MZ připravilo pro nemocnice i ambulance metodiku ke GDPR
Na přípravě metodiky se podílely Ústav zdravotnických informací a statistiky a Úřad pro ochranu osobních údajů: https://www.uzis.cz/metodika-implementace-gdpr#gdpr pro lůžková zařízení a https://www.uzis.cz/metodika-implementace-gdpr#amlulant_gdpr pro ambulantní poskytovatele. Metodiky jsou distribuovány z menší části jako tištěné brožury a zejména pak v elektronické verzi. Ministerstvo pořádá pravidelná setkání se zdravotníky, kde je možnost prodiskutovat různé aspekty a problémy implementace GDPR. Odborníci z MZ a ÚZIS také přednášejí o této problematice na odborných akcích a konferencích.
Ochrana soukromí nezačíná až 25. května 2018
Ochrana soukromí není něco nového, co do českého zdravotnictví přináší evropské nařízení o ochraně osobních údajů GDPR. Obecně je zakotvena v Občanském zákoníku, konkrétně pak ve zdravotnické legislativě, kde jsou stanovena např. velmi specifická pravidla pro přístup ke zdravotnické dokumentaci nebo pro přístup k údajům, které vedou zdravotní pojišťovny. Ochrana osobních údajů ve zdravotnictví se týká pacientů i zaměstnanců.
V souvislosti s GDPR musí ČR přijmout adaptační zákon o zpracování osobních údajů. Nyní je v Poslanecké sněmovně, k datu platnosti nařízení ho poslanci projednat nestihnou. „Není to zásadní. Adaptační zákon přinese několik málo doplňujících pravidel, ale pro pochopení působení GDPR není klíčový,“ řekl náměstek pro legislativu a právo JUDr. Radek Policar.
Zdravotnická zařízení měla dva roky čas na přípravu
Evropské nařízení bylo přijato před dvěma lety. Subjekty ve zdravotnictví, od malé ambulance přes nemocnice po zdravotní pojišťovny musely provést inventuru zpracování osobních údajů, jaké osobní údaje sbírají, proč je sbírají, co je právní výkon sběru. Jestli je to zákon, smlouva, souhlas pacienta, kdo k tomu má přístup, jak jsou nastavena přístupová práva. Inventura byla důležitá na začátku, k tomu byla potřebná analýza rizik, tedy jak jsou data zabezpečena, kdo k nim má přístup. Následně bylo potřeba udělat revizi technických a organizačních opatření. Nezbytné je proškolení zaměstnanců, revize vnitřních předpisů vztahujících se k ochraně a kontrola smluv, které se týkají předávání dat. Je také potřeba upravit informace pro pacienty.
Tzv. kuchařka, jak postupovat při implementaci GDPR, je výrazně jednodušší pro malé ambulance, ty se zatím počítají do devíti lékařů v praxi. Metodika obsahuje i vzory dokumentů, které je nutno použít. Ve zdravotnictví je většina procesů zpracování osobních údajů dána zákonem, v těch případech není třeba pro zpracování osobních údajů souhlas. Nehrozí tedy, že by byly vyžadovány souhlasy pacientů tam, kde dosud vyžadovány nebyly.
Klíčové změny
Je to především povinnost pro středně velké a velké poskytovatele zdravotních služeb ustanovit pověřence pro ochranu osobních údajů, což pro malé ambulance není třeba. Nově se zavádí povinnost pro instituce, když zavedou nějaký nový způsob zpracování, provést vnitřní analýzu, kdo k datům bude mít přístup, jaká jsou opatření k zabránění přístupu. Novinkou je i to, že ve chvíli, kdy je narušeno zabezpečení a může dojít k neoprávněnému přístupu k datům, nebo k jejich ztrátě, je povinnost hlásit to Úřadu pro ochranu osobních údajů a při hrozbě rizika pro lidi, jejichž data jsou shromažďována, i těmto lidem.
Co se bude dít po 25.květnu
Ve zdravotnictví je sběr dat dán zákonem, pouze v některých oblastech je požadován souhlas, například pro účast na výzkumných aktivitách. „Není tady potřeba vyrábět nové papíry. Neznamená to, že po účinnosti GDPR, jakmile vstoupí pacient do ambulance, dostane papír k podpisu, a teprve potom se mu bude lékař věnovat. Nikoli, nic takového GDPR nevyžaduje, nic takového nevyžadují ani české právní předpisy. V podstatě předpokládám, že pacient nástup GDPR ve zdravotnictví by neměl poznat. Pokud to pozná tím, že na něj někdo bude vrhat nějaké nové papíry, tak nerozumí GDPR, chová se v rozporu s ním a zneužívá ho pouze pro to, aby pacienta těmito dokumenty obtěžoval,“ upozornil náměstek.
Připomněl i to, že pacient nemůže přijít s tím, že chce zničit svoji zdravotnickou dokumentaci, protože ta se nevede na základě jeho souhlasu, ale zákonné povinnosti vést ji.
Na dotaz MT, jak pocítí GDPR zdravotníci, náměstek Policar řekl, že rád by odpověděl, že nijak, tak to ale asi nebude. „Pravidla ochrany soukromí v podstatě zůstávají stejná z pohledu zaměstnanců, lékařů, sester, lékárníků. Všichni asi projdou školením, aby si vše připomněli. A pokud se najdou takoví poskytovatelé, a obávám se, že najdou, kteří pozapomněli, že máme pravidla ochrany soukromí, tak pro ně to bude znamenat něco navíc, a to z přípravné fáze a nastavení pravidel tak, aby se chovali jako ti, kteří pravidla už dodržovali,“ shrnul náměstek.
- katalog osobních údajů
- katalog operací zpracování osobních údajů
- jasně zavedená agenda přístupů k osobním údajům
- doklad o řádném proškolení osob, které pracují s osobními údaji nebo k nim mají přístup
- analýza souhlasu
- analýza a hodnocení rizik
- technická a organizační opatření
- řádně podepsaná smlouva s IT dodavateli
- připravená informace pro pacienty
- připravený informovaný souhlas
Zdroj: MT