri ktorých je členským štátom umožnené/uložené upraviť si ich na vnútroštátnej úrovni prostredníctvom zákonov, resp. inými právnymi predpismi.
Týchto „výnimiek“ je relatívne veľa, najmä pre oblasť zdravotníctva. Ide o právny predpis, ktorý je priamo aplikovateľný a záväzný pre všetky fyzické a právnické osoby, ktoré spracúvajú osobné údaje, bez toho, aby bolo nutné prevziať ho do národných právnych poriadkov.
Znamená to, že pre všetky členské štáty EÚ toto nariadenie platí a nie je možné sa mu vyhnúť. Slovensko si však môže niektoré oblasti, pri ktorých to nariadenie dovoľuje, upraviť aj samo vo svojom zákone.
Vnútroštátnu právnu úpravu ochrany osobných údajov nachádzame v zákone č. 18/2018 Z. z. o ochrane osobných údajov. V zásade však platí pravidlo, že ak by v zákone č. 18/2018 boli niektoré ustanovenia v rozpore s nariadením GDPR, tak platí GDPR.
Čo to bude znamenať pre zdravotníckych pracovníkov a pacientov?
Hlavnou činnosťou ambulancií, nemocníc a iných zdravotníckych zariadení je poskytovanie zdravotnej starostlivosti. Poskytovanie zdravotnej starostlivosti sa nezaobíde bez každodennej práce s osobnými údajmi týkajúcimi sa zdravia, ktoré GDPR, resp. zákon č. 18/2018 zaraďuje do osobitnej kategórie osobných údajov. Netreba zabúdať ani na genetické, biometrické a iné údaje, ktorým sa zdravotnícki pracovníci nevedia vyhnúť a vo všeobecnosti platí sprísnený režim ich spracúvania. Ochrana osobných údajov v zdravotníckom sektore sa nevzťahuje len na samotných pacientov, ale rovnako aj napríklad zamestnancov zdravotníckeho zariadenia.
Pravidlá ochrany osobných údajov sa vzťahujú na všetkých poskytovateľov zdravotnej starostlivosti, a to bez rozdielu. Zdravotnícke zariadenia sa pravidlám ochrany osobných údajov nevedia vyhnúť. Na nové pravidlá ochrany osobných údajov sa možno len pripraviť. Pravidlá ochrany osobných údajov zdravotnícki pracovníci boli a sú povinní dodržiavať aj v zmysle súčasnej legislatívy. Možno konštatovať, že pred prijatím nariadenia GDPR bolo v rámci zdravotníckeho sektora povedomie nižšie, prípadne povinnosti boli zanedbávané.
Za implementáciu a dodržiavanie pravidiel ochrany osobných údajov zodpovedá samotný poskytovateľ zdravotnej starostlivosti, ktorý je pri vedení zdravotnej dokumentácie v pozícii prevádzkovateľa. Avšak samotná ochrana osobných údajov pri poskytovaní osobných údajov sa týka všetkých subjektov zúčastnených na spracovaní v akejkoľvek podobe, to znamená lekár, zdravotná sestra a iní zdravotnícki pracovníci, ktorí sa na poskytovaní zdravotnej starostlivosti zúčastňujú.
Ak dôjde k porušeniu pravidiel ochrany osobných údajov lekárom alebo zdravotnou sestrou, ktorí sú u poskytovateľa zamestnaní, to neznamená, že za svoje „omyly“ nebudú zodpovední, uvedené závisí od charakteru porušenia.
Podľa novej právnej úpravy odpadajú niektoré povinnosti poskytovateľom zdravotnej starostlivosti, napríklad oznamovacia povinnosť niektorých informačných systémov.
Podľa novej právnej úpravy sú niektoré povinnosti len oblečené v novom šate ako napríklad špecificky a štandardne navrhnutá ochrana osobných údajov a bezpečnosť spracúvania. Súčasne pribúdajú aj nové povinnosti, ktoré do samotnej prevádzky zdravotníckeho zariadenia vedia zasiahnuť organizačne alebo finančne, pričom typickým príkladom je poskytovanie informácií na žiadosť pacienta, povinnosť oznamovať porušenie ochrany osobných údajov v určitých prípadoch Úradu na ochranu osobných údajov a pacientom alebo posúdenie vplyvu na ochranu osobných údajov. Novou povinnosťou je aj predchádzajúca konzultácia s Úradom na ochranu osobných údajov v prípade, že výsledkom posúdenia vplyvu je vysoké riziko a nie je možne prijať účinné a primerané prostriedky na jeho zmiernenie.
Veľmi dôležitou povinnosťou je určenie zodpovednej osoby, avšak nie pre všetky zdravotnícke zariadenia. Typickým príkladom, keď prevádzkovateľ musí mať určenú zodpovednú osobu, je nemocnica, ktorej hlavnou činnosťou je poskytovanie zdravotnej starostlivosti, pri ktorom dochádza k spracúvaniu osobitnej kategórie osobných údajov týkajúcich sa zdravia, a to vo veľkom rozsahu.
GDPR hovorí rovnako aj o právach pacientov, a to požadovať od poskytovateľa prístup k osobným údajom, právo na opravu osobných údajov, právo na vymazanie osobných údajov, právo na obmedzenie spracúvania osobných údajov, právo namietať spracúvanie osobných údajov a ďalšie. Pri poskytovaní zdravotnej starostlivosti však dochádza k obmedzeniu niektorých práv pacientov, ako je právo na výmaz vzhľadom na právny základ, ktorým je plnenie povinnosti poskytovateľa zdravotnej starostlivosti viesť zdravotnú dokumentáciu.
Aké problémy sa môžu vyskytnúť v súvislosti so zaznamenávaním niektorých údajov? Ako postupovať, ak pacient odmietne zápis alebo bude požadovať vymazanie niektorých údajov?
V kontexte nových pravidiel spracovania osobných údajov pri poskytovaní zdravotnej starostlivosti je okrem GDPR a predpisov upravujúcich vyslovene ochranu osobných údajov (nový zákon 18/2018 Z. z.) potrebné zohľadňovať aj ďalšie pravidlá, ktoré upravujú napríklad vedenie zdravotnej dokumentácie. Významným prvkom, ktorý bude naberať na dôležitosti, sú aj povinnosti poskytovateľov a zdravotníckych pracovníkov vyplývajúce z ezdravia (zákon 153/2013 a 578/2004). Základným východiskom pre spracovanie osobných údajov v zdravotnej dokumentácii je skutočnosť, že tieto operácie poskytovateľ realizuje na základe zákona o zdravotnej starostlivosti.
V zmysle § 18 ods. 2 zákona o zdravotnej starostlivosti sa súhlas pacienta na spracovanie jeho osobných údajov v zdravotnej dokumentácii nevyžaduje. Právnym základom na spracovanie osobných údajov pacienta v zdravotnej dokumentácii je teda samotný zákon. Súčasne je však potrebné upozorniť na skutočnosť, že poskytovateľ na základe zákona (bez súhlasu) môže spracovať len tie osobné údaje pacienta, ktoré špecifikuje zákon o zdravotnej starostlivosti v § 19 ods. 2. Je otázne, a ukáže to až prax uplatňovania GDPR, ako aj nového zákona o ochrane osobných údajov, či poskytovateľ bude môcť spracúvať aj širší rozsah osobných údajov pacienta (ako ten, ktorý mu ukladá zákon o zdravotnej starostlivosti) na báze iných „bezsúhlasových“ právnych základov.
Poskytovatelia sú dnes povinní plniť povinnosti týkajúce sa zápisov do elektronickej zdravotnej knižky pacienta (EZKP). De facto aj uvedené predstavuje spracovateľskú operáciu týkajúcu sa nakladania s osobnými údajmi pacienta. Právnym základom pre túto činnosť poskytovateľa a zdravotníckeho pracovníka je predovšetkým zákon 153/2013 Z. z., zákon 578/2004 Z. z. a 576/2004 Z. z..
Elektronická zdravotná knižka nemá povahu zdravotnej dokumentácie pacienta v zmysle, ako ju upravuje zákon o zdravotnej starostlivosti. EZKP predstavuje osobitný informačný systém, do ktorého sa vkladajú a v ktorom sa vedú údaje zo zdravotnej dokumentácie pacienta. Povinnosť vykonať elektronický záznam do EZKP poskytovateľovi ukladá zákon č. 578/2004, pričom rozsah zapisovaných údajov upravuje Príloha č. 2 k zákonu 153/2013. Podobne ako je to pri vedení zdravotnej dokumentácie, tak aj pri realizovaní povinností týkajúcich sa záznamov do EZKP poskytovateľ koná na základe zákona a na splnenie svojej povinnosti nepotrebuje súhlas pacienta. Právnym základom na realizovanie záznamov do EZKP nie je súhlas pacienta, ale samotný zákon.
Poskytovateľ by pacientovi mal vysvetliť, že bez ohľadu na jeho názor či želanie musí elektronický záznam po poskytnutí zdravotnej starostlivosti vykonať. Takúto povinnosť by nemal, ak by išlo o pacienta, ktorý nie je poistencom verejného zdravotného poistenia alebo poistencom iného členského štátu s bydliskom v Slovenskej republike.
Lekári
Lekárnici
Sestry
Zdravotnícki pracovníci
Foto:
archív, ZdN
Jana Andelová, ZdN